Ana Sayfa /

Siber Güvenliğin Önemi

Siber Güvenliğin Önemi

Bir uzmanla konuşun

+90 (212) 951 0703
İLETİŞİM
İLETİŞİM

Siber Güvenliğin Önemi

Siber güvenlik, sistemleri, ağları ve programları dijital saldırılara karşı koruma uygulamasıdır.

Siber saldırılar genellikle hassas bilgilere erişmeyi, bunları değiştirmeyi veya yok etmeyi amaçlar; fidye yazılımı aracılığıyla kullanıcılardan zorla para almak veya normal iş süreçlerinin kesintiye uğramasını neden olur.

Siber saldırı, dış veya iç tehditlerin veya saldırganların, hedef bir kuruluşun veya kişilerin bilgi sistemlerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini sömürmeye veya tehlikeye atmaya yönelik kasıtlı bir girişimidir. Siber saldırganlar, bilgisayarlara, cihazlara, ağlara, uygulamalara ve veri tabanlarına zarar vermek veya kesintiye neden olmak veya yetkisiz erişim sağlamak amacıyla yasa dışı yöntem, araç ve yaklaşımlar kullanır.

  • Kötü amaçlı yazılım
  • Fidye yazılımı
  • Enjeksiyon saldırıları (ör. siteler arası komut dosyası oluşturma, SQL enjeksiyonu (veri tabanına dayalı bir atak tekniğidir, komut enjeksiyonu)
  • Oturum yönetimi
  • E-dolandırıcılık
  • Hizmetin reddedilmesi
  • Ayrıcalık artışları
  • Düzeltme eki uygulanmamış/güvenlik açığı bulunan yazılım
  • Uzaktan kod çalıştırma

Siber saldırılara karşı kendimizi nasıl koruruz?

  1. Yazılım, tarayıcı ve işletim sisteminin güncel tutulması,
  2. Anti virüs yazılımının kullanılması,
  3. Parolaların doğum tarihi, telefon numarası gibi kişisel veriler içermemesi ve güçlü olması,
  4. Sosyal medya hesaplarında, bankacılık uygulamalarında, e-ticaret sitelerinde aynı şifrenin kullanılmaması,
  5. Bilinmeyen göndericilerden gelen e-posta eklerine veya bağlantılara kötü amaçlı yazılım bulaşmış olabileceği için bu eklerin açılmaması, bağlantılara tıklanmaması,
  6. Bilinen sitelerden gelen bildirimlerin linkleri açılırken adres çubuğundan doğru site olduğunun kontrol edilmesi,
  7. Halka açık yerlerde güvenli olmayan WiFi ağlarının kullanılmaması.

Siber saldırı ile güvenlik ihlali arasındaki fark nedir?

Siber saldırı, güvenlik ihlaliyle tam olarak aynı şey değildir. Siber saldırı, bir sistemin güvenliğini tehlikeye atmaya yönelik bir girişimdir. Saldırganlar, çeşitli siber saldırı türlerini kullanarak bir yazılımın veya ağın gizliliğini, bütünlüğünü veya kullanılabilirliğini istismar etmeye çalışırlar.

Güvenlik ihlali, bir siber saldırının hassas bilgilerin tehlikeye girmesine, bilgi teknoloji sistemlerine yetkisiz erişime veya hizmetlerin kesintiye uğramasına neden olduğu başarılı bir olay veya olaydır.

2023’ün en önemli Siber saldırı veri istatistikleri

  • Ağustos 2023’teki veri ihlali sayısı: 73
  • Ağustos 2023’te kırılan rekorlar: 79.729.271
  • 2023 yılındaki veri ihlali sayısı: 767
  • 2023 yılında ihlal edilen kayıt sayısı: 692.097.913
  • 2023’ün şu ana kadarki en büyük veri ihlali: Twitter (220 milyon kayıt ihlal edildi)
  • Birleşik Krallık’ taki en büyük veri ihlali: Seçim Komisyonu (40 milyon kayıt ihlali)
  • En çok ihlal edilen sektörler: Sağlık (229), eğitim (126), kamu (106).

Kurumunuzu Güvende Tutacak Standartlar Nelerdir?

Siber güvenlikte güvende tutmak için kullanılan standartlar, organizasyonların bilgi güvenliği yönetim sistemlerini oluşturarak, uygulayarak ve sürdürerek güvenliklerini sağlamalarına yardımcı olur. Bu standartlar, organizasyonlara bir çerçeve sağlar ve güvenlik süreçlerini oluşturmak, uygulamak ve sürdürmek için rehberlik sunar. Organizasyonların spesifik ihtiyaçlarına ve endüstri gereksinimlerine bağlı olarak, uygun standartları seçmek önemlidir.

