Bilgi Güvenliği Nedir?

Bilgi güvenliği, dijital veya fiziksel biçimde tüm kurumsal bilgileri koruma sürecidir. Kuruluşlar, marka itibarlarını, müşteri güvenini ve mevzuat uyumluluğunu sürdürmek için operasyonlarına ve müşterilerine ilişkin bilgileri korur. Bilgi güvenliği, tüm bilgilerin yalnızca uygun yetkilendirmeden sonra görüntülenmesini, kopyalanmasını, değiştirilmesini veya yok edilmesini sağlamaya yardımcı olan süreçleri, araçları ve teknolojileri özetler.

Bilgi güvenliği, özel verilerinin ve iş sistemlerinin bütünlüğünü, erişilebilirliğini ve gizliliğini sağlamaya yardımcı olarak kuruluşları destekler. Bilgi güvenliğinin önemli olmasının birkaç nedeni vardır.

İş sürekliliğinin sağlanması

Etkili bilgi sistemleri, beklenmedik güvenlik olayları sırasında bile işletmelerin kendi verilerine ve sistemlerine kesintisiz erişim sağlamasına olanak tanır. İş sürekliliği için planlama, bir dizi güvenlik yazılımı kullanmayı, olaylar sırasında izlenecek politikalar oluşturmayı ve bir kuruluşun korunmasına yardımcı olan teknik önlemlerin uygulanmasını içerir.

Müşteri güveninin oluşturulması

Bilgi güvenliği, beklenmedik güvenlik olaylarının ortaya çıkma olasılığını azaltır ve işletmelerin müşterilerine kesintisiz hizmet sunmalarını sağlar. Kuruluşlar; yönetişime tutarlı bir şekilde uyma, en iyi uygulamaları takip etme ve güvenli geliştirme uygulamalarını yürürlüğe koyma geçmişine sahip olduklarında müşterilerine kullanıcı verilerini ciddiye aldıklarını ve koruyacaklarını gösterirler.

Güvenlik risklerinin azaltılması

Bir işletmenin faaliyet gösterdiği sektöre bağlı olarak hesaba katması gereken birkaç potansiyel risk olabilir. Bilgi güvenliği, riskleri yönetmek ve azaltmak için teknik ve usuli denetimlerin uygulanmasına yardımcı olur.

Kuruluşlar, beklenmedik güvenlik olaylarının ortaya çıkma olasılığını azaltan ve şirketin risk yönetme yeteneğini geliştiren yeni güvenlik yönetimi teknolojisini entegre edebilir.

Marka itibarının korunması

Bilgi güvenliği; güvenilir bir şekilde hizmet sağlama, müşterilerinin gizliliğini koruma ve operasyonel talepleri karşılama yeteneğini geliştirerek markanın itibarını korur. Kasıtsız güvenlik olaylarının ortaya çıkması bir markanın itibarına zarar verebilir ancak etkili bilgi güvenliği uygulamaları, bu durumun gerçekleşme olasılığını azaltır.  

Her işletmenin izlediği birkaç temel bilgi güvenliği ilkesi vardır.

Gizlilik

Gizlilik, herhangi bir özel işletme verisine yalnızca yetkilendirilmiş kişilerin erişebilmesini sağlamaya yardımcı olur. Dijital dosyalar için erişim denetimleri uygulayabileceğiniz ve ayrıca yetkisiz personelin bir ofise erişmesini önleyebileceğiniz için bu ilke hem teknik hem de fizikseldir. Gizlilik, şifreleme kullanımına, taşınan veya beklemedeki verilerin güvenliğini sağlamaya ve tüm şirket verilerinin korunmasına da uzanır.

Bütünlük

Bütünlük, bir şirket içindeki verilerin yaşam döngüsü boyunca doğruluğunu, güvenilirliğini ve tutarlılığını ifade eder. Bu ilke, verilerin doğru olmasını ve sahiplerinin bilgisi olmadan değiştirilmemesini sağlayarak verileri korumayı amaçlamaktadır. Bilgi sistemlerinde veri bütünlüğünü uygulamak; dijital veri imzalarını dâhil etmek, kriptografik karma kullanmak, verileri değişmez defterlerde depolamak ve yaşam döngüsü boyunca verileri doğrulamakla ilgilidir.

