Bilgi Güvenliği, yalnızca bilgileri yetkisiz erişimden korumakla ilgili değildir. Bilgi Güvenliği temel olarak bilgiye yetkisiz erişimin, bilginin kullanılması, ifşa edilmesi, bozulması, değiştirilmesi, denetlenmesi, kaydedilmesi veya yok edilmesini önleme uygulamasıdır. Bilgi fiziksel veya elektronik olabilir. Bilgi, sizin detaylarınız gibi herhangi bir şey olabilir veya sosyal medyadaki profiliniz, cep telefonunuzdaki verileriniz, biyometrik bilgileriniz vb. diyebiliriz. Bu nedenle Bilgi Güvenliği;
1-Kriptografi,
2-Mobil Bilişim,
3-Siber Adli Tıp,
4-Çevrimiçi Sosyal Medya vb. gibi pek çok araştırma alanını kapsar.
Birinci Dünya Savaşı sırasında, bilginin hassasiyeti göz önünde bulundurularak çok kademeli sınıflandırma sistemi geliştirilmiştir. İkinci Dünya Savaşı’nın başlamasıyla birlikte Sınıflandırma Sisteminin resmi hizalaması yapıldı. Alan Turing, Almanlar tarafından savaş verilerini şifrelemek için kullanılan şifreleri başarıyla çözen kişiydi.
Bilgi güvenliği yönetim sistemleri, yaygın olarak Gizlilik, Bütünlük, Kullanılabilirlik olarak bilinen üç temel hedef etrafında oluşturulmuştur.
Bilginin Gizliliği
Bilgilerin yetkisiz kişilere, kuruluşlara ve süreçlere ifşa edilmediği anlamına gelir. Örneğin, G-Mail hesabım için bir şifrem var desek ama birisi ben G-Mail hesabına giriş yaparken görmüşse. Bu durumda şifrem ele geçirildi ve gizlilik ihlal edildi.
Bilgi Bütünlüğünün Korunması
Verilerin doğruluğunu ve eksiksizliğini korumak anlamına gelir. Bu, verilerin yetkisiz bir şekilde düzenlenemeyeceği anlamına gelir. Örneğin, bir çalışan bir kuruluştan ayrılırsa, bu durumda o çalışanın hesaplar gibi tüm departmanlardaki verileri, verilerin eksiksiz ve doğru olması için durumunu yansıtacak şekilde güncellenmeli ve buna ek olarak yalnızca yetkili kişiye izin verilmelidir. Çalışan verilerini düzenleyin ve muhafaza edin.
Bilginin Kullanılabilirliği
Bilginin gerektiğinde erişilebilir olması gerektiği anlamına gelir. Örneğin, çalışanın izin sayısını aşıp aşmadığını kontrol etmek için belirli bir çalışanın bilgilerine erişmesi gerekiyorsa, bu durumda ağ operasyonları, geliştirme operasyonları, olay müdahalesi ve politika/değişiklik yönetimi gibi farklı organizasyon ekiplerinden iş birliği gerekir.
Hizmet reddi saldırısı, bilginin kullanılabilirliğini engelleyebilecek faktörlerden biridir.
Bunun dışında bilgi güvenliği programlarını yöneten bir ilke daha vardır. Bu durum ret edilmemektir.
Bilgiyi Reddetmeme
Bir tarafın bir mesaj veya işlem almayı reddedemeyeceği veya diğer tarafın bir mesaj veya işlem göndermeyi reddedemeyeceği anlamına gelir. Örneğin kriptografide, mesajın gönderenin özel anahtarıyla imzalanan dijital imzayla eşleştiğini ve gönderenin bir mesaj göndermiş olabileceğini ve aktarım sırasında başka hiç kimsenin değiştiremeyeceğini göstermek yeterlidir. Veri Bütünlüğü ve Özgünlük, reddedilmeme için ön koşullardır.
Bilginin Özgün Olması
Kullanıcıların söyledikleri kişi olduklarının ve hedefe ulaşan her girdinin güvenilir bir kaynaktan geldiğinin doğrulanması anlamına gelir. Bu ilke izlenirse, geçerli bir aktarım yoluyla güvenilir bir kaynaktan alınan geçerli ve gerçek mesajı garanti eder. Örneğin yukarıdaki örneği ele alırsak, gönderici mesajı, mesajın hash değeri ve özel anahtar kullanılarak oluşturulan dijital imza ile birlikte gönderir. Şimdi alıcı tarafında, bu dijital imzanın şifresi, bir özet değeri üreten ortak anahtar kullanılarak çözülür ve karma değeri oluşturmak için mesaj yeniden özetlenir. 2 değeri eşleşirse, gerçek ile geçerli iletim olarak bilinir veya alıcı tarafında gerçek mesaj alındı deriz.
Hesap Verebilirlik
Bir varlığın eylemlerini o varlığa özel olarak izlemenin mümkün olması gerektiği anlamına gelir. Örneğin dürüstlük bölümünde tartıştığımız gibi her çalışanın diğer çalışanların verilerinde değişiklik yapmasına izin verilmemelidir. Bunun için bir kuruluşta bu tür değişiklikleri yapmaktan sorumlu ayrı bir departman vardır ve bir değişiklik talebi aldıklarında bu mektubun daha yüksek bir makam tarafından imzalanması gerekir.
Örneğin kuruluş müdürü ve değişikliğin tahsis edildiği kişi, biyometrik bilgilerini doğruladıktan sonra değişiklik yapın, böylece kullanıcı ile zaman damgası (değişiklikler yapıyor) ayrıntıları kaydedilir. Böylece diyebiliriz ki, eğer bir değişiklik böyle giderse, o zaman eylemleri bir varlığa özgü olarak izlemek mümkün olacaktır.
Bilgi Güvenliğinin özünde, bilgilerin herhangi bir kuruluş tarafından tutulması ve kritik sorunlar ortaya çıktığında bilgilerin hiçbir şekilde tehlikeye atılmamasını sağlamak anlamına gelen bilgi güvenliği için güvence vermek vardır. Bu sorunlar doğal afetler, bilgisayar veya sunucu arızaları vb. ile sınırlı değildir.
Bu nedenle, bilgi güvenliği alanı son yıllarda önemli ölçüde büyümüş ve gelişmiştir. Sanal iç ve dış ağların ve müttefik altyapının güvenliğinin sağlanması, uygulamaların ve veri tabanlarının güvenliğinin sağlanması, güvenlik testleri, bilgi sistemleri denetimi, iş sürekliliği planlaması vb. Dahil olmak üzere birçok uzmanlık alanı sunmaktadır.
Günümüz iş dünyası çerçevesinde giderek artan sanal güvenlik ihtiyacı ISO 27001 Bilgi Güvenliği Yönetim Sistemi gibi iso belgelerine aynen buradaki belgelere, yazıda anlatıldığı gibi talebi artırmıştır.