BİLGİ NEDİR ?
Bilgi ; sözlük anlamıyla öğrenme, araştırma, ve gözlem yoluyla elde edilebilen her türlü gerçek kavrayışın tümüdür. Bilgi, üzerinde çalışılan içerik ve perspektife göre pek çok çeşitte anlamlar içeren kompleks bir kavramdır.
Bilgi bir dizi sistematik kural ve prosedüre uygun bir biçimde işlenmiş enformasyondur .Bilgi, sosyal varlıklar arasındaki iletişim arasında paylaşılan, aktarılan ve yeniden şekillendirilebilen tecrübe ve enformasyonlardır.
Bilgiyi iyi tanımlamak için benzer bazı kavramların anlamı ile bilginin arasındaki farklılıkların ortaya konması gereklidir.
Türk Dil Kurumu’nun Açıklamasına göre Bilgi ; İnsan aklının erebileceği olgu, gerçek ve ilkelerin bütünüdür. İnsan zekasının çalışması sonucu ortaya çıkan düşünce ürünüdür.
Bilgi 6 alt dalda başlıklara ayrılmaktadır.
- Gündelik Bilgi
- Sadece duyu organlarının aracılığıyla, tecrübe ve gözlem sayesinde ulaşılan bilgi.
- Teknik Bilgi
- İnsanın temel ihtiyaçlarını karşılamak için, günlük yaşamını kolaylaştırmak amacıyla öğrenilen bilgi. 2 Alt başlığa ayrılmaktadır.
- Gündelik bilgiye dayalı teknik bilgi : Gündelik yaşamdan öğrenilen tecrübelere dayanarak araç gereç yapmasıdır.
- Bilimsel bilgiye dayalı teknik bilgi : Bilimsel verilere dayalı insanın hayatını kolaylaştıran bilgi.
- İnsanın temel ihtiyaçlarını karşılamak için, günlük yaşamını kolaylaştırmak amacıyla öğrenilen bilgi. 2 Alt başlığa ayrılmaktadır.
- Sanat Bilgisi
- Duyguya, çoşku'ya ve sezgiye dayanan bilgi türüdür. (örn “ Sanatçı ile onun yöneldiği nesne arasındaki ilgidir”)
- Dini Bilgi
- Tanrı’nın insanlara vahiy yoluyla doğru yaşam tarzını bildirmesi şeklindeki bilgilerdir.
- Bilimsel Bilgi
- Bilimsel yöntem ve akıl yürütme ile elde edilebilen gerçekliği doğrulanabilir bilgi türüdür.
- Felsefi Bilgi
- Diğer tür bilgilerin aksine evreni, varlığı, insanı, toplumu ayırmadan bir bütün olarak ele almaktadır ve anlamaya çalışmaktır.
BİLGİ VARLIĞI NEDİR ?
ISO 27001 Bilgi güvenliği yönetim sistemi kapsamında varlıkların yönetimi önemli bir yer tutmaktadır.
Üretilen bilginin işlenmesi, saklanması, iletilmesi, korunması, sürekliliğin saklanması ve yok edilmesi gibi konularına denir.
Varlıkların amacı kuruluşun varlıklarını tespit etmek ve uygun koruma, gizleme gibi sorumluluklarını tanımlamaktır.
Bilgi varlıklarının eksik veya hatalı tespit edilmesi durumunda, risk analizi başta olmak üzere birçok adımda hatalara sebep olmaktadır.
BİLGİ GÜVENLİĞİ NEDİR ?
Bilgi Güvenliği, bilgilerin izinsiz erişimlerinden, kullanımından, ifşa edilmesinden, yok edilmesine ve değiştirilmesine kadar verilerin korunma işlemidir.
Bilgi Güvenliği; Bilgi sistemlerinin temel özelliklerinden, network özelliklerine ve iletişim teknolojileriyle ilişkin çok sayıda düzenlemeyi içermektedir.
Bilgi güvenliği temelinde gizlilik, bütünlük ve erişilebilirlik yatmaktadır. Kısacası bu üçlüye “CIA” adı verilmektedir.
