SERTİFİKA PGA AKADEMİ MERKEZ Siber Güvenlik

Siber Güvenlik

Bilgi Güvenliği, bilgiyi yetkisiz erişimlerden koruyarak gizliliğini sağlamak, bilginin bozulmadan bütünlüğünü ve doğruluğunu elde etmek ve istenilen zamanda erişilebilirliğini sağlamaktır.

Bilişim Güvenliğinin birçok boyutu olmasına rağmen, temel olarak üç prensipten söz edebiliriz : Gizlilik, Veri Bütünlüğü ve Süreklilik.Gizlilik, Bilginin yetkisiz kişilerin eline geçmesinin engellenmesidir. Gizlilik, hem kalıcı ortamlarda (disk, tape, vb.) saklı bulunan veriler hem de ağ üzerinde bir göndericiden bir alıcıya gönderilen veriler için söz konusudur. Saldırganlar, yetkileri olmayan verilere birçok yolla erişebilirler: Şifreli dosyalarının çalınması, sosyal mühendislik ,bilgisayar başında çalışan bir kullanıcının, ona fark ettirmeden özel bir bilgisini ele geçirme (parolasını girerken gözetleme gibi)

Bütünlük, veriyi göndericiden çıktığı haliyle alıcısına ulaştırmaktır. Bu durumda veri, haberleşme sırasında izlediği yollarda değiştirilmemiş, araya yeni veriler eklenmemiş, belli bir kısmı ya da tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaşır.

Süreklilik hizmeti, bilişim sistemlerini, kurum içinden ve dışından gelebilecek başarıyı düşürücü tehditlere karşı korumayı hedefler. Süreklilik hizmeti sayesinde, kullanıcılar, erişim yetkileri dahilinde olan verilere, veri tazeliğini yitirmeden, zamanında ve güvenilir bir şekilde ulaşabilirler.

Tehditler

Tehdit, bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli sebep, olarak tanımlanabilir. Her tehdidin bir kaynağı ve bu kaynağın yararlandığı sistemdeki bir “güvenlik boşluğu” vardır.

“Sistemi neye karşı korumalıyım?” sorusuna verilecek cevap bir sisteme yönelik olan tehditleri belirlemekte yardımcı olacaktır.

Tehditler, tehdit kaynağı bakımından iki gruba ayrılarak incelenebilir:

1. İnsan Kaynaklı Tehditler: Bu tür tehditleri de kendi içinde iki alt gruba ayırabiliriz:

2. Doğa Kaynaklı Tehditler: Bu tür tehditler genellikle önceden tespit edilemez ve büyük bir olasılıkla olmaları engellenemez. Deprem, yangın, su baskını, sel, ani sıcaklık değişimleri, toprak kayması, çığ düşmesi bu tür tehditlere örnek olarak verilebilir.

a. Kötü niyet olmayan davranışlar sonucu oluşanlar: Bir kullanıcının, sistemi bilinçsiz ve bilgisizce, yeterli bir eğitime sahip olmadan kullanması sonucu sistemde ortaya çıkma olasılığı olan aksaklıklardır.

b. Kötü niyetli davranışlar sonucu oluşanlar: Sisteme zarar verme amacıyla, sisteme yönelik olarak yapılacak tüm kötü niyetli davranışlardır. Bu tür tehditlerde, tehdit kaynağı, sistemde bulunan güvenlik boşluklarından yararlanır.

Güvenlik BoşluğuGüvenlik boşluğu, sistem üzerindeki yazılım ve donanımdan kaynaklanan ya da sistemi işletim kuralları veya yönergelerindeki açık noktalar ve zayıf kalmış yönleridir. Bir güvenlik boşluğu sayesinde bir saldırgan, sistemdeki bilgisayarlara ya da bilgisayar ağı üzerindeki kaynaklara yetkisiz olarak erişebilir.

 

Risk

Bir tehdit kaynağının, bir sistemdeki güvenlik boşluğundan yararlanarak sisteme yetkisiz erişimde bulunması olasılığı, bu tehdidin riski olarak ifade edilir. Tehdit kaynaklarının ya da güvenlik boşluklarının azaltılması, tehdide ait riskleri de aynı oranlarda azaltacaktır.

Bilgi Güvenliğinin Gelişimi ve Güvenlik Türleri

Bilgi Güvenliğinin sağlanması için geçmişten günümüze çeşitli güvenlik yöntemleri kullanılmıştır.Bilgi güvenliğinin sağlanması için sırasıyla ;

 

Fiziksel ve Çevresel Güvenlik, Haberleşme (İletişim) Güvenliği, Bilgisayar Güvenliği, Ağ (Network) Güvenliği, Uygulama Güvenliği, Veritabanı Güvenliği, Web Güvenliği gibi konularda çalışmalar yapılmıştır.

Fiziksel ve Çevresel Güvenlik; Bilgi güvenliği açısından değerlendirdiğimizde pratikte kuruma yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunması olarak algılanabilir.

Haberleşme (İletişim) Güvenliği; Haberleşme güvenliğinin sağlanmasında kriptografi ve steganografi yöntemleri kullanılmaktadır.

 

Kriptografi, gizli mesajın anlaşılamaz hale getirilmesi yani mesajın varlığı bilinir ancak içeriği anlaşılmaz.