ISO/IEC 27001- Bilgi Güvenliği Yönetim Sistemi (BGYS)- ISO/IEC 27001 standardı, bir organizasyonun bilgi varlıklarını nasıl yöneteceğini belirleyen genel bir çerçeve sunar. ISMS, risk yönetimi, güvenlik politikası, sürekli iyileştirme ve iç denetim gibi bileşenleri içerir.

ISO/IEC 27002- Bilgi Güvenliği Kontrolleri- ISO/IEC 27002, ISO/IEC 27001 ile kullanılan bir standarttır ve genel bir bilgi güvenliği kontrol kataloğu sunar. Bu standart, bir organizasyonun bilgi güvenliğini korumak için alması gereken kontrolleri ayrıntılı olarak açıklar.

ISO/IEC 27017 – Bulut Hizmetler için Bilgi Güvenliği Teknolojisi- ISO/IEC 27017, bulut hizmetleri için bir güvenlik kontrolüdür ve ISO/IEC 27001 ve ISO/IEC 27002’nin bir uzantısıdır. Standart hem bulut hizmeti müşterileri hem de bulut hizmeti sağlayıcıları hakkında tavsiyelerde bulunur. ISO 27017, bir bulut bilişim bilgi güvenliği yönetim sistemi uygularken bulut hizmetleri için güvenlik kontrolleri seçerken size ve kuruluşlarınıza yardımcı olmak için tasarlanmıştır.

ISO/IEC 27018 – Bulut Ortamındaki Kişisel Verilerin Korunması- Genel Bulut bilişim ortamı için ISO/IEC 29100’deki gizlilik ilkeleri doğrultusunda kişisel olarak tanımlanabilir bilgileri (PII) korumak amacıyla önlemlerin uygulanması için yaygın olarak kabul edilen kontrol hedefleri, kontroller ve yönergeleri oluşturur. Standart, ISO/IEC 27002’ye dayalı ve genel bulut hizmetleri sağlayıcısının bilgi güvenliği risk ortamı bağlamında uygulanabilecek kişisel verinin korunmasına ilişkin yasal gereklilikleri göz önünde bulunduran yönergeler sunmaktadır. Bu standarttaki yönergeler ayrıca Veri Sorumlusu olarak görev yapan kuruluşlarla da ilgilidir. Kuruluşların Kişisel Veri Koruma Mevzuatlarına uyumu sağlamasına yardımcı olur.

ISO/IEC 27701 – Kişisel Veri Yönetim Sistemi- ISO/IEC 27001’in bir veri gizliliği uzantısıdır. GDPR, KVKK, DPA ve diğer veri gizliliği gerekliliklerine uyumu desteklemek için sistemler kurmak isteyen kuruluşlara rehberlik eder. KVYS/PIMS olarak kısaltılan ISO/IEC 27701 Gizlilik Bilgi Yönetim Sistemi, veri gizliliğini yönetmek için Kişisel Olarak Tanımlanabilir Bilgi (PII) Denetleyicileri ve PII İşleyicileri için rehberlik sağlar.

ISO/SAE 21434 Karayolu Taşıtları Siber Güvenliği- Siber güvenlik mühendisliği standardı, tasarımdan kullanımın sonlandırılmasına kadar bir bağlantılı aracın yaşam döngüsünün tüm aşamalarını kapsar. Standart, araçlardaki tüm elektrik/elektronik sistemlerin, bileşenlerin ve yazılımların yanı sıra herhangi bir harici bağlantılar için de geçerlidir. Otomotiv sektöründe siber güvenlik mühendisliği konularının ele alındığı tek standart olan ISO/SAE 21434, tüm tedarik zincirini kapsayan araç yaşam döngüsünün korunmasını sağlayan güvenlik önlemlerinin uygulanmasında kapayıcı bir yaklaşım sunar.

COBIT – Bilgi ve İlgili Teknolojilerin Yönetimi İçin Kontrol Hedefleri- COBIT, bir organizasyonun bilgi ve ilgili teknolojilerini yönetmek için genel bir çerçeve sağlar. Kontrol hedefleri, organizasyonun hedeflerine ulaşmasını ve değer yaratmasını desteklerken aynı zamanda riskleri yönetmeyi hedefler.

