Neden bilgi güvenliği?

Bilgi güvenliği, bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önlemek , elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bilgi güvenliği önemlidir, çünkü güvenlik önemlidir.

Başlıca saldırı türleri arasında, kaynak kod istismarı (code exploit), gizli dinleme (eavesdropping), hizmet aksattırma saldırıları (DoS), dolaylı saldırılar, arka kapılar (backdoor), doğrudan erişim saldırıları, sosyal veya toplum mühendisliği ve kriptografik saldırıları saymak mümkündür.

İnsan faktörü, her işte olduğu gibi bilgisayar sistemleri güvenliğinde de, en önemli etken olarak karşımıza çıkmaktadır. Albert Einstein “Yalnızca iki şey sonsuzdur, evren ve insanoğlunun aptallığı, aslında evrenin sonsuzluğundan da o kadar emin değilim.” sözü, bilgi güvenliğinin her zaman gündemde olacağını belirtmiştir.

Günümüzde bilişim teknolojilerinin yaygınlaşması ve günlük hayatımızda yapmış olduğumuz iş ve işlemlerin elektronik ortamlarda hızla yapılmaya başlanması, bilgi güvenliğinin sağlanmasını zorunlu hale getirmektedir. Bilgi güvenliğini sağlanabilmesi için;

• Korunacak bilginin değerinin bilinmesi ve ona göre korunması,
• Saldırılar, türleri ve saldırgan davranışlarının karşı tedbirlerde dikkate alınması ve bu çerçeve belirlenecek olan politikaların uygulanması karşılaşılacak sıkıntı ve tehlikeler büyük oranda azaltacak, işgücü, zaman ve maddi kayıpları önleyecek, Internet üzerinden gelebilecek zararlı yazı-lımları veya program parçacıklarına karşı kişisel ve kurumsal bilgi güvenliğinin sağlanmasında büyük katkılar sağlayacaktır.

Bilgi güvenliği konusunda zafiyetlerle karşılaşılmaması için, kişilerin ve kurumların basitten en karmaşığa bir dizi önlemler alması gereklidir. Ancak, tüm önlemler alınmış dahi olsa, sürekli gelişen saldırı teknikleri yüzünden, hiç kimse ve hiç bir kuruluş, sistemlerin %100 güvenli olduğunu düşünmemelidir.

Genel olarak; bilgi ve bilgisayar sistemleri konusunda ne kadar önlem alınırsa alınsın, riskleri sıfıra indirgemenin çokta mümkün olmadığının farkında olunmasında fayda vardır. Alınması gereken en temel önlemler, risklere yani saldırılara karşı sürekli uyanık olmak, bu çalışmada açıklanan saldırıları ve türlerini bertaraf edecek güvenlik politikalarının etkin bir şekilde oluşturup uygulanması ve yeni geliş-meler ışığında gerekli güncellemeleri yaparak saldırı-lardan etkilenme olasılığını en aza indirgemek olarak sıralanabilir.

Bilinmesi Gerekenler

Bilgisayar sistemlerine karşı yapılan saldırılar sıklık ve karmaşıklık bakımından gün geçtikçe artma eğilimi göstermektedir. İlk zamanlarda, bilgisayar korsanı (hacker) olarak adlandırılan saldırganların idealistlik ve dikkat çekme güdüleri ile kendilerini boy gösterdikleri bir yöntem olan saldırılar, günümüz bilgisayar ve bilgisayar ağı sistemlerinde var olan açıklar sebebi ile bir endüstri halini almıştır.

2005 yılında CERT/CC İstatistiklerinde rapor edildiği gibi, 2000 yılından beri var olan saldırı çeşidi 6 kat artarak 2005’de 4000’e kadar ulaşmış; yaklaşık 150000 saldırı olayı saptanmıştır. Son yıllarda bu saldırılar o kadar artmıştır ki, saldırı sayısı ölçülemez hale gelmiştir. 2010-2011 yılları arasında yapılan saldırılar neticesinde hedeflerin kaybettiği toplam işgücü ve imaj kaybı dahil aldığı zarar 100.000.000.000 (100 milyar) dolar, saldırganların kazancı 400.000.000 (400 milyon) dolar civarında olduğu tespit edilmiştir. Bu rakamların bu kadar korkunç olmasının nedeni, dünya ekonomsinde işlem gören paranın %80-85 ‘inin dijital ortamda bulunmasıdır.

Şu da unutulmamalıdır ki; bu gün her 10 bilgisayardan 7 tanesi zombie (ele geçirilmiş bilgisayarlara verilen isim) tabir edilen hale geldikleri için botnet ‘lerin önlemez yükseklişi devam etmekte ve son günlerde yapılan saldırıları dünya çaresizce izlemektedir. Bu saldırıları hafife alan kurumlar geçmişte bu hatalarını çok ağır biçimde ödemişlerdir. İşte bu noktada, kurumların profesyonel güvenlik hizmeti alması kaçınılmaz hale gelmiştir.

Kurumsal Çözümlerimiz

Network Güvenlik Danışmanlığı
• Proje takibi, tasarımı, kurulumu ve desteği (FW, VPN, MPLS VPN, IDS, IPS, IDP, Radius, Tacacs+, vs.)
• Network-tabanlı zaafların tespiti & giderilmesi (Vulnerability Management)
• Log Korelasyonu / Güvenlik Olay Yönetimi (Security Information Management)

Sistem Güvenlik Danışmanlığı
• İhtiyaç analizi & proje yönetimi (HIDS, HIPS, Access Control, vs.)
• Veritabanı Güvenliği
• Uygulama Güvenliği
• Sistem zaaflarının tespiti & giderilmesi (Penetration Testing, Ethical Hacking)
• Kurumsal Anti-Virüs / Anti-Spyware çözümleri
• Personal Firewall çözümleri

İçerik Güvenliği Hizmetleri
• Web Erişim (URL Filtreleme) Güvenliği
• E-Mail İçerik Çözümleri
• Anti-Spam çözümleri

Kurumsal Politika, Süreç ve Risk Yönetimi Danışmanlığı
• Kurumsal Güvenlik Politikası
• Bilgi Güvenliği Denetimi / IT Governance / Compliancy
• (ISO17799, BS7799, CobiT, Basel II, SOX) BT Süreç & Prosedürleri
• Kurumsal Risk Analizi
• Kurumsal Risk Yönetimi / Enterprise Risk Management (ERM, AML, Fraud, vs.)
• Incident Response (Olaylara Verilen Tepki)

Yönetilen Güvenlik Hizmetleri
• Yönetilen IDS/IPS Hizmeti
• Yönetilen FW Hizmeti

Start typing and press Enter to search