Bilgi Güvenliği ve CIA Üçlüsü

Bilgi Güvenliği Temelleri

👤 Güvenlik Uzmanı★ 1/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon'un 2023 Veri İhlali Soruşturma Raporu'na (DBIR) göre ihlallerin yaklaşık %74'ünde insan faktörü rol oynar. Peki bir bilgi güvenliği olayı tam olarak neyi tehlikeye atar? Cevap üç sözcükte saklı: gizlilik, bütünlük, erişilebilirlik.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bilgi güvenliğinin temel taşı olan CIA Üçlüsü'nü (Confidentiality / Integrity / Availability — Gizlilik / Bütünlük / Erişilebilirlik) öğreniyoruz. Soldaki interaktif sahnede (secCiaTriad3D) üç ilkenin birbiriyle dengesini ve birini ihlal ettiğinizde diğerlerine olan etkisini inceleyebilirsin; kaydırıcılarla her ilkenin kuruma yansımasını dene.

Anlatım

BİLGİ GÜVENLİĞİ NEDİR? Bilgi güvenliği, bilginin yetkisiz erişim, değiştirme, ifşa, kayıp veya kesintiye karşı korunmasıdır. ISO/IEC 27001:2022 standardı bilgi güvenliğini tam olarak bu üç özelliğin korunması üzerine tanımlar: gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability). Bu üçü birlikte CIA Üçlüsü olarak adlandırılır ve tüm güvenlik kontrollerinin var oluş amacıdır. Neden önemli? Çünkü bir bilgi varlığını (müşteri listesi, sözleşme, kaynak kodu, çalışan özlük dosyası) ne kadar koruduğumuzu ancak bu üç boyutta ölçebiliriz. Bir kontrolün (parola, yedekleme, şifreleme) neye hizmet ettiğini sorduğunuzda cevap daima bu üçünden en az birine dayanır. 1) GİZLİLİK (CONFIDENTIALITY) Tanım: Bilgiye yalnızca yetkili kişilerin erişebilmesi; yetkisiz ifşanın önlenmesi. Neden önemli: Müşteri kişisel verisi, fiyat teklifi veya stratejik plan yanlış ellere geçerse rekabet kaybı, itibar zedelenmesi ve KVKK kapsamında idari para cezası doğar. İş yeri örnekleri: Maaş bordrolarının yalnızca İK'da görünmesi; e-postanın yanlış alıcıya gönderilmemesi; ekranın başkalarına dönük olmaması (omuz sörfü / shoulder surfing). YAPILMASI gerekenler: Bilmesi-gereken (need-to-know) ilkesiyle erişim ver; hassas dosyaları şifrele; ekran kilidini (Win+L) her kalkışta kullan. YAPILMAMASI gerekenler: Gizli belgeyi kişisel buluta/USB'ye kopyalama; parolayı paylaşma; toplu e-postada 'Bcc' yerine 'To' kullanıp adresleri ifşa etme. ISO 27001 bağı: Annex A 5.15 Erişim kontrolü, A 8.24 Kriptografi kullanımı; KVKK md. 12 veri güvenliği yükümlülüğü. 2) BÜTÜNLÜK (INTEGRITY) Tanım: Bilginin doğru, tam ve yetkisiz değişiklikten korunmuş olması. Neden önemli: Banka bakiyesi, fatura tutarı, hasta dozajı veya yazılım güncellemesi izinsiz değişirse maddi zarar ve can güvenliği riski doğar. İhlal her zaman 'çalınma' değildir; sessiz bir değiştirme daha tehlikeli olabilir. İş yeri örnekleri: Muhasebe kaydının onaysız düzenlenmemesi; sözleşme PDF'inin imzadan sonra değişmediğinin doğrulanması; yazılımın yalnız resmî kaynaktan kurulması. YAPILMASI gerekenler: Değişiklikleri loglayan ve onaya bağlayan sistemler kullan; dosya bütünlüğü için sağlama (hash/checksum) ve dijital imza doğrula; sürüm kontrolü uygula. YAPILMAMASI gerekenler: Üretim verisini doğrudan, denetimsiz değiştirme; doğrulanmamış makro/eki çalıştırma; e-posta talimatını teyit etmeden ödeme bilgisi güncelleme. ISO 27001 bağı: Annex A 8.32 Değişiklik yönetimi, A 5.33 Kayıtların korunması; KVKK 'verilerin doğru ve güncel tutulması' ilkesi (md. 4). 3) ERİŞİLEBİLİRLİK (AVAILABILITY) Tanım: Bilgi ve sistemlerin, ihtiyaç duyulduğunda yetkili kullanıcılarca erişilebilir olması. Neden önemli: Fidye yazılımı, donanım arızası veya DDoS saldırısı sistemi durdurursa iş durur, gelir kaybı ve sözleşme cezası oluşur. Gizli ve doğru ama erişilemeyen bilgi de işe yaramaz. İş yeri örnekleri: Kritik dosyaların yedeklenmesi; sunucuların yedekli (redundant) kurulması; ransomware sonrası yedekten geri dönülebilmesi. YAPILMASI gerekenler: 3-2-1 yedekleme uygula; güncellemeleri zamanında kur; iş sürekliliği ve felaket kurtarma planını bil. YAPILMAMASI gerekenler: Tek kopya ile çalışma; şüpheli eki açıp fidye yazılımı bulaştırma; kritik sistemde yetkisiz değişiklik yapıp kesinti yaratma. ISO 27001 bağı: Annex A 8.13 Bilgi yedekleme, A 5.29/5.30 Kesinti sırasında bilgi güvenliği ve ICT süreklilik hazırlığı. ÜÇLÜNÜN DENGESİ Üç ilke çoğu zaman birbiriyle gerilim içindedir. Aşırı gizlilik (çok katı erişim) erişilebilirliği düşürebilir; aşırı erişilebilirlik (herkese açık paylaşım) gizliliği zedeler. İyi güvenlik, varlığın değerine göre üçü arasında dengeyi kurmaktır — bu yüzden önce veriyi sınıflandırır, sonra orantılı kontrol uygularız. CIA + ek ilkeler Modern yaklaşımda üçlüye sıklıkla kimlik doğrulama (authentication), inkâr edilemezlik (non-repudiation) ve hesap verebilirlik (accountability) eklenir; ancak temel her zaman CIA'dir. Bir olayı raporlarken 'hangi ilke ihlal edildi?' sorusu, olayın ciddiyetini ve müdahale önceliğini belirler.

