Bölüm 1
Bilgi güvenliği yönetimi kavramıyla dersimize başlıyoruz. Bilgi güvenliği konusu, başlangıçta teknolojik ekipmanların fiziksel güvenliğiyle sınırlı bir alan olarak görülmekteyken, günümüzde kapsamı siber güvenlik boyutuna ulaşacak şekilde genişlemiştir. Bu değişim, bilgi güvenliğinin sadece bilgi sistemleri birimlerini değil, kurumları, devletleri ve uluslararası organizasyonları doğrudan etkileyen stratejik bir unsur haline gelmesine neden olmuştur. Türkiye bağlamında, kamu ve özel sektör düzeyinde çeşitli stratejiler, eylem planları ve rehberler aracılığıyla makul bir güvence oluşturulmaya çalışılmaktadır. Bu alandaki en temel ve yaygın referans noktalarından biri, Uluslararası Standartlar Örgütü tarafından yayınlanan ve her türden kurum için uygulanabilir nitelikte olan ISO yirmi yedi bin bir iki, bin on üç Bilgi Güvenliği Standardıdır. Bilgi güvenliği yönetimi, bir kurumda bilginin kabul edilebilir düzeyde korunmasını sağlamak amacıyla geliştirilen organizasyonel yapılar, politikalar, prosedürler, süreçler ve çeşitli varlıkların bütünüdür. Bilgi güvenliğinin temel amacı, bilginin üç temel özelliğini korumaktır. Bu özellikler gizlilik, bütünlük ve erişilebilirlik olarak tanımlanmaktadır. Gizlilik, bilgiye sadece yetkili kişilerin erişebilmesini ve izinsiz erişimlerin engellenmesini ifade eder. Bütünlük, bilginin tam, doğru ve değiştirilmemiş olması durumunu temsil eder. Erişilebilirlik ise bilginin ihtiyaç duyulduğunda yetkili taraflarca ulaşılabilir durumda olmasıdır. Sınav hazırlık sürecinde bu üç temel kavramın tanımlarının ve birbirlerinden farklarının iyi anlaşılması gerekmektedir. Literatürde bilgi güvenliği ve siber güvenlik kavramları sıklıkla birbirinin yerine kullanılsa da aralarında odak noktası açısından farklar bulunmaktadır. Bilgi güvenliği, bilginin hem dijital hem de fiziksel ortamlardaki güvenliğine odaklanırken; siber güvenlik, özellikle internet üzerinden gelen tehditlere karşı siber uzayın korunmasını esas alır. Siber güvenlik kavramını daha derinlemesine incelemek gerekirse, Ulusal Standartlar ve Teknoloji Enstitüsü yani NIST, siber güvenliği saldırıları önleyerek, tespit ederek ve bunlara yanıt vererek bilgileri koruma süreci olarak tanımlar. ISO yirmi yedi bin yüz standardı ise konuyu daha geniş bir perspektiften ele alarak insanların, toplumun ve ulusların siber risklerden korunması şeklinde açıklar. Bu noktada siber uzay kavramı kritik bir öneme sahiptir. Siber uzay; ağların, sistemlerin, insanların ve dijital ortamda bulunan her şeyin birbirine bağlı olduğu küresel bir alanı ifade eder. Bu alan sadece interneti değil, telekomünikasyon ağlarını ve bilgisayar sistemlerini de kapsar. Günümüzde siber uzay, birçok ülke tarafından kara, hava, deniz ve uzay ile birlikte beşinci stratejik savunma alanı olarak kabul edilmektedir. Bilgi güvenliği bilginin kendisine odaklanırken, siber güvenlik bu bilginin işlendiği dijital altyapıların ve sistemlerin bütünsel güvenliğini hedefler. Kurumsal düzeyde bilgi güvenliği faaliyetlerine başlarken ilk adım, bilginin kurum için öneminin idrak edilmesi ve onun korunması gereken bir varlık olarak tanımlanmasıdır. Geleneksel yaklaşımlarda bilgi, fiziksel bir nesne gibi sayılamadığı için genellikle bir varlık olarak görülmemiştir. Ancak teknolojinin yaygınlaşmasıyla birlikte bilginin yönetilmesi gereken en değerli varlıklardan biri olduğu gerçeği kabul edilmiştir. Bilgi güvenliği yönetiminde üst yönetimin sorumluluğu bu sürecin en kritik halkasıdır. Bilgi güvenliği teknik bir operasyon değil, kurumun her kademesini ilgilendiren bir yönetim disiplinidir. Bilgi güvenliği politikasının oluşturulması, yıllık olarak gözden geçirilmesi, gerekli görevlendirmelerin yapılması ve risk yönetiminin gerçekleştirilmesi doğrudan üst yönetimin sorumluluğundadır. Yönetim kurulu, aldığı kararlar ve sergilediği yaklaşımla bu konuya verdiği önemi tüm kuruma hissettirmelidir. Kurumsal roller ve sorumluluklar bağlamında, üst yönetim tarafından en az bir kişinin bilgi sistemleri güvenliği sorumlusu olarak belirlenmesi gerekmektedir. Kurumun büyüklüğüne göre bu sorumluluğa destek verecek bir ekip oluşturulması ve bu ekipte her birimden temsilcilerin bulunması ideal bir yaklaşımdır. Ekip üyelerinin kendi birimlerindeki iş süreçlerini bilgi güvenliği ilkeleri doğrultusunda revize edebilecek yetkinlikte olması beklenir. Tüm rollerin görev tanımları yazılı, onaylı ve ilgili taraflara duyurulmuş olmalıdır. Ayrıca bu rollerin kurum organizasyon şemasında net bir şekilde yer alması gerekmektedir. Bilgi güvenliği yönetiminin başarısı, çalışanların farkındalık düzeyine doğrudan bağlıdır. Bu nedenle, tüm seviyedeki çalışanlara temel bilgi güvenliği eğitimi verilmeli ve bu eğitimler güncel tehditleri içerecek şekilde düzenli aralıklarla tekrar edilmelidir. Bilgi güvenliği politikası, kurumun bu konudaki genel yaklaşımını ve hedeflerini belirleyen temel dokümandır. Bu politika üst yönetimce onaylanmalı ve tüm paydaşların erişimine açık olmalıdır. Politika içeriğinde bilgi güvenliğinin tanımı, kurumsal roller, risk yönetimi süreçleri, yasal düzenlemelere uyum ve politika ihlallerinin olası sonuçları gibi hususlar yer almalıdır. Kurumun büyüklüğüne ve faaliyet çeşitliliğine göre genel politikayı destekleyen alt politika dokümanları da oluşturulabilir. Bu süreçte sadece kurum çalışanları değil, tedarikçiler, servis sağlayıcılar ve müşteriler gibi dış paydaşların da bilgi güvenliği gerekliliklerinden etkileneceği unutulmamalıdır. Risk yönetimi konusuna geçecek olursak, bu süreç bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesini ve makul bir güvence sağlanmasını amaçlar. Risk yönetiminin ilk adımı varlıkların tespit edilmesidir. Bu kapsamda sunucu donanımları, depolama ortamları, kullanıcı cihazları, ağ cihazları ve her türlü yazılım envantere kaydedilmelidir. Veri, bu sistemler aracılığıyla işlendiği için korunması gereken asıl unsurdur. Varlıklar belirlendikten sonra, bu varlıkların yapısından kaynaklanan zafiyetler ve bu zafiyetleri istismar edebilecek tehditler tanımlanmalıdır. Bu süreç risk belirleme olarak adlandırılır. Risk değerlendirmesi aşamasında ise kurumun risk iştahı veya kabul edilebilir risk seviyesi belirlenir. Sınavda sıklıkla sorulan risk işleme seçenekleri dört ana başlıkta toplanır. Bunlar riski azaltma, riski engelleme, riski paylaşma ve riski kabul etmedir. Riski azaltma, çeşitli kontrollerle riskin seviyesini düşürmeyi ifade eder ve en çok tercih edilen yöntemdir. Riski engelleme, riske neden olan faaliyetin durdurulmasıdır. Riski paylaşma, sigorta gibi yöntemlerle riskin üçüncü taraflara aktarılmasıdır. Riski kabul etme ise herhangi bir işlem yapmadan riskle yaşamaya devam etmektir ki bu genellikle en son tercih edilen seçenektir. Bilgi güvenliği yönetiminin etkinliği, periyodik gözetim, ölçüm ve değerlendirme faaliyetleriyle sağlanır. Bu faaliyetlerin amacı, belirlenen hedeflere ne ölçüde ulaşıldığını ve kontrollerin işlerliğini tespit etmektir. İç ve dış denetimlerin yanı sıra teknik açıklıkların belirlenmesi için sızma testleri kritik rol oynar. Sermaye Piyasası Kurulu Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği uyarınca, muaf olanlar hariç, kurumların yılda en az bir kez sızma testi yaptırması zorunludur. Sızma testleri; sistem hakkında hiç bilgi verilmeyen siyah kutu, tam bilgi sağlanan beyaz kutu veya kısmi bilgi verilen gri kutu yöntemleriyle gerçekleştirilebilir. Test sonuçları, bulguların etki seviyelerine göre raporlanmalı ve gerekli iyileştirmeler yapılmalıdır. Bilgi güvenliği ihlal yönetimi, sistemlerde zarara yol açan veya açma ihtimali olan olayların yönetilmesini kapsar. Kurumda her çalışanın bir ihlali veya ihlal belirtisini raporlayabileceği kolay erişilebilir bir mekanizma bulunmalıdır. Bu mekanizma bir yardım masası veya özel bir e-posta adresi olabilir. İhlal durumunda izlenecek prosedürler ve sorumluluklar önceden yazılı olarak belirlenmelidir. İhlal tespit edildiğinde, bilmesi gereken ilkesine uygun olarak iç ve dış bilgilendirmeler yapılmalıdır. Özellikle siber olaylara müdahale ekiplerinin devreye girmesi ve kanıt toplama sürecinin hukuki standartlara uygun yürütülmesi büyük önem taşır. Her ihlal sonrası kök sebep analizi yapılmalı ve kurumun bu olaydan ders çıkararak benzer durumların tekrarlanmasını önlemesi sağlanmalıdır. Varlık yönetimi konusuna geçiş yapalım. Uluslararası Standartlar Organizasyonu varlığı, kurum için potansiyel veya gerçek değeri olan fiziksel veya fiziksel olmayan her şey olarak tanımlar. Varlık yönetimi ise bu varlıklardan değer kazanmak için yürütülen koordineli faaliyetlerdir. Bilgi teknolojisi varlık yönetimi, varlıkların mali, envanter, sözleşme ve risk yönetimi sorumluluklarını birleştiren bir mekanizmadır. Varlık yönetimi; bilgi güvenliği, risk yönetimi, değişim yönetimi ve yardım masası süreçleriyle entegre bir şekilde çalışmalıdır. Üst yönetim tarafından onaylanmış bir varlık yönetimi politikası, satın alma süreçlerinden imha süreçlerine kadar tüm aşamaları kapsamalıdır. Varlık yönetimi sayesinde kaynak verimliliği artar, risklere karşı koruma sağlanır ve toplam maliyetler azalır. Varlık yaşam döngüsü dört ana aşamadan oluşur. İlk aşama talebin oluşması ve planlamadır. Varlık yönetimi, varlığın fiziksel alımıyla değil, ihtiyacın ortaya çıkmasıyla başlar. İkinci aşama alım ve tedariktir. Bu aşamada tedarikçiler, kurumun belirlediği performans ve nitelik kriterlerine göre seçilir. Üçüncü aşama izleme ve bakımdır. Tedarik edilen varlığın istenen nitelikleri taşıyıp taşımadığı test edilir ve ardından envantere kaydedilir. Varlıklar bu aşamada sınıflandırılır, etiketlenir ve yapılandırılır. Varlığın etkinliğini sürdürebilmesi için periyodik ve arıza bazlı bakımların yapılması, değişiklik yönetimi süreçlerine uygun hareket edilmesi gerekir. Son aşama ise kullanımdan kaldırma ve imhadır. Destek süresi dolan veya ekonomik ömrünü tamamlayan varlıklar, üzerindeki veriler güvenli bir şekilde yok edilerek imha edilmelidir. İmha sürecinin yöntemi ve sorumluları önceden belirlenmiş olmalıdır. Varlık envanteri, varlık yönetiminin temel taşını oluşturur. Özellikle büyük ölçekli ve coğrafi olarak dağılmış kurumlarda, envanterin güncelliğini sağlamak için otomatik varlık keşif yazılımları kullanılmalıdır. Envanter kayıtlarında varlığın temel bilgilerinin yanı sıra mutlaka sahibi, sınıfı ve fiziksel konumu gibi bilgiler yer almalıdır. Yazılım lisansları da birer varlık olarak envanterde takip edilmelidir. Varlık sahipliği kavramı sınav açısından önemlidir. Varlık sahibi, varlığın yaşam döngüsü boyunca envanter kaydından, risk yönetiminden, bakımından ve imhasından sorumlu olan kişidir. Varlık sahibi bu görevler için başkalarını görevlendirebilir ancak asıl sorumluluğu devredemez. Veri ve bilgi sınıflandırılması, bilginin önemine ve kritiklik derecesine göre korunmasını sağlar. Her bilgi aynı değerde olmadığı için her varlığa aynı güvenlik kontrollerini uygulamak verimsizliğe yol açar. Sınıflandırma kriterleri; bilginin riskine, iş sürecinin önemine veya yasal gerekliliklere göre belirlenir. Sınıflandırma yapılırken bilgiyi işleyen veya saklayan cihazların da aynı kriterlere göre değerlendirilmesi gerekir. Bilginin niteliği zamanla değişebileceği için sınıflandırma seviyeleri periyodik olarak gözden geçirilmelidir. Kritik bilgi, yetkisiz erişim durumunda kuruma ciddi zarar verebilecek veya yasal yaptırımlara neden olabilecek her türlü veridir. Varlıklar sınıflandırıldıktan sonra, türlerine uygun yöntemlerle etiketlenmelidir. Bu etiketleme fiziksel varlıklarda etiket yapıştırma şeklinde olabilirken, dijital verilerde elektronik işaretleme şeklinde gerçekleştirilir. Varlıkların uygun kullanımı, varlığın türüne ve sınıfına göre belirlenen kurallar çerçevesinde korunmasını ve işletilmesini ifade eder. Bu kurallar, varlığın en güvenli ve verimli şekilde nasıl çalışacağını belirler ve tüm ilgililere duyurulur. Uygun kullanım kuralları sadece çalışanları değil, dış tarafları da kapsamalıdır. Ayrıca kurumdaki her varlığın kullanımı yetkilendirmeye tabi olmalıdır. Yetkisiz kullanımın engellenmesi bilgi güvenliğinin temel taşlarından biridir. Taşınabilir varlıklar, yapıları gereği daha yüksek risk taşırlar. Dizüstü bilgisayarlar, tabletler ve taşınabilir depolama birimleri gibi varlıkların kurum dışına çıkarılması, fiziksel olarak korunması ve üzerindeki verilerin şifrelenmesi gibi konularda özel kontroller uygulanmalıdır. Bilgi güvenliği yönetiminin değerlendirilmesi sürecinde, denetçiler öncelikle politika ve prosedürlerin varlığını ve güncelliğini inceler. Bilgi güvenliği politikasının üst yönetimce onaylanmış olması ve tüm personele duyurulmuş olması kritik bir denetim noktasıdır. Risk yönetimi süreci değerlendirilirken, geçmiş risk analiz raporları ve kabul edilebilir risk seviyesinin yönetim onayı kontrol edilir. Risk azaltma kararı alınan varlıklar için planlanan aksiyonların takibi yapılır. İhlal yönetimi değerlendirmesinde ise geçmiş ihlal kayıtları, toplanan kanıtlar ve yapılan kök sebep analizleri incelenir. Tüm çalışanların en az bir kez bilgi güvenliği eğitimi almış olması ve bu eğitimlerin kayıtlarının tutulması, kurumsal farkındalığın bir göstergesi olarak değerlendirilir. Sınavda başarılı olmak için özellikle risk işleme seçenekleri olan azaltma, engelleme, paylaşma ve kabul etme kavramlarını iyi bilmek gerekir. Ayrıca bilgi güvenliğinin üç temel unsuru olan gizlilik, bütünlük ve erişilebilirlik arasındaki farklar sıklıkla sorulmaktadır. Sızma testlerinin türleri ve BSY Tebliği kapsamındaki zorunluluklar da dikkat edilmesi gereken diğer önemli konulardır. Varlık yönetiminde ise varlık sahibinin sorumlulukları ve varlık yaşam döngüsünün aşamaları temel bilgi alanlarını oluşturur. Bilgi sistemleri güvenliği, sadece teknik bir konu değil, yasal uyum ve kurumsal yönetimle iç içe geçmiş bir disiplindir. Bu nedenle ders notlarında geçen tüm tanımların ve süreçlerin kurumsal yönetim perspektifiyle ele alınması sınav başarısı için elzemdir. Varlıkların dolaşımı ve dış taraflarla paylaşımı süreçlerinde de sıkı kontroller uygulanmalıdır. Bir varlığın kurum dışına çıkarılması veya üçüncü bir tarafa devredilmesi durumunda, varlık üzerindeki hassas verilerin temizlendiğinden emin olunmalıdır. Özellikle taşınabilir cihazların kaybolması veya çalınması durumunda veriye erişimi engelleyecek şifreleme mekanizmalarının varlığı denetlenmelidir. Bilgi sistemleri envanterinin güncelliği, sadece güvenlik için değil, aynı zamanda kapasite planlaması ve lisans yönetimi için de hayati önem taşır. Lisanssız yazılım kullanımı hem hukuki riskler hem de güvenlik zafiyetleri oluşturabileceği için varlık yönetimi süreçlerinde lisans takibi titizlikle yapılmalıdır. Son olarak, bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi prensibi unutulmamalıdır. Teknoloji ve tehdit ortamı sürekli değiştiği için, kurumun savunma mekanizmaları da bu değişime ayak uydurmalıdır. Gözetim ve ölçüm faaliyetlerinden elde edilen veriler, üst yönetim tarafından değerlendirilmeli ve gerekli kaynak tahsisleri bu değerlendirmeler ışığında yapılmalıdır. Bilgi güvenliği bir varış noktası değil, sürekli devam eden bir süreçtir. Bu sürecin her aşamasında dokümantasyon, onay mekanizmaları ve izlenebilirlik esas alınmalıdır. Dersimizin bu bölümünde bilgi güvenliği yönetimi ve varlık yönetimi konularını kapsamlı bir şekilde ele aldık. Bir sonraki bölümde fiziksel ve çevresel güvenlik konularıyla devam edeceğiz.
