İŞ HAYATINDA STANDARTLAR

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.

Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.

Bir bilgisayar korsanı (hacker) bir bilgisayar sistemine yetkisiz erişim elde etmeye çalışan bir bireydir.

Paket koklama ise ağ üzerinde iletilen verilerin çalınması işlemine denir. Bir paket koklayıcı ağ üzerindeki tüm trafiği kontrol etmek için bilgisayar içerisine yerleşir ve kendi kendine çalışır.

Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.

Uygulama kontrolleri ödeme veya sipariş süreçleri gibi her bir bilgisayarlı uygulamaya özel kontrollerdir. Girdi kontrolleri, işleme kontrolleri, çıktı kontrolleri ve depolama kontrolleri olarak sınıflandırılır. Girdi kontrolleri sisteme girdiklerinde verinin doğruluğunu ve eksiksizliğini kontrol eder. İşleme kontrolleri güncelleme süresince doğru ve tam veriler kurar. Çıktı kontrolleri bilgisayar işlemesinin sonucunun doğru, tam ve uygun bir şekilde dağıtılmış olmasını sağlar.

Şifreleme, dijital veriyi aktarmadan önce şifrelenmiş koda dönüştürmek ve sonra alındığında kod açmak için özel matematiksel algoritmaları veya anahtarları kullanmayı içerir.

Güvenlik duvarı yetkisiz kullanıcıların özel ağlara girmesini engeller. Giren ve çıkan ağ trafiğini kontrol eden yazılım ve donanımım bir birleşimidir.

Erişim/katılım: Müşteriler kendileri hakkında toplanan verilerin doğruluğunu ve eksiksizliğini düzenli, uygun maliyetli bir süreçte inceleyebilmeli ve itiraz edebilmelidir

Uygunluk (Uyum): Herhangi bir yasal ihlal ve güvenlik koşulları ile ilgili ihlallerden kaçınmasına yardımcı olur. Her bir bilgi sistemi için ilgili bütün yasal, düzenleyici ve sözleşmeye bağlı gereksinimler ve gereksinimleri sağlamak için kullanılacak kurumsal yaklaşım açık şekilde tanımlanmış ve belgelenmiş olmalı ve bu gereksinimleri karşılamak amacıyla kontroller ve bireysel sorumluluklar tanımlanmalı ve belgelenmelidir.

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır:
• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

Güvenlik yönetiminin amacı tüm bilgi sistemi süreçleri ve kaynaklarının doğrululuğu, bütünlüğü ve güvenliğidir. Böylece etkili güvenlik yönetimi günümüz işletmelerini, müşterilerini, tedarikçilerini ve diğer paydaşları birbirine bağlayan bilgi sistemlerindeki hataları, sahtekârlıkları ve kayıpları en aza indirebilir.

Kötü Amaçlı Yazılım: Virüsler, Solucanlar, Truva Atları ve Casus Yazılımlar
Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir. Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır. Ekranda rahatsız edici, çalışmaya kısa süreliğine de olsa mani olan mesajlar göstermek gibi zararsız sayılabilecek türlerinin de bulunmasına karşın, çoğu virüs programlarının, önemli dosyaları silmek veya konak (host) sistemini tamamen çalışmaz hale getirmek gibi yıkıcı etkileri bulunmaktadır .
Birçok güncel saldırı solucanlardan gelmektedir. Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendisini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır. Solucanlar verilere ve programlara zarar vermenin yanında bilgisayar ağlarının çalışmasını engelleyebilir hatta durdurabilirler . Solucanlar ve virüsler genellikle İnternet üzerinde indirilen yazılım dosyalarından, e-postalara eklenen dosyalardan veya e-posta mesajlarından, online reklamlardan veya anlık mesajlaşmalardan yayılırlar. Mobil cihazları hedefleyen kötü amaçlı yazılımlar bilgisayarları hedefleyenler kadar yaygın olmamakla birlikte e-posta, yazılı mesajlar, Bluetooth ve Web’den Wi-Fi veya cep bağlantıları ile indirilen dosyaları kullanarak yayılmaktadır. Bloglar, wikiler ve Facebook gibi sosyal ağ siteleri kötü amaçlı yazılımlar ve casus yazılımlar için yeni bir kanal haline gelmiştir.
Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır.

Güvenlik Altyapısı Oluşturma Aşamaları
Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar şu şekildedir.
• Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.
• Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.
• İnsan kaynağı istihdamı: Güvenlik konusunda tecrübeli insan kaynağının istihdam edilmesi gerekmektedir. Güvenlik işletmeler için çok önemli bir konu olduğundan bu konuda görevlendirilecek insan kaynağı hakkında çok ayrıntılı bir ön araştırma yapılması faydalı olacaktır.
• Önleme: Öncelikle veri ve sistemlere yetkisiz kişilerin erişimi ve saldırıları önlenmelidir.
• Yakalama: Tüm saldırılar önlenemez. Ancak izleme sistemi ile erkenden fark edilerek mücadele kolaylaşır ve zararlar azaltılabilir.
• Zararı en aza indirme: Çökmenin zararlarını en aza indirme. Bu işlem için örneğin İnternet siteleri ayrı bir ağda tutulur. Bu sayede İnternet siteleri çökse dahi içerideki sistemler etkilenmez.

