Bilgi Güvenliği Yönetim Sistemi Nedir? Bilgi Güvenliği Yönetim Sistemi Hakkında Tüm Bilinmesi Gerekenler
Günümüzün en değerli varlığı dendiğinde, artık fiziki nesnelerin yerini alan daha farklı, daha nitelikli şeyler geliyor akıllara. Örneğin, yüzyıllardır “en değerli” sınıfında tüm topluluk nezdinde altın, yakut, elmas gibi madeni varlıklar akıllara gelirken, son birkaç senedir, çoğunluğun aklına data yani veri geliyor. Tümünün temelinde de dijital çağın bu alanda bilgi yani veriye verdiği değeri düşünürsek hem teknik hem de varlık olarak özellikle kurumsal boyutta bilgi güvenliği tüm dikkatleri üzerine toplayan bir konu olarak karşımıza çıkıyor.
Bilgi Güvenliği Yönetim Sistemi (BGYS), bir kuruluşun bilgi varlıklarının korunması amacıyla uyguladığı kapsamlı bir sistemdir. Bu sistem, bilgi güvenliğine dair tehditleri belirlemek, riskleri yönetmek ve kuruluşun bilgi güvenliğini sürekli iyileştirmek için tasarlanmış bir dizi politika, süreç ve kontrolü içerir.
Bilgi Güvenliği Yönetim Sistemi (BGYS) Nedir?
Dijital çağın hızla ilerlemesiyle birlikte, kuruluşlar bilgi güvenliğini sağlamak için daha karmaşık yöntemlere ihtiyaç duymaktadır.
Bilgi Güvenliği Yönetim Sistemi (BGYS), kuruluşların bilgi varlıklarını korumasına yönelik kapsamlı bir çerçeve sunar. Bu sistem, bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini korumayı amaçlar ve uluslararası standartlara dayanır.
ISO/IEC 27001 gibi standartlar, BGYS’nin temelini oluşturur ve bu standarda uygun bir sistem, kuruluşlara bilgi güvenliği risklerini yönetmek için etkin bir yol sunar.
Bilgi Güvenliğinde 3 Temel İlke
Gizlilik (Confidentiality): Bilginin yetkisiz kişilerin erişimine kapalı tutulmasıdır. Gizliliği sağlamak için erişim kontrolü, şifreleme ve kimlik doğrulama gibi yöntemler kullanılır.
Bütünlük (Integrity): Bilginin doğruluğunu ve tamlığını korumak amacıyla, yetkisiz değişikliklere karşı koruma sağlar. Verilerin değiştirilememesi ya da bozulamaması için imza doğrulama ve hash algoritmaları gibi teknikler kullanılır.
Erişilebilirlik (Availability): Bilginin ihtiyaç duyulduğunda yetkili kullanıcılar tarafından erişilebilir olmasıdır. Yüksek erişilebilirlik sağlayan altyapılar ve yedekleme sistemleri, bu ilkenin sağlanmasına yardımcı olur.
BGYS’nin Kurulumu ve Teknik Adımlar
BGYS, yalnızca bir teknoloji çözümü değil, aynı zamanda kurumsal kültüre de entegre edilmesi gereken bir yönetim sistemidir.
Sistem kurulumunun teknik aşamaları 6 adımda aşağıda açıklanmıştır:
1. Varlık Envanteri Oluşturma
İlk adım, korunacak bilgi varlıklarının belirlenmesidir. Bu varlıklar sunucular, ağ cihazları, veri tabanları, uygulamalar ve belgeler olabilir.
Bu süreçte şu sorular sorulmalıdır:
Hangi bilgi varlıkları kritik?
Bu varlıkların kaybı veya hasarı ne gibi sonuçlar doğurur?
2. Risk Değerlendirmesi
Her varlık için potansiyel tehditler ve bu tehditlerin doğurabileceği riskler analiz edilir.
