Bilişim Güvenliğinin Sağlanması !

   Bilişim sistemlerinin güvenli hale getirilmesi konusu, kapsamlı ve bütünleşik bir yaklaşımla ele alınmadığı takdirde, başarı kazanmak büyük olasılıkla mümkün olmayacaktır. Bilişim güvenliğinin sağlanması üç temel açıdan ele alınabilir. Bu üç süreç alanı şunlardır:
# Yönetsel Önlemler
# Teknoloji Uygulamaları
# Eğitim ve Farkındalık Yaratma

3.1 Bilişim Güvenliği Süreç Alanları
Güçlü bir güvenlik altyapısı kurabilmek için bu üç parçayı birbiri ile bütünleştirmek ve hepsini birlikte bütünsel bir yaklaşımla ele almak gerekir. Bu bahsedilen süreç alanlarının içinde, bilgisayar ve bilişim güvenliği teknolojilerinin dışında kalan farklı alanlar da bulunmaktadır. Diğer bir deyişle, bir kurumun, kurumsal bilişim güvenliğini sağlamak amacıyla, sadece bilişim teknolojilerini devreye sokarak başarıya ulaşma şansı oldukça azdır.

Bütün bunlara ek olarak, bu üç süreç alanından her biri, başarıya ulaşmak için diğer iki süreç alanının tam ve eksiksiz çalışıyor olmasına ihtiyaç duyar. Bu üç alan birbirileri ile ayrılmaz ve sıkı bağlara sahiptir. Birlikte çalışmalarından oluşacak sinerji, kuruma bilişim güvenliği yönünden tehdit oluşturacak tüm etkenlere karşı güçlü bir kalkan görevini üstlenecektir.
Yönetsel Önlemler, güvenlik yönetimi ile ilgili bir dizi kuralın ortaya koyulması ve uygulanması şeklinde özetlenebilir. Hemen her konuda olduğu gibi, bilişim güvenliğinin yönetiminde de başarı; iyi bir planlama ve üst düzey politikaların doğru ve tutarlı bir şekilde belirlenmesi ile elde edilebilir. Bunun ardından, belirlenenlerin yazıya dökülmesi, yani prosedür, yönerge ve talimatlar gibi dokümanların oluşturulması gelmelidir.
Günümüzde basında ve haber bültenlerinde çok yüksek maddi kayıplara yol açan virüsleri, bilgisayar ağlarına yönelik saldırılardan zarar gören şirketleri konu alan haberler sıkça yer almaktadır. Bununla birlikte, bir sistem yöneticisinin ve güvenlik uzmanının uğraştığı işlerin, her zaman gazete haberlerinde çıkanlarla sınırlı olduğu düşünülmemelidir. Bunlar dışında, günlük ya da periyodik olarak gerçekleştirilecek bir takım işler vardır ki işte yönetsel önlemler, bu tür işleri kapsayan ve tanımlayan bir süreç alanıdır. Bu süreç alanını oluşturan temel süreçler şunlardır:
1. Risk Yönetimi
2. Güvenlik Politikaları
3. Standartlar, Yönergeler ve Prosedürler
4. Güvenlik Denetimleri
Yönetsel önlemlerin uygulanması, teknoloji uygulamaları ve eğitim
süreçlerinin yanında fiziksel güvenlik uygulamaları ile de desteklenmelidir.