PCI DSS – Ödeme Kartı Endüstrisi Veri Güvenliği Standardı- PCI DSS, ödeme kartı endüstrisinde faaliyet gösteren işletmeler için ödeme kartı verilerini korumak amacıyla oluşturulmuş bir standarttır. Bu standart, ödeme kartı bilgilerini işleyen işletmelerin belirli güvenlik gereksinimlerini karşılamalarını sağlar.

Yönetim Sistemlerinde Belgelendirme Aşamaları Nelerdir?

Belgelendirme aşamaları, bir organizasyonun bilgi güvenliği yönetim sistemini kurma, uygulama, izleme ve sürekli iyileştirme sürecini içerir.

  1. Hazırlık: Organizasyonun yönetimi, bilgi güvenliği hedeflerini belirler ve bu hedeflere ulaşmak için gerekli kaynakları ve taahhütleri sağlar. Yönetim, belgelendirmenin organizasyon için neden önemli olduğunu anlar ve destekler.
  1. Başlangıç Değerlendirmesi: Organizasyon, belgelendirme sürecine başlamadan önce mevcut bilgi güvenliği durumunu değerlendirir. Bu aşamada mevcut politika ve prosedürler, var olan riskler ve güvenlik kontrolleri gözden geçirilir.
  1. Bilgi Güvenliği Politika ve Süreçlerin Oluşturulması: Organizasyon, belgelendirme sürecinin bir parçası olarak bilgi güvenliği politika ve süreçlerini oluşturur. Bu belgeler, bilgi güvenliği yönetim sistemini destekler ve organizasyonun hedeflerini yansıtır.
  1. Eğitim ve Farkındalık: Organizasyon içindeki personel, bilgi güvenliği politika ve prosedürleri konusunda eğitilir. Bilinçlendirme programları, çalışanların güvenlik konularında bilinçlenmelerini sağlar.
  1. Risk Değerlendirmesi ve Yönetimi: Organizasyon, bilgi varlıklarını belirler, bunların değerini belirler ve bu varlıkların karşılaştığı riskleri değerlendirir. Sonra, bu riskleri azaltmak veya kabul edilebilir seviyeye getirmek için güvenlik kontrollerini uygular.
  1. Bilgi Güvenliği Yönetim Sistemini Oluşturma: Belirli bir standart çerçevesinde (örneğin, ISO/IEC 27001), organizasyon bilgi güvenliği yönetim sistemini oluşturur. Bu, politika, süreçler, prosedürler ve diğer belgelerin uygulanmasını içerir.
  1. İzleme ve İyileştirme: İzleme süreci, uygulanan güvenlik kontrollerinin etkinliğini değerlendirir. Ayrıca, organizasyon sürekli iyileştirme için geri bildirim toplar ve güvenlik süreçlerini geliştirmek için düzeltici ve önleyici faaliyetler gerçekleştirir.
  1. Denetim ve İnceleme: İç denetimler ve dış denetimler aracılığıyla, organizasyon belgelendirme gereksinimlerini karşılayıp karşılamadığını değerlendirir. Belgelendirme kuruluşları, organizasyonun belgelendirme standartlarına uygunluğunu değerlendirir.
  1. Belgelendirme: Bir belgelendirme kuruluşu, organizasyonun bilgi güvenliği yönetim sistemini değerlendirir ve uygun bulduğu takdirde belgelendirme verir.
  1. Sürekli İyileştirme: Organizasyon, belgelendirme aldıktan sonra bile sürekli olarak güvenlik süreçlerini ve politikalarını iyileştirir. Bu, değişen tehditlere ve organizasyonun büyüme veya değişimine adapte olmayı içerir.

Siber güvenlik belgelendirmesi süreci, organizasyonun bilgi güvenliği yönetimini güçlendirmek ve sürekli olarak geliştirmek için bir çerçeve sağlar. Eğitim ve Belgelendirme hizmetlerimiz hakkında daha fazla bilgi için bizlere info@cfecert.co.uk adresinden ulaşabilirsiniz.

ISO 9001 KYS

ISO 9001, kuruluşların bir Kalite Yönetim Sistemi (QMS) uygulamasına yardımcı olmak için tasarlanmış uluslararası standarttır.

 Daha Fazla Bilgi Alın
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın
cfe cert linkedin
iso 27001 certification iso 22301 certification iso 37001 certification iso 20000 certification bs 10012 certification gdpr certification
© 2021 - CFECERT | Tüm hakları saklıdır
Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
cfe cert linkedin
© 2021 - CFECERT | Tüm hakları saklıdır
iso 27001 certification iso 22301 certification iso 37001 certification
iso 20000 certification bs 10012 certification gdpr certification