Açıköğretim Adalet
Adalet 1. Yarıyıl Dersleri
Adalet 2. Yarıyıl Dersleri
Adalet 3. Yarıyıl Dersleri
Adalet 4. Yarıyıl Dersleri
Eğitim Setleri
Eğitim Videoları
İçerik Tarihi: 10-01-2014

Bilgi Güvenliği Önlemleri Konusu

BİLGİ GÜVENLİĞİ ÖNLEMLERİ KONUSU


Bilgi güvenliği tek bir yönteme dayanmaz. Bunun yerine, işletmeyi farklı yöntemlerle savunmak için bir dizi önlem kullanılır. Bir çözüm başarısız olsa dahi, diğeri ayakta kalarak işletmeyi ve bilgileri çeşitli saldırılara karşı korur. İşletmenin bilgi sistemindeki (network) bilgi güvenliği önlemleri işlerinin yürütülmesi için kullanılan (değerli) bilgilerin kullanıma açık olmasını ancak tehditlere karşı koruma altında olmasını sağlamaya yöneliktir. Bilgi güvenliği şu tür katkılar sağlar (Cisco, 2009):
içeriden ve dışarıdan saldırılara karşı koruma sağlar: Tehditler, işletmenin dört duvarı içinden ve dışından gelebilir. Etkili bir güvenlik sistemi tüm ağ etkinliğini izleyerek olağandışı davranışı işaretler ve uygun yanıtı verir.


Her yerde her zaman tüm iletişimin gizliliğini sağlar: Çalışanlar, bilgisayar sistemine evlerinden veya hareket halindeyken, iletişimlerinin gizli ve koruma altında olacağı güvencesiyle erişebilir.


Kullanıcıları ve sistemlerini doğru bir şekilde tanımlayarak bilgilere erişimi denetler: İşletmeler, veri erişimiyle ilgili olarak kendi kurallarını oluşturabilir. Erişimin reddedilmesi veya onaylanması kullanıcı kimliklerine, iş işlevine veya diğer işle ilgili özel ölçütlere dayanabilir.
işletmeyi daha güvenilir kılar: Güvenlik teknolojileri sistemi bilinen saldırılara karşı koruduğu ve yeni tehditlere adapte olduğu için çalışanlar, müşteriler ve iş ortakları, bilgilerinin güvenli olduğundan emin olurlar.


Örneğin Amerikan şirketleri tarafından bilgi güvenliğine harcanan bütçe bilgi teknolojisi için ayrılan bütçenin yüzde 5’i kadardır. Bu yaklaşık yıllık 15 milyar dolardır (Haag vd., 2007). Diğer bilgisayarlarla bağlantı kurmayan bilgisayarların güvenli olduğu düşünülse de, günümüz iş hayatı için bu durumun pek geçerli olmadığı söylenebilir. Kimi zaman kasti ve kötü niyetli olmayan birtakım aksaklıklardan ötürü de bilgi güvenliği sorunu ortaya çıkabilmektedir.


Bilgi güvenliğine ilişkin önlemler almak işletmelerin “kriz yönetimi” önlemlerine benzer. Bilindiği gibi krizlerin en önemli özelliği beklenmeyen bir durum olmasıdır. Olası kriz durumuna karşı kriz sinyallerinin yakalanarak değerlendirilmesi ve işletmenin kriz durumunu en az kayıpla atlatabilmesi için gerekli önlemleri alıp uygulamasına “kriz yönetim süreci” adı verilir. Kriz yönetiminin temel amacı işletmeyi kriz durumuna karşı hazırlamaktır. Kriz yönetimi sürecinin ilk aşaması ise “kriz sinyalinin alınması”dır. Krizler, ortaya çıkmadan önce genellikle erken uyarı sinyalleri gönderir. Burada çıkan zorluk ise her durumda işletmeler farklı sinyallerin bombardımanına uğramasıdır. Belirebilecek krizi gösteren sinyallerin gereksiz parazitlerden ayrılarak değerlendirilmesi deneyimle ve doğru bakış açısıyla kazanılan bir özelliktir. İşletmelerin krize düşmesinin en önemli nedenlerinden biri ise yöneticilerin işletmenin çevresinde olup biten değişimleri izleme, değişimlerle ilgili veri toplama, yorumlama ve değerlendirme konusundaki yetersizlikleridir.