Gizlilik (Confidentiality); Bilginin yetkisiz kişilerin eline geçmesini engellemeyi amaçlamaktadır. Bilgi hem bilgisayar ortamında işlenirken(“process”), hem saklama ortamlarında depolanırken, hem de ağ üzerinde gönderici ve alıcı
arasında taşınırken yetkisiz erişimlerinden korunmalıdır. Saldırgan bir yapılandırma veya yazılım hatasını istismar ederek bilgilere izinsiz olarak erişmektedir .Bu prensipler dikkate alınarak, bilginin tamamen gizlenmesini sağlamak değil de,
yetkisiz erişimlerle elde edilebilmesini engellemek ve erişebildiği zamanda bunlardan haberdar olunabilmektir .Gizlilik prensibi ile ilgili temel kavramlar aşağıdaki gibi sıralanabilmektedir;
Sensivity: Verinin Hassaslığı Discretion: Bilginin Paylaşımında Hassasiyet
Criticality: Kritiklik Concealment: Açıklamanın gizlenmesi
Secrecy: Gizlilik Privacy: Mahremiyet
Seclusion: Tecrit Isolation: Bilginin, diğer bilgilerinden ayrı saklanması
Bütünlük (Integrity) : Amaç, bilgiyi olması gerektiği şekilde tutabilmek ve korumaktır. Bilgi verinin bozulması, değiştirilmesini, yeni veriler eklenmesini, bir kısmının veya tamamının silinmesini engellemeyi hedeflemektedir. Bu amaçla
kritik bilgiler için erişim kontrolünü gerçekleşmesi ve belli aralıklarla yedeklemenin gerçekleşmesi gerekmektedir.
Bu durumda veri, haberleşme sırasında izlediği yollarda değiştirilmeyen ,araya yeni veri eklenmemiş ,belli bir kısmı yada tamamı tekrar edilmemiş ve sırası değiştirilmemiş şekilde alıcısına ulaşır. Bütünlük prensibi temel olarak sistem
bütünlüğü ve veri bütünlüğü olarak iki kısımda incelenmektedir .Bu prensipte temel olarak dikkat edilmesi gereken nokta, bilginin değiştirilmemesini sağlamak değil ,yetkisiz bir şekilde değiştirilmemesini engellemektir. Bütünlük
prensibi ile ilgili temel kavramlar aşağıdaki gibi sıralanmaktadır.
Accuracy: Kesinlik Truthfulness: Doğruluk Validity: Geçerlilik
Accountability: Hesap verilebilirlik Responsibility: Sorumluluk Completeness: Tamlık
Erişilebilirlik (Availability); Bilginin belirlenen / beklenen / hedeflenen / ihtiyaç duyulan süre boyunca ulaşılabilir ve kullanılabilir olmasını, tam ve eksiksiz olarak yapılmasını hedefleyen prensiptir.
Erişilebilirlik; bilişim sistemlerini, kurum içinden ve dışından gelebilecek başarım düşürücü tehditlere karşı korumayı hedeflemektedir. Erişilebilirlik hizmeti sayesinde, kullanıcılar erişim yetkileri dahilinde olan verilere , veri tazeliğini
yitirmeden zamanında ve güvenilir bir şekilde ulaşabilir. Bu prensip dikkat edilmesi gereken noktası , erişilebilirlik ile sistemin %100 ayakta kalmasını sağlamamaktadır, belirlenen süre SLA (SERVİCE LEVEL AGREEMENT) hizmet
verilmesinin sağlanmasıdır.
Erişilebilirlik prensibi ile ilgili temel kavramlar aşağıdaki gibi sıralanabilmektedir.
Usability: Kullanılabilirlik Accessibility: Erişilebilirlik
Timeliness: Vaktindelik
Bilgi Güvenliğini oluşturan en temel unsurlar ;
- Güvenilirlik - İnkar edememe
- Kimliklendirme - Kimlik Sınaması
- Yetkilendirme - İzlenebilirlik
- Hesap Verilebilirlik
İnkar Edememe: Verinin iletildiği gönderici ve alıcı arasında ortaya çıkabilecek iletişim sorunlarını ve anlaşmazlıkları en aza indirmeyi amaçlar.