Bölüm 2
Varlık yönetimi süreçleri, bir kurumun sahip olduğu değerlerin korunması ve etkin bir şekilde yönetilmesi için hayati önem taşımaktadır. Bu süreç envanter bilgisinin güncelliğinin sağlanması ile başlar ve varlığın sınıflandırılması, risk yönetimi, korunması, uygun kullanım kurallarının belirlenmesi, bakımı ve nihayetinde imha edilmesi aşamalarını kapsar. Varlık sahibi, günlük operasyonel işler için bir veya birden fazla çalışanı görevlendirme yetkisine sahip olsa da bu durum varlık sahibinin asli sorumluluğunu ortadan kaldırmaz. Kurumsal şeffaflık ve operasyonel verimlilik açısından varlık envanterinin ilgili tüm çalışanlar için açık ve erişilebilir durumda bulunması temel bir gerekliliktir. Bilgi sistemleri güvenliğinde veri ve bilgi sınıflandırılması, kurumların sahip olduğu veriyi önemine ve kritiklik derecesine göre korumasını sağlayan birincil mekanizmadır. Sınıflandırma yapılırken sadece verinin kendisi değil, bu bilgiyi işleyen, ileten veya depolayan tüm varlıkların da aynı kriterlere göre değerlendirilmesi zorunludur. Her bilginin aynı önem düzeyinde olmadığı gerçeğinden hareketle, her varlığa aynı düzeyde kontrol uygulanması rasyonel bir yaklaşım değildir. Tüm varlıklara en üst düzey kontrollerin uygulanması maliyetleri gereksiz yere artırırken, düşük düzeyli kontrollerin uygulanması ise güvenlik risklerini kabul edilemez seviyelere çıkarır. Bu nedenle varlıklar, ilgili oldukları bilginin niteliğine göre gruplandırılmalı ve her sınıf için özgün kontrol mekanizmaları geliştirilmelidir. Sınıflandırma kriterlerinin belirlenmesi sürecinde bilginin taşıdığı riskler, kullanıldığı iş sürecinin kritikliği ve yasal yükümlülükler esas alınmalıdır. Belirlenen kriterler, oluşturulan sınıflar ve her sınıfın gerektirdiği koruma düzeyleri işletme genelinde standart bir anlam ifade etmelidir. Ayrıca bu kriterlerin belirli aralıklarla gözden geçirilmesi gerekir. Bilginin zaman içerisinde nitelik değiştirmesi veya ait olduğu iş sürecinin farklılaşması durumunda sınıfının da değişebileceği unutulmamalıdır. Varlıklar sınıflandırılırken, işledikleri veya sakladıkları bilginin en yüksek kritiklik ve hassasiyet derecesi baz alınmalıdır. Sınıflandırma işlemi doğrudan varlık sahibinin sorumluluğundadır ve her işletmenin kendi yapısına özgü olarak şekillenir. Sınav hazırlık sürecinde kritik bilgi ve kritik varlık tanımları arasındaki farka dikkat etmek önem arz etmektedir. Kritik bilgi veya veri, bir güvenlik zafiyeti oluşması durumunda yasal yaptırımlara yol açabilecek, yetkisiz kişilerce görülmesi kuruma ciddi maddi veya manevi zarar verebilecek her türlü veriyi ifade eder. Kritik varlık ise kurumun stratejik hedeflerini gerçekleştirmesinde doğrudan ve önemli etkisi olan varlıklar olarak tanımlanır. Bu iki kavramın ayrımı, güvenlik stratejilerinin önceliklendirilmesinde temel teşkil eder. Varlıkların sınıflandırılmasını takip eden aşama etiketleme sürecidir. İşletmede bulunan her bilgi sistemleri varlığı için uygun bir etiketleme yöntemi ve bu süreçten sorumlu kişiler belirlenmelidir. Etiketleme yöntemi varlığın fiziksel veya elektronik olmasına göre farklılık gösterebilir. Fiziksel varlıkların etiketlenmesi ile elektronik ortamdaki bilginin etiketlenmesi farklı teknikler gerektirse de sonuç olarak seçilen yöntemin kolay fark edilebilir, tutarlı ve tüm personel tarafından anlaşılabilir olması esastır. Varlıkların uygun kullanımı konusu, varlığın türüne ve sınıfına göre belirlenmiş kurallar çerçevesinde korunmasını ve işletilmesini ifade eder. Bu kuralların temel amacı, varlığın maruz kalabileceği riskleri minimize etmek ve varlıktan beklenen maksimum faydayı sağlamaktır. Uygun kullanım kuralları sadece teknik şartları değil, aynı zamanda etik değerleri, sorumluluk bilincini ve gizlilik esaslarını da içermelidir. Bu kurallar sadece kurum içi çalışanları değil, işletme varlıklarını kullanan tüm dış tarafları da kapsamaktadır. İşletmede her varlık kullanımının yetkilendirilmiş olması bir zorunluluktur. Hiçbir çalışan, organizasyon yapısına uygun makamlarca onaylanmış bir yetki almadan herhangi bir varlığı kullanmamalıdır. Bu yetkilendirmeler düzenli aralıklarla gözden geçirilmeli ve kurallara aykırı hareket edilmesi durumunda uygulanacak yaptırımlar önceden belirlenmelidir. Taşınabilir varlıklar, doğaları gereği yüksek risk taşıdıkları için ilave kontrol mekanizmalarına tabi tutulmalıdır. USB cihazları gibi taşınabilir ortamların kullanımına sınırlamalar getirilmesi yaygın bir uygulamadır. İşletme dışındaki halka açık ağların kurumsal cihazlarla kullanımı veya kişisel cihazların kurum ağına bağlanması, veri sızıntısı ve zararlı yazılım bulaşması açısından ciddi riskler barındırır. Bu noktada Evrensel Seri Veri Yolu yani USB teknolojisinin teknik özelliklerine ve risklerine değinmek gerekir. USB, çevre birimlerinin bilgisayara kolayca bağlanmasını sağlayan bir iletişim standardıdır. USB iki nokta sıfır özellikleri saniyede dört yüz seksen Megabit veri aktarımını desteklerken, USB üç nokta sıfır bu hızın on katı olan saniyede beş Gigabit seviyesine, USB üç nokta bir ise saniyede on Gigabit aktarım hızına ulaşabilmektedir. USB kullanımıyla ilgili riskler arasında virüs ve kötü amaçlı yazılımların taşınması ilk sırada yer alır. Bazı USB sürücülerde bulunan fiziksel salt okunur mod anahtarı, güvenilmeyen cihazlara veri aktarımı yapılırken virüs bulaşmasını engelleyebilir. Veri hırsızlığı, özellikle kilidi açılmış ve başında kimse bulunmayan bilgisayarlar için büyük bir tehdittir. Sosyal mühendislik yöntemleri kullanılarak kurumsal verilere fiziksel erişim sağlanabilir. Ayrıca USB cihazların küçük boyutları nedeniyle kaybolması, şifrelenmemiş verilerin yetkisiz kişilerin eline geçmesine ve gizlilik ihlallerine yol açabilir. Verilerin uygunsuz şekilde çıkarılması ise dosya bozulmalarına ve veri kaybına neden olabilir. Bu riskleri yönetmek için bir bilgi sistemleri denetçisinin incelemesi gereken güvenlik önlemleri bulunmaktadır. Şifreleme, en ideal stratejilerden biridir ve güçlü bir parola veya biyometrik veri olmadan veriyi kullanılamaz hale getirir. Portların merkezi yönetimi için özel yazılımlar kullanılmalı ve sadece teknolojik çözümlerle yetinilmeyip güçlü politikalar ve prosedürler uygulanmalıdır. Personel ve fiziksel güvenlik görevlileri bu cihazların riskleri konusunda eğitilmelidir. Masaüstü bilgisayarların kısa süre sonra otomatik kilitlenmesi, virüsten koruma yazılımlarının tüm taşınabilir medyayı otomatik taraması ve sadece şifrelenmiş güvenli cihazların kullanımına izin verilmesi kritik önlemlerdir. Kaybolan cihazların iadesi için cihaz içinde kurum adı belirtilmeden sadece iletişim bilgisi ve yasal feragatname içeren bir metin dosyası bulundurulması da tavsiye edilen bir yöntemdir. Varlıkların dolaşımı süreci, varlıkların kullanım aşamasındayken yer değiştirmesi veya kullanıcısının değişmesi durumunda yapılması gerekenleri kapsar. Bir donanım başka bir kullanıcıya devredilmeden önce mutlaka veri temizleme işlemlerinden geçirilmelidir. Varlıkların arıza veya bakım gibi nedenlerle işletme dışına çıkarılması gerektiğinde, üzerindeki verilerin güvenli bir şekilde silinmesi veya depolama ortamlarının sökülerek işletmede kalması gibi yöntemler izlenmelidir. İşletme dışına çıkan her varlık envanterde kayıt altına alınmalı ve teslim edilen kurumla mutlaka gizlilik anlaşması yapılmalıdır. Varlık yönetimi süreçlerinin denetimi sırasında politika ve prosedürlerin mevcudiyeti, çalışanların farkındalık düzeyi ve envanterin güncelliği sorgulanır. Varlık yaşam döngüsünün her aşaması kanıtlar üzerinden incelenmelidir. Özellikle varlıkların işletme dışına çıkarılması, taşınabilir cihaz kullanımı ve kişisel cihazların kurumsal amaçlarla kullanılması veri sızıntısı açısından en riskli alanlar olarak değerlendirilir. Sınavda karşınıza çıkabilecek yanıltıcı ifadelerden biri varlık yönetiminin sanal sistemler için gerekli olmadığı yönündedir; oysa sanal sistemler de en az fiziksel sistemler kadar sıkı bir varlık yönetimine tabi tutulmalıdır. Fiziksel ve çevresel güvenlik konusu, bilgi sistemlerinin ve bu sistemlerin bulunduğu mekanların her türlü tehdide karşı korunmasını hedefler. Fiziksel kontroller yetkisiz erişimi engellemeyi amaçlarken, çevresel kontroller doğal veya insan kaynaklı felaketlere karşı koruma sağlar. Bilgi işleme tesisi kavramı, bilgi işlem faaliyetlerinde kullanılan tüm sistemleri, altyapıyı ve bunların bulunduğu fiziksel mekanları kapsar. Bu tesisler statik, mobil veya taşınabilir olarak sınıflandırılabilir. Statik sistemler binalar gibi sabit ortamlarda, mobil sistemler araçlar üzerinde, taşınabilir sistemler ise herhangi bir mekanda çalışabilir. Fiziksel tesislerin coğrafi konumu, deprem, sel, yangın gibi doğal afetlerin yanı sıra elektromanyetik parazitler gibi çevresel riskleri de belirler. Fiziksel ve çevresel güvenliğin dört ana odak noktası vardır. Bunlar fiziksel hasar durumunda sistemlerin tamiri, faaliyetlerin kesintiye uğramasının önlenmesi, bilgilerin izinsiz ifşasının engellenmesi ve sistem bütünlüğü üzerindeki kontrolün korunmasıdır. Fiziksel güvenlik, mantıksal erişim kontrollerini destekleyen temel bir katmandır. En güçlü mantıksal şifreleme yöntemleri bile fiziksel erişim sağlandığında etkisiz hale getirilebilir. Fiziksel kontroller kapsamında tesislerin güvenlik sınırları belirlenmeli, giriş ve çıkışlar kayıt altına alınmalı ve kimlik kontrol mekanizmaları işletilmelidir. Kritik bilgi sistemleri için güvenli alanlar oluşturulmalı ve bu alanlara erişim sadece yetkili personel ile sınırlandırılmalıdır. Sistem odaları, veri merkezleri, telekomünikasyon ekipmanları ve yedekleme tesisleri fiziksel olarak korunması gereken öncelikli alanlardır. Fiziksel erişim kontrolleri ile can güvenliği arasında bir denge kurulması şarttır. Acil durumlarda hızlı tahliye imkanı sağlanırken, normal zamanlarda yetkisiz girişler engellenmelidir. Fiziksel erişim kontrol yöntemleri arasında geleneksel sürgülü kilitler, şifreli kombinasyon kilitleri, elektronik kartlı kilitler ve biyometrik kilitler yer alır. Elektronik kilitler, kişiye özel yetkilendirme ve izlenebilirlik sağladığı için geleneksel kilitlere göre daha avantajlıdır. Biyometrik sistemler ise parmak izi veya retina gibi özelliklerle en yüksek güvenlik düzeyini sunar. Ayrıca giriş çıkışların elle veya elektronik olarak kaydedilmesi, fotoğraflı yaka kartlarının kullanımı, kamera sistemleri ve güvenlik görevlileri fiziksel güvenliğin temel taşlarıdır. Yüksek güvenlikli alanlarda yancı geçiş yani yetkili birini takip ederek içeri sızma riskini önlemek için emniyet kapısı veya hava kilidi olarak bilinen iki kapılı mekanizmalar kullanılmalıdır. Çevresel kontroller ise bilgi sistemlerini dış etkenlerden korumaya odaklanır. Sistem odalarının yerleşimi yapılırken su ve gaz borularının uzağında, binanın orta katlarında konumlandırılması tercih edilir. Bodrum katlar su baskını, en üst katlar ise çatı sızıntısı riski taşır. İklimlendirme kontrolü, donanımların performansı için kritiktir. İdeal bir sistem odasında sıcaklık yirmi bir derece, nem oranı ise yüzde elli seviyesinde tutulmalıdır. Klimalar mutlaka yedekli olmalı ve ortam koşulları gerçek zamanlı olarak izlenmelidir. Yangın ve su algılama sistemleri, dedektörler aracılığıyla erken uyarı vermelidir. Yangın söndürme sistemleri arasında yağmurlama sistemleri ıslak ve kuru borulu olarak ikiye ayrılır. Islak borulu sistemlerde su borularda hazır beklerken, kuru borulu sistemlerde alarm sonrası borulara su verilir. Gazlı söndürme sistemlerinde ise FM-iki yüz gibi insan sağlığına zararsız ve ozon tabakasını inceltmeyen gazlar tercih edilir. Karbondioksitli sistemler oksijeni yok ettiği için insanların bulunduğu alanlarda kullanılmamalıdır. Enerji sürekliliği, bilgi sistemleri için hayati bir gerekliliktir. Elektrik kesintileri tam arıza, düşük gerilim, kısa süreli değişimler ve elektromanyetik girişim olarak sınıflandırılabilir. Gerilim dalgalanmalarına karşı koruyucular ve düzenleyiciler kullanılsa da uzun süreli kesintiler için kesintisiz güç kaynakları yani UPS ve jeneratörler devreye girmelidir. Sistem odasındaki cihazlar doğrudan şebekeden değil, voltajı düzenleyen UPS üzerinden beslenmelidir. Ayrıca acil durumlarda enerjiyi hızla kesmek için acil kapatma anahtarları kolay erişilebilir noktalarda bulundurulmalıdır. Ağ güvenliği konusu, işletme içindeki bilgi transferinin korunmasını amaçlar. Bir ağ, paylaşılan bir ortam üzerinden iletişim kuran uç nokta cihazları kümesidir. Ağın temel bileşenleri arasında uç nokta cihazları, bağlantı yazılımları, anahtar ve yönlendirici gibi donanımlar, fiziksel iletim ortamı ve adresleme sistemleri bulunur. Fiziksel iletim ortamı bakır kablo, fiber optik kablo veya radyo frekansları olabilir. Adresleme için ise IP ve MAC adresleri kullanılır. Organizasyonel açıdan ağlar intranet, extranet ve internet olarak üçe ayrılır. İntranet sadece şirket çalışanlarına özeldir. Extranet iş ortakları ve tedarikçilerin sınırlı erişimine izin verir. İnternet ise herkese açık olan kamusal alandır. İnternetin tarihsel kökeni Amerika Birleşik Devletleri Savunma Bakanlığı tarafından geliştirilen ARPANET projesine dayanmaktadır. İnternet ile World Wide Web kavramları sıklıkla karıştırılsa da, web internet üzerinde sunulan hizmetlerden sadece biridir ve hiper metin protokollerine dayanır. Web dünyası üç temel katmandan oluşur. Yüzey ağ, arama motorları tarafından dizinlenen ve herkesin erişebildiği kısımdır. Derin ağ yani deep web ise arama motorları tarafından doğrudan ulaşılamayan, şifre veya özel yetki gerektiren verileri içerir. Bu ayrımı bilmek, kurumsal verilerin hangi katmanda yer aldığını ve nasıl korunması gerektiğini anlamak açısından sınavda karşınıza çıkabilecek önemli bir detaydır. Bilgi sistemleri güvenliği, tüm bu fiziksel, çevresel ve ağ tabanlı kontrollerin bir bütün olarak işletilmesiyle mümkündür. Bilgi sistemleri ağlarının yapılandırılması ve yönetimi, sermaye piyasası kurumlarının operasyonel sürekliliği ve veri güvenliği açısından temel bir disiplindir.