Örneğin:
Sistemler üzerinde gerçekleşebilecek siber saldırılar, veri kayıpları veya yetkisiz erişim. Risk analizinde, riski değerlendirmek için olasılık ve etki faktörleri hesaplanır.
3. Kontrol Önlemleri ve Uygulama
ISO/IEC 27001 standardında belirtilen güvenlik kontrollerine uygun olarak, belirlenen riskleri minimize etmek için teknik ve organizasyonel önlemler alınır.
Bazı yaygın güvenlik kontrolleri şunlardır:
Güvenlik Duvarları (Firewalls): İzin verilmeyen trafiğin filtrelenmesi.
IDS/IPS Sistemleri (Intrusion Detection/Prevention Systems): Şüpheli trafiklerin tespiti ve engellenmesi.
Antivirüs ve Antimalware Çözümleri: Zararlı yazılımların önlenmesi.
Veri Şifreleme: Kritik verilerin güvenliğinin sağlanması.
4. Sürekli İzleme ve Değerlendirme
BGYS dinamik bir yapıdır ve sürekli izlenmesi gerekmektedir.
İzleme sırasında:
Sistem performansı ve güvenlik olayları gözlemlenir.
Olay sonrası analizlerle zafiyetler belirlenir ve çözüm yolları geliştirilir.
Penetrasyon Testleri ve Sızma Testleri düzenli olarak yapılır.
5. Bilgi Güvenliği Olay Yönetimi
Bilgi güvenliği olayları ile başa çıkabilmek için önceden hazırlıklı olmak gerekir. Bir olay yaşandığında hızlı müdahale ve çözüm planlarının uygulanması önemlidir.
Bu süreç şunları içerir:
Olay tespiti
Olayın kök neden analizi
Olayın çözülmesi ve önlemlerin güncellenmesi
6. Düzenli Denetimler ve İyileştirmeler
BGYS’nin etkin bir şekilde çalıştığından emin olmak için düzenli denetimlerin yapılması ve sistemin sürekli iyileştirilmesi gereklidir. İç denetimler ve üçüncü taraf denetimler bu süreçte önemli rol oynar.
Bilgi Güvenliği Risklerinin Yönetimi ve Mitigasyonu
Bilgi güvenliğine yönelik tehditler her geçen gün daha karmaşık hale gelmektedir. Bu tehditlerle başa çıkabilmek için BGYS‘nin bir parçası olan risk yönetim süreçlerinin titizlikle yürütülmesi gerekir.
Risk yönetimi şu adımları içerir:
Riskleri belirlemek ve sınıflandırmak
Risklerin etkilerini analiz etmek
Riskleri kabul edilebilir seviyelere indirmek için uygun güvenlik önlemlerini almak
BGYS’nin İşletmeye Sağladığı Avantajlar
Yasal Uyumluluk: ISO/IEC 27001 gibi standartlara uygun bir BGYS, KVKK, GDPR gibi yasal düzenlemelere uyumu da sağlar.
İtibarın Korunması: Güvenlik olaylarının önlenmesi ve bilgi sızıntılarının engellenmesi, şirketin itibarını korur.
Müşteri Güveni: Bilgi güvenliğinin sağlandığına dair verilen güvenceler, müşteri memnuniyetini ve güvenini artırır.
BGYS, Bilgi Güvenliğinin Anahtarıdır
Bilgi Güvenliği Yönetim Sistemi, kuruluşların en değerli varlıklarından biri olan bilgiyi koruma altına alarak rekabet avantajı sağlar. Risklerin etkin bir şekilde yönetilmesi, sürekli izleme ve iyileştirme ile desteklenen BGYS, bilgi güvenliğinde sürdürülebilir bir yaklaşım sunar. Teknoloji altyapısının güçlü olması kadar, bu altyapının güvenliğini sağlayacak yönetim sisteminin de sağlam kurulması, kuruluşların siber tehditlere karşı dayanıklılığını artırır.