Yönetsel önlemlerle ortaya konulan kurumun güvenlik ihtiyaçlarının karşılanmasında, teknolojik uygulamalardan da faydalanılır. Günümüzde bir bilgisayar ağına ya da tek başına bir bilgisayara yapılacak bir saldırının sonuçlanması saniyelerle ifade edilen çok kısa bir süre içinde oluşur. Bu tür saldırılara, ancak teknolojik bir takım önlemler ile karşı koyulabilir. Bunun yanında kullanılan teknolojiler, güvenlik yöneticilerinin hayatının kolaylaştırılması ve kurumun, bilişim güvenliği açısından bütün resminin görülmesi gibi yararlar da getirirler.
3.2 Bilişim Güvenliği Teknolojileri
Bilişim Güvenliğinin sağlanmasında kullanılan teknolojilerden bazıları aşağıdaki listede verilmiştir. Unutulmamalıdır ki, güvenlik uygulamalarının bütünü bunlarla sınırlı değildir. Burada en yaygın kullanılan ve en popüler teknolojilerden bahsedilmiştir:
1. Şifreleme (Kriptografi)
2. Sayısal İmza ve PKI
3. Ağ Bölümlemesi ve Güvenlik Duvarları
4. Yedekleme
5. Saldırı Tespiti ve İzleme
6. Erişim Denetimi
7. Güvenlik Derinliği
8. Anti-Virüs
3.3 Eğitim
Eğitim ve Farkındalık Yaratma süreci, bir kurumun bilişim güvenliği açısından karşı karşıya bulunduğu riskleri azaltmada kullanılması gereken ana yöntemlerden biridir. Günlük faaliyetlerini bilişim teknolojisini kullanarak gerçekleştiren kullanıcıların, güvenlik konusunda eğitimlerle bilinçlendirilmesi, onların bir güvenlik boşluğu ve kurum açısından risk oluşturacak bir etken olmaları olasılığını en aza indirecektir.
Örneğin bilişim güvenliği konusunda bilinçsiz kullanıcılardan oluşan bir kurum düşünelim. Bu kurumun coğrafi olarak farklı illere dağılmış kolları ve şubeleri olsun. Her kurumda olduğu gibi bu kurumda da şubeler ve merkez arasında; pazardaki durum, yapılan bir toplantıya ilişkin görüşler, yeni teknolojilerin kullanılması hakkında alınacak kararlar ve bunlara dayanarak stratejik yönetim planların hazırlanması, finansal durum, geleceğe yönelik tahminler ve bunlar gibi daha birçok konuda bilgi akışını gerçekleştirmek gerekir. Kurumun bu bilgi akışını, şu anda rahat ve hızlı bir teknoloji olan eposta yoluyla gerçekleştirdiğini varsayalım.
Kurumdaki kullanıcılar, e-posta güvenliği konusunda eğitilmemişlerse, gönderdikleri e-postaların başkalarının eline geçmesinin, günümüz teknolojisi ile çok basit olduğu hakkında bilgi sahibi değillerse, gönderdikleri bilgilerin karşı tarafa ulaştırılması sırasında, araya giren bir saldırgan tarafından verilerde değişiklik yapılabileceğini bilmiyorlarsa, bu kurumun bilişim güvenliği yönünden alacağı bütün teknolojik önlemler boşa çıkacaktır.
Kullanıcı bilinçlendirilmesi olmadan, bilişim güvenliğinden söz edilemez. Kullanıcıların eğitim ve farkındalık yaratma süreçleri ile bilinçlendirilmesi, sosyal faktörlerin bilişim güvenliği açısından oluşturdukları riskin de azaltılmasını sağlayacaktır. Eğitim ve Farkındalık yaratma süreç alanı da aşağıdaki süreçlerle ifade edilebilir:
# Bilinçlendirme Eğitimleri : Bu tür bir eğitimde, konu hakkında temel bilgilendirme ve genel bir bilgi vermek amaçlanır. Bu tür eğitimlere teknik olmayan personel ile yönetici düzeyindeki personel katılabilir.
# Kullanıcı Eğitimleri: Belli bir teknolojinin ya da uygulamanın teknik olmayan kullanıcılar düzeyinde kullanımı konusunda bilgi verme amaçlı eğitimlerdir. Bilinçlendirme eğitimlerine göre daha derinlemesine bir eğitim türüdür. Katılacak kullanıcılar teknik olmayan son kullanıcılardır.

# Teknik Eğitimler: Belli bir teknolojinin yönetilmesi, gerektiğinde yeni düzenlemelerin ve ayarların yapılması konusunda verilen derinlemesine eğitimlerdir. Kurumun güvenlik yönetiminden sorumlu personeli katılabilir.

Saygılar.. 