Bilgi güvenliği konusunda, kriz sinyalinin alınması işletmedeki “savunmasız olan” sistemlerin belirlenerek, bunlarda neyin yanlış gidebileceği ve bunun sonuçlarının neler olacağının tespiti ilk aşama olarak görülebilir. Bu ilk aşamada çok fazla güvenlik önlemi almak işleri yavaşlatabilir, hatta zorlaştırabilir. Az güvenlik önlemi de bilgi sistemini savunmasız bırakabilir. Sonuçta uygun dozda önlemler alarak işletmenin bilgi sistemini koruyacak derecede etkin bir güvenlik sistemi kurulmalıdır.


Küresel bir bilgi altyapısı olan İnternette yüzde yüz bilgi güvenliğini tek başına sağlayabilecek sihirli bir teknik ya da teknolojinin olması mümkün değildir (Özmen, 2003). Ancak bunu sağlamak için elbette alınması gereken önlemler vardır.

Bunların başlıcalarına aşağıda değinilmektedir:


Yedekleme: Bilgi kaybını önlemenin en kolay yoludur. Kayıpları önlemek için önemli bilgileri içeren dosyaların sistemli bir şekilde çoğaltılmasıdır. Yedekleme önemli belge ve evrakları yangın ya da doğal afetlerden korumak için çoğaltıp saklamaya benzer. Yedeklemenin sistemli ve planlı bir şekilde yapılması gerekir. Örneğin bankalar genellikle müşteri bilgilerinin yer aldığı kayıtları farklı şehirlerde (deprem vb. risklere karşı) yedeklerler.


Anti Virüs Programları: Bilgisayara herhangi bir şekilde (CD, e-posta, taşınabilir bellek vb.) gelen her dosyayı otomatik olarak tarayan ve bu dosyaları bir çeşit karantinaya aldıktan ve temiz olduğunu gördükten sonra kullanıma sokan programlara “anti virüs programları” adı verilir. Virüsten koruma yazılımları, bilgisayarınızı virüslere ve solucanlar ve truva atları gibi kötü amaçlı yazılımlara karşı korumaya yardımcı olur. Virüsten koruma yazılımları güncel tutulmalıdır. Güncelleştirmeler genelde yazılım tedarikçinizden aldığınız bir abonelik ile sağlanır. Ancak, sürekli olarak her gün yeni virüsler ortaya çıktığı için sürekli olarak kullanılan anti virüs programını güncel tutmak gerekir. Anti virüs programlarının virüsleri tespit etmekte kullandığı iki yöntem vardır: İlki ve en yaygın kullanılanı, virüs imza tanımlarını kullanmaktır. Bu yöntemin sakıncası, kullanıcının virüs imza listelerinin sadece tespit edilmiş virüslere ait imzaları içermesinden ötürü yeni türeyen tehditlere karşı savunmasız kalmasıdır. İkinci yöntem ise virüslerin genel davranışlarına odaklanarak tespiti gerçekleştiren buluşsal algoritmaları kullanmaktır. Bu yöntem sayesinde anti virüs şirketlerinin henüz tespit edemedikleri virüslerin bilgisayar sisteminde varlıkları tespit edilebilir (Vikipedi, 2009).


