Page 65 - bilgem-teknoloji-dergisi-12
P. 65
Bilgi Güvenliği BILGEM
TEKNOLOJI
Sabri Safa Paksu - Başteknisyen, Rumeysa Bozdemir - Teknisyen / BİLGEM İGBY
Bilgi Güvenliği lusal Siber Güvenlik Stratejisi ve Eylem
Planı, TS ISO/IEC 27001 Bilgi Güvenliği Yö- Kuruluşlar tüm riskleri ortadan
Unetim Sistemi Standardı ve Türkiye Cum-
kaldırmayı beklememeli, kabul
Risk Yönetimi huriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi edilebilir bir risk seviyesi belirlemeye
Bilgi ve İletişim Güvenliği Rehberi, risk yönetimi
ve belirlenen risk aralığında
stratejileri için ihtiyaç ve gereksinimleri ele alır.
Kurum ve Kuruluşlarda bilgi güvenliği süreçleri- kalmaya çalışmalıdır.
nin yürütülebilmesi için bu dokümanların dikkate
alınması gereklidir.
Bilgi Güvenliği Risk Yönetimi standardı dikkate
Ayrıca BİLGEM kapsamında bilgi güvenliği risk alınarak yönetilir.
yönetiminin değerlendirildiği ve uygulandığı
Risk, iş BGYS Risk Değerlendirme Kılavuzu’nda konu ile 1.Tanımlama
hedeflerine ilgili tüm bilgilendirmeler mevcuttur. Bilgi güven- Varlıkların Tanımlanması
liğinin 3 temel unsuru aşağıda maddeler halinde
Kuruluşlarda hangi verilerin, sistemlerin ve di-
ulaşılmasını belirtilmiştir. Bu unsurlar varlık değerini belirler- ğer varlıkların önemli / kritik kabul edileceğinin
ken riskin değerine de etki etmektedir.
belirlenmesi gerekir. Bu kapsamda “hangi var-
olumsuz Gizlilik: Bilginin sadece yetkili kişilerce erişilebi- lıkların gizliliği, bütünlüğü veya erişilebilirliği
lir olmasının sağlanmasıdır.
tehlikeye girerse kuruluşunuza en büyük etkiyi
etkileyebilecek Bütünlük: Bilginin yetkisiz kişiler tarafından de- verir?” sorusunun cevabını aramalıyız. Kimlik nu-
maralarına kötü niyetli kişilerin ulaşması, finans
ğiştirilmemesidir. Bulunduğu ya da iletildiği ortam-
her türlü da içeriğinin bozulmama özelliğidir. sektöründeki bir firmanın hazırladığı rapordaki
küçük bir bütünlük sorununun yüksek maliyetle
Erişilebilirlik: Bilginin ihtiyaç duyulduğunda yet-
olaydır. kili kişilerce kullanıma hazır durumda olmasıdır. sonuçlanması, çevrimiçi müzik hizmeti veren bir
firmanın erişilebilirliği tehlikeye girdiğinde abone
Risk Nedir? kayıplarına neden olabileceği düşünüldüğünde
Risk, iş hedeflerine ulaşılmasını olumsuz etkile- gizlilik, bütünlük ve erişilebilirlik kavramlarının
yebilecek her türlü olaydır. Riskler zamana bağ- hayatımızın içinde yer edindiğini görüyoruz. İşte
lı olarak değişir. Risklerin birçok boyutu vardır. bu sebeple hangi varlıkların ne derecede önemli
Çoğu zaman riskler tehdit odaklı yazılır fakat be- olduğunu tanımlamamız ve buna göre değerlen-
raberinde fırsatlar da oluşturur. dirme yapmamız gerekiyor.
Güvenlik Açıklıklarının Tanımlanması
Risk Yönetimi Nedir? Tanımladığınız varlıklar üzerinde gizlilik, bütün-
Bilgi güvenliği risk yönetimi bilgi teknolojisinin lük ve erişebilirliği riske atan yazılımsal ve diğer
kullanımıyla ilişkili riskleri yönetme sürecidir. sistemsel güvenlik açıklıklarının belirlenmesi
Bir kuruluşun varlıklarının gizliliği, bütünlüğü ve gerekiyor. Bu süreçte hangi zayıflıkların ve/veya
kullanılabilirliği ile ilgili risklerin tanımlanmasını, eksikliklerin bilginin tehlikeye atılmasına neden
değerlendirilmesini ve ele alınmasını içerir. Bu olabileceğinin araştırılması bu tanımlamayı ko-
sürecin nihai amacı, riskleri bir kuruluşun genel laylaştıracaktır.
risk toleransına göre ele almaktır. İşletmeler tüm
riskleri ortadan kaldırmayı beklememelidir. Bu- Tehditlerin Tanımlanması
nun yerine, kuruluşları için kabul edilebilir bir risk Varlıkların veya bilginin tehlikeye atılmasının ola-
seviyesi belirlemeye ve belirlenen risk aralığında sı nedenlerinin belirlenmesi gerekiyor. Bu kap-
kalmaya çalışmalıdırlar. samda şu soruları sorabiliriz: “kuruluşun bağlı
olduğu veri merkezleri sel ve deprem gibi fiziksel
Bilgi Güvenliği Risk Yönetimi Sürecinin / çevresel tehditlerin bulunduğu bölgelerde mi
5 Önemli Adımı konumlandırılmış?”, “kuruluştaki çalışanlar bili-
nen bir suç örgütü, bilgisayar korsanları veya bazı
Siber suçları önlemek ve iç tehditleri durdurmak kuruluşlar tarafından hedefleniyor veya saldırıya
zorlu bir süreçtir. Kurumsal risk yönetiminize giz- uğruyor mu?”
lilik, bütünlük ve erişilebilirlik kavramlarını dahil
etmek, etkili bir bilgi güvenliği risk yönetiminin Tehdit modellemesi, riskleri bilinen tehditlerle
temelini oluşturur. Bu yapı kuruluşunuz, çalışan- ilişkilendirir. Yapısal güvenlik açıkları gibi potan-
larınız ve paydaşlarınız için çok önemli bir süreç- siyel tehditlerin varsayımsal bir saldırganın bakış
tir. Risk yönetim sürecinizi oluşturmak ve bilgi açısından tamamlanabileceği, sayılabileceği ve
güvenliğini bir iş haline getirmek için stratejik önceliklendirilebileceği önemli bir süreçtir. Bu-
adımlar atmak ve bu adımları bir süreç şeklinde radaki amaç, kuruluşlara olası tehdit profilini, en
uygulamak gerekmektedir. Bu süreç ISO 27005 muhtemel saldırı vektörlerini ve bir saldırgan ta-
62 63