Bilgi Güvenliği Yönetimi
Bilgi güvenliği yönetimi, organizasyonların dijital ve fiziksel bilgi varlıklarını, tehditlere karşı korumak amacıyla; politikalar, prosedürler, insan faktörü ve teknolojik önlemleri kapsayan bütünleşik bir yönetişim yaklaşımıdır. Bu şekilde bilginin gizliliği, bütünlüğü ve erişilebilirliğini güvence altına alarak organizasyonun iş sürekliliği, hukuki uyumu ve imajı korunur (Yılmaz, 2016).
Şekil 1: Bilgi Güvenliği Yönetim Modeli
Kaynak: (Tekerek, 2008) temel alınarak oluşturulmuştur.
Bilgi Güvenliği Unsurları
Bilgi güvenliği unsurları, bilgi varlıklarının korunmasına yönelik temel ilkelerdir. Genellikle CIA (Confidentiality, Integrity, Availability) Triangle yani Türkçe ifadesi ile GBE (Gizlilik, Bütünlük, Erişilebilirlik) Üçgeni olarak bilinen bu temel unsurlar, bilgi güvenliği çerçevesinin temelini oluşturmaktadır.
Şekil 2: GBE Üçgeni
Kaynak: Yazar tarafından derlenmiştir.
Gizlilik (Confidentiality): Gizlilik, bilginin yalnızca yetkili kişiler tarafından erişilebilir olmasını ifade etmektedir. Hem durağan ortamlarda (örneğin; disk, DVD) hem de ağ üzerinden iletilen verilerde korunması gereken temel bir ilkedir. Yetkisiz erişimler; veri tabanı sızıntıları, sosyal mühendislik veya fiziksel gözlem gibi çeşitli yollarla gerçekleşebilir. Bu ilkenin sağlanmasında en sık başvurulan yöntem şifreleme teknikleridir (Tekerek, 2008).
Bütünlük (Integrity): Bütünlük, bilginin kaynak sistemden alıcıya eksiksiz ve değiştirilmeden ulaşmasını sağlamaktadır. Veri, iletim sürecinde bozulmadan, tekrarlanmadan ya da sıralaması değişmeden ulaştığında bütünlük korunmuş olur. Bu amaçla genellikle özetleme (hashing) algoritmaları kullanılmaktadır (Tekerek, 2008).
Erişilebilirlik (Availability): Erişilebilirlik, yetkili kullanıcıların ihtiyaç duydukları bilgilere zamanında ve kesintisiz şekilde ulaşabilmesidir. Bilgi sistemlerinden beklenen işlevlerin süreklilik içinde yerine getirilmesi, hizmet kesintilerini en aza indirerek iş sürekliliğine katkı sağlar. Bu ilke, özellikle hizmet aksatıcı saldırılar (örneğin; DoS, DDoS) gibi tehditlere karşı sistemlerin dayanıklı olmasını gerektirir (Alagöz & Allahverdi, 2011).
Bu üç temel unsur bilgi güvenliğinin temelini oluşturmaktadır ancak modern dönem yaklaşımlarda üç temel unsura ek bazı unsurlar da yer almaktadır.
Kayıt/Log Tutma (Accountability): Bilişim sistemlerinde meydana gelen olayların ileride analiz edilmesi veya hukuki süreçlerde delil teşkil etmesi amacıyla kayıt altına alınması gereklidir. Kullanıcının sisteme parolasını girerek erişmesi, veritabanından bilgi çağırması, web sayfalarına bağlanması, e-posta gönderme ya da alma gibi işlemler, izlenebilirlik açısından log kayıtlarına dahil edilmelidir. Bu kayıtlar, hem güvenlik denetimleri hem de olay müdahale süreçleri için kritik rol oynarlar (Gülmüş, 2010).
Kimlik Tespiti (Authentication): Kimlik tespiti, bilgi sistemlerinden hizmet alan bir kullanıcının, gerçekten iddia ettiği kişi olduğunun doğrulanması sürecidir. Bu süreç, kullanıcıya özgü bilgi ya da araçlarla (örneğin; şifre, akıllı kart, biyometrik veri) gerçekleştirilir. Bu mekanizmalar, yetkisiz erişimlerin engellenmesinde temel rol oynar (Gülmüş, 2010).
Güvenirlik (Reliability): Güvenirlik, bir bilgi sisteminin her çalıştırıldığında tutarlı ve öngörülebilir sonuçlar üretme yeteneğidir. Diğer bir ifadeyle, sistemin kendisinden beklenen işlevleri hata üretmeden yerine getirmesi ve aynı koşullarda benzer çıktılar sunmasıdır (Gülmüş, 2010).
İnkar Edilemezlik (Non-Repudiation): İnkar edilemezlik , bir işlemi gerçekleştiren tarafın bu eylemi sonradan reddedememesi anlamına gelir. Özellikle dijital ortamda yapılan işlemlerde, gönderici ve alıcının kimliklerinin doğrulanabilir olması bu ilkenin temelini oluşturur. Elektronik imzalar, dijital sertifikalar ve sistem günlükleri gibi teknolojilerle desteklenen bu mekanizma; işlemlerin doğruluğunu ispatlamayı, tarafların sorumluluğunu belirlemeyi ve yasal uyuşmazlıklarda delil sağlamayı amaçlar (Ankara Üniversitesi Açık ve Uzaktan Eğitim Fakültesi, 2025).
Kaynaklar
Yılmaz, H. (2016). TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİMİ STANDARDI KAPSAMINDA BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN KURULMASI VE BİLGİ GÜVENLİĞİ RİSK ANALİZİ. Denetişim(15), 45-59.
Tekerek, M. (2008). Bilgi Güvenliği Yönetimi. KSÜ Doğa Bilimleri Dergisi, 11(1), 132-137.
Alagöz, A., & Allahverdi, M. (2011). KURUMSAL BİLGİ GÜVENLİĞİ ve MUHASEBE BİLGİ SİSTEMİ. Journal of Accounting and Taxation Studies, 4(3), 47-64.
Ankara Üniversitesi Açık ve Uzaktan Eğitim Fakültesi. (2025). Ağ yönetimi ve bilgi güvenliği [Ders notu]. Ankara Üniversitesi. https://oys.ankara.edu.tr/pluginfile.php/425789/mod_resource/content/1/A%C4%9E%20Y%C3%96NET%C4%B0M%C4%B0%20VE%20B%C4%B0LG%C4%B0%20GÜVENLİĞİ.pdf
Gülmüş, M. (2010). Kurumsal bilgi güvenliği yönetim sistemleri ve güvenliği (Yüksek lisans tezi, Yıldız Teknik Üniversitesi, Fen Bilimleri Enstitüsü).