DÃ¼zenleyen megabros - 12-06-2009 Saat 10:25

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Bilişim Güvenliğinin Sağlanması ! GÃ¶nderim ZamanÄ±: 12-06-2009 Saat 10:25
	Bilişim sistemlerinin güvenli hale getirilmesi konusu, kapsamlı ve bütünleşik bir yaklaşımla ele alınmadığı takdirde, başarı kazanmak büyük olasılıkla mümkün olmayacaktır. Bilişim güvenliğinin sağlanması üç temel açıdan ele alınabilir. Bu üç süreç alanı şunlardır: # Yönetsel Önlemler # Teknoloji Uygulamaları # Eğitim ve Farkındalık Yaratma 3.1 Bilişim Güvenliği Süreç Alanları Güçlü bir güvenlik altyapısı kurabilmek için bu üç parçayı birbiri ile bütünleştirmek ve hepsini birlikte bütünsel bir yaklaşımla ele almak gerekir. Bu bahsedilen süreç alanlarının içinde, bilgisayar ve bilişim güvenliği teknolojilerinin dışında kalan farklı alanlar da bulunmaktadır. Diğer bir deyişle, bir kurumun, kurumsal bilişim güvenliğini sağlamak amacıyla, sadece bilişim teknolojilerini devreye sokarak başarıya ulaşma şansı oldukça azdır. Bütün bunlara ek olarak, bu üç süreç alanından her biri, başarıya ulaşmak için diğer iki süreç alanının tam ve eksiksiz çalışıyor olmasına ihtiyaç duyar. Bu üç alan birbirileri ile ayrılmaz ve sıkı bağlara sahiptir. Birlikte çalışmalarından oluşacak sinerji, kuruma bilişim güvenliği yönünden tehdit oluşturacak tüm etkenlere karşı güçlü bir kalkan görevini üstlenecektir. Yönetsel Önlemler, güvenlik yönetimi ile ilgili bir dizi kuralın ortaya koyulması ve uygulanması şeklinde özetlenebilir. Hemen her konuda olduğu gibi, bilişim güvenliğinin yönetiminde de başarı; iyi bir planlama ve üst düzey politikaların doğru ve tutarlı bir şekilde belirlenmesi ile elde edilebilir. Bunun ardından, belirlenenlerin yazıya dökülmesi, yani prosedür, yönerge ve talimatlar gibi dokümanların oluşturulması gelmelidir. Günümüzde basında ve haber bültenlerinde çok yüksek maddi kayıplara yol açan virüsleri, bilgisayar ağlarına yönelik saldırılardan zarar gören şirketleri konu alan haberler sıkça yer almaktadır. Bununla birlikte, bir sistem yöneticisinin ve güvenlik uzmanının uğraştığı işlerin, her zaman gazete haberlerinde çıkanlarla sınırlı olduğu düşünülmemelidir. Bunlar dışında, günlük ya da periyodik olarak gerçekleştirilecek bir takım işler vardır ki işte yönetsel önlemler, bu tür işleri kapsayan ve tanımlayan bir süreç alanıdır. Bu süreç alanını oluşturan temel süreçler şunlardır: 1. Risk Yönetimi 2. Güvenlik Politikaları 3. Standartlar, Yönergeler ve Prosedürler 4. Güvenlik Denetimleri Yönetsel önlemlerin uygulanması, teknoloji uygulamaları ve eğitim süreçlerinin yanında fiziksel güvenlik uygulamaları ile de desteklenmelidir. Yönetsel önlemlerle ortaya konulan kurumun güvenlik ihtiyaçlarının karşılanmasında, teknolojik uygulamalardan da faydalanılır. Günümüzde bir bilgisayar ağına ya da tek başına bir bilgisayara yapılacak bir saldırının sonuçlanması saniyelerle ifade edilen çok kısa bir süre içinde oluşur. Bu tür saldırılara, ancak teknolojik bir takım önlemler ile karşı koyulabilir. Bunun yanında kullanılan teknolojiler, güvenlik yöneticilerinin hayatının kolaylaştırılması ve kurumun, bilişim güvenliği açısından bütün resminin görülmesi gibi yararlar da getirirler. 