Erişilebilirlik

Erişilebilirlik, yetkili kullanıcıların gecikme veya kesinti olmadan ihtiyaç duydukları tüm verilere erişmelerini sağlamaya yardımcı olur. Bu ilke, verilerin her zaman erişilebilir olması için yedekleme ve kurtarma stratejilerini uygulamayı amaçlamaktadır. Ek olarak erişilebilirlik, üçüncü taraf kesintilerine karşı korumayı, veri merkezlerindeki depolamanın durumunu izlemeyi ve veri mimarisinde hata toleransını tasarlamayı içerir.

Reddedilemezlik

Reddedilemezlik, verilerle ilgili yapılan her eylemin izlenmesini, takip edilmesini ve günlüğe kaydedilmesini sağlamaya yardımcı olur. İşletmeler, reddedilemezliği bilgi güvenliği sistemlerine katıştırarak her veri parçasının arkasında bir denetim izi bırakmasını sağlar. Bir kullanıcı; bilgiyle etkileşime girdiğinde, bilgiyi değiştirdiğinde, bilgiye eriştiğinde veya bilginin hareketini veya değişikliklerini onayladığında bu faktörlerin tümü, değişmez bir deftere kaydedilir.

Bilgi güvencesi

Bilgi güvencesi, görev açısından kritik operasyonların desteklenmesini sağlayarak bilgi sistemlerini koruma uygulamasıdır. Bu, ISO 27001 gibi güvenlik çerçevelerini değerlendirmeyi ve bunlara bağlı kalmayı, ortaya çıkan riskleri aktif olarak yönetmeyi, güvenlik sistemlerini düzenli olarak test etmeyi ve potansiyel tehditleri sürekli izlemeyi içeren daha geniş bir ilkedir. 

Bilgi güvenliği yönetim sistemi (ISMS), bir kuruluşun bilgi güvenliğini tüm veri yaşam döngüsü boyunca nasıl yönettiğini tanımlar. Bu sistem tipik olarak işletmedeki tüm bilgi sistemleri için kapsamlı güvenlik denetimleri sağlamak üzere çalışanların, süreçlerin ve teknolojinin nasıl işlediğini tanımlar.

Uluslararası standartlar ve çerçeveler, bir uyumluluk programının parçası olarak kuruluşlara bilgi ve veri güvenliği konusunda yardımcı olmak için açıklayıcı ve yönlendirici rehberlik sağlar. Kuruluşunuzun takip edebileceği bazı örnek standartlar ve çerçeveler aşağıda verilmiştir.

ISO-27001

ISO-27001; kurumsal, çalışanlara yönelik, fiziksel ve teknolojik güvenlik iyileştirmeleri olmak üzere dört ana temayı ele alır. Bu kategorilerin her biri, güvenliği farklı bir şekilde artırmayı amaçlamaktadır. Örneğin:

• Çalışanlara yönelik temada çalışanlar için güvenlik eğitimi verilir.
• Fiziksel temada ofisler için sıkı erişim denetimi politikaları uygulanır.
• Teknoloji temasında bekleyen ve taşınan veriler için şifreleme uygulanır.

Her biri daha yüksek bir bilgi güvenliği standardına ulaşmaya katkıda bulunur.

• AWS, ISO/IEC 27001:2022 uyumluluğu sertifikasına sahiptir. Bu, bilgi güvenliği risklerimizi şirket içinde sistematik olarak geliştirdiğimiz, tehditlerin ve güvenlik açıklarının etkisini dikkate aldığımız anlamına gelir.
• Müşterilerin ve mimarinin güvenlik risklerine çözüm getirmek için kapsamlı bir bilgi güvenliği denetim paketi ve başka risk yönetimi biçimleri tasarlayıp uygularız.
• Bilgi güvenliği denetimlerinin ihtiyaçlarımızı sürekli karşılamaya devam edeceğinden emin olmak için kapsamlı bir yönetim sürecimiz vardır.

PCI-DSS

PCI-DSS; finansal verilerin depolanması, iletilmesi ve işlenmesi de dâhil olmak üzere herhangi bir kart ödemesinin güvenli bir şekilde yapılmasını sağlamaya yardımcı olan, yaygın olarak kullanılan bir başka standarttır. Tüccarlar, işlemciler, alıcı bankalar, ihraççılar ve hizmet sağlayıcıları da dâhil olmak üzere kart sahibi verilerini (CHD) veya hassas kimlik doğrulama verilerini (SAD) depolayan, işleyen ya da ileten her kuruluş; PCI-DSS standardına uymalıdır.

Güncel PCI DSS standardı kapsamındaki AWS hizmetlerinin listesine göz atabilirsiniz.