Bölüm 3
Bilgi sistemleri ağlarının yapılandırılması ve yönetimi, sermaye piyasası kurumlarının operasyonel sürekliliği ve veri güvenliği açısından temel bir disiplindir. Ağlar, trafik kontrol mekanizmaları, organizasyon amaçları, topolojileri ve coğrafi ölçekleri gibi çeşitli kriterlere göre sınıflandırılmaktadır. Bu ders kapsamında öncelikle ağları organizasyonel perspektiften ele alacak, ardından fiziksel ve mantıksal yapılarını belirleyen topolojileri ve kapsama alanlarına göre coğrafi ağ türlerini detaylandıracağız. Organizasyon amacına göre ağlar incelendiğinde, kurumların genellikle kendi özel ağlarını yönettikleri görülmektedir. Şirketlerin kurumsal ağ yapıları, intranet ve extranet bileşenlerinden oluşmakta ve bu yapılar üzerinden dış dünyaya, yani İnternet'e erişim sağlanmaktadır. Bu noktada İnternet, internetwork ve World Wide Web kavramları arasındaki teknik farkların netleştirilmesi sınav başarısı açısından önem arz etmektedir. Küçük harfle yazılan internet terimi, farklı türdeki bilgisayar ağlarının yönlendiriciler ve ağ geçitleri aracılığıyla birbirine bağlanarak tek bir ağ oluşturması durumunu ifade eder. Büyük harfle başlayan İnternet ise, İnternet Mimarisi Kurulu yani IAB tarafından belirlenen protokolleri ve İnternet Tahsisli İsimler ve Numaralar Kurumu yani ICANN tarafından yönetilen isim ve adres alanlarını paylaşan, dünya çapında birbirine bağlı en büyük ağlar ağını temsil eder. Tarihsel süreçte bu yapının temeli, Amerika Birleşik Devletleri Savunma Bakanlığı bünyesindeki DARPA tarafından geliştirilen ARPANET projesine dayanmaktadır. Günümüzde İnternet, TCP/IP protokol dizisi üzerine inşa edilmiştir ve fiber optik omurgalar ile bakır iletişim hatlarını kullanmaktadır. İnternet servis sağlayıcıları ve büyük ölçekli kuruluşlar, Sınır Geçit Protokolü yani BGP aracılığıyla adres alanlarının erişilebilirliği konusunda bilgi paylaşımı yaparak dünya çapında yedekli bir iletim hattı oluştururlar. World Wide Web veya kısa adıyla web, İnternet üzerinde sağlanan hizmetlerin yalnızca bir bölümünü oluşturmasına rağmen en yaygın kullanılanıdır. Web, hiper metinlere dayanan bir protokol olup bilginin metin, grafik, ses ve video biçiminde kullanıcı dostu arayüzlerle paylaşılmasını sağlar. Web dünyası, erişilebilirlik ve içerik türüne göre üç temel katmana ayrılmaktadır. Birinci katman olan yüzey ağ, Google veya Yahoo gibi arama motorları tarafından dizinlenebilen ve herkesin erişimine açık olan kısımdır. İkinci katman olan derin ağ, web dünyasının en büyük kısmını oluşturur. Buradaki içerikler parola korumalıdır veya özel sunucularda barındırıldığı için arama motorları tarafından dizinlenemez. Finansal kurumların iç platformları, e-posta servisleri, internet bankacılığı sistemleri ve tıbbi kayıtlar derin ağın tipik örnekleridir. Bu alandaki verilerin güvenliği, kullanıcı hesaplarının hedef alınması riski nedeniyle kritik bir öneme sahiptir. Üçüncü katman olan karanlık ağ ise, özel yazılımlar kullanılarak erişilebilen, şifreli ağlar içinde gizlenmiş siteleri ifade eder. Genellikle nokta onion uzantılı URL yapılarına sahip olan bu siteler, kullanıcılarına anonimlik sağlar. Karanlık ağda yasa dışı faaliyetler yoğunlukta olsa da, devlet kurumları veya gazeteciler tarafından gizli iletişim kanalı olarak da kullanılabilmektedir. Bu ağlara erişimde en yaygın yöntem, kullanıcı trafiğini dünya genelindeki farklı sunucular üzerinden yönlendirerek şifreleyen TOR tarayıcılarıdır. Kurumsal ağ yapılarının iç bileşenlerine bakıldığında, intranet ve extranet kavramları karşımıza çıkmaktadır. İntranet, bir kuruluşun kendi içindeki ağ iletişimi için kullandığı, İnternet standartlarını benimseyen ancak güvenlik duvarları ile dış dünyadan izole edilmiş özel bir ağdır. Şirket içi bilgi paylaşımı ve ortak çalışma alanları bu yapı üzerinde kurgulanır. Extranet ise, bir kurumun intraneti üzerindeki belirli kaynaklara, iş ortakları, tedarikçiler veya müşteriler gibi yetkilendirilmiş harici unsurların sınırlı erişimine izin veren yapıdır. Extranet bağlantıları genellikle uzak alan ağı teknolojileri ve sanal özel ağ yani VPN tünelleme mekanizmaları ile şifrelenmiş bir şekilde gerçekleştirilir. Bu noktada dijital sertifikalar ve çok faktörlü kimlik doğrulama yöntemleri, güvenliğin sağlanmasında temel araçlardır. Ağların fiziksel veya mantıksal tasarımını ifade eden ağ topolojileri, sistemin performansı ve hata toleransı üzerinde doğrudan etkilidir. Fiziksel topoloji, cihazların yerleşimini ve kablolama yapısını tanımlarken; mantıksal topoloji, verinin ağ içindeki akış yolunu belirler. Ortak yol topolojisi, tüm düğümlerin tek bir ana hatta bağlı olduğu yapıdır. Burada ağ kapasitesi tüm cihazlar arasında bölündüğü için hız düşüktür ve merkezi bir hiyerarşi bulunmaz. Halka topolojisinde ise her düğüm iki komşu düğümle bağlıdır ve veri tek yönde hareket eder. Token ring veya FDDI gibi uygulamalarda, andıç adı verilen üç baytlık veri paketine sahip olan düğüm veri gönderme hakkını elde eder. Örgü topolojisi, düğümlerin birbirine noktadan noktaya bağlı olduğu, yedekliliğin en yüksek olduğu yapıdır. İnternet, kısmen bağlı örgü topolojisine bir örnektir. Ağaç topolojisi, en az üç derinlik seviyesine sahip hiyerarşik bir yapıdır ve kök düğümden aşağıya doğru dallanır. Dosya sistemleri ve veritabanları, arama algoritmalarının verimliliği nedeniyle bu yapıyı tercih eder. Günümüzde en yaygın kullanılan yapı olan yıldız topolojisinde ise tüm düğümler merkezi bir dağıtıcıya, yani bir anahtara veya erişim noktasına bağlıdır. Bu yapıda ağın performansı merkezi cihazın kapasitesine bağlıdır ancak her cihazın bağımsız kablolanması veri iletim hızını artırır. Ağların coğrafi kapsamına göre sınıflandırılması, kişisel alan ağından geniş alan ağına kadar uzanan bir yelpazeyi kapsar. Kişisel alan ağı yani PAN, bir oda içerisindeki kişisel cihazların Bluetooth veya USB gibi teknolojilerle birbirine bağlanmasıdır. Yerel alan ağı yani LAN, ev veya ofis gibi sınırlı alanlardaki cihazların Ethernet veya Wi-Fi üzerinden yüksek hızda haberleşmesini sağlar. Büyükşehir alan ağı yani MAN, bir şehri kapsayan ve genellikle fiber optik hatlarla LAN'ları birbirine bağlayan yapıdır. Geniş alan ağı yani WAN ise ülkeler veya kıtalar arası mesafeleri kapsar. Dünyanın en büyük WAN yapısı İnternet'tir. Uzak mesafelerdeki cihazların güvenli bir şekilde yerel ağa dahil edilmesi ise VPN teknolojisi ile mümkün olmaktadır. Ağ modelleri ve protokolleri, farklı cihazların standart bir dille haberleşmesini sağlar. Bu alanda iki temel model bulunmaktadır: OSI referans modeli ve TCP/IP protokol modeli. OSI modeli, ağ iletişimini yedi katmana ayırarak süreci kavramsallaştırır. Bu katmanlar aşağıdan yukarıya doğru; fiziksel, veri bağlantısı, ağ, taşıma, oturum, sunum ve uygulama katmanlarıdır. Her katmanda veriye eklenen bilgilerle oluşan birimlere Protokol Veri Birimi yani PDU denir. PDU'lar taşıma katmanında segment, ağ katmanında paket, veri bağlantısı katmanında çerçeve ve fiziksel katmanda bit olarak adlandırılır. TCP/IP modeli ise daha uygulama odaklıdır ve dört katmandan oluşur: ağ erişim, internet, taşıma ve uygulama katmanları. OSI modelindeki oturum, sunum ve uygulama katmanları, TCP/IP modelinde tek bir uygulama katmanı altında toplanmıştır. Uygulama katmanı hizmetleri, kullanıcıların ağ kaynaklarına erişimini sağlayan protokolleri içerir. Bu hizmetlerin yönetimi için bağlantı noktaları yani port numaraları kullanılır. ICANN tarafından yönetilen bu numaralar bir ile altmış beş bin beş yüz otuz beş arasındadır. bir ile bin yirmi üç arasındaki portlar iyi bilinen bağlantı noktaları olarak adlandırılır. Örneğin, alan adı sistemi olan DNS elli üç numaralı portu kullanır. DNS, hiyerarşik bir yapıda çalışarak ana bilgisayar adlarını IP adreslerine dönüştürür. Bu sistemin tepesinde dünya genelinde on üç adet kök sunucu bulunur. Web trafiği için kullanılan HTTP seksen numaralı portu, güvenli versiyonu olan HTTPS ise dört yüz kırk üç numaralı portu kullanır. Web kaynakları URI, URL ve URN gibi tanımlayıcılarla belirtilir. URL, kullanılan protokolü ve kaynağın ağ üzerindeki konumunu tam olarak tanımlar. Diğer önemli uygulama katmanı protokolleri arasında, ağdaki cihazlara otomatik IP adresi atayan DHCP bulunmaktadır. DHCP sunucusu, IP adreslerinin benzersizliğini sağlayarak yapılandırma hatalarını önler. E-posta hizmetlerinde ise e-posta gönderimi için SMTP yirmi beş numaralı portu, e-postaların alınması için POP3 yüz on numaralı portu veya IMAP yüz kırk üç numaralı portu kullanır. Dosya transferi için kullanılan FTP protokolü, kontrol işlemleri için yirmi bir, veri aktarımı için yirmi numaralı portu kullanır. Uzaktan cihaz yönetimi için kullanılan Telnet yirmi üç numaralı port üzerinden şifresiz iletişim kurarken, daha güvenli bir alternatif olan SSH yirmi iki numaralı portu kullanır ve trafiği şifreler. Basit ağ yönetim protokolü olan SNMP ise yüz altmış bir numaralı port üzerinden ağ cihazlarının izlenmesini ve yapılandırılmasını sağlar. Taşıma katmanı, uç noktalar arasındaki iletişimin mantıksal olarak kurulmasından, akış kontrolünden ve verilerin doğru sırada teslim edilmesinden sorumludur. Bu katmanda iki temel protokol görev yapar: TCP ve UDP. TCP, bağlantı temelli ve güvenilir bir iletim sağlarken; UDP, bağlantısız ve daha hızlı ancak hata kontrolü yapmayan bir iletim sunar. Finansal sistemlerin denetimi ve güvenliği açısından, bu protokollerin ve portların doğru yapılandırılması, yetkisiz erişimlerin engellenmesi ve veri bütünlüğünün korunması hayati önem taşımaktadır. Sınav hazırlık sürecinde, özellikle port numaraları, OSI katmanlarının görevleri ve ağ topolojilerinin avantaj ile dezavantajları arasındaki farklara odaklanılması gerekmektedir. Bilgi sistemleri ve ağ güvenliği dersimizin bu bölümünde, ağ iletişiminin temelini oluşturan protokolleri, adresleme yapılarını ve ağ altyapısını oluşturan donanımsal unsurları derinlemesine inceleyeceğiz.
