Siber Güvenliğin Bileşenleri Nelerdir?

Etkili bir siber güvenlik için bilgi ve iletişim teknolojileri kapsamında kullanılan tüm yazılım ve donanımlar, kurulan sistemler, kullanıcı hakları, veri depolama sistemleri, fiziki güvenlik sistemleri ve alan güvenliği sistemleri doğru kurulmalı ve yönetilmelidir.

Burada belirtilen bileşenlerin her biri ayrı bir güvenlik bileşenini ifade eder. Siber güvenlik konusunda uzmanlaşmak isteyenler bu bileşenler hakkında genel bir bilgiye sahip olmalı ve bu katmanlardan görev tanımına girenler hakkında ayrıntılı bilgiye sahip olmalıdır. Bu kapsamda dikkat edilmesi gereken siber güvenlik bileşenleri:

Bilgisayar Ağı Güvenliği: Ağı istenmeyen kullanıcılardan, saldırılardan ve izinsiz girişlerden koruma sürecini kapsar. Çok geniş bir kapsamı bulunduğundan, sistemde kullılan her türlü bilgisayar ağı donanımı hakkında bilgi sahibi olmayı gerektirir. Bu kapsamda her bilgisayar ağının kendine özgü bir bilgisayar ağı güvenlik prosedürü olduğu söylenebilir.

Uygulama ve Yazılım Güvenliği: Uygulamaların ve programların saldırılara karşı güvenli olduğundan emin olmak için sürekli güncellemesi ve test edilmesi gerekir. Kullanılan uygulama ve yazılım kod parçaları temiz kod yapısına uygun yazılmalı, arama motorları ve genele açık kod kütüphanelerinden alınan kodlar kullanılmamalıdır. Eğer bu tür güvenlik riski barındıran kod kullanılacaksa da kaynak kod analizi yapılmalı, test ortamında test edilmeli, ardından canlı ortama alınmalıdır.

Uzaktan Erişim Güvenliği: Uzaktan erişim bilgi teknolojilerinin gerekli bir parçasıdır, fakat doğru kurgulanmaz ve gerekli önem verilmez ise sistem güvenliği için en zayıf bir nokta haline de gelebilir. Bu sebeple uzaktan erişilmesi gereken uç noktaların güvenliği, şirket ağının güvenliği için yüksek önceliğe sahip süreçleri içerir.

Veri Güvenliği: Bilgisayar ağlarının ve üzerinde çalışan uygulamaların temel amacı verilerin paylaşılması ve işlenmesini kapsar. Bu sebeple şirket ve müşteri verilerini korumak, ayrı bir güvenlik katmanını oluşturur. Veri güvenliği verilerin barındırıldığı ortam ve donanımların fiziki güvenliği ile başlar, yazılacak verinin kim tarafından hangi koşullarda yazılacağı ve kim tarafından hangi koşullarda değiştirilip silinebileceği koşullarına kadar genişleyerek devam eder.

Kullanıcı Kimlik Yönetimi: Bir kuruluşta ister çalışan ister misafir olsun, alanda bulunan ve sisteme erişen tüm kullanıcıların sahip olduğu erişimi inceleme, anlama ve loglama süreci olmalıdır. Kuruluşun bilgi güvenliği seviyesine bağlı olarak farklı kimlik kontrolü ve biyometrik kontrol metodları kullanılabilir. Burada önemli olan kişilere bu işlemlerle ilgili kişiye bilgilendirme yapmak ve kişinin onayını almaktır. Aksi halde KVKK ve/veya GDPR kapsamında yasal yükümlülükler ve maddi/manevi cezalarla karşılaşılabilir.

Donanım Güvenliği: Bir bilgisayar ağını oluşturan yapısal ve bulut veritabanları ve fiziksel ekipmanlarının güvenliği önemlidir. Bu sebeple fiziksel donanımların cihazların korunması da yüksek derecede önemlidir.

Bulut Güvenliği: Günümüzde savunma sanayi kapsamı dışında çalışan kuruluşların neredeysa tamamı farklı bulut hizmetlerini kullanır ve verilerini bulutta barındırılır. Bulut mimarisi temelde farklı lokasyonlarda bulunan barındırma ünitelerinden oluşan veri ve sistem merkezleridir. Bu merkezler dünyanın herhangi bir yerinde bulunabilir. Bu merkezlere yetkisi bulunanlar konumdan bağımsız olarak ve internete bağlı olmak şartıyla erişebilirler. Verilerin tamamını bu şekilde çevrimiçi ortamda barındırmak, çeşitli siber güvenlik risklerini ortaya çıkarabilir.

Mobil Güvenlik: Taşınabilir bilgisayarlar, cep telefonları ve tabletler sahip oldukları işletim sistemlerine ve kullandıkları yazılımlara bağlı olarak, çeşitli güvenlik sorununu kendi içlerinde barındırır. Mobil cihaz güvenliği ve kullanım şartları yüksek güvenlik risklerinden kabul edilir.

Felaketten Kurtarma ve İş Sürekliliği Planlaması: Bir kuruluşun fiziksel güvenlik ve siber güvenlik olaylarına, işlemlerin ve verilerin kaybına neden olabilecek saldırılara karşı nasıl tepki vereceğini tanımlayan prosedürleri ve süreçleri olmalıdır. Doğal afet, felaket veya veri ihlali durumlarında sahip olunan veriler korunmalı ve kullanıcıların işleri devam etmelidir. Bu sebeple İş Sürekliliği için bir plan hazırlanmalı ve güncel tutulmalıdır. Bu sayede kurum ve kuruluşlar belirli kaynaklarını kaybetseler dahi, ana görevlerini yerine getirebilmelidir. Felaketten kurtarma politikaları sayesinde, felaket olayından sonra, ilk işletme kapasitesine dönmek için gerekli operasyonların nasıl yapılacağı tanımlanmalıdır.

Operasyonel Güvenlik: Her türlü verinin işlenmesine ve korunmasına yönelik süreçleri ve kararları içerir. Kullanıcıların bir ağa erişirken sahip oldukları izinler ve verilerin nasıl ve nerede depolanacağını veya paylaşılacağını belirleyen prosedürlerin tamamı Operasyonel Güvenlik olarak tanımlanır.

Tüm bu bileşenler kuruluşun yapısına uygun olarak ele alındığında doğru BGYS (Bilgi Güvenliği Yönetim Sistemi) temeli oluşturulabilir. Fakat BGYS oluşturulduktan sonra sürekli gözden geçirilmeli ve ihtiyaca göre yenilenmelidir. Ancak bu sayede kuruluş genelinde bilgi güvenliğinden bahsedilebilir.