Steganografi, veri içerisinde veri saklama anlamına gelip gizli yazı veya iletişimin varlığını saklayan yöntem olarak bilinir. Kriptografi mesajın içeriğini anlaşılmaz hale getirirken Steganografi mesajı görülemeyecek şekilde saklar.

Bilgisayar Güvenliği; Bilgisayar Güvenliği denildiğinde günümüzde aklımıza bilişim sistemlerinin gizlilik, bütünlük, erişilebilirlik tehditlerine karşı korunması gelmektedir. Bilişim sistemleri bilgisayarlar, bilgisayar ağları ve bilgilerin tutulduğu diğer tüm elektronik cihaz ve ortamlardan oluşmaktadır.

Ağ (Network) Güvenliği; Ağ (Network) ikiden fazla bilgisayarın birbiriyle kablolu veya kablosuz iletişim halinde olmasıdır. Ağların yaygınlaşmasıyla güvenlik ihlalleri artmış, bilgi güvenliği için alınması gereken önlemler fazlalaşmıştır.

 

Bilişim Güvenliğinin Sağlanması

Bilişim sistemlerinin güvenli hale getirilmesi konusu, kapsamlı ve bütünsel bir yaklaşımla ele alınmadığı takdirde, başarı kazanmak büyük olasılıkla mümkün olmayacaktır. Bilişim güvenliğinin sağlanması üç temel açıdan ele alınabilir.

Bu süreçleri şöyle sıralayabiliriz:

Yönetsel Önlemler, Teknoloji Uygulamaları, Eğitim ve Farkındalık Oluşturma’dır.

Bu süreçler alanından her biri, başarıya ulaşmak için diğer iki süreç alanının tam ve eksiksiz çalışıyor olmasına ihtiyaç duyar.

Yönetsel Önlemler

Yönetsel Önlemler; Güvenlik yönetimi ile ilgili birtakım kuralın ortaya koyulması ve uygulanması şeklinde özetlenebilir. Hemen her konuda olduğu gibi, bilişim güvenliğinin yönetiminde de başarı; iyi bir planlama ve üst düzey politikaların doğru ve tutarlı bir şekilde belirlenmesi ile elde edilebilir.  Bunun ardından, belirlenenlerin yazıya dökülmesi, yani prosedür, yönerge ve talimatlar gibi dokümanların oluşturulması gelmelidir.

Teknoloji Uygulamaları

Bilişim Güvenliğinin sağlanmasında kullanılan teknolojilerden bazıları;

Eğitim ve Farkındalık Oluşturma

Eğitim ve Farkındalık Oluşturmada ise; Günlük faaliyetlerini bilişim teknolojisini kullanarak gerçekleştiren kullanıcıların, güvenlik konusunda eğitimlerle bilinçlendirilmesi, onların bir güvenlik boşluğu ve kurum açısından bir risk oluşturma olasılığını en aza indirecektir.

Bilgi Güvenliği Konusundaki Kuruluşlar

Bilgi Güvenliği Konusundaki Kuruluşlar; Bilgi güvenliği alanında otorite kabul edilen belli başlı kurumlar ve oluşumlar vardır. Bunların kuruluş amaçları bilgi güvenliği konusunda pozitif içerikleri oluşturmak ve kendileri için belirledikleri çok özel bilgi güvenliği amaçlarına hizmet etmektir.

Bilgi Güvenliği Konusundaki kuruluşlardan bazıları şunlardır:

CERT (ComputerEmergencyResponse Team) – güvenlik üzerine proaktif araştırmalar yapan ve acil durum müdahalesi olaylarına bakan Amerika merkezli bir kuruluş.

CIS (Center for Internet Security) – güvenlikle ilgili uyum araçları yayınlayan Amerika merkezli bir kuruluş.

ISC2 (International Information Systems Security CertificationConsortium, Inc.) – bilgi güvenliği ile ilgili sertifikasyon çalışmaları yapan bir kuruluş.

CSRC (Computer Security Resource Center) – güvenlik ile ilgili makaleler yayınlayan bir kuruluş.

FIPS200 (Federal Information Processing Standard 200) – bilgi işlemede güvenlik standartlarını belirleyen bir kuruluş.

CSI (Computer Security Institute) – güvenlik ile ilgili eğitim veren bir , enstitü.

ISSA (Information Systems Security Association (ISSA) – kar amacı gütmeyen güvenlik ile ilgili bilgi paylaşımı yapılan bir platform.

SANS Institute (SANS) – güvenlik konusunda eğitim ve araştırma yaparak bilgilendirme çalışmaları yapan ve sertifika veren bir kuruluştur.

TÜBİTAK (Türkiye Bilimsel ve Teknik Araştırma Kurumu) –  Ulusal Bilgi Güvenliği Kapısı, makale ve yararlı bilgilerle kamuoyunu bilgi güvenliği konusunda bilgilendiren bir kuruluştur.

 

Siber Güvenlik alanında daha detaylı bilgi almak ve bilginizi en üst seviyeye taşıyarak sertifikalandırmak için eğitimlerimize başlayabilirsiniz.

PGA Akademiye Kaydolun

PGA Akdemi ile kariyerinize birlikte yön verelim.

Hemen Başvur