İŞ HAYATINDA STANDARTLAR

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel stan- dartlar aynıdır (Nizam, 2014:308):

• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin eri-

şimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi

bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi var-

lıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi

biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuç-

ları kaydedilmelidir.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır (Nizam, 2014:308):

• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi

bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi

biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

Kişisel açıklık değil, kişisel gizlilik olacaktır.

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi

bilgiler kimseyle paylaşılmamalıdır.

Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir.

Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır.

Truva atları saldırganlara ağ portu üzerinden yasal olmayan erişim sağlayabilecekleri arka kapı açan yazılımlardır.

Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.

Hacker faaliyetleri sadece sisteme izinsiz girmenin ötesinde ürün ve bilgi hırsızlığına, bunun yanında sistem zararı ve siber barbarlık (cybervandalism), bilinçli engelleme, içerik bozma ve hatta bir Web sitesinin veya kurumsal bilgi sisteminin çökertilmesine kadar genişlemiştir.

Hizmet dışı bırakma (DoS Saldırısı /Denial-of-Service) bir Web servisi veya Web uy- gulaması üzerinde altyapının cevap veremeyeceği derecede aşırı istek veya trafik yükü oluşturarak onu hizmet veremez duruma düşürme amaçlı saldırılardır. Genellikle virüsten etkilenmiş zombi bilgisayarların oluşturduğu robot ağları vasıtasıyla yapılır

Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır (www.aitp.org):

Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması

Bilginin izinsiz dağıtılması

Yazılımın izinsiz kopyalanması

Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına

erişiminin engellenmesi

Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.

Doğru cevap B'dir.

Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.

Doğru cevap D'dir.

Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.

Doğru cevap A'dır.

Zombi bilgisayar, üçüncü tarafların denetimini ele geçirdiği bilgisayarı tanımlamakta kullanılan bir terimdir. Bu ele geçirme işi ise genellikle zararlılar yoluyla yapılmaktadır. Bilgisayarınızın “zombi” hale gelmesi, onun bir veya daha çok kişi tarafından sizin haberiniz olmadan kontrol edilmesi, örneğin istenmeyen e-postaların gönderilmesi veya İnternetteki diğer PC’lere saldırılar düzenlenmesi anlamına gelmektedir.

Doğru cevap C'dir.

Birçok hacker faaliyeti suç teşkil etmektedir. ABD Adalet Bakanlığı bilgisayar suçunu “ceza hukukunun bir bilgisayar teknolojisi içeren her türlü ihlali” olarak tanımlamaktadır. Bilgisayar suçu Bilgi Teknolojisi Profesyonelleri Birliği (Association of Information Technology Professionals-AITP) tarafından şu şekilde tanımlanmaktadır:
• Donanım, yazılım, veri veya ağ kaynaklarının izinsiz kullanımı, erişimi, değiştirilmesi ve tekrar yapılandırılması
• Bilginin izinsiz dağıtılması
• Yazılımın izinsiz kopyalanması
• Bir son kullanıcının kendi donanımına, yazılımına, verilerine veya ağ kaynaklarına erişiminin engellenmesi
• Bilgi veya maddi varlıklara yaşa dışı bir şekilde edinmek için bilgisayar ve ağ kaynaklarını kullanmak veya kullanmaya çalışmak

Doğru cevap E'dir.

Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve
bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu
kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.

Doğru cevap A'dır.

Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.

Doğru cevap E'dir.

Güvenlik duvarı yetkisiz kullanıcıların özel ağlara girmesini engeller. Giren ve çıkan ağ trafiğini kontrol eden yazılım ve donanımım bir birleşimidir.

Doğru cevap C'dir.

Erişim/katılım: Müşteriler kendileri hakkında toplanan verilerin doğruluğunu ve eksiksizliğini düzenli, uygun maliyetli bir süreçte inceleyebilmeli ve itiraz edebilmelidir.

Doğru cevap B'dir.

Güvenlik: Veri toplayıcıları müşteri bilgisinin yetkisiz kullanımdan uzak ve güvenli olmasını sağlayacak adımlar atmalıdırlar.

Doğru cevap D'dir.