AÖF - Anadolu Üniversitesi AÖL - Açık Lise AÖO - Açık Ortaokul
ATA-AÖF Soru iOS Mobile Uygulama ATA-AÖF Soru Android Mobile Uygulama

Veri, Bilgi ve Sistem Güvenliği

Veriler enformasyonların ve bilgilerin elde edilmesinde kullanılan ham ve kullanışsız olgulardır. Enformasyonlar ise verilerden elde edilen ve belirli bir değere sahip gerçekliklerdir. Bilgi, verilerin ve enformasyonun işlenmesi ile elde edilen insana özgü değerlerdir. Bilgi sistemleri ise verilerden enformasyon ve bilgi üretilmesini sağlarlar.

Sistem güvenliği, bilgi sistemlerinin kendinden beklenenleri gerçekleştirebilmesi için alınması gereken birtakım önlemleri kapsar. Bunun için bilgi sistemlerinin temel bileşenleri olan donanım, yazılım, network-ağ ve kullanıcılar üzerinden gelebilecek tehditlerin neler olduğuna bakmak gerekecektir.

Donanımlar; doğal afetlerin yanı sıra terör olayları ve vandalizm gibi kötü niyetli kişi veya kişilerin saldırılarına da maruz kalabilir. Ayrıca donanımlar, konu ile alakalı bilinç düzeyi yetersiz olan şahısların kasti olmayan müdahalelerinden de zarar görebilir.

Donanım unsurlarına yönelik saldırılar, kötü niyetli yazılımlar olan virüsler ve yazılım bombaları (zaman bombaları) vasıtasıyla da gerçekleşebilir.

Yazılım unsurları da virüslerden ve solucanlardan etkilenirler. Virüsler bir taşıyıcı vasıtası ile solucanlar ise bir taşıyıcıya ihtiyaç duymaksızın bilgisayarlara ulaşırlar ve yazılımların sistematiğini bozarlar. Yazılımlara zarar vererek bilgi sistemlerinin güvenliğini riske atan bir diğer tehdit unsuru ise Truva atıdır. Truva atları, ilk başta zararsız gibi görünen; fakat bilgi sistemlerine eriştikten sonra virüsler ve solucanlara kapı aralayan zararlı yazılımlardır. Rootkitler ve botnetler de yazılım unsuru tehditlerindendir. Rootkitler, bilgi sistemlerinin işletim sistemlerini başkalarının yönetimine geçirebilir ve botnetler ise çok sayıda kötü niyetli kişinin bilgi sistemlerini ele geçirmelerine sebebiyet verirler.

Ağ (network) da virüslerden ve solucanlardan etkilenebilirler. Dos-DDos Saldırıları da ağ yapılarının işlevselliğini bozan saldırılardır. Dos-DDos Saldırıları tek bir noktadan veya çoklu noktalardan ağ üzerine gönderilen aşırı taleplerle, ağın çalışamaz hâle getirilmesidir. Ağ üzerine yapılan saldırılar, küresel çapta faaliyette bulunan kötü niyetli tarafların vandallığı ile de gerçekleştirilir. Buna siber vandalizm denir. Siber vandalizm, ağ yapısını çökertmeye yönelik gerçekleştirilen yıkıcı saldırılardır.

Bilgi sistemleri güvenliği hem sıradan bireyleri, hem kurumları hem devletleri ilgilendiren çok boyutlu bir hâl almıştır.

Kullanıcıların konu ile ilgili yetersiz bilgi sahibi olmaları, bilgi sistemlerine yönelik bir tehdittir. Kullanıcılara ait bilgileri ele geçirme faaliyeti olan sosyal mühendislik, kullanıcıların yetersizliklerinden beslenen bir kandırma faaliyetidir.

Öte yandan kimlik avı dolandırıcılığı, bir bilgisayar korsanının başkalarına ait bilgileri elde etmesi olarak tanımlanabilir. Phishing, yani yemleme de bilgi sistem kullanıcılarını hedef alan benzer bir sahtekârlık faaliyetidir. Phishing saldırıları, kullanıcıların bağlanacakları web sitelerinin veya internet üzerinden gerçekleştirecekleri işlemlere ait bağlantıları gerçekmiş gibi göstererek kullanıcıların kandırılmasıdır.

Bilgi sistemleri güvenliğine yönelik bireysel düzeyde alınabilecek önlemlerin başında şifreleme gelmektedir. Kullanıcılar, şifreleme sistemlerinde daha dikkatli olmalıdırlar. Ayrıca antivirüs programları da bireysel düzeyde bilgi sistem güvenliği için önemlidir.

Kurumsal düzeyde alınabilecek önlemlerde ise güvenlik duvarlarının önemi büyüktür. Güvenlik duvarları ile kurumlar, dış çevreden gelecek tehditlere karşı korunurlar. Ayrıca kurumlar, kurumsal ağlarına sızmalarını önlemek için gerekli şifreleme metodlarını kullanmalı ve kullanıcılarını da bu yönde uyarmalıdırlar.

Kurumlar, sızma (penetrasyon) testleri yaparak bilgi sistemlerinin mevcut durumunu kontrol ederler ve gerekli önlemleri önceden alabilirler. Sızma testleri belir bir süreç dâhilinden gerçekleştirilir. Bunun için ilk önce sistem tanınır. Sonrasında zaaf noktalar belirlenir ve zaafiyetin derecesi tespit edilir. Son olarak ise sızma testlerine ait veriler silinir.

Birleştirilmiş Tehdit Yönetim Sistemleri ile kurumlar birçok bilgi sistem güvenliği aracını tek bir çatı altında toplayabilirler. Bu sayede güvenlik maliyetlerini de düşürebilirler.

Felaketten kurtarma planları ve iş sürekliliği planları da kurumların olası olumsuzluklara karşın bilgi sistemlerinin korunmasına yönelik planlamalardır. Felaketten kurtarma planları, kurumun bilgi sistem altyapısının yedeklenmesi, korunması, kilit personelin ve kilit paydaşların olası bir felaket anında yapacakları görevleri vs. içeren kapsamlı bir plandır. İş sürekliliği planları ise felaket anında kurum sistemlerinin aksaklığa meydan vermemesi için ortaya konan planlardır.

Bilgi sistemleri güvenliğine yönelik politikalar devletler boyutunda da gerçekleştirilmektedir. Avrupa Birliği Genel Veri Koruma Yönetmeliği Dünya'da veri ve sistem güvenliğine ilişkin düzenlemelere bir örnektir. Bu yönetmelikte AB üyesi ülke vatandaşlara ait verilerin işlenmesi ve sonrasında silinmesinde bireylerin haklarından ve kurumların sorumluluklarından bahsedilmektedir.

Ülkemizde de veri güvenliğine ilişkin adımlar atılmaktadır. 6698 sayılı Kişisel Verileri Koruma Kanunu bunlardan biridir. Bu kanun ile ülkemiz vatandaşlarına ait veriler ve bilgiler korunma altına alınmak istenmiştir. Bu kanun ile kişisel verilerin elde edilmesi, işlenmesi, silinmesi, yok edilmesi ve yurt dışına çıkarılması ile ilgili düzenlemeler getirilmiştir. Ayrıca devletler, siber sahada stratejiler izleyerek bu alanda millî güvenlik politikaları izlemektedirler.