BGYS Varlık Envanteri, bir kuruluşun sahip olduğu tüm bilgi varlıklarının belirlenmesi ve sınıflandırılması sürecidir. Bu varlıklar, bilgi güvenliğinin sağlanması açısından kritik öneme sahiptir. Varlık envanteri, BGYS’nin temel adımlarından biri olup, varlıkların korunması için uygulanacak güvenlik önlemlerini belirlemede önemli bir rol oynar.
BGYS Varlık Envanteri Nedir?
Varlık envanteri, bir kuruluşun sahip olduğu ve bilgi güvenliği açısından korunması gereken fiziksel, dijital ve insan kaynaklı varlıkların listesidir. Bu varlıkların doğru bir şekilde tanımlanması, bu varlıklarla ilgili risklerin değerlendirilmesi ve bu risklere karşı uygun önlemlerin alınması sürecini kolaylaştırır.
Varlık Türleri
Donanım (Hardware) Varlıkları
Sunucular: Kuruluşun kritik verilerinin depolandığı sunucular bilgi güvenliği açısından önemli varlıklardır. Bir sunucunun zarar görmesi ya da yetkisiz kişilerce ele geçirilmesi büyük veri kayıplarına yol açabilir.
Bilgisayarlar ve Laptoplar: Çalışanların kişisel cihazları da bilgi güvenliği açısından risk teşkil edebilir. Bu cihazların şifreleme ve kimlik doğrulama gibi güvenlik önlemleriyle korunması gerekir.
Ağ Cihazları: Yönlendiriciler (router), anahtarlar (switch) ve güvenlik duvarları (firewall) gibi ağ altyapısı cihazları, ağ güvenliğini sağlamak için kritik varlıklardır.
Yazılım (Software) Varlıkları
İşletim Sistemleri ve Uygulamalar: Sunucularda ve iş istasyonlarında kullanılan işletim sistemleri (Windows, Linux) ve yazılımlar da varlık envanterine dahildir. Bu sistemlerin düzenli olarak güncellenmesi ve yamalanması, güvenlik açıklarının kapatılmasını sağlar.
Veritabanları: Kuruluşun iş süreçlerine dair tüm bilgileri barındıran veritabanları, koruma altında tutulması gereken en kritik yazılım varlıklarıdır.
Antivirüs Yazılımları: Zararlı yazılımlara karşı koruma sağlayan güvenlik yazılımları da varlık olarak kabul edilir ve düzenli güncellenmeleri gereklidir.
Bilgi Varlıkları
Veriler ve Belgeler: Müşteri bilgileri, çalışan verileri, iş süreçleriyle ilgili dokümanlar, stratejik belgeler gibi bilgiler, kuruluşun dijital dünyadaki en önemli varlıkları arasında yer alır.
Şifreler ve Kriptografik Anahtarlar: Ağ erişimi, sistem yönetimi ve kritik işlemler için kullanılan şifreler ve kriptografik anahtarlar, korunması gereken hassas bilgi varlıklarıdır.
İnsan Kaynaklı Varlıklar
Çalışanlar: Bir kuruluşun bilgi güvenliği süreçlerinde yer alan çalışanlar, BGYS’nin önemli bir parçasıdır. Çalışanların güvenlik eğitimleri ve farkındalığı, bilgi güvenliğini doğrudan etkileyebilir.
Dış Hizmet Sağlayıcılar: Bulut hizmetleri sağlayıcıları, dış danışmanlar veya üçüncü taraf servis sağlayıcılar, kuruluşun bilgi güvenliğine dahil olan insan kaynaklı varlıklar arasında yer alır.
Fiziksel Varlıklar
Veri Merkezleri: Kuruluşun sunucuları ve donanım altyapısının bulunduğu veri merkezleri, fiziksel güvenlik açısından önemli varlıklardır. Bu merkezlerin yangın, su baskını gibi fiziksel tehditlere karşı korunması gerekir.