Bölüm 4
Bilgi sistemleri ve ağ güvenliği dersimizin bu bölümünde, ağ iletişiminin temelini oluşturan protokolleri, adresleme yapılarını ve ağ altyapısını oluşturan donanımsal unsurları derinlemesine inceleyeceğiz. Sermaye piyasası kurumlarının bilgi sistemleri denetimi ve güvenliği açısından bu teknik detaylar, sistemlerin nasıl çalıştığını ve hangi noktalarda zafiyet oluşabileceğini anlamak adına kritik öneme sahiptir. Ağ iletişiminde cihazların birbirini tanıması ve veri alışverişinde bulunabilmesi için belirli kurallar dizisine, yani protokollere ihtiyaç duyulur. Bu noktada DHCP protokolü ile başlayalım. TCP ve IP tabanlı ağlarda her cihazın iletişim kurabilmesi için bir IP adresine sahip olması zorunludur. Cihazların IP adresleri statik olarak, yani elle ayarlanabileceği gibi, DHCP protokolü sayesinde bu süreç otomatikleştirilebilir. DHCP sunucusu, ağdaki son kullanıcı cihazlarına IP adresi, varsayılan ağ geçidi, alt ağ maskesi ve DNS sunucusu bilgilerini otomatik olarak atar. Bu merkezi yönetim, ağdaki IP adreslerinin benzersiz olmasını sağlar ve yönetimsel hataları minimize eder. Sınav hazırlığı sürecinde, DHCP'nin IP yönetimini kolaylaştıran ve çakışmaları önleyen bir uygulama katmanı protokolü olduğunu bilmeniz gerekmektedir. E-posta iletişimi de belirli protokoller üzerinden yürütülür. SMTP, yani Basit Posta Gönderim Protokolü, e-posta sunucuları arasında ileti gönderimi ve alımı için kullanılır ve bu işlem için yirmi beş numaralı bağlantı noktası ayrılmıştır. Kullanıcıların e-postalarına erişimi ise POP3 ve IMAP protokolleri ile sağlanır. POP3 protokolü yüz on numaralı bağlantı noktasını kullanır ve gelen e-postaları istemciye indirdikten sonra varsayılan olarak sunucudan siler. Buna karşın IMAP protokolü yüz kırk üç numaralı port üzerinden çalışır ve e-postalar istemci tarafından silinmediği sürece sunucuda tutulmaya devam eder. Bu iki protokol arasındaki temel fark, verinin sunucuda saklanma biçimidir ve bu ayrım denetim süreçlerinde veri yedekliliği açısından önem arz eder. Ağ cihazlarının yönetimi ve izlenmesi söz konusu olduğunda SNMP protokolü devreye girer. Basit Ağ Yönetim Protokolü olarak adlandırılan bu yapı, cihazların performans bilgilerinin sorgulanmasına ve konfigürasyonlarının uzaktan yapılmasına olanak tanır. Dosya transferi için ise FTP protokolü kullanılır. FTP, istemci ve sunucu arasında iki farklı port üzerinden iletişim kurar. Oturum açma ve kontrol komutları için yirmi bir numaralı port kullanılırken, asıl veri dosyasının aktarımı yirmi numaralı port üzerinden gerçekleştirilir. Sınavda FTP'nin bu çift portlu yapısı sıklıkla sorulabilmektedir. Uzaktan erişim protokolleri arasında Telnet ve SSH ayrımı güvenlik açısından hayati bir konudur. Telnet, uzak bir bilgisayarda komut satırı kullanılmasına izin verir ancak trafiği şifrelemediği için dinlemelere karşı savunmasızdır. Bu nedenle modern ağlarda Telnet yerine, yirmi iki numaralı portu kullanan ve kriptografik bir koruma sağlayan SSH protokolü tercih edilmelidir. Güvenlik denetimlerinde Telnet'in devre dışı bırakılıp bırakılmadığı her zaman kontrol edilen bir husustur. Şimdi taşıma katmanı protokolleri olan TCP ve UDP konularına geçelim. Taşıma katmanı, cihazlar arasında mantıksal bir bağlantı kurmaktan, akış kontrolünden ve verilerin doğru sırada teslim edilmesinden sorumludur. TCP, bağlantı odaklı bir protokoldür. Veri gönderilmeden önce üç yollu el sıkışma adı verilen bir süreç işletilir. Bu süreçte istemci önce bir senkronizasyon mesajı gönderir, sunucu buna senkronizasyon ve onay mesajı ile yanıt verir, son olarak istemci tekrar bir onay mesajı göndererek bağlantıyı kurar. TCP; sıra numaraları, alındı bildirimleri ve akış kontrolü özellikleri sayesinde verinin hedefe hatasız ulaştığını garanti eder. Akış kontrolü, alıcının tampon belleğinin aşılmasını önlerken, tıkanıklık kontrolü hattın kapasitesine göre paket gönderimini düzenler. Ancak bu güvenlik ve doğrulama mekanizmaları, TCP başlık bilgisinin yirmi ile altmış bayt arasında olmasına ve ek bant genişliği tüketimine neden olur. UDP ise TCP'den farklı olarak bağlantısız bir protokoldür. Üç yollu el sıkışma yapmaz ve verinin ulaşıp ulaşmadığını kontrol etmez. Bu yüzden en iyi çabalı protokol olarak tanımlanır. UDP başlık bilgisi sadece sekiz bayttır, bu da onu TCP'ye göre çok daha hızlı kılar. Ses akışı ve görüntülü konuşma gibi hızın kritik olduğu, küçük veri kayıplarının tolere edilebildiği durumlarda UDP tercih edilir. Ayrıca UDP, çoklu gönderim yani multicast ve broadcast işlemlerini desteklerken, TCP genellikle tek bir alıcıya yönelik çalışır. Sınavda bu iki protokolün başlık boyutları ve güvenilirlik farkları sıklıkla karşılaştırılmaktadır. İnternet katmanına geçtiğimizde en yaygın protokolün IP olduğunu görmekteyiz. Bu katmanda veriler paket olarak adlandırılır ve yönlendirme işlemleri IP adresleri üzerinden yapılır. Bir cihazın hedefinin yerel ağda mı yoksa uzak bir ağda mı olduğu alt ağ maskesi kullanılarak belirlenir. Eğer hedef uzak bir ağdaysa, paket varsayılan ağ geçidine yönlendirilir. IP, bağlantısız bir protokoldür ve her paket ağ koşullarına göre farklı yollar izleyebilir. Bu katmanda ayrıca hata mesajları için ICMP ve çoklu dağıtım gruplarını yönetmek için IGMP protokolleri bulunur. IP adresleme yapısını detaylandırmak gerekirse, günümüzde IPv4 ve IPv6 olmak üzere iki ana sürüm mevcuttur. IPv4 adresleri otuz iki bit uzunluğundadır ve sekiz bitlik dört gruptan, yani oktetlerden oluşur. Bu adresler insanlar için noktalı ondalık formatta, örneğin yüz doksan iki.yüz altmış sekiz nokta bir nokta on bir şeklinde gösterilir. Her oktet sıfır ile iki yüz elli beş arasında bir değer alabilir. IPv4 adresleri hiyerarşik bir yapıdadır ve ağ bölümü ile ana bilgisayar bölümü olmak üzere ikiye ayrılır. Alt ağ maskesi, bu ayrımın nerede yapıldığını belirler. Örneğin iki yüz elli beş bin iki yüz elli beş.iki yüz elli beş nokta sıfır maskesi, ilk üç oktetin ağ adresi olduğunu gösterir. Bir ağdaki toplam cihaz sayısı hesaplanırken, ağ adresi ve yayın adresi atanamayacağı için toplam adresten iki çıkarılır. IPv4 adresleri sınıflı ve sınıfsız olarak iki şekilde yönetilir. Sınıflı yapıda A sınıfı sıfır nokta sıfır nokta sıfır nokta sıfır ile yüz yirmi yedi milyar iki yüz elli beş milyon iki yüz elli beş bin iki yüz elli beş aralığındadır ve varsayılan öneki sekiz'dir. B sınıfı yüz yirmi sekiz nokta sıfır nokta sıfır nokta sıfır ile yüz doksan bir milyar iki yüz elli beş milyon iki yüz elli beş bin iki yüz elli beş aralığında olup öneki on altı'dır. C sınıfı ise yüz doksan iki nokta sıfır nokta sıfır nokta sıfır ile iki yüz yirmi üç milyar iki yüz elli beş milyon iki yüz elli beş bin iki yüz elli beş aralığındadır ve öneki yirmi dört'tür. D sınıfı çoklu yayın, E sınıfı ise deneysel amaçlar için ayrılmıştır. Ancak günümüzde IP adreslerinin daha verimli kullanılması için CIDR ve VLSM gibi sınıfsız adresleme yöntemleri kullanılmaktadır. İnternet üzerinde yönlendirilemeyen, sadece yerel ağlarda kullanılan özel IP adres bloklarını bilmek sınav açısından çok önemlidir. A sınıfı için özel blok on nokta sıfır nokta sıfır nokta sıfır ile on milyar iki yüz elli beş milyon iki yüz elli beş bin iki yüz elli beş arasıdır. B sınıfı için yüz yetmiş iki nokta on altı nokta sıfır nokta sıfır ile yüz yetmiş iki nokta otuz bir nokta iki yüz elli beş nokta iki yüz elli beş arası, C sınıfı için ise yüz doksan iki.yüz altmış sekiz nokta sıfır nokta sıfır ile yüz doksan iki milyar yüz altmış sekiz milyon iki yüz elli beş bin iki yüz elli beş arası özel adresler için ayrılmıştır. IPv4 adreslerinin tükenmesi nedeniyle geliştirilen IPv6, yüz yirmi sekiz bit uzunluğundadır ve onaltılık sayı sisteminde sekiz grup halinde gösterilir. IPv6'da broadcast yayını yoktur; bunun yerine unicast, anycast ve multicast yöntemleri kullanılır. IPv6 adresleri yazılırken baştaki sıfırlar atılabilir ve ardışık sıfır grupları bir kez olmak şartıyla çift iki nokta üst üste işaretiyle kısaltılabilir. IPv4 ve IPv6 arasındaki temel farklardan biri de güvenliktir; IPv6'da IPSec desteği dahili olarak gelirken IPv4'te bu isteğe bağlıdır. Ayrıca IPv6'da paket başlığı sağlama toplamı bulunmaz, bu da yönlendirme hızını artırır. Ağ iletişiminin fiziksel ve veri bağı katmanlarını kapsayan Ethernet standardına, yani IEEE sekiz yüz iki nokta üç'e geçelim. Bu katmanda veriler çerçeve olarak adlandırılır ve fiziksel MAC adresleri kullanılır. MAC adresi, ağ kartı üretilirken atanan kırk sekiz bitlik benzersiz bir fiziksel adrestir. Bir cihazın IP adresinden MAC adresini bulmak için IPv4'te ARP protokolü kullanılır. ARP sürecinde cihaz bir yayın yaparak ilgili IP'ye sahip olanın MAC adresini bildirmesini ister. Bu bilgiler daha sonra ARP tablosunda saklanır. Kapsülleme kavramı da burada önem kazanır; üst katmandan gelen verinin alt katman protokolü içine yerleştirilmesi işlemine kapsülleme denir. Ağ altyapısını oluşturan donanımlara baktığımızda, tekrarlayıcılar ve hublar birinci katman cihazlarıdır. Hublar, gelen sinyali tüm portlara gönderdikleri için aynı çarpışma etki alanı içinde çalışırlar ve bu durum ağ verimliliğini düşürür. Köprüler ve anahtarlar, yani switchler ise ikinci katman cihazlarıdır. Bu cihazlar MAC adres tablosu tutarak trafiği sadece ilgili porta yönlendirir ve çarpışma alanlarını birbirinden ayırır. Birbirinden broadcast mesajı alabilen cihazlar grubu ise yayın etki alanı olarak tanımlanır. VLAN teknolojisi, fiziksel ağın mantıksal olarak daha küçük parçalara bölünmesini sağlayarak trafik izolasyonu ve güvenlik sunar. Yönlendiriciler ise üçüncü katman cihazlarıdır ve IP paketlerini mantıksal adreslere göre farklı ağlar arasında iletirler. Kablosuz yerel alan ağları, yani WLAN, IEEE sekiz yüz iki nokta on bir standartları ile tanımlanır ve Wi-Fi olarak bilinir. Kablosuz ağlarda güvenlik WEP, WPA, WPA2 ve WPA3 protokolleri ile sağlanır. WEP protokolü RC4 algoritmasını kullanır ve günümüzde güvensiz kabul edilir. WPA2 ise AES şifreleme algoritması ile daha güçlü bir koruma sunar. En güncel standart olan WPA3 ise en gelişmiş şifreleme tekniklerini içerir. Kablosuz ağ mimarisinde erişim noktası, yani AP, kablosuz cihazlar ile kablolu ağ arasında bir köprü görevi görür. Her kablosuz ağın SSID adı verilen bir tanımlayıcısı vardır ancak erişim noktasını asıl benzersiz kılan BSSID, yani cihazın MAC adresidir. Wi-Fi kuşaklarını ve hızlarını bilmek teknolojik gelişim sürecini anlamak adına faydalıdır. Wi-Fi dört sekiz yüz iki.11n standardıyla altı yüz megabit hıza ulaşırken, Wi-Fi beş sekiz yüz iki.11ac ile altı bin dokuz yüz otuz üç megabit hıza çıkmıştır. Wi-Fi altı ve 6E ise sekiz yüz iki.11ax standardıyla dokuz bin altı yüz sekiz megabit hıza ulaşabilmektedir. En yeni kuşak olan Wi-Fi yedi ise sekiz yüz iki.11be standardıyla kırk altı bin yüz yirmi megabit gibi çok yüksek hızları hedeflemektedir. Kablosuz ağların doğası gereği dinlenmeye, sinyal karıştırılmasına ve yetkisiz erişim noktalarına karşı zafiyetleri bulunmaktadır. Dersimizin son bölümünde bilgi sistemleri altyapısı risk alanlarını ele alacağız. Bir kurumun ağ güvenliğini sağlamak için altyapıyı yedi temel alanda incelemek mümkündür. İlk alan kullanıcılardır. Kullanıcılar, farkındalık eksikliği, sosyal mühendislik, oltalama saldırıları veya kasıtlı kötü niyetli eylemler nedeniyle en büyük risk faktörünü oluştururlar. İkinci alan iş istasyonlarıdır. Masaüstü ve dizüstü bilgisayarlar ile mobil cihazlar, yetkisiz erişim, zararlı yazılımlar ve işletim sistemi açıklıkları gibi risklerle karşı karşıyadır. Özellikle kullanıcıların kendi cihazlarını iş yerinde kullanması, yani BYOD yaklaşımı, bu alandaki riskleri artırmaktadır. Üçüncü alan yerel alan ağlarıdır. Katmansız düz ağ tasarımları, yetkisiz erişimler ve verilerin şifresiz transferi bu alandaki temel risklerdir. Dördüncü alan olan yerel ve uzak arası alan, kurumun dış dünyaya açıldığı sınır bölgesidir. Güvenlik duvarları ve saldırı tespit sistemlerinin bulunduğu bu bölgede, iç kaynaklara yetkisiz erişim ve uzak bağlantı kesintileri kritik risklerdir. Beşinci alan uzak alan ağları, yani WAN yapılarıdır. Servis sağlayıcı altyapısındaki zayıflıklar ve servis dışı bırakma saldırıları bu bölgede öne çıkar. Altıncı alan uzaktan erişimdir ve evden veya sahadan çalışanların şirket kaynaklarına erişimini kapsar. Son alan ise sistemler ve uygulamalar alanıdır ki burada sunucu güvenliği ve yazılım zafiyetleri odak noktasıdır. Bu yedi katmanlı risk yaklaşımı, bir kurumun güvenlik stratejisini belirlerken hiçbir noktayı atlamamasını sağlar. Sınavda bu risk alanlarının her birine özgü tehditler ve bu tehditlere karşı alınabilecek önlemler sıklıkla sorulmaktadır. Özellikle kullanıcı farkındalığının artırılması ve katmanlı güvenlik mimarisinin uygulanması, modern bilgi sistemleri denetiminin temel taşlarını oluşturmaktadır. Bu teknik detaylar ve protokol bilgileri, sadece sınav başarısı için değil, profesyonel hayatta güvenli bir finansal bilişim altyapısı kurmak ve yönetmek için de elzemdir. Bilgi sistemleri altyapısının güvenliğini sağlamak amacıyla geliştirilen katmanlı güvenlik yaklaşımı, ağ ortamı ile birlikte ağa temas eden tüm alanlarda kapsamlı tedbirlerin alınmasını öngörmektedir.