Güvenlik Duvarı: Güvenlik duvarı bir koruma engelidir. Güvenlik duvarı (firewall) terimi kimi zaman Türkçe’ye “ateş duvarı” olarak da çevrilir. Güvenlik duvarı, bilgisayar ya da bilgisayar sistemine İnternetten erişimi kısıtlayarak, denetleyerek (aynı yangının yayılmasını önlemek için örülmüş bir duvar gibi) çalışan yazılım veya donanımdır. Bilgisayar ile İnternet arasında ya da bilgi işlem sistemi ile İnternet arasında sanal bir duvar oluşturarak her iki tarafa aktarılan verileri denetler. İzinsiz giriş denemelerini önler. Güvenlik duvarı, bilgisayarınızın çevrimiçi saldırganlara karşı görünmez olmasına yardımcı olur ve virüsler, solucanlar ve truva atları gibi bazı kötü amaçlı yazılımları engeller. Güvenlik duvarı ayrıca bilgisayarınızdaki yazılımların, izniniz olmadan güncellemeleri ve değişiklikleri kabul etmek amacıyla Internet’e erişmesini önlemeye de yardımcı olabilir. Güvenlik duvarları hem yazılım hem de donanım şeklindedir ancak donanım şeklindeki güvenlik duvarlarının yazılım şeklindeki güvenlik duvarına ek olarak kullanılması amaçlanır. Böylece, İnternet üzerinden bilgisayara erişmeye çalışan bilgisayar korsanları, virüsler ve solucanlar engellenir. Güvenlik duvarının İnternete bağlanmadan önce açılması gerekir. İnternete bağlanılan bilgisayar korunmuyorsa, bilgisayar korsanları bilgisayardaki kişisel bilgilere erişebilirler. Korsanlar, bilgisayara, dosyalara zarar verecek veya çeşitli hatalara neden olacak programlar yükleyebilirler. Güvenlik duvarı, pek çok zararlı İnternet trafiğini bilgisayara erişmeden engellemeye yardımcı olur. Bazı güvenlik duvarları, başka kişilerin, diğer bilgisayarlara saldırmak için bilgi vermeden bilgisayarı kullanmalarını da engellemeye yardımcı olabilir. İnternete bağlanma şekli ne olursa olsun (çevirmeli modem, kablo modem veya dijital abonelik hattı, DSL veya ADSL), güvenlik duvarı kullanmak önemlidir (Microsoft, 2009).


Fiziksel Önlemler: Bilgi sistemlerine müdahalenin ve yetkisiz girişlerin önlenebilmesi için, bilgisayarlar güvenilir fiziksel bir alan içinde tutulmalı, buraya “işi olmayanlar girmemeli” dir. Bu alan kartlı geçiş sistemi, güvenlik kameraları ile gözetlenmeli, yetkisi olmayan kişilerin sözgelimi sunucuların yer aldığı odaya girişi engellenmelidir. Birçok işletme bilgisayarların bulunduğu odaları harekete duyarlı algılayıcılar (sensor) ya da şifreli giriş mekanizmaları bulunan alarm sistemleriyle korumaktadır. Ayrıca bilgisayar sistemleri su basmasına, yangın gibi dış etkilere karşı da korunmalıdır. Bilgisayar sistemlerine enerji sağlayan teçhizatın bakımı düzenli olarak yapılmalı; aşırı yüklenme, ısınma gibi durumlara karşı kontrol edilmelidir. Bütün bu önlemler “fiziksel önlemler” başlığı altında değerlendirilebilir.


Sizce neden bilgi güvenliği konusunda fiziksel önlem alınmaktadır?
Denetimli Erişim: Denetimli erişim başlığı altındaki önlemlerle anlatılmak istenen -adından da anlaşılabileceği gibi- bilgi sistemlerine erişimin denetim altında tutulmasıdır. Bilgi sistemlerine, bilgisayarlara erişim çeşitli yöntemlerle denetim altına alınabilir. En başta yukarıda anlatıldığı gibi fiziksel önlemlerle bu denetim sağlanabilir. Diğer yollar ise “şifreleme”, “kartlı geçiş” ve “biometrik tanıma”dır. Şifreleme yaygın olarak kullanılan bir yöntemdir. Şifreleme bilginin üçüncü şahıslar tarafından anlaşılmayacak bir şekle dönüştürülmesidir. İki şekilde ele alınabilir. İlki “bilgisayarlararası veri aktarımının şifrelenmesi”, ikincisi ise “kullanıcı şifreleri”dir.


Çevrimiçi hesaplarınız, bilgisayar dosyalarınız ve kişisel bilgileriniz, bunları korumaya yardımcı olmak için güçlü şifreler kullandığınızda daha güvenlidir. Bir şifrenin gücü, kullandığınız farklı karakter türlerine, şifrenin uzunluğuna ve sözlükte bulunup bulunmamasına bağlı olarak değişir. En az 14 karakter uzunluğunda olmalıdır. Şifre (Parola) gücünün iki ana öğesi: “uzunluk” ve “karmaşıklık”tır. İdeal bir parola uzundur ve harfler, noktalama işaretleri, simgeler ve sayılar içerir.

