Siber Güvenlik ≠ Hacking

Siber güvenlik denince çoğumuzun aklına sadece bolca duymakta olduğumuz “hacking” haberleri geliyor. Bu kapsamda da firmalar ile siber güvenlik konusunda konuşulmaya başlandığında bu tür saldırılara karşı alınan önlemlerden öteye geçilemiyor.

Siber olarak ifade edilen tüm sanal platformlar olunca doğal olarak korunması gerekende “veri” oluyor. Bu kapsamda da

Siber güvenlik = Veri güvenliği

Diyebiliriz.  Veri güvenliği denince de işin kapsamı bir hayli artıyor. Kısa örneklerle bu kapsamı tarif edelim:

  • İlk maddemiz tabii ki dış saldırılar: Ddos, Trojan, Virus, Oltalama, Fidye yazılımlar vs. saymakla bitmez. Zero Trust prensiplerine ne kadar yakındanız o kadar güvendesiniz ama hiçbir zaman %100 güvenlik söz konusu değil.
  • Fiziksel Güvenlik: Kamera sistemlerinden başlayarak sistemlere fiziksel olarak erişilmesi olarak özetleyebiliriz. Mesela çok yüksek standartlarda korunan bir sistem kurguladınız ama sistem odalarına girişlerde kontrol zayıf ise, USB üzerinden veri kopyalanmasına izin veriliyor ise tam bir siber güvenlikten bahsedemeyiz.

Ben bu maddeye “Süreklilik” maddesini de eklemeyi uygun görüyorum. Süreklilik genel olarak uygulamalarımızın kesintisiz hizmet vermesi için kullanılır. Cluster yapılar yada MIRROR, Replikasyon gibi altyapılar ile süreklilik sağlanır. Bu doğru ama donanımsal bir arıza nedeni ile veri kayıplarının yaşanması da olası. Yani siber güvenlik olgusunu sadece verinin çalınması değil, kaybedilmesi olarak ta düşünmeliyiz.

  • Network Güvenliği: PORT yönetimi, ağ yapısındaki kurgular ve denetimler. Biraz daha fiziksel güvenliğe yakın. Kullanıcı bilgisayarlarından sunucu odanızdaki Router’a kadar sıkı bir kontrol gerekli.
  • Veri Güvenliği: Burada anlatılmak istenen daha çok veritabanlarındaki güvenlik. Yetkilerin doğru ve eksiksiz tanımlanmış olması, erişimlerin kayıt ve kontrol altında tutulması, gerekli görülür ise şifreleme ya da maskeleme işlevlerinin tanımlanmış olması olarak özetleyebiliriz.

    Bu maddeye de bir ekleme yapmak istersek bu KVKK olacaktır. Kendi başına bir denetim maddesi olarak KVKK verinizi saklama ve sahip olma gerekçelerinizi gözden geçirmenizi sağlar. KVKK’nın siber güvenlik ile olan bir yakın ilişkisi ise bir şekilde yanlış ellere geçen verinizin size kaybettirdiği itibarın yanında ödemek zorunda kalacağınız  KVKK cezalarıdır.

  • İç Kullanıcılar: Kullanıcı şifrelerinin saklanmasıi yetki matrisi, şifre polisileri vs.
  • Ve son olarak saldırı prosedürleriniz: bir saldırı oldu ya da bir şekilde yukarıdaki maddelerden birisine yakalandınız peki ilk aksiyonunuz ne olacak?

Özetlemek gerekir ise verinizi korumanın yolu sadece dış saldırılara karşı korumaktan geçmiyor. Beraberinde verinizi iç kullanıcılara ve donanım arızalarına karşı korumanız da önemli. Türkiye’de veri kayıplarının %50si kötü niyetli saldırılar ile oluyor. Geriye kalan %25 Sistem hatalarından ve son %25 ise İnsan hatalarından kaynaklanmaktadır. Veri açısından düşünür isek sistemlerininiz yanlış silinmelerden, kopyalanmalardan iyi ya da kötü niyetli iç kullanıcı hatalarından da korumanız gerekiyor.

us. Morbi malesuada laoreet dui, vitae consequat arcu vehicula vel. Fusce vel turpis non ante mollis bibendum a ac risus. Morbi ornare ipsum sit amet enim rhoncus, sed eleifend felis tristique. Mauris sed sollicitudin libero. In nec lacus quis erat rhoncus molestie.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*