Bölüm 5
Bilgi sistemleri altyapısının güvenliğini sağlamak amacıyla geliştirilen katmanlı güvenlik yaklaşımı, ağ ortamı ile birlikte ağa temas eden tüm alanlarda kapsamlı tedbirlerin alınmasını öngörmektedir. Bu çerçevede bilgi sistemleri altyapısı belirli risk alanlarına ayrılmaktadır. Katmanlı güvenlik yaklaşımının ilk halkasını kullanıcılar alanı oluşturur. Bu alan, şirket bilgi sistemlerine erişmek isteyen insanları ve süreçleri tanımlamaktadır. Kullanıcılar, kendilerine tanımlanan yetkiler dahilinde sistemlere, uygulamalara ve verilere erişim sağlarlar. Ancak bu noktada kullanıcıların, kullandıkları sistemlerin güvenliğinden bizzat sorumlu oldukları unutulmamalıdır. Kullanıcılar alanındaki temel riskler arasında güvenlik farkındalığı eksikliği, kasıtlı kötü amaçlı etkinlikler, sosyal mühendislik ve oltalama saldırıları ile kullanıcı ihmalleri ve hataları yer almaktadır. Sınav hazırlık sürecinde kullanıcı faktörünün güvenliğin en zayıf halkası olarak nitelendirildiğini ve risklerin büyük bir kısmının bu alandan kaynaklandığını bilmek önem arz etmektedir. İkinci savunma katmanını iş istasyonları oluşturur. İş istasyonları, ağa bağlantı sağlayan masaüstü ve dizüstü bilgisayarlar, akıllı telefonlar ve tabletler gibi son kullanıcı cihazlarını kapsamaktadır. Bu cihazlar verileri yerel olarak işleyip saklayabileceği gibi, işlemler sunucu kaynakları veya bulut ortamları üzerinden de yürütülebilir. İş istasyonları alanında karşılaşılan başlıca riskler, yetkisiz kullanıcı erişimi, zararlı yazılımların bulaşması, işletim sistemlerindeki güvenlik açıklıkları ve kullanıcıların kendi cihazlarını getirmesi olarak bilinen BYOD uygulamalarıdır. Üçüncü savunma katmanı ise yerel alan ağlarıdır. Yerel alan ağlarında kenar anahtarlar, yönlendiriciler ve kablosuz erişim noktaları vasıtasıyla kurumsal bir bağlantı ortamı oluşturulur. Şirket genelindeki sistem ve servislere erişimin yanı sıra internet erişimi de bu alan üzerinden gerçekleşir. Bu alandaki riskler arasında katmansız düz ağ tasarımı, ağa yetkisiz erişim, gizli bilgilerin güvensiz ortamlarda saklanması veya şifresiz transferi ile zararlı yazılımların yayılması bulunmaktadır. Sınavda yerel alan ağlarının yönetimi ve erişim kontrollerinin etkinliği sıklıkla sorgulanan konular arasındadır. Dördüncü alan olan yerel ve uzak arası alan, kurumsal yerel alan ağının dış dünyaya veya internete bağlandığı sınır bölgesidir. Bu alan, şirketin dış dünya ile iletişim ihtiyacını karşılarken aynı zamanda internetten gelebilecek tehlikelere karşı bir savunma hattı oluşturur. Bu bölgede yönlendiriciler, güvenlik duvarları, saldırı tespit ve önleme sistemleri ile vekil sunucular gibi güvenlik çözümleri işletilir. Buradaki temel riskler iç kaynaklara yetkisiz erişim, zararlı yazılımlar, güvenlik cihazlarındaki zayıflıklar ve uzak alan bağlantılarındaki kesintilerdir. Beşinci güvenlik katmanı ise uzak alan ağlarıdır. Bu alan, uzak bölgelerin birbirine bağlandığı harici şirketleri ve uç noktaları içeren ağ ortamını temsil eder. Telekomünikasyon hizmet sağlayıcıları üzerinden sunulan bu hizmetlerde sanal özel ağlar yani VPN ve tünelleme yöntemleri kullanılır. Uzak alan ağlarının riskleri arasında kaynağı belirsiz zararlı yazılım saldırıları, servis dışı bırakma saldırıları, şifresiz transfer edilen bilgiler ve hizmet sağlayıcı altyapısındaki zayıflıklar yer almaktadır. Uzaktan erişim alanı, sahada veya evde çalışan kullanıcıların şirket kaynaklarına erişimini kapsar. Bu noktada mahremiyetin sağlanması ve yerel ağ güvenliğinin tehlikeye atılmaması esastır. İnternet üzerinden kurum içi kaynaklara erişimde kimlik tanıma, doğrulama ve yetkilendirme kontrolleri titizlikle uygulanmalıdır. Uzaktan erişimde mobil cihazların kaybolması, yetkisiz erişimler ve güvensiz internet bağlantıları en kritik risk unsurlarıdır. Son katman ise sistem ve uygulamalar alanıdır. Kurumsal verinin bulunduğu bu alan, saldırganların nihai hedefidir. Ağ güvenliğine yönelik tüm kontroller aslında bu katmandaki bilgiyi korumayı amaçlar. Bu alanda fiziksel veya mantıksal yetkisiz erişimler, yazılımsal ve donanımsal arızalar ile güncelleme ve konfigürasyon eksiklikleri temel riskler olarak karşımıza çıkar. Bilgi sistemlerindeki zafiyetler, tehditler tarafından kullanılarak gizlilik, bütünlük ve erişilebilirlik ilkelerine zarar verebilir. Özellikle kötü niyetli tehditler, kritik verilerin kaybı ve finansal bilgilerin çalınması gibi ciddi sorunlara yol açabilmektedir. Bilgi sistemleri güvenliğini tehdit eden kişilerin tanınması, savunma stratejilerinin geliştirilmesi açısından elzemdir. Tehdit aktörü kavramı, bir kuruluşun güvenliğini etkileyen veya etkileme potansiyeli olan olaydan sorumlu olan en geniş varlık grubunu tanımlar. Bu aktörlerin teknik becerisi olması gerekmediği gibi, saldırı dışındaki durumlar için de bu terim kullanılabilir. Bilgisayar korsanı veya hacker ise, yasadışı yollarla sistemlere erişim sağlayan ve müdahale eden kişidir. Geleneksel olarak bu kişiler güvenlik açıklıklarını ve istismarları kullanırlar. Saldırgan terimi ise kaynaklara ve verilere zarar vermeye, ifşa etmeye veya yetkisiz erişim elde etmeye çalışan kişi veya kuruluşları ifade eder. Saldırganlar tahribat yaratmak için her türlü yöntemi kullanabilirler. Örneğin, içeriden bir çalışan yetkilerini kötüye kullanarak dosya silebilir. Bu durum bir saldırı eylemidir ancak teknik bir açık kullanılmadığı için her zaman bir hacker eylemi olmayabilir. Sınavda tehdit aktörlerinin içerdekiler ve dışardakiler olarak ikiye ayrıldığını bilmek gerekir. Dışardakiler arasında devlet destekli gruplar, organize suç örgütleri ve siber teröristler bulunurken; içerdekiler arasında sistem yöneticileri, yazılım geliştiricileri ve son kullanıcılar yer almaktadır. Saldırı aşamalarını anlamak için siber ölüm zinciri olarak adlandırılan metodolojiyi incelemek gerekir. Bu süreç yedi temel adımdan oluşur. İlk adım olan keşif aşamasında, hedef sistemle ilgili bilgiler toplanır. Bu süreç aktif veya pasif olabilir. Aktif keşifte sistemle doğrudan etkileşime geçilirken, pasif keşifte arama motorları gibi dolaylı kaynaklar kullanılır. İkinci aşama olan silahlanma evresinde, tespit edilen zafiyetlere yönelik zararlı yazılımlar hazırlanır. Üçüncü aşama olan iletme evresinde, bu yazılımlar hedef sisteme ulaştırılır. Dördüncü aşama sömürme aşamasıdır ve burada zafiyetler kullanılarak sisteme erişim sağlanır. Beşinci aşama olan yükleme evresinde, zararlı yazılım sistem üzerine kurulur ve kalıcılık sağlanmaya çalışılır. Altıncı aşama komuta ve kontrol aşamasıdır; burada saldırgan ile sistem arasında bir iletişim kanalı kurulur. Son aşama olan eylem aşamasında ise veri çalma veya silme gibi nihai hedefler gerçekleştirilir. Sınavda bu aşamaların sırası ve her birinin içeriği sıklıkla sorulmaktadır. Saldırıların temel amaçları arasında erişimi engelleme, verileri değiştirme, veri sızdırma ve sistemi başka noktalara sıçramak için bir başlangıç noktası olarak kullanma yer alır. Saldırı vektörleri ise bu amaçlara ulaşmak için kullanılan yollardır. Bunlar erişilebilirliğe yönelik saldırılar, kişilere yönelik saldırılar ve bilgi sistemi varlıklarına yönelik saldırılar olarak üç kategoride sınıflandırılabilir. Sosyal mühendislik saldırıları, güvenliğin en zayıf halkası olan insanı hedef alır. Bu saldırılarda otorite kurma, sosyal kanıt sunma, çöplük dalışı yapma, aşinalık oluşturma, aldatmaca, kimliğe bürünme, tehdit etme, kıtlık algısı yaratma ve omuzda gezinme gibi taktikler kullanılır. Ayrıca kısa mesaj yoluyla yapılan oltalama saldırılarına smishing, sesli yapılanlara vishing, üst düzey yöneticileri hedef alanlara ise balina avcılığı veya whaling denilmektedir. Yetkili bir kişiyi fiziksel olarak takip ederek güvenli alana girmeye ise tailgating veya yancı geçiş adı verilir. Bu terimlerin tanımları sınav sorularında doğrudan karşınıza çıkabilir. Kablosuz ağ saldırıları da bilgi sistemleri için ciddi bir tehdit oluşturmaktadır. Bluetooth cihazlara anonim mesaj gönderilmesine bluejacking, iletişim trafiğinin dinlenmesine ise bluesnarfing denir. Gerçek bir kablosuz ağ yayınının taklit edilmesine kötü ikiz veya evil twin saldırısı adı verilir. Frekans bozma yoluyla erişimin engellenmesi jamming olarak tanımlanırken, ağ üzerinden geçen paketlerin yakalanması sniffing olarak adlandırılır. Ayrıca bir araba ile gezerek açık kablosuz ağ aranması eylemine war driving, bu ağların coğrafi konumlarının işaretlenmesine ise war chalking denilmektedir. Web uygulama saldırıları tarafında ise SQL enjeksiyonu, çapraz site betik saldırısı olan XSS ve çapraz site talep sahteciliği olan CSRF en yaygın yöntemlerdir. SQL enjeksiyonunda veritabanı komutları değiştirilirken, XSS saldırısında web sunucusuna zararlı komut dosyaları enjekte edilir. Sıfır gün veya zero day saldırıları ise henüz bir yaması veya savunması bulunmayan yeni zafiyetlerin kullanılmasıdır. Zararlı yazılımlar veya malware dünyasında farklı türler mevcuttur. Yazılım hataları olan buglar, tek başlarına zararlı olmasalar da zafiyet oluştururlar. Solucanlar veya wormlar, yayılmak için bir ana programa ihtiyaç duymayan, ağ üzerinden kendi kopyalarını çoğaltabilen bağımsız programlardır. Virüsler ise çoğalmak için bir kullanıcı eylemine ve bir ana dosyaya ihtiyaç duyarlar. Truva atları veya trojanlar, kendilerini meşru bir yazılım gibi göstererek sisteme sızarlar ve arka kapı oluştururlar ancak virüslerin aksine kendilerini kopyalamazlar. Verileri şifreleyerek para talep eden yazılımlara fidye yazılımı veya ransomware denir. Kullanıcı etkinliklerini gizlice izleyen yazılımlar casus yazılım, sürekli reklam gösterenler ise reklam yazılımı olarak tanımlanır. Sınavda virüs ve solucan arasındaki fark ile truva atının temel özellikleri sıklıkla sorulan teknik detaylardır. Günümüzde ağ güvenliği çözümlerinde sıfır güven veya zero trust yaklaşımı ön plana çıkmaktadır. Bu paradigma, asla güvenme ve daima doğrula ilkesine dayanır. Sıfır güven mimarisinde, kullanıcıların fiziksel konumuna veya ağın yerel olup olmamasına bakılmaksızın hiçbir örtülü güven verilmez. Her erişim isteği sürekli olarak doğrulanmalı ve yetkilendirilmelidir. Bu yaklaşım, geleneksel çevre tabanlı savunma yöntemlerinin yetersiz kaldığı bulut bilişim ve uzaktan çalışma döneminde kritik bir öneme sahiptir. Güvenlik stratejileri arasında derinliğine savunma ve genişliğine savunma kavramları da yer alır. Derinliğine savunma, saldırganın önüne birden fazla engel çıkarmak için katmanlı savunma mekanizmaları kurmaktır. Bir katman aşılsa bile diğer katmanın koruma sağlaması amaçlanır. Genişliğine savunma ise sistem yaşam döngüsünün her aşamasında ve OSI modelinin her katmanında güvenliği sağlamayı hedefler. Sınavda bu iki strateji arasındaki farklar ve uygulama alanları önem taşımaktadır. Ağ güvenliği riskleri temel olarak keşif, dinleme ve hizmet engelleme olarak üç kategoride incelenir. Keşif faaliyetlerini önlemek için sistemler ağda en az bilgi sağlayacak şekilde yapılandırılmalıdır. Dinleme riskine karşı kablolamaya fiziksel erişim kısıtlanmalı ve veriler şifrelenmelidir. Hizmet engelleme veya DoS saldırılarına karşı ise yeterli bant genişliği ve yüksek kapasiteli güvenlik sistemleri kullanılmalıdır. Temel ağ güvenliği kontrolleri arasında segmentasyon, kullanıcı ve makine doğrulaması, şifreleme, saldırı tespit ve engelleme sistemleri ile balküpü veya honeypot olarak adlandırılan tuzak sistemler yer alır. Veri sızıntısı önleme sistemleri olan DLP çözümleri de hassas bilgilerin dışarı çıkmasını engellemek için kullanılır. Ağ güvenlik bölgeleri, şirketlerin güvenlik mimarisini dengeli ve katmanlı bir yapıda kurmalarını sağlar. Kamusal bölge, internet gibi kontrol edilemeyen ve tehdit düzeyinin en yüksek olduğu alandır. Kamusal erişim bölgesi ise iç ağ ile dış dünya arasındaki tampon bölgedir; burada vekil sunucular ve dışa açık hizmetler bulunur. Çalışma bölgesi, rutin operasyonların yürütüldüğü ve son kullanıcı sistemlerinin bulunduğu alandır. Kısıtlı bölge ve yüksek kısıtlı bölge ise kritik uygulamaların ve hassas verilerin bulunduğu, erişimin çok sıkı kontrol edildiği alanlardır. Bu bölgelere kamusal bölgeden doğrudan erişim sağlanamaz. Yönetim bölgesi ise ağ ve sistem yöneticilerinin yapılandırma işlemlerini gerçekleştirdiği yalıtılmış bir ortamdır. Sınavda bu bölgelerin hiyerarşisi ve hangi bölgede hangi tür sistemlerin bulunması gerektiği konusuna dikkat edilmelidir. Ağ güvenlik bölgelerini birbirinden izole etmek için kullanılan birincil araç güvenlik duvarlarıdır. Güvenlik duvarları, sağladığı erişim ve güvenlik kontrolleriyle dışarıdan gelen saldırılara karşı ilk savunma hattını oluşturur. Güvenlik stratejileri arasında yer alan belirsizlik yoluyla güvenlik yöntemi, temel yapılandırma ayarlarının değiştirilmesi ve normal dışı konfigürasyonlar yapılması esasına dayanır. Ancak bu yöntemin tek başına yeterli bir güvenlik sağlamayacağı, yalnızca saldırganın işini zorlaştıracağı unutulmamalıdır. Bilgi sistemleri denetiminde ağın fiziksel güvenliği, trafik şifrelemesi, ağ mimarisinin etkinliği ve izleme yazılımlarının kullanımı gibi hususlar titizlikle incelenmelidir. Özellikle bant genişliği kullanımının izlenmesi, ağ üzerindeki darboğazların ve olası saldırıların tespit edilmesi açısından kritik bir kontroldür. Bu kapsamlı yapı içerisinde her bir kontrolün bir bütünün parçası olduğu ve güvenliğin ancak en zayıf halka kadar güçlü kalabileceği temel bir prensip olarak kabul edilmelidir. Ağ güvenliği mimarisinde yönetimsel izleme mekanizmalarının kurulması, sistemin sürdürülebilirliği açısından temel bir gerekliliktir. Bu kapsamda ağ güvenlik bölgelerinin sınıflandırılmasında yüksek kısıtlı bölge kavramı kritik bir öneme sahiptir.