HIPAA/HITECH

HIPAA (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası), kişisel sağlık bilgilerinin (PHI) korunmasına, veri gizliliğini sağlamaya ve yetkisiz ifşayı önlemeye yardımcı olan bir ABD federal yasasıdır. HIPAA; "kapsam dâhilindeki varlıklar" (Sağlık planları, Sağlık hizmetleri takas merkezleri ve sağlık bilgilerini elektronik olarak ileten sağlık hizmeti sağlayıcıları) ve iş ortakları için geçerlidir.

Güncel HIPAA standardı kapsamındaki AWS hizmetlerinin listesine göz atabilirsiniz.

FedRAMP

FedRAMP (Federal Risk ve Yetkilendirme Yönetim Programı); bulut ürünleri ve hizmetleri için güvenlik değerlendirmesi, yetkilendirme ve sürekli izleme çalışmalarına standart bir yaklaşım getiren ve tüm ABD kamu kurumlarını kapsayan bir programdır.

Güncel FedRAMP standardı kapsamındaki AWS hizmetlerinin listesine göz atabilirsiniz.

GDPR

GDPR (Genel Veri Koruma Yönetmeliği), AB sakinlerinin verilerini koruyan bir AB yasal çerçevesidir. AB müşterileriyle herhangi bir şekilde ilişki kurmak isteyen her işletmenin GDPR'ye uyması gerektiğinden küresel bir standarttır. GDPR, verilerin en aza indirilmesini teşvik etmeyi, veri toplama için yasal bir dayanak sağlamaya yardımcı olmayı ve kullanıcılara verilerinin silinmesini talep etme hakkı sunmayı amaçlamaktadır.

AWS müşterileri, AWS hesapları altındaki AWS hizmetlerine (müşteri verileri) yüklenen kişisel verileri (GDPR'de tanımlandığı gibi) GDPR'ye uygun olarak işlemek için tüm AWS hizmetlerini kullanabilir.

FIPS 140-3

FIPS 140-3, federal alanda faaliyet gösteren tüm ABD kurumlarının kullanması gereken bir kriptografik modüldür. Bu standart, FedRAMP'in bir parçasıdır ve şirketlerin koruma ve engellemeye ilişkin çok çeşitli güvenlik önlemleri almasını gerektirir.

AWS, hizmete göre çok çeşitli FIPS Uç Noktaları sağlar.

İş yüklerini ve uygulamaları güvence altına almak için birlikte çalışan birkaç ana bilgi güvenliği programı kategorisi vardır.

Veri koruması

Veri koruması; hassas bilgileri, hesapları ve iş yüklerini yetkisiz erişime karşı korumaya yardımcı olan tüm hizmetleri ifade eder. Temel veri koruma hizmetleri arasında hem aktarım sırasında hem de depolamada verilerin şifrelenmesi, anahtar yönetimi ve hassas veri kurtarma yer alır.

Ağ ve uygulama koruması

Ağ ve uygulama koruma teknolojileri, işletmenizin ağ güvenliği denetim noktalarında uyguladığı tüm strateji ve politikalarla ilgilidir. Bu teknolojiler gelen trafiği tanımlamaya, filtrelemeye ve yetkisiz bağlantıların ağınıza erişmesini önlemeye yardımcı olur. Temel teknolojiler; güvenlik duvarları, VPN'ler, uç nokta algılama ve ağınızın güvenliğini artıran diğer uygulama düzeyi sınırları içerir.

Kimlik ve erişim yönetimi

Kimlik ve erişim yönetimi (IAM) güvenlik araçları, işletmenizin erişim denetimlerini yönetmesine, izin düzeyleri atamasına ve hangi hesapların hassas verilere erişebileceğini belirlemesine olanak tanır. Kimlik denetimleri, belirli hesapların sahip olduğu erişim düzeyini ve bu erişim düzeyinin neleri görüntülemelerine ve nelerle etkileşime girmelerine izin verdiğini belirlemeye yardımcı olur. Hem veri düzeyi denetimler hem de hesap ayrıcalık sistemleri ile ilgilidir.

Uyumluluk ve denetim

Uyumluluk ve denetim; en iyi uygulamaları takip etme, ortamınızı izleme ve uyumluluk standartlarının kuruluşunuz genelinde karşılanmasını sağlamaya yardımcı olma becerisini ifade eder. İşletmenizin çalıştığı sektöre bağlı olarak denetlemeniz ve uymanız gereken standartlar değişecektir.