Kimliklendirme: Bir nesneye erişebilecek olan kullanıcı, proses veya host gibi öznelerin sundukları unsurlardır. Kullanıcının adı, öğrencinin ID’si, Atm’e takılan kart vs.
Kimlik Sınaması: Kimlik Tek başına güvenilir bir unsur değildir, Bu işlem ile kullanıcın sahip olduğu kullanıcının adının sistemde kaydı olup olmadığını kontrol edilmesidir.
Yetkilendirme: Kullanıcı adı ve parola doğrulaması sağlanan kullanıcıların sisteme, programa veya ağa hangi yetkilerle erişim hakkına sahip olduklarını belirten sistemdir.
İzlenebilirlik: Bir sorun ile karşılaşıldığında sorunun tespitinin sağlanabilmesi için kullanılan sistemdir.
Hesap Verilebilirlik: Kişileri eylemlerinden dolayı sorumlu tutmak ve benzer olarak yanlış yargılamaya sebep olmamak için LOG kayıtları tutulup kullanılır.
BİLGİ GÜVENLİĞİ NEDEN ÖNEMLİDİR ?
Bilgisayar ağlarının ve internetin yaygın olarak kullanılmaya başlanmasıyla BİLGİ GÜVENLİĞİ oldukça önemli bir hale gelmiştir .Günümüzde birden çok şirketler hala bilgi güvenliği konusunda yeterli ve gerekli önlemlerini almamıştır.
Bundan dolayı hala aralarında bir çok büyük uluslararası kurum ve şirketler ciddi tehlike altında kalmaktadır. Kurumların sahip olduğu en değerli varlıkları olan bilginin; gizlilik, bütünlük ve erişilebilirlik nitelikleri bakımından sürekli olarak
korunması gerekmektedir.
Bu nedenle de bilgi güvenliği ile ilgili yapılması gereken çalışmalar ve alınması gereken önlemlerin önceliği yüksek seviyede olmalıdır. Kurumlarda Bilgi Güvenliğinin sağlanması kurum için imaj, güvenilirlik ve faaliyetlerinin devamı açısından
kritik derecede önemlidir. Ayrıca bilgi güvenliğinin bir kurumsal yönetim unsurunu olması ve bilgi teknolojileri güvenliği ,fiziksel güvenlik, risk yönetimi, iş şürekliliği ile yasa ve yönetmeliklere uyum gibi unsunlar'la yakın olması ve böylece
çalışanların, iş ortaklarının, müşterilere ve topluma yönelik çeşitli yükümlülükleri desteklemesi nedeniyle de önceliğinin yüksek olması gerektirdiğini daha net anlaşılabilir .
Bilgi Güvenliğinin sağlanabilmesi için kurum çalışanları ve hatta kurumun veri alışverişinde bulunduğu tüm paydaş çalışanların bilgi güvenliği konusunda yeterli bilgi farkındalığına sahip olması zorundadır.
Bilgi güvenliği bazen risk yaratabilecek durumlara, iş ilişkilerine ve pazarlara adım atarken ve bunları sürdürürken daha da güvenli olmamızı sağlamaktadır. Bilgi güvenliği kaynaklı olaylardan doğan kayıpların minumum seviyeye indirilmesi
mali sonuçları da olumlu yönde etkilemektedir.
Bilgi eksikliğinden kaynaklanabilecek insan hatalarını ve teknolojinin yanlış kullanılması risklerini azaltmak, bireylerin bilgi güvenliği tehditleri ve sorunlarından haberdar olabilmesi, çalışma zamanları içinde kurumun güvenlik politikalarını
desteklemek üzere donanımlı bir hale gelebilmesi için bilgi güvenliği farkındalığı ile mümkün kılınabilmektedir.