Bölüm 6
Ağ güvenliği mimarisinde yönetimsel izleme mekanizmalarının kurulması, sistemin sürdürülebilirliği açısından temel bir gerekliliktir. Bu kapsamda ağ güvenlik bölgelerinin sınıflandırılmasında yüksek kısıtlı bölge kavramı kritik bir öneme sahiptir. Yüksek kısıtlı bölge, yüksek seviyede bütünlük ve erişilebilirlik gereksinimi duyan, güvenlik ihlallerinin insan sağlığını ve emniyetini tehlikeye atabilecek seviyede risk barındırdığı kritik uygulamalar ile yoğun hassas bilgi depoları için kurgulanmış, sıkı şekilde kontrol edilen bir ağ ortamıdır. Bu bölgenin en belirgin özelliği, kamusal bölge üzerinden doğrudan erişimin mümkün olmamasıdır. Bu bölgeye erişim ancak diğer kuruluşların kontrollü bölgeleri üzerinden gerçekleştirilebilir. Sınav hazırlık sürecinde bu bölgedeki ağ seviyesindeki varlıkların da kimlik doğrulamasının yapıldığını ve iç tehditlere karşı kısıtlı bölgeden daha sıkı kontroller uygulandığını bilmek önem arz eder. Hassas bilgilerin gizliliğinin korunması amacıyla hem fiziksel hem de ağ katmanında gerekli güvenlik kontrolleri eksiksiz sağlanmalıdır. Bir diğer ağ bölgesi olan kısıtlı dış ağ bölgesi, güvenilirlik seviyesi yüksek iş ortaklarıyla doğrudan bağlantılı dış ağ hizmetlerini destekleyen ortamı ifade eder. Bu bölgenin kamusal erişim bölgesiyle doğrudan bir bağlantı kurma zorunluluğu bulunmamaktadır. Kısıtlı dış ağ bölgesi için gereksinimler ve uygulamalar, mevcut duruma ve iş ortaklarıyla yapılan anlaşmalar çerçevesine göre değişkenlik gösterebilir. Yönetim bölgesi ise kısıtlı bölgeye benzer bir sağlamlık düzeyine sahip olup, ağ ve sistem yöneticilerinin bilgi sistemlerini yapılandırma ve izleme işlemlerini yürüttükleri yalıtılmış bir ortamdır. Bu bölge, müdahale veya güvenlik risklerini azaltacak şekilde tasarlanmıştır ve uzaktan yönetim için kullanılacak iş istasyonlarının mutlaka kimlik doğrulamasından geçmesi esastır. Ağ güvenlik bölgelerinin tamamı, kurumun genel güvenlik politikası kapsamında net bir şekilde tanımlanmalıdır. Her bir bölge için trafik yönetimi, güvenlik duvarlarının kullanımı, sanal özel ağ yani VPN bağlantıları, sistemlerin sağlamlaştırılması ve kötü niyetli kod taraması gibi güvenlik gereksinimleri titizlikle belirlenmelidir. Bu noktada temel bir kural mevcuttur; bir bölgede risk ne kadar büyükse, o bölgede alınması gereken güvenlik tedbirleri de o derece artırılmalıdır. Bölgeler arasındaki güven ilişkisi birbirine karıştırıldığında ağ güvenliğinin sağlanması karmaşık bir hal alır. Eğer iki bölgenin bağlantısında bir şüphe oluşursa, bağlantının geldiği bölgenin düşük güvenlikli ve yüksek riskli olduğu varsayılmalı, bağlanılan bölge için en üst düzey güvenlik tedbirleri uygulanmalıdır. Unutulmamalıdır ki ağ güvenliği ancak en zayıf halkası kadar güçlüdür. Bu nedenle ağa bağlanan tüm iş istasyonlarının güvenli bir işletim sistemi kullanması ve bu sistemlerin güvenlik sıkılaştırmalarının yapılması zorunludur. Ağların genel zafiyetleri arasında verilerin ele geçirilmesi, iletişimin kesintiye uğraması ve yetkisiz erişimler yer almaktadır. Bilgi sistemleri denetimi süreçlerinde ağın fiziksel güvenliği ile birlikte ağ trafiğinin şifrelenmesi hususu titizlikle incelenmelidir. İletişimin erişilebilirliği noktasında ilk kontrol, etkili bir ağ mimarisi ve ağ yönetim yazılımı ile yapılan izleme faaliyetleridir. Bu yazılımlar sayesinde bant genişliği kullanımı takip edilerek ağ üzerindeki dar boğazların önüne geçilebilir. Ağ erişimi, yönlendiriciler üzerindeki erişim kontrol listeleri ve uygun güvenlik duvarı çözümleriyle kısıtlanmalı, yalnızca izin verilen trafiğin geçişine olanak tanınmalıdır. Güvenlik duvarları, ağ güvenliği risk bölgelerini birbirinden izole etmek için kullanılan birincil araçlardır ve dışarıdan gelen saldırılara karşı ilk savunma hattını oluştururlar. Güvenlik duvarlarının konumlandırılmasında çeşitli stratejiler izlenmektedir. Bunlardan ilki belirsizlik yoluyla güvenlik stratejisidir. Bu yaklaşımda temel yapılandırma ayarlarının değiştirilmesi ve normal dışı konfigürasyonlar yapılması amaçlanır. Örneğin belirli bir portta çalışan hizmetin farklı bir porta taşınması veya ağ adreslerinin gizlenmesi temel saldırılara karşı bir miktar koruma sağlasa da, bu yöntem tek başına gerçek bir güvenlik çözümü sunmaz. Çünkü ağ tarama teknikleri ile bu engeller aşılabilir. Gerçek anlamda belirsizlik yoluyla güvenlik, saldırganların kullanılan teknolojiyi bilememesiyle sağlanır. Ağ güvenliğinin en temel kavramlarından biri olan en az ayrıcalık ilkesine geçelim. Bu ilke, kullanıcılara görevlerini yerine getirebilmeleri için gerekli olan en düşük erişim düzeyinin tanımlanmasını esas alır. Kullanıcıların her sisteme veya her dosyaya erişim ihtiyacının olmaması, bilgi sistemlerinin ele geçirilme riskini azaltır. Erişim denetimi kapsamında varsayılan reddet veya tümüne izin ver politikaları uygulanabilir. Varsayılan reddet politikasında tüm kaynaklara erişim başlangıçta engellenir ve sadece iş tanımlarına uygun istisnalar tanımlanır. Bu politika, güvenilir olmayan kaynaklardan güvenli ortamlara erişimde daha katı ve sağlam bir yapı sunduğu için tercih edilmelidir. Tümüne izin ver politikası ise genellikle güvenilir kaynaklardan harici kaynaklara erişimde kullanılır. En az ayrıcalık ilkesinin uygulanması, kullanıcı yönetiminde bir yük oluştursa da güvenlik risklerini minimize eder. Bu süreçte görevler ayrılığı ilkesi de devreye girer; yöneticilerin yetkileri sınırlı sorumluluk alanlarına bölünerek tek bir kişinin tüm sistem üzerinde mutlak kontrol sahibi olması engellenir. Güvenlik mimarisinde basitlik ilkesi de göz ardı edilmemelidir. Bir çözüm ne kadar karmaşıksa, hata ve kusurların gözden kaçma ihtimali o kadar artar. Karmaşık sistemlerin güvenliğinin doğrulanması da oldukça güçtür. Bu nedenle güvenlikten ödün vermeden mümkün olan en basit çözümler tercih edilmelidir. Derinlemesine savunma kavramı ise güvenlik duvarlarının tek başına yeterli olmayacağı gerçeğine dayanır. Güvenlik altyapısı, birbirine kenetlenmiş katmanlardan oluşmalıdır. Şifreleme, antivirüs yazılımları, saldırı tespit sistemleri ve fiziksel erişim kontrolleri gibi bileşenler bir bütün olarak çalışmalıdır. Bu yapı sadece dış saldırılara karşı değil, kurum içi tehditlere karşı da koruma sağlar. N katmanlı mimari olarak bilinen sunum, uygulama ve veri katmanlarından oluşan yapı, bu stratejinin en yaygın uygulama alanıdır. Savunma çeşitliliği stratejisi, derinlemesine savunmaya benzer ancak burada farklı güvenlik mekanizmalarının kullanılması esastır. Sadece birden fazla güvenlik duvarı kullanmak derinlemesine savunma sağlasa da savunma çeşitliliği oluşturmaz. Gerçek bir çeşitlilik için farklı markaların ürünleri, farklı kontrol türleri ve farklı teknolojiler bir arada kullanılmalıdır. Ancak bu durumda ağ yönetiminin karmaşıklığının artacağı ve yönetim zorluğu oluşabileceği de dikkate alınmalıdır. Kontrol türü çeşitliliği kapsamında önleyici, tespit edici ve düzeltici kontrollerin dengeli bir şekilde dağıtılması gerekir. Dar geçit veya kontrol noktası olarak adlandırılan stratejide ise tüm trafiğin tek bir kanal üzerinden geçmesi zorlanarak içerik filtreleme, kimlik doğrulama ve yetkilendirme gibi kontrollerin bu noktada yoğunlaştırılması amaçlanır. Eğer bir saldırgan bu dar geçidi atlayıp alternatif yollar bulabiliyorsa, bu mekanizma işlevsiz kalır. Bu nedenle fiziksel erişim veya alternatif ağ yolları da mutlaka kontrol altına alınmalıdır. En zayıf halka prensibi ise saldırganların her zaman en kolay hedefi seçeceği gerçeğini hatırlatır. Güvenlik altyapısındaki en zayıf öğeyi bulup güvence altına almak, sürekli devam eden bir süreç olmalıdır. Bozulmaya dayanıklılık kavramı, bir sistemin saldırı veya arıza durumunda direnç göstermesini ifade eder. Burada fail safe yani güvenli başarısızlık ve fail secure yani güvenli kapanma kavramları devreye girer. Bir güvenlik bileşeni çalışamaz hale geldiğinde gizlilik ve bütünlük korunmaya devam edilmeli, gerekirse erişilebilirlikten feragat edilmelidir. Zorunlu ortak katılım ilkesi ise güvenlik politikalarının istisnasız herkese uygulanmasını gerektirir. Eğer istisnalar kural haline gelirse, gerçek bir güvenlikten söz etmek mümkün olmaz. Güvenlik duvarı yönetimi konusunda en iyi uygulamalara değinecek olursak, öncelikle yazılı bir güvenlik duvarı politikasına ve uygulama planına sahip olunması şarttır. Bilgi sistemleri ve ağ altyapısı tam olarak anlaşılmalı, risk değerlendirmesi yapılmalı ve politika düzenli olarak gözden geçirilmelidir. Varsayılan reddet politikası tercih edilmeli, fiziksel erişim korunmalı ve internet erişimleri filtrelenmelidir. Güvenlik duvarı yapılandırma yedekleri mutlaka farklı bir ortamda saklanmalı ve zafiyet taramaları ile sızma testleri periyodik olarak gerçekleştirilmelidir. Güvenlik duvarlarına ek olarak antivirüs, anti malware, anti spam yazılımları, web içerik filtreleme, veri sızıntısı önleme yani DLP, saldırı tespit ve önleme sistemleri olan IDS ve IPS, ağ erişim kontrolü olan NAC ve uzaktan erişim için VPN gibi bileşenler de ağ güvenlik sisteminin parçalarıdır. Hibrit güvenlik duvarları, tüm bu özellikleri tek bir sistem üzerinde birleştirerek performans risklerini de beraberinde getirse de kapsamlı bir koruma sağlar. Web uygulama güvenlik duvarları olan WAF, SQL enjeksiyonu ve arabellek taşması gibi web tabanlı saldırıları engellemek için tasarlanmıştır. Veritabanı güvenlik duvarları ise veritabanı sorguları üzerinde ayrıntılı denetim yaparak güvenliği sağlar. Saldırı tespit ve engelleme sistemleri, güvenlik duvarlarının izin verdiği trafik içindeki kötü niyetli girişimleri belirlemek için kullanılır. Bu sistemler hem imza tabanlı hem de anormallik algılama özelliklerini barındırmalıdır. Anormallik tespiti için sistemin normal aktiviteyi öğrenmesi gereken bir ön yapılandırma süreci mevcuttur. Sanal özel ağlar yani VPN teknolojisi ise internet gibi halka açık ağlar üzerinden şifreli bir tünel oluşturarak veri gizliliği ve bütünlüğünü sağlar. VPN kullanımı maliyet avantajı sunsa da yanlış yapılandırma, işletim sistemi açıkları ve zayıf kimlik doğrulama gibi riskler barındırır. Bu nedenle çok faktörlü kimlik doğrulama ve güncel yama yönetimi VPN güvenliği için vazgeçilmezdir. Ağ erişim denetimi yani NAC sistemleri, bir cihazın ağa bağlanmadan önce kimlik doğrulaması ve duruş kontrolü yapmasını sağlar. Genellikle IEEE sekiz yüz iki nokta bir.x standardı kullanılır. Cihazın antivirüs yazılımının güncelliği ve güvenlik duvarının etkinliği gibi kriterler kontrol edilir; bu kriterleri sağlamayan cihazlar karantina ağına alınır. IP üzerinden ses yani VoIP sistemlerinde ise ses ve görüntü trafiğinin şifrelenmesi, iş istasyonu trafiğinden VLAN'lar aracılığıyla izole edilmesi ve sistem yazılımlarının güncel tutulması güvenlik açısından kritiktir. Kablosuz ağ güvenliği, iletişimin kolayca dinlenebilmesi nedeniyle ekstra dikkat gerektirir. Bilinmeyen bir SSID kullanımı, SSID yayınlamanın kapatılması, kapsama alanının sınırlandırılması, MAC adresi filtreleme ve WPA2 veya WPA3 şifreleme protokollerinin tercihi temel önlemlerdir. Ayrıca kablosuz cihazlarda varsayılan şifrelerin değiştirilmesi ve güncellemelerin yapılması gerekir. İşletim sistemi güvenliği noktasında ise sadece gerekli servis ve portların açık tutulması, en az yetki ilkesinin uygulanması, güçlü parola politikaları ve disk seviyesinde şifreleme gibi sıkılaştırma tedbirleri uygulanmalıdır. Tüm sistemlerde zaman senkronizasyonu için NTP sunucuları kullanılmalı ve tüm kritik işlemler değiştirilemeyecek şekilde kayıt altına alınmalıdır. Mobil cihaz güvenliği ve BYOD yani kendi cihazını getir stratejisi, şirketler için yeni risk alanları oluşturmaktadır. Bu kapsamda CYOD, COPE ve COBO gibi farklı yaklaşım modelleri mevcuttur. Mobil cihazlar için fiziksel koruma, uzaktan yönetim, uygulama kısıtlamaları ve veri ayrıştırma gibi politikalar belirlenmelidir. Kullanıcılara yönelik eğitimler ve zararlı yazılım önleyici uygulamalar bu sürecin destekleyici unsurlarıdır. Erişim güvenliği konusuna geçiş yapalım. Erişim, bilgi sistemleri kaynakları üzerinde işlem yapabilme yeteneğidir. Erişim kontrolü ise bu taleplerin izin verilmesi veya reddedilmesi sürecidir. Mantıksal