Güvenlik Altyapısı Oluşturma Aşamaları
Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar şu şekildedir:
• Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.
• Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.
• İnsan kaynağı istihdamı: Güvenlik konusunda tecrübeli insan kaynağının istihdam edilmesi gerekmektedir. Güvenlik işletmeler için çok önemli bir konu olduğundan bu konuda görevlendirilecek insan kaynağı hakkında çok ayrıntılı bir ön araştırma yapılması faydalı olacaktır.
• Önleme: Öncelikle veri ve sistemlere yetkisiz kişilerin erişimi ve saldırıları önlenmelidir.
• Yakalama: Tüm saldırılar önlenemez. Ancak izleme sistemi ile erkenden fark edilerek mücadele kolaylaşır ve zararlar azaltılabilir.
• Zararı en aza indirme: Çökmenin zararlarını en aza indirme. Bu işlem için örneğin İnternet siteleri ayrı bir ağda tutulur. Bu sayede İnternet siteleri çökse dahi içerideki sistemler etkilenmez.

• Kurtarma: Çöken sistemlerin en kısa zamanda ve en az zararlara ayağa kaldırılması. Yakın bir noktaya alınan ve çabuk dönülebilen bir yedek zor durumlarda çok işe yarar.
• Düzenleme: Sistemde aynı sorunun ortaya çıkmasını engelleyen düzenlemeler yapmak.
• Güvenlik standartlarına uyum: Milli ve uluslararası güvenlik standartlarını bilme ve uygulama.

Güvenlik Duvarları, İzinsiz Giriş Tespit Sistemleri ve Anti-Virüs Yazılımları
İnternette kontrol ve güvenlik için kullanılan bir başka yöntem ise bilgisayar ve yazılım güvenlik duvarlarıdır. Bir ağ güvenlik duvarı, güvenlik duvarı yazılımı ile birlikte bir iletişim işlemcisi, sıklıkla bir router veya server olabilir. Güvenlik duvarı, işletmenin intranetini ve diğer bilgisayar ağlarını, bir filtre ve İnternete ve diğer ağlara bir erişim için güvenli bir transfer noktası sağlayarak ihlallerden koruyan bir ağ geçidi denetçisi sistemi olarak hizmet eder. Tüm ağ trafiğini doğru şifreler veya diğer güvenlik kodları için izler ve ağa sadece izni olan iletimlerin geçmesine izin verir. Güvenlik duvarı yazılımları İnternete DSL veya modemlerle bağlanan kullanıcılar için bilgisayar sisteminin önemli bir bileşenidir. Bir işletmenin ağında İnternet ve intranet güvenlik duvarı şu şekilde çalışmaktadır: Dış
güvenlik duvarı izinsiz İnternet kullanıcılarının içeri girmesini engeller. İç güvenlik duvarı kullanıcıların hassas insan kaynakları veya finansal verilere ulaşmasını engeller. Şifreler ve browser güvenlik özellikleri özel intranet kaynaklarına erişimi kontrol eder. İntranet server özellikleri kimlik doğrulama ve gerektiğinde şifreleme sağlar. Ağ arayüzü yazılımları arka plandaki kaynaklarda güvenlik boşlukları oluşmasını engellemek için dikkatlice tasarlanır. 

Güvenlik duvarı yetkisiz kullanıcıların özel ağlara girmesini engeller. Giren ve çıkan ağ trafiğini kontrol eden yazılım ve donanımım bir birleşimidir.

İç Tehditler: Çalışanlar
Güvenlik tehditlerinin işletme dışından kaynaklandığını düşünme eğilimindeyizdir ancak gerçekte iç tehditler ciddi güvenlik sorunları yaratır. Çalışanların ayrıcalıklı bilgilere erişimi vardır ve özensiz iç güvenlik prosedürlerinin olması durumunda sıklıkla bir iz bırakmadan işletmenin sisteminde dolaşabilirler. Kurum içi çalışanların yaptıkları yolsuzluk, hata ve güvenlik prosedürleri ihlalleri birçok güvenlik sorununun temel nedenidir.
Bu çok tehlikeli ve yüksek zararlara yol açan bir saldırı şeklidir. Çünkü kurum içindeki bir kişi için kurumu dış tehditlere karşı koruyan güvenlik duvarları ve kapılarda yapılan fiziksel kontrol geçerli değildir. Kaleyi içten fethetme gibi bir durum söz konusudur.
İşletmelerin mevcut ve eski çalışanları siber suçun en çok konuşulan suçlularından olmuştur. Tabii ki bu tüm çalışanların zararlı davranışlarda bulunduğunu göstermez. Birçok durumda mobil cihazlarını kaybederek veya hedefli e-dolandırıcılığa maruz kalarak farkında olmadan verileri tehlikeye atarlar. 2014’te ABD siber suçun durumu araştırmasında katılımcıların üçte biri iç tehditlerin, dışarıdan gelen tehditlerden daha maliyetli olduğunu ve daha çok zarar verdiğini belirtmektedirler. Birçok işletmenin mevcut iç tehdit
programları yoktur ve bu sebeple iç tehditleri engellemeye, belirlemeye ve onlara cevap vermeye hazırlıklı değillerdir. Çalışanlar iç tehditlerin yükselen tek kaynağı değildir. Hizmet sağlayıcıları ve diğer işletme ortakları da şirket içindeki tehditlerden biridir.