Şifre belirlemeye ilişkin şu konulara da özen göstermek gerekir:
• Sistem elverdiği sürece en az 14 veya daha fazla karakter kullanın.
• Şifrenizdeki karakter çeşitliliği ne kadar fazlaysa, o kadar iyidir.
• Yalnızca en sık kullandığınız veya gördüğünüz harfleri ya da karakterleri değil, klavyenizin tamamını kullanın.
• Hatırlayabileceğiniz güçlü bir şifre oluşturun


Uzun ve karmaşık bir şifre oluşturmanın birçok yolu vardır Aşağıda, hatırlamanıza yardımcı olabilecek bir yöntem verilmiştir (Microsoft Web Sitesi, 2011):
 

 

Yapılması gereken

Öneri

Örnek

Bir veya iki cümle ile başlayın (toplamda yaklaşık 10 kelime).

Sizin için anlamlı bir şey düşünün.

Uzun ve karmaşık parolalar en güvenlisidir

Cümlelerinizi harf satırlarına dönüştürün

Her kelimenin ilk harfini kullanın

lacpasikms (10 karakter)
Karmaşıklık ekleyin

Yalnızca alfabenin ilk yarısındaki harfleri büyük yapın

lACpAsIKMs (10 karakter)
Sayı ekleyerek uzatın

İki cümlenin arasına sizin için anlamlı iki sayı yerleştirin

lACpAs56IKMs (12 karakter)
Noktalama işareti ekleyerek uzatın

Parolanın başına bir noktalama işareti ekleyin

?lACpAs56IKMs (13 karakter)

Simgeler ekleyerek uzatın

Parolanın sonuna bir simge ekleyin

?lACpAs56IKMs" (14 karakter)

 

 

 

 

 

 

 

Aşağıda belirtilenleri kullanarak parola oluşturmaktan kaçının (Microsoft Web Sitesi, 2011):
• Herhangi bir dildeki sözlük kelimeleri,
• Tersten yazılan kelimeler, sık rastlanan yazım hataları ve kısaltmalar,
• Diziler veya tekrarlanan karakterler. Örnekler: 12345678, 222222, abcdefg veya klavyenizdeki bitişik harfler (qwerty),
• Kişisel bilgiler. Adınız, doğum gününüz, sürücü ehliyetiniz, pasaport numaranız veya benzer bilgiler.


“Veri aktarımının şifrelenmesi” güvenli veri aktarımı için özellikle e-ticarette ve e-bankacılıkta kullanılır. Sözgelimi ödemelerde kredi kartı bilgileri SSL (Secure Sockets Layer, Güvenli Bağlantı, Yuva Katmanı) ve SET (Secure Electronic Transaction, Güvenli Elektronik İşlem) protokolleri aracılığıyla şifrelenir. Denetimli erişimde kullanılan şifreleme ise “kullanıcı şifreleri”dir. Bu yöntemde yetkili kullanıcıların sadece kendilerinin bildikleri şifreler aracılığıyla bilgi sistemlerine ulaşabilmesi amaçlanır. Bütün bilgisayar sistemi, tek bir bilgisayar, bir klasör ya da bir dosyaya erişim şifreleme ile korunabilir. Kartlı geçiş yönteminde ise, çalışan yetkililerin yakalarına ya da boyunlarına takıp kullanmaları için manyetik şeritleri olan kimlik kartları verilir. Bu kartlar banka kartlarına benzer. Böylece, kart verilen yetkili kişilerin bilgisayar sistemlerini kullanabilmesi amaçlanır. Kartların kullanımı kayıt edildiği için kimlerin, ne zaman, hangi bilgisayarları ne kadar süre ile kullandığı raporlanabilir. Biometrik tanıma sistemleri “kişinin sadece kendisinin sahip olduğu özelliklerinin belirlenerek kimliğinin doğrulanması” ilkesi ile çalışır. Biometrik özellikler kişinin sadece kendisinin sahip olduğu ve değiştiremediği “parmak izi, ses, göz” gibi özelliklerdir. Biometrik kimliklendirmede “iris tanıma, parmak izi tanıma, el geometrisi tanıma, yüz tanıma, ses tanıma, retina tanıma” gibi teknolojiler kullanılır. Biometrik teknolojiler denetimli erişim yöntemleri arasında en gelişmiş ve en güvenilir yöntemdirler. Bu yüzden bankalar, sigorta şirketleri, havaalanları gibi bilgi güvenliğinin öncelikli olduğu kurumlarda yoğun olarak kullanılmaktadır.
Yama (patch): Her bilgisayar programında açık vardır ve olmaya devam edecektir. Büyük programlardan bütün hataların (bug) ayıklanması olanaksızdır. Önemli olan, açıkların programı sunan üreticiler tarafından kısa sürede tespit edilmesi ve bunları giderici programların yani “yama”ların hızlı bir şekilde yayınlanmasıdır. Yama, bilgisayar programlarında oluşan bir hatayı ya da programın içeriğindeki hatalı bir fonksiyonu düzelten bir programcıktır. Genelde bilgisayarlardaki en büyük güvenlik sorunlarından olan yazılım açıklarına müdahale amacıyla kullanılır.