erişim; kimlik tanımlama, kimlik doğrulama ve yetkilendirme unsurlarından oluşur. Kimlik tanımlama, bir kullanıcının kimliğini belirtme eylemidir. Kimlik doğrulama ise bu iddianın kanıtlanması sürecidir. Yetkilendirme, doğrulanan kimliğin hangi kaynaklara hangi haklarla erişebileceğinin belirlenmesidir. Bu üç unsur hiyerarşik bir sıra izler; tanımlama olmadan doğrulama, doğrulama olmadan yetkilendirme yapılamaz. Kimlik doğrulama yöntemleri üç ana kategoride toplanır. Birincisi kişinin bildiği bir şeydir; parola ve PIN kodları buna örnektir. İkincisi kişinin sahip olduğu bir şeydir; akıllı kartlar ve tokenlar bu gruptadır. Üçüncüsü ise kişinin olduğu bir şeydir; parmak izi, iris ve yüz tanıma gibi biyometrik faktörleri içerir. Çok faktörlü kimlik doğrulama, bu kategorilerden en az ikisinin bir arada kullanılmasıdır ve güvenliği önemli ölçüde artırır. Kimlik doğrulama protokolleri arasında CHAP, MS-CHAP ve bilet tabanlı bir sistem olan Kerberos öne çıkar. Kerberos, tek oturum açma yani SSO kavramının bir örneğidir. SSO, kullanıcının bir kez oturum açarak birden fazla hizmete erişmesini sağlar; bu durum kullanıcı deneyimini iyileştirir ve parola yönetimini kolaylaştırır ancak tek bir hata noktası riski de taşır. Biyometrik sistemlerin performansı üç temel ölçütle değerlendirilir. Yanlış kabul oranı yani FAR, yetkisiz birinin sistem tarafından kabul edilme olasılığıdır ve güvenlik açısından en kritik göstergedir. Yanlış reddetme oranı yani FRR, yetkili bir kullanıcının sistem tarafından reddedilme olasılığıdır. Çapraz hata oranı yani CER veya EER ise bu iki oranın eşitlendiği noktadır ve düşük CER değeri cihazın daha etkili olduğunu gösterir. Erişim kontrol türleri zorunlu erişim kontrolü yani MAC ve isteğe bağlı erişim kontrolü yani DAC olarak ikiye ayrılır. MAC modelinde yetkiler merkezi olarak sistem yöneticisi tarafından belirlenir ve kullanıcılar tarafından değiştirilemez; bu model oldukça katı ve sağlamdır. DAC modelinde ise nesne sahibi erişim haklarını belirleme esnekliğine sahiptir ancak bu durum kötüye kullanım riskini artırır. Mantıksal erişim kontrollerinin uygulanmasında envanter oluşturma, sınıflandırma ve erişim kontrol listeleri hazırlama süreçleri izlenmelidir. Erişim güvenliğinin temel prensipleri arasında bilmesi gereken, en az ayrıcalık ve görevler ayrılığı ilkeleri yer alır. Bilmesi gereken prensibi, kullanıcının sadece görev ve sorumlulukları gereği ihtiyaç duyduğu bilgiye erişmesini ifade eder. En az ayrıcalık prensibi, kullanıcının işini yapabilmesi için gereken minimum yetki seviyesini tanımlar. Görevler ayrılığı ilkesi ise kritik işlemlerin tek bir kişinin kontrolünde olmamasını sağlayarak hata ve hile riskini azaltır. Bu ilkeler, Sermaye Piyasası Kurulu ve Sermaye Piyasası Lisanslama sınavlarında sıklıkla sorulan ve profesyonel hayatta titizlikle uygulanması gereken temel denetim standartlarıdır. Son olarak, yüksek seviyeli haklara sahip yönetici hesaplarının kullanımı kısıtlanmalı ve bu hesaplarla yapılan tüm işlemler onay mekanizmasına tabi tutularak kayıt altına alınmalıdır. Erişim kontrol politikası ve bu politikanın uygulanma yöntemlerine dair teknik detaylarla dersimize devam ediyoruz.
Bölüm 7
Erişim kontrol politikası ve bu politikanın uygulanma yöntemlerine dair teknik detaylarla dersimize devam ediyoruz. Bilgi sistemleri yöneticileri tarafından bir dizi erişim kuralı dahilinde uygulanan bu politikalar, temel olarak iki ana model üzerinden şekillenmektedir. Bunlardan ilki olan zorunlu erişim kontrolü, yani İngilizce kısaltmasıyla MAC, yöneticiler tarafından merkezi olarak erişim izni verilmesini esas alan bir yapıdır. Bu modelde yetkiler transfer edilemez ve sistem son derece katı ve sağlam bir güvenlik çerçevesi sunar. Diğer model olan isteğe bağlı erişim kontrolü, yani DAC ise, nesne sahibinin erişim haklarını belirleyebilme esnekliğine sahip olduğu bir yapıdır. Bu modelde yetkiler transfer edilebilir niteliktedir; ancak bu esneklik beraberinde kötüye kullanım ve hassas bilgilerin açığa çıkma riskini de getirmektedir. Sınav hazırlık sürecinde bu iki model arasındaki temel farkların, özellikle yetki transferi ve merkezi yönetim noktalarında sorgulandığını hatırlatmakta fayda görüyorum. Kullanıcı hesap yönetimi ve erişim taleplerinin bir süreç olarak takip edilmesi ve kayıt altına alınması, kurumsal güvenliğin temel taşlarından biridir. Bu süreç sadece kurum personelini değil, kurumsal kaynaklara erişen kuruluş dışı kişileri de kapsamalıdır. Kuruluş kaynaklarına erişimde merkezi kimlik doğrulama mekanizmalarının kullanılması bir zorunluluktur. Özellikle kuruluş ağına internet üzerinden yapılan erişimlerde çok faktörlü kimlik doğrulama seçeneklerinin değerlendirilmesi, güvenlik katmanını güçlendiren kritik bir unsurdur. Hesap verme sorumluluğu kavramı bu noktada büyük önem kazanmaktadır. Bu kavram, belirli bir faaliyeti veya olayı sorumlu tarafa geri döndürme becerisi olarak tanımlanır. Kullanıcıların yaptığı işlemlerden sorumlu tutulabilmesi için her kullanıcıya eşsiz ve benzersiz kullanıcı adları tanımlanmalı ve güvenli parolalar oluşturulmalıdır. Kullanıcı adları belirlenirken belirli bir adlandırma kuralı uygulanmalı; Guest, Admin veya Administrator gibi varsayılan kullanıcı adları ve parolalar asla kullanılmamalıdır. Bu tür varsayılan hesaplar ya devre dışı bırakılmalı ya da mümkünse yeniden adlandırılmalıdır. Ayrıca kuruluştan ayrılan kullanıcıların hesapları veya önceden belirlenmiş bir süre boyunca kullanılmayan hesaplar derhal devre dışı bırakılmalıdır. Kullanıcı oturumlarının yönetimi konusunda da belirli standartlar mevcuttur. Oturumlar belirli bir süre sonra sonlandırılmalı ve işlem yapılmadığı durumlarda sistem otomatik olarak kilitlenmelidir. Parola politikaları ise en az parola uzunluğu, rakam, harf ve özel karakter kombinasyonlarının zorunlu tutulması gibi kuralları içermelidir. Parolaların kolay tahmin edilebilir olmaması, kişisel bilgiler içermemesi ve belirli periyotlarla değiştirilmesi gerekmektedir. Ayrıca yeni oluşturulan parolaların eski parolalardan farklı olması zorunluluğu da bir güvenlik standardıdır. Bilgi sistemlerine erişim yetkileri verilirken üç temel ilke gözetilmelidir. Bunlar bilmesi gereken, en az ayrıcalık ve görevler ayrılığı ilkeleridir. Sınavda bu üç ilkenin tanımları ve uygulama alanları sıklıkla karşımıza çıkmaktadır. Bilmesi gereken prensibi, yetkilendirmelerin sadece görev ve sorumluluklar çerçevesinde belirlenmesini ifade eder. Bu ilkeye göre bir kişi, ancak görevleri gereği öğrenmek, incelemek veya korumakla sorumlu olduğu bilgiye, yetkisi düzeyinde nüfuz edebilir. En az ayrıcalık prensibi ise bir kullanıcının görevlerini yerine getirebilmesi için gereken minimum erişim seviyesinin sağlanmasını amaçlar. Bu sayede aşırı yetkilendirme yapılmasının önüne geçilir. Örneğin, betik dosyası oluşturma araçlarına sadece iş amaçları doğrultusunda ihtiyaç duyan kişilerin erişimine izin verilmelidir. Görevler ayrılığı ilkesi ise hata ve usulsüzlükleri önlemek amacıyla, kritik işlemlerin başlatılması, kayıt altına alınması ve varlıkların gözetimi sorumluluklarının farklı kişilere dağıtılmasını öngörür. Bu sayede hiçbir kişi, tespit edilmeksizin kötü niyetli bir işlemi tek başına tamamlayamaz. Özellikle sistem, ağ ve veritabanı gibi kritik alanlarda bu prensibin uygulanması, tek bir personele veya hizmet sağlayıcıya olan bağımlılığı da azaltmaktadır. Yüksek seviyede haklar gerektiren yönetici hesaplarının kullanımı kısıtlanmalı ve bu hesaplarla yapılan işlemler mutlaka kayıt altına alınmalıdır. Sistem yöneticileri, normal işleri için kullandıkları hesaplardan ayrı, özel sistem hesaplarına sahip olmalıdır. Erişim saldırılarına karşı ise başarısız oturum açma sayısı sınırı belirlenerek hesabın kilitlenmesi, IP bloklama ve Captcha kullanımı gibi önlemler alınmalıdır. İşletim sistemleri ve veritabanlarına yapılan tüm başarılı veya başarısız erişim girişimlerinin kayıt altına alınması ve bu kayıtların bütünlüğünün korunması esastır. Veri ve iz kayıtlarının güvenliği konusuna geçtiğimizde, öncelikle temel kavramları netleştirmek gerekir. Veri, olgu veya komutların iletişim ve işlem için elverişli biçimli gösterimi olarak tanımlanır. Bilgi sistemleri hiyerarşisinde DIKW piramidi yaklaşımı kullanılır. Bu piramidin en alt basamağında ham haliyle veri yer alır. Veri, kurulan ilişkilerle anlamlı hale geldiğinde enformasyon, kullanılabilir hale geldiğinde bilgi ve icraata dönüştüğünde bilgelik adını alır. Kısaca ifade etmek gerekirse veri gerçeği, enformasyon ne olduğunu bilmeyi, bilgi nasılı bilmeyi ve bilgelik ise nedenini bilmeyi temsil eder. Verinin yaşam döngüsü ise üretim, kullanım, saklama, taşıma ve imha olmak üzere beş aşamadan oluşur. Her aşamada gizlilik, bütünlük ve erişilebilirlik ilkeleri gözetilmelidir. Veri ile ilişkili bir diğer önemli kavram metaveridir; bu, veri hakkında veri anlamına gelir. Kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder ve altı bin altı yüz doksan sekiz sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel düzenlemelere tabidir. Veri sınıflandırması, güvenlik kontrollerinin etkinliği açısından hayati önem taşır. Her veri aynı önem derecesine sahip olmadığından, kaynakların verimli kullanımı için önem derecesine göre bir sınıflandırma yapılmalıdır. Örneğin, çok gizli, gizli, özel, hizmete özel ve tasnif dışı gibi kategoriler kullanılabilir. İz kayıtları veya yaygın adıyla loglar, sistem ve ağlarda meydana gelen olayların kronik kaydıdır. Bu kayıtlar problem takibi, karar mekanizmaları ve hukuki süreçlerde kanıt olarak kullanılır. Sermaye Piyasası Kurulu tebliğine göre iz kayıtları asgari olarak işlemin türü, niteliği, gerçekleştiren kişi veya uygulama ile tarih ve saat bilgilerini içermelidir. İz kayıtlarının zaman damgalarının eşleşmesi için tüm sistemlerin merkezi bir Ağ Zaman Protokolü yani NTP üzerinden senkronize edilmesi şarttır. İz kayıtlarının bütünlüğünü ve inkar edilemezliğini sağlamak için kriptografik özet değerleri ve dijital imzalama yöntemleri kullanılır. beş bin yetmiş sayılı Elektronik İmza Kanunu, zaman damgasını bir verinin belirli bir tarihte var olduğunun kanıtı olarak tanımlar. İz kayıtlarının saklanma süreleri konusunda Kişisel Verilerin Korunması Kanunu ve kurumun kendi iş süreçleri belirleyicidir. Saklama süresi dolan kayıtlar uygun yöntemlerle imha edilmelidir. İz kayıtlarının yönetimi için Güvenlik Bilgi ve Olay Yönetimi sistemleri, yani SIEM kullanılır. SIEM sistemleri farklı kaynaklardan gelen logları ilişkilendirerek normal dışı olayların tespit edilmesini sağlar. İz kayıtlarının iletilmesinde standart bir protokol olan Syslog kullanılır. Syslog mesajları sıfır ile yedi arasında değişen önem seviyelerine sahiptir. sıfır seviyesi sistemin kullanım dışı olduğu acil durumları, yedi seviyesi ise hata ayıklama mesajlarını ifade eder. Aradaki seviyeler ise uyarı, hata ve bilgilendirme gibi farklı kritiklik düzeylerini temsil eder. Kriptografi konusu, bilgi güvenliğinin en teknik ve derinlikli alanlarından biridir. Kriptoloji, güvensiz ağlarda güvenli iletişim kurulmasını sağlayan matematiksel yöntemler bütünüdür. Açık metnin şifreli metin haline getirilmesiyle verinin gizliliği, bütünlüğü, kimlik doğrulaması ve inkar edilemezliği sağlanır. Tarihsel süreçte Sezar şifrelemesi gibi basit yöntemlerle başlayan bu alan, günümüzde karmaşık algoritmalara evrilmiştir. Kriptografik sistemlerde yeni bir algoritma üretmek yerine, doğruluğu kanıtlanmış açık kaynaklı algoritmaların kullanılması genel bir güvenlik kuralıdır. Modern kriptografi; özet fonksiyonları, simetrik şifreleme ve asimetrik şifreleme olmak üzere üç ana başlıkta incelenir. Kriptografik özet fonksiyonları, herhangi bir uzunluktaki metinden sabit uzunlukta benzersiz bir değer üretir. Bu işlem tek yönlüdür; yani özet değerinden orijinal metne ulaşılamaz. Özet fonksiyonlarının öngörüntü direnci, ikinci öngörüntü direnci ve çakışma direnci özelliklerine sahip olması gerekir. Günümüzde MD5 ve SHA bir algoritmalarının çakışma riskleri nedeniyle kritik işlemlerde kullanılması önerilmezken, SHA iki yüz elli altı ve SHA üç gibi güncel algoritmalar tercih edilmektedir. Simetrik şifreleme, şifreleme ve deşifre