Fiziksel güvenlik denetimleri

Fiziksel güvenlik denetimleri; fiziksel ofisler, sunucular ve iş alanlarıyla ilgili başka bir erişim denetimi şeklidir. Güvenli site tasarımı, erişilebilirlik planlaması ve fiziksel erişim politikalarının uygulanmasını içerir. Fiziksel ve çevresel güvenlik ayrıca erişimi izlemeye, hareketleri kaydetmeye ve işletmelerin denetlemesi için bir veri izinin tutulmasını sağlamaya da uzanır. 

Bir işletme; bulut hizmetlerini kullandığında güvenlik ve uyumluluk, bulut sağlayıcısı ile şirket arasında ortak bir sorumluluk hâline gelir. Bu ikili sorumluluk, ortak sorumluluk modeli olarak bilinir ve bulut güvenliğini sağlamaya yardımcı olmak için her bir tarafın yerine getirmesi gereken ilgili görevleri ifade eder.

Müşteri; müşteri verilerini, platformu, uygulamaları, kimlik ve erişim yönetimini, istemci veri şifrelemesini, ağ yapılandırmasını ve diğer birçok görevi ele alma sorumluluğunu üstlenir. Bulut sağlayıcısı; bulut sağlayıcısı tarafından işletilen donanım, yazılım veya ağ gibi bulut içinde herhangi bir hizmeti çalıştıran tüm altyapılardan sorumludur.

Paylaşılan sorumluluğun spesifik niteliği, şirketin ortak olmayı seçtiği bulut sağlayıcısına bağlı olacaktır. Bu sorumluluğun bölünmesi genellikle "bulutun" güvenliği ve "buluttaki" güvenlik ayrımına göre belirlenir.

AWS olarak en büyük önceliğimiz güvenliktir. AWS, uygulamaları ve iş yüklerini oluşturmak, taşımak ve yönetmek için en güvenli küresel bulut altyapısı olarak tasarlanmıştır. Bu; devlet, sağlık hizmetleri ve finansal hizmetler gibi güvenlik açısından en hassas kuruluşlar dâhil olmak üzere milyonlarca müşterimizin güveni ile desteklenmektedir.

Güvenlik, AWS ve müşteriler arasında ortak bir sorumluluktur. Paylaşılan bu model, ana sunucu işletim sisteminden ve sanallaştırma katmanından içinde hizmetin çalıştırıldığı tesislerin fiziksel güvenliğine kadar tüm bileşenleri AWS çalıştırdığı, yönettiği ve denetlediği için müşterinin operasyonel yükünü hafifletmeye yardımcı olabilir. PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR ve FIPS 140-3 dâhil olmak üzere çok çeşitli güvenlik standartlarını ve uyumluluk sertifikalarını destekleyerek müşterilerin dünya çapında uyumluluk gereksinimlerini karşılamalarına yardımcı oluyoruz. Ayrıca verilerinizin nasıl kullanıldığını, kim tarafından erişilebileceğini ve nasıl şifrelendiğini belirlemenize olanak tanıyarak kendi verileriniz üzerinde tam denetim sahibi olmanızı sağlarız.

AWS güvenlik hizmetleri, buluttaki bilgi güvenliği çabalarınızı daha fazla destekleyebilir. Örneğin:

• AWS denetim ve yapılandırma hizmetleri, uyumluluk durumunuza dair kapsamlı bir görünüm sunar ve ortamınızı sürekli olarak izler.
• AWS Kimlik ve Erişim Yönetimi (IAM) gibi AWS veri koruma hizmetleri, AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetmenize olanak tanır. AWS CloudTrail ve Amazon Macie; uyumluluk, algılama ve denetim sağlarken AWS CloudHSM ve AWS Anahtar Yönetimi Hizmeti (KMS) ise şifreleme anahtarlarını güvenli bir şekilde oluşturmanıza ve yönetmenize olanak tanır. AWS Control Tower, veri yerleşimi için yönetişim ve denetimler sağlar.
• AWS algılama ve müdahale hizmetleri, güvenlik durumunuzu geliştirmenize ve tüm AWS ortamınızda güvenlik operasyonlarını kolaylaştırmanıza yardımcı olur.
• AWS kimlik hizmetleri; kimlikleri, kaynakları ve izinleri geniş ölçekte güvenli bir şekilde yönetmenize yardımcı olur.
• AWS ağ ve uygulama koruma hizmetleri, kuruluşunuz genelindeki ağ denetim noktalarında ayrıntılı güvenlik politikaları uygulamanıza yardımcı olur.

Hemen ücretsiz bir hesap oluşturarak AWS'de bilgi güvenliği çalışmalarına başlayın.