Ticari yazılımlardaki kusurlar yalnızca performansı zayıflatmaz. Aynı zamanda ağı saldırganlara açan güvenlik zafiyetlerine de yol açar. Her yıl güvenlikle ilgili işletmeler yazılımlarda birçok açık tespit etmektedir. Sözgelim Symantec 2009’da 384 tarayıcı açığı belirlemiştir. Bunların 169’u Firefox, 94’ü Safari, 45’i Expolorer, 41’i Chrome ve 25’i Opera’ya aittir (Laudon, 2011 içinde Symantec, 2010). Yazılım firmaları, açıkları kötü niyetli insanlardan önce bulup, bunu gidermek için yama (patch) yayınlamaya çalışırlar. Kullanıcıların program yamalarını takip edebilmeleri için, programın “güncelleme” (update) fonksiyonunun açık olması ve bilgisayarın internete bağlı olması gereklidir. Büyük bir yama ya da birden fazla yama söz konusu ise; güncelleme dosyası “servis paketi” (service pack) adını almaktadır.


Kablosuz Ağlarda Güvenlik: Kablosuz ağların güvenli olması için sadece seçilen kişilerin ulaşabileceği şekilde tasarlanması gereklidir. Kablosuz ağlardaki en temel güvenlik problemi verilerin havada uçuşmasıdır. Normal kablolu ağlarda anahtar (switch) ya da göbek (hub) kullanarak güvenliğimizi fiziksel olarak sağlayabiliyorduk ve anahtar veya göbeğe fiziksel olarak bağlı olmayan makinelerden korunmuş oluyorduk. Oysaki kablosuz ağlarda tüm iletişim hava üzerinden kuruluyor ve veriler gelişigüzel ortalıkta dolaşmaktadır.


Kablosuz ağlarda güvenli işle yapabilmek için şunlar yapılabilir:


SSID Saklama: Kablosuz ağlarda erişim noktasının adını (SSID: Service Set Identifier) saklamak alınabilecek ilk temel güvenlik önlemidir. Böylece Windows, Linux da dahil olmak üzere birçok işletim sistemi etraftaki kablosuz ağ cihazlarını ararken bizim cihazımızı göremeyecektir.


Erişim Kontrolü: Standart kablosuz ağ güvenlik protokollerinde ağa giriş anahtarını bilen herkes kablosuz ağa dahil olabilir. Kullanıcılarınızdan birinin WEP (Wired Equivalent Privacy, Kabloya Eşdeğer Mahremiyet) anahtarını birine vermesi/çaldırması bu yöntemi işe yaramaz kılar. Herkeste aynı anahtar olduğu için kimin ağa dahil olacağını bilemeyiz.
Evinde kablosuz ağ kullananlar için temel seviyede güvenlik önlemi almak yeterlidir. Kullandığ erişim noktası cihazının adını değiştirmek gibi. Ayrıca modem cihazı markası ve modelini bilen kötü niyetli birileri cihazın yönetim arabirimine ulaşarak varsayılan kullanıcı adı ve parolalarını deneyebilir. Bu sebeple alınan cihazların varsayılan değerleri -özellikle yönetim arabirimine giriş için kullanılan hesap bilgileri- mutlaka değiştirilmelidir.