işlemleri için aynı anahtarın kullanıldığı yöntemdir. AES, günümüzde en yaygın kullanılan simetrik şifreleme algoritmasıdır. Asimetrik şifreleme ise biri herkese açık, diğeri gizli tutulan bir anahtar çifti kullanır. Açık anahtar ile şifrelenen bir veri sadece ilgili gizli anahtar ile açılabilir. Bu yöntem anahtar dağıtımı sorununu ortadan kaldırır ve dijital imza uygulamalarına imkan tanır. RSA ve eliptik eğri kriptografisi bu alandaki temel algoritmalardır. Açık Anahtar Altyapısı yani PKI, sertifika otoriteleri aracılığıyla anahtar çiftlerinin sahipliğini belgeleyen sistemdir. Bu altyapı sayesinde internet gibi güvensiz ortamlarda kimlik doğrulama ve güvenli iletişim sağlanır. PKI sertifikaları X.beş yüz dokuz standardına uygun olarak üretilir ve geçerlilik süresi, algoritma bilgisi gibi zorunlu alanları içerir. Kriptografik kontroller kapsamında anahtar üretimi, dağıtımı, saklanması ve imhası süreçlerinin yetkili kişilerce ve kayıt altında yapılması gerekmektedir. Üçüncü taraflarla iletişim güvenliği, kurumun doğrudan kontrolü dışındaki paydaşlarla olan ilişkilerini kapsar. Sermaye Piyasası Kurulu tebliğine göre üçüncü taraflar, kurum ve müşteriler dışındaki gerçek veya tüzel kişilerdir. Üçüncü taraf ilişkileri; başlama, sürdürme ve sonlandırma aşamalarından oluşan bir yaşam döngüsü olarak yönetilmelidir. Başlama aşamasında veri gizliliği, fiziksel güvenlik ve siber güvenlik gereksinimleri belirlenmelidir. Özellikle birincil ve ikincil sistemlerin yurt içinde barındırılması zorunluluğu unutulmamalıdır. Hizmet seviyesi anlaşmaları yani SLA'lar, hizmet kalitesini ve kesinti sürelerini belirleyen yasal metinlerdir. Bu anlaşmalarda kurtarma zaman hedefi olan RTO ve kurtarma noktası hedefi olan RPO değerleri netleştirilmelidir. Siber güvenlik takımlarının renklerle sınıflandırılması, bu alandaki uzmanlaşmayı ve görev dağılımını anlamak açısından önemlidir. Kırmızı takım, ofansif güvenlik uzmanlarından oluşur ve gerçek saldırı simülasyonları yaparak sistemin dayanıklılığını test eder. Mavi takım ise savunma tarafındadır; ağ trafiğini izler ve tehditleri tespit ederek müdahale eder. Mor takım, kırmızı ve mavi takımlar arasındaki iş birliğini sağlayan hibrit bir yaklaşımdır. Beyaz takım, testler sırasında hakemlik ve denetim görevini üstlenir. Sarı takım yazılım geliştiricilerden oluşurken, turuncu takım bu geliştiricilere saldırgan bakış açısı kazandırır. Yeşil takım ise savunma bilgilerini yazılım geliştiricilere aktararak eğitim köprüsü kurar. Sürdürme aşamasında, üçüncü tarafların personel ve altyapı değişiklikleri takip edilmeli, erişim yetkileri düzenli olarak gözden geçirilmelidir. Sonlandırma aşamasında ise en kritik nokta, tüm erişim yetkilerinin derhal kaldırılması ve fiziksel araçların teslim alınmasıdır. Üçüncü taraftaki verilerin güvenli bir şekilde silinmesi, anonimleştirilmesi veya arşivlenmesi sağlanmalıdır. Bu süreçlerin her bir adımı, bilgi sistemleri güvenliğinin bütünlüğünü korumak adına titizlikle yürütülmelidir. Sınavda özellikle üçüncü taraf ilişkilerinin sonlandırılması aşamasında yapılması gereken işlemler ve siber güvenlik takımlarının görev tanımları sıklıkla sorulmaktadır. Bu kavramların birbirleriyle olan ilişkilerini ve temel farklarını iyi kavramak, başarı için elzemdir.
Bölüm 8
Veri güvenliği ve işlenen verilerin korunması, modern finansal kuruluşların ve bilgi sistemleri yönetimi süreçlerinin en kritik bileşenlerinden birini teşkil etmektedir. Bilgi sistemleri içerisinde yer alan ve işlenen verilerin güvenliğinin sağlanması, sadece verinin aktif kullanımı sırasında değil, verinin yaşam döngüsünün her aşamasında titizlikle ele alınması gereken bir süreçtir. Bu kapsamda, verilerin imha edilmesi veya güvenli bir şekilde ortadan kaldırılması süreçlerinde uygulanacak prosedürlerin net bir şekilde tanımlanmış olması gerekmektedir. Uygun silme işlemlerinin yapılması, verinin yetkisiz kişilerin eline geçmesini engellemek adına hayati önem taşır. Veri temizliği süreçlerinde, verinin niteliğine ve kurumsal politikalara bağlı olarak farklı yöntemler tercih edilebilir. Bu yöntemler arasında verinin derhal silinmesi, belirli bir bekleme süresinin ardından silme işleminin gerçekleştirilmesi, verinin ileride ihtiyaç duyulabileceği düşüncesiyle arşivlenmesi veya verinin kimlik bilgilerinden arındırılarak anonimleştirilmesi gibi işlemler yer almaktadır. Bu işlemlerden hangisinin uygulanacağı, verinin hassasiyet derecesine ve yasal saklama yükümlülüklerine göre belirlenmelidir. Bilgi güvenliği yönetimi çerçevesinde, sadece dijital ortamdaki verilerin değil, fiziksel dokümanların da bu sürece dahil edilmesi zorunluluktur. Fiziksel ortamda tutulan hassas bilgilerin de aynı dijital verilerde olduğu gibi güvenli bir şekilde imha edilmesi veya saklanması gerekir. Bu noktada, erişimlere ilişkin iz kayıtlarının takibi, sistem güvenliğinin denetlenmesi açısından vazgeçilmez bir unsurdur. İz kayıtlarının ne kadar süreyle takip edileceği ve bu kayıtların ne kadar süreyle saklanacağı, kurumun belirlediği bilgi güvenliği politikaları kapsamında netleştirilmelidir. Bu politikalar, hem operasyonel ihtiyaçları hem de yasal düzenlemelerin getirdiği zorunlulukları karşılayacak şekilde tasarlanmalıdır. Üçüncü taraflarla olan ilişkilerin yönetimi, bilgi sistemleri güvenliğinde üzerinde durulması gereken bir diğer önemli husustur. Üçüncü taraflara verilen erişim yetkilerinin sonlandırılması durumunda, kurumsal güvenliğin korunması adına belirli fiziksel varlıkların iadesi gerekmektedir. Sınav hazırlık sürecinde bu konuyla ilgili gelebilecek sorulara dikkat etmek gerekir. Örneğin, bir üçüncü tarafın erişim yetkisi sona erdiğinde, kendisine teslim edilmiş olan kimlik kartlarının, fiziksel anahtarların, erişim kartlarının ve token cihazlarının kuruma iade edilmesi esastır. Ancak dijital bir yetkilendirme unsuru olan SSH anahtarları gibi öğeler, fiziksel olarak teslim edilen bir nesne olmaktan ziyade sistem üzerinden yetkisizleştirilmesi gereken unsurlardır. Bu ayrım, varlık yönetimi ve erişim kontrolü süreçlerinde teknik ve fiziksel güvenlik arasındaki farkı anlamak açısından kritiktir. Üçüncü taraflarla olan ilişkilerin yaşam döngüsü, belirli aşamalardan oluşmaktadır. Bu döngünün başlama aşamasında, taraflar arasındaki sorumlulukları ve beklentileri belirleyen hizmet seviyesi anlaşmaları, veri gizliliği protokolleri, fiziksel güvenlik önlemleri ve erişim güvenliği standartları tesis edilir. Bu aşama, ilişkinin temel güvenliğinin kurulduğu evredir. Öte yandan, düzenli testlerin yapılması bu başlama aşamasının bir parçası değil, ilişkinin devam ettiği süreçteki izleme ve denetim faaliyetlerinin bir parçasıdır. Sınavda, üçüncü taraflarla ilişki yaşam döngüsünün aşamaları ve bu aşamalarda gerçekleştirilen faaliyetler sıklıkla sorulmaktadır. Bu nedenle, hangi faaliyetin hangi aşamaya ait olduğunu bilmek büyük önem taşımaktadır. Bilgi sistemleri güvenliği alanındaki akademik ve profesyonel literatür, bu süreçlerin nasıl yönetilmesi gerektiğine dair geniş bir çerçeve sunmaktadır. Örneğin, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi, Türkiye'deki kurumlar için temel bir yol haritası niteliğindedir. Bu rehber, verilerin güvenliğinden ağ güvenliğine kadar pek çok alanda uygulanması gereken asgari güvenlik tedbirlerini içermektedir. Benzer şekilde, uluslararası alanda kabul görmüş olan ISO yirmi yedi bin bir Bilgi Güvenliği Yönetim Sistemi standardı, kurumların bilgi varlıklarını korumak için kurmaları gereken yönetimsel çerçeveyi tanımlar. Bu standartlar, verinin gizliliği, bütünlüğü ve erişilebilirliği ilkeleri üzerine inşa edilmiştir. Sermaye piyasalarında faaliyet gösteren kurumlar için Sermaye Piyasası Kurulu tarafından yayımlanan yedi-yüz yirmi sekiz nokta on sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği, uyulması gereken temel yasal düzenlemedir. iki bin yirmi beş yılının Mart ayı itibarıyla geçerli olan bu düzenlemeler, finansal kuruluşların bilgi sistemlerini nasıl yönetmeleri gerektiğini, dış hizmet alımlarında dikkat edilecek hususları ve veri güvenliği standartlarını belirlemektedir. Sınavda başarılı olmak için bu tebliğde yer alan tanımların ve zorunlulukların iyi analiz edilmesi gerekmektedir. Özellikle dış hizmet alımı yapılan üçüncü tarafların denetimi ve bu taraflarla yapılan sözleşmelerde yer alması gereken asgari unsurlar, sınav sorularının odak noktalarından biridir. Ağ güvenliği ve altyapı yönetimi de bilgi sistemleri güvenliğinin ayrılmaz bir parçasıdır. IPv4 ve IPv6 protokollerinin karşılaştırılması, kurumsal veri güvenliğinin sağlanmasında bu protokollerin sunduğu avantajlar ve dezavantajlar teknik bir derinlik gerektirir. IPv6 protokolü, sadece daha geniş bir adres alanı sunmakla kalmayıp, aynı zamanda güvenlik özelliklerinin protokolün içine daha entegre bir şekilde yerleştirilmesine olanak tanır. Ağ yönetimi süreçlerinde güvenlik duvarları, sanal özel ağlar yani VPN teknolojileri ve ağ segmentasyonu gibi yöntemler, siber tehditlere karşı savunma hatları oluşturur. Bu teknolojilerin doğru yapılandırılması, kurumun dış dünyadan gelebilecek saldırılara karşı direncini artırır. Siber tehdit aktörlerinin ve saldırı stratejilerinin anlaşılması, savunma mekanizmalarının geliştirilmesi için gereklidir. Siber ölüm zinciri olarak adlandırılan kavram, bir saldırganın hedefine ulaşmak için izlediği aşamaları tanımlar. Bu aşamaların her birinde uygulanacak farklı güvenlik kontrolleri, saldırının başarıya ulaşmasını engelleyebilir. Kurumlar bünyesinde oluşturulan kırmızı, mavi ve mor ekipler, güvenlik seviyesini test etmek ve geliştirmek için farklı roller üstlenirler. Kırmızı ekip saldırı simülasyonları yaparken, mavi ekip savunma stratejilerini yürütür; mor ekip ise bu iki ekip arasındaki koordinasyonu sağlayarak güvenlik süreçlerinin iyileştirilmesine odaklanır. Bu ekip yapıları ve görev tanımları, siber güvenlik operasyon merkezlerinin etkin çalışması için kritik öneme sahiptir. Varlık yönetimi, bilgi sistemleri güvenliğinin temelini oluşturur. Bir kurumun sahip olduğu tüm bilişim varlıklarının envanterinin çıkarılması, bu varlıkların değerinin belirlenmesi ve risk analizlerinin yapılması gerekir. ISO on dokuz bin yedi yüz yetmiş standardı gibi uluslararası normlar, bilişim varlık yönetiminin nasıl yapılması gerektiğine dair rehberlik sunar. Varlıkların sadece donanım ve yazılımdan ibaret olmadığı, işlenen verilerin ve insan kaynağının da en değerli varlıklar arasında yer aldığı unutulmamalıdır. Varlıkların yaşam döngüsü boyunca izlenmesi, hem güvenlik açıklarının tespit edilmesini kolaylaştırır hem de lisans yönetimi gibi operasyonel süreçlerin verimliliğini artırır. Fiziksel ve çevresel güvenlik önlemleri, bilgi sistemlerinin kesintisiz ve güvenli çalışması için göz ardı edilmemesi gereken bir diğer alandır. Sistem odalarının nem oranının kontrol altında tutulması, hassas klima sistemlerinin kullanımı ve gazlı yangın söndürme sistemlerinin tesisi gibi unsurlar, donanım güvenliğini doğrudan etkiler. Bu tür fiziksel önlemler, doğal afetler veya teknik arızalar nedeniyle oluşabilecek veri kayıplarını ve hizmet kesintilerini önlemeye yöneliktir. Bilgi güvenliği, sadece yazılımsal çözümlerle değil, bu tür fiziksel altyapı yatırımlarıyla bir bütün olarak ele alınmalıdır. Sonuç olarak, bilgi sistemleri güvenliği; yasal düzenlemelerden teknik protokollere, fiziksel güvenlikten insan kaynağı yönetimine kadar uzanan çok boyutlu bir disiplindir. Sermaye Piyasası Kurulu ve Sermaye Piyasası Lisanslama sınavlarına hazırlanan adayların, bu kavramları sadece teorik olarak değil, aralarındaki ilişkileri ve uygulama alanlarını da anlayacak şekilde çalışmaları gerekmektedir. Veri silme yöntemlerinden üçüncü taraf risk yönetimine, ağ protokollerinden siber savunma stratejilerine kadar her bir konu başlığı, finansal sistemin güvenilirliğini ve sürekliliğini sağlamak adına kritik birer yapı taşıdır. Bu ders kapsamında ele alınan tüm bu detaylar, hem sınav başarısı hem de profesyonel iş hayatındaki uygulama standartları açısından temel teşkil etmektedir.
İlk 5 dakika ücretsiz dinlendi
Kalan 96 dakikayı dinlemek ve tüm bölümlere erişmek için premium lisans gerekli.
Lisans Satın Al