3.2 Bilişim Güvenliği Teknolojileri Bilişim Güvenliğinin sağlanmasında kullanılan teknolojilerden bazıları aşağıdaki listede verilmiştir. Unutulmamalıdır ki, güvenlik uygulamalarının bütünü bunlarla sınırlı değildir. Burada en yaygın kullanılan ve en popüler teknolojilerden bahsedilmiştir: 1. Şifreleme (Kriptografi) 2. Sayısal İmza ve PKI 3. Ağ Bölümlemesi ve Güvenlik Duvarları 4. Yedekleme 5. Saldırı Tespiti ve İzleme 6. Erişim Denetimi 7. Güvenlik Derinliği 8. Anti-Virüs 3.3 Eğitim Eğitim ve Farkındalık Yaratma süreci, bir kurumun bilişim güvenliği açısından karşı karşıya bulunduğu riskleri azaltmada kullanılması gereken ana yöntemlerden biridir. Günlük faaliyetlerini bilişim teknolojisini kullanarak gerçekleştiren kullanıcıların, güvenlik konusunda eğitimlerle bilinçlendirilmesi, onların bir güvenlik boşluğu ve kurum açısından risk oluşturacak bir etken olmaları olasılığını en aza indirecektir. Örneğin bilişim güvenliği konusunda bilinçsiz kullanıcılardan oluşan bir kurum düşünelim. Bu kurumun coğrafi olarak farklı illere dağılmış kolları ve şubeleri olsun. Her kurumda olduğu gibi bu kurumda da şubeler ve merkez arasında; pazardaki durum, yapılan bir toplantıya ilişkin görüşler, yeni teknolojilerin kullanılması hakkında alınacak kararlar ve bunlara dayanarak stratejik yönetim planların hazırlanması, finansal durum, geleceğe yönelik tahminler ve bunlar gibi daha birçok konuda bilgi akışını gerçekleştirmek gerekir. Kurumun bu bilgi akışını, şu anda rahat ve hızlı bir teknoloji olan eposta yoluyla gerçekleştirdiğini varsayalım. Kurumdaki kullanıcılar, e-posta güvenliği konusunda eğitilmemişlerse, gönderdikleri e-postaların başkalarının eline geçmesinin, günümüz teknolojisi ile çok basit olduğu hakkında bilgi sahibi değillerse, gönderdikleri bilgilerin karşı tarafa ulaştırılması sırasında, araya giren bir saldırgan tarafından verilerde değişiklik yapılabileceğini bilmiyorlarsa, bu kurumun bilişim güvenliği yönünden alacağı bütün teknolojik önlemler boşa çıkacaktır. Kullanıcı bilinçlendirilmesi olmadan, bilişim güvenliğinden söz edilemez. Kullanıcıların eğitim ve farkındalık yaratma süreçleri ile bilinçlendirilmesi, sosyal faktörlerin bilişim güvenliği açısından oluşturdukları riskin de azaltılmasını sağlayacaktır. Eğitim ve Farkındalık yaratma süreç alanı da aşağıdaki süreçlerle ifade edilebilir: # Bilinçlendirme Eğitimleri : Bu tür bir eğitimde, konu hakkında temel bilgilendirme ve genel bir bilgi vermek amaçlanır. Bu tür eğitimlere teknik olmayan personel ile yönetici düzeyindeki personel katılabilir. # Kullanıcı Eğitimleri: Belli bir teknolojinin ya da uygulamanın teknik olmayan kullanıcılar düzeyinde kullanımı konusunda bilgi verme amaçlı eğitimlerdir. Bilinçlendirme eğitimlerine göre daha derinlemesine bir eğitim türüdür. Katılacak kullanıcılar teknik olmayan son kullanıcılardır. # Teknik Eğitimler: Belli bir teknolojinin yönetilmesi, gerektiğinde yeni düzenlemelerin ve ayarların yapılması konusunda verilen derinlemesine eğitimlerdir. Kurumun güvenlik yönetiminden sorumlu personeli katılabilir. Saygılar.. DÃ¼zenleyen megabros - 12-06-2009 Saat 10:25