Şirket ağlarında kullanılan erişim cihazları kesinlikle yerel ağla direkt haberleştirilmemelidir. Araya bir güvenlik duvarı konularak kablosuz ağ istemcilerinin yerel ağa girişleri sınırlandırılarak olası saldırı girişimlerinde iç ağın etkilenmesi önlenir. Ayrıca, ağa yeni eklenen ve ağda IP, MAC adreslerini değiştiren cihazlar uygun bir yazılım ile kontrol edilmelidir (arpwatch ve winarpwatch). Kablosuz ağlar için tasarlanmış saldırı tespit yazılımları da kullanılabilir. Fakat bu tip yazılımların yönetimi ve ağa uygulanması zaman alacaktır. Bu yüzden şirket ağlarında WPA (Wi-Fi Protected Access, Wi-Fi Korunmuş Erişim) kullanımı iyi bir seçim olacaktır. Erişim noktası cihazının özelliklerine bağlı olarak EAP (Extensible Authentication Protocol, Uzatılabilir Doğrulama Protokolü) olarak adlandırılan ve çeşitli şekillerde kimlik doğrulama özelliği sağlayan protokollerde kullanılabilir (Önal, 2006, 8).


Sosyal Ağlarda Güvenlik: Bilindiği gibi Türkiye’de internet kullanımında çocuk ve ailelere dönük önlemler almak için “Güvenli İnternet Hizmeti” hayata geçirilmiştir. Bu hizmetle “Çocuk Profili” ve “Aile Profili” olmak üzere iki seçenek sunmaktadır. Güvenli Net sitesi özellikle sosyal ağlarda güvenlik konusunda aşağıdaki uyarıları yapmaktadır (Güvenli Net Web Sitesi, 2011):
Sosyal ağlar arkadaşlarımızla bizlere sürekli temas halinde olabileceğimiz, beğendiklerimizi paylaşabileceğimiz bir ortam sunmaktadır. Fakat sosyal ağlar kişisel bilgilerinizi, paylaşımlarınızı, arkadaşlarınızı herkesin görebileceği ortamlardır. O yüzden bir kaç noktaya dikkat ederek sosyal ağlarda daha güvenli olabilirsiniz.


1. Kişisel bilgilerinizi herkesle paylaşmamanızı tavsiye ederiz.
• Telefon numaranız.
• Ev, okul ve iş adresiniz.
• Doğum gününüz, yaşınız.
• T.C. kimlik numaranız.
• E-mail adresiniz.


2. Paylaştıklarınız şeyleri istemediğiniz kişilere kapatın.
• Gönderilerinizi.
• Ailenizle ilgili bilgilerinizi.
• İlişki durumunuzu.
• İlgilendiklerinizi.
• Dini inanç ve siyasi görüşünüzü.
• Bulunduğunuz yeri.
• Size ait fotoğraf ve videolarınızı.


3. Tanımadığınız kişilerin arkadaşlık tekliflerini reddedin. Çünkü
• Tanımıyorsunuz.
• Niyetini bilmiyorsunuz.
• Zarar görebilirsiniz.
• Üzülebilirsiniz.

 


4. Güçlü şifreler oluşturun ve şifrenizi kimseyle paylaşmayın. Çünkü
• Sizin adınıza arkadaşlarınıza mesaj gönderebilirler, zor durumda kalırsınız.
• Profilinizde sizin istemediğiniz şeyleri paylaşabilirler.
• Profil resim ve ayarlarınızı değiştirebilirler.
• Profilinizi kullanan arkadaşınız olur, sorumlu ise siz olursunuz.


Bilgi ve iletişim teknolojilerinin işletmenin tüm alanlarıyla entegrasyonu ve bunun sonucundaki kamu kurumlan ile özel sektör firmaları tedarikçilerinden bu belgeye sahip olma özelliğini aradıkları bir döneme de girildiğini söylemek yanlış olmayacaktır.
Bireysel, kurumsal, ulusal ve evrensel boyutlarda bilgi ve iletişim güvenliği alanında teknik, bilimsel, sosyal ve kültürel faaliyetler yürütmek, üyelerinin mesleki gelişimini ve refah seviyesini arttırmak ve kamu yararına faaliyet gösteren bir dernek vardır: Bilgi Güvenliği Derneği.

 

Büro Teknolojisi Eğitim Seti İçin Tıklayınız...