Ofis Alanları: Çalışanların bulunduğu fiziksel alanlar, bilginin güvenliğini etkileyen yerlerdir. Ofis güvenlik kameraları, erişim kontrol sistemleri gibi önlemlerle korunmalıdır.
Varlık Envanteri Örnekleri
1. Örnek Donanım Varlığı
Sunucu:
Varlık Adı: Web Sunucusu
Varlık Türü: Donanım
Lokasyon: İstanbul Veri Merkezi
Kritiklik Seviyesi: Yüksek (Kuruluşun web platformu üzerinde barındırılan müşteri verilerine hizmet verir)
Koruma Önlemleri: Yedekleme, erişim kontrol listesi, izinsiz giriş tespit sistemleri (IDS)
2. Örnek Yazılım Varlığı
Veritabanı Yönetim Yazılımı:
Varlık Adı: Oracle Veritabanı Yönetim Sistemi (DBMS)
Varlık Türü: Yazılım
Lokasyon: Ana Sunucu
Kritiklik Seviyesi: Yüksek (Müşteri bilgilerinin depolandığı veri tabanı yazılımı)
Koruma Önlemleri: Veri şifreleme, erişim yönetimi, düzenli yedekleme
3. Örnek Bilgi Varlığı
Müşteri Verileri:
Varlık Adı: CRM Müşteri Veri Tabanı
Varlık Türü: Bilgi
Lokasyon: Veri tabanı Sunucusu
Kritiklik Seviyesi: Yüksek (KVKK gereği korunması gereken kişisel veriler içerir)
Koruma Önlemleri: KVKK uyumlu veri maskeleme, veri erişim politikaları, düzenli veri yedekleme
4. Örnek İnsan Kaynaklı Varlık
Sistem Yöneticisi:
Varlık Adı: Ahmet Yılmaz (Sistem Yöneticisi)
Varlık Türü: İnsan Kaynağı
Görev: Sunucu yönetimi ve ağ güvenliği
Kritiklik Seviyesi: Yüksek (Bilgi güvenliği yönetim süreçlerini yürütme sorumluluğu var)
Koruma Önlemleri: Düzenli güvenlik eğitimi, iki faktörlü kimlik doğrulama (2FA) kullanımı
5. Örnek Fiziksel Varlık
Veri Merkezi:
Varlık Adı: İstanbul Ana Veri Merkezi
Varlık Türü: Fiziksel
Lokasyon: İstanbul
Kritiklik Seviyesi: Yüksek (Kuruluşun tüm kritik veri ve donanımları bu merkezde depolanır)
Koruma Önlemleri: Biyometrik erişim kontrolü, yangın söndürme sistemleri, 7/24 güvenlik personeli
Varlık Envanteri Oluşturmanın Önemi
Varlık envanteri, bir kuruluşun sahip olduğu bilgi ve altyapı varlıklarının korunması için temel bir adımdır. Doğru bir envanter oluşturmak, hangi varlıkların kritik olduğunu belirlemeyi ve bu varlıkların korunması için alınacak önlemleri planlamayı kolaylaştırır. Varlık envanteri olmadan risk değerlendirmesi yapılması ve uygun güvenlik önlemlerinin alınması zorlaşır.
BGYS varlık envanteri, kuruluşların bilgi güvenliği yönetiminde temel bir rol oynar. Varlıklar belirlenip sınıflandırıldığında, bu varlıklara yönelik tehditlerin belirlenmesi ve bu tehditlere karşı alınacak önlemlerin planlanması kolaylaşır. Varlık envanteri, kuruluşların dijital varlıklarını daha iyi korumasını ve bilgi güvenliği süreçlerinde daha etkin olmasını sağlar.
BGYS - Bilgi ve İletişim Güvenliği Yönetimi
Bilgi ve İletişim Güvenliği konusunda uzman desteği almak ister misiniz?