Şirketin İçindekiler 
• Mevcut çalışanlar %35
• Eski çalışanlar %30
• Mevcut hizmet sağlayıcıları/ danışmanlar %18
• Eski hizmet sağlayıcıları/danışmanlar %15
• Tedarikçiler/iş ortakları %13
• Müşteriler %11

Dıştakiler
• Teröristler %10
• Organize suç %15
• Eylemciler / Eylemci organizasyonlar/ Politik amaçlı hackerler (hactivists) %16
• Bilgi brokerları %16
• Rakipler %24
• Yabancı girişimler ve işletmeler %9
• Yabancı ulus-devletler %7
• Yerel istihbarat teşkilatı %6
• Hackerlar %24
• Bilinmeyen %18

Sistem erişimi arayan kötü amaçlı kişiler, işletmenin bilgi ihtiyacındaki meşru bir üyesi gibi davranarak bazen çalışanları bilgisayar sistemlerine giriş şifrelerini açığa çıkarma konusunda kandırırlar. Bu uygulamaya sosyal mühendislik denmektedir. Diğer bir deyişle bilgisayar korsanlarının aslında masum olan kişileri suçlarında kullanmasına sosyal mühendislik denir. Örneğin bir kişi ile arkadaş olup ondan şirketin güvenlik kodları ile ilgili bilgiyi öğrenmek veya sanki kurumun bilgi işleminden bir kişi gibi çalışanları arayıp onlardan bir şifre ve önemli güvenlik kodlarını istemek bu tür saldırılardır.

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Yönetim Sistemi kapsamında, güvenlik ile ilintili kontroller 11 ana çalışma alanı altında toplanmıştır. 

a. Güvenlik politikası

b. Bilgi güvenliği organizasyonu

c. Varlık yönetimi

d. İnsan kaynakları güvenliği

e. Fiziksel ve çevresel güvenlik

f. İletişim ve operasyonel yönetim

g. Erişim kontrolü

h. Bilgi sistemleri tedariki, geliştirme ve bakımı

i. Bilgi güvenliği olay yönetimi

j. İş sürekliliği yönetimi

k. Uygunluk (Uyum)

Varlık yönetimi: Varlıkların envanterini çıkartılması ve bu varlıkları etkin bir şekilde korunmasını sağlar. Tüm bilgi varlıklarını içeren bir varlık envanteri tutulmalıdır. Bu envanter hazırlanırken aşağıda belirtilen varlık türlerinin tamamı göz önünde bulundurulmalıdır.
• Bilgi: Veri tabanı, sözleşme ve anlaşmalar, sistem dokümantasyonu vb.
• Yazılım varlıkları: Uygulama yazılımları, sistem yazılımları ve yazılım geliştirme araçları.
• Fiziksel varlıklar: Bilgisayarlar ve iletişim araçları.
• Hizmete dönük varlıklar: Bilgisayar ve iletişim hizmetleri, ısıtma, aydınlatma, güç vb.
• Personel: Nitelik ve tecrübeleri ile birlikte.
• Soyut varlıklar: Kuruluşun itibarı ve imajı gibi.
Varlık envanteri herhangi bir afetten sonra normal çalışma şartlarına dönmek için gereken (varlığın türü, formatı, konumu, değeri gibi) tüm bilgileri içermelidir

Suçun Hedefi Olarak Bilgisayarlar
Korunan verilerin gizliliğini ihlal etmek
İzinsiz olarak bir bilgisayar sistemine erişmek
Korunan bir bilgisayara dolandırmak için bilerek erişmek
Korunan bir bilgisayara kasten erişmek ve bilerek veya dikkatsizce bir zarara sebep olmak
Korunan bir bilgisayara kasten zarar veren bir programı, program kodunu veya bir komutu
bilerek iletmek
Korunan bir bilgisayara zarar vermek için tehdit etmek

Suç Aracı Olarak Bilgisayarlar
Ticari sırların hırsızlığı Yazılımın veya kitaplar, makaleler, müzik ve video gibi telifli entelektüel sermayenin yetkisiz kopyalanması

Dolandırma planları
Tehdit ve taciz için e-posta kullanma
Kasten elektronik iletişimi engelleme girişimi
Saklanan e-posta ve sesli postayı içeren elektronik iletişimlere yasa dışı olarak erişilmesi
Bir bilgisayar kullanarak çocuk pornografisi dağıtmak veya sahip olmak

Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi
bilgiler kimseyle paylaşılmamalıdır.