📌 Senaryolar

📌 Senaryo 1 (Gizlilik): Bir satış uzmanı, 200 müşterinin bilgisini içeren listeyi e-postayla göndereceğin alıcıların hepsini 'Kime/To' alanına yazıyor; herkes diğerlerinin adresini görecek.
  Doğru davranış: Alıcıları 'Gizli/Bcc' alanına ekle, gizli müşteri listesini ayrıca şifreli/parolalı dosya olarak ilet ve yalnızca bilmesi gerekenlere gönder.
  Sonuç/Neden: Adreslerin topluca ifşası kişisel verinin yetkisiz açıklanmasıdır (gizlilik ihlali + KVKK md. 12 ihlali). Bcc + bilmesi-gereken ilkesi ihlali engeller.

📌 Senaryo 2 (Bütünlük): Muhasebe çalışanına 'tedarikçi IBAN'ı değişti, ödemeyi şu yeni hesaba yapın' diyen acil bir e-posta gelir; gönderen yöneticinin adını taşımaktadır.
  Doğru davranış: İşlemi durdur; talebi e-postaya yanıt vererek DEĞİL, kayıtlı resmi telefondan arayarak ikinci bir kanaldan teyit et; onay/değişiklik sürecine uy.
  Sonuç/Neden: Bu klasik bir BEC/dolandırıcılık girişimidir; ödeme verisinin yetkisiz değişimi bütünlük ihlalidir. Bant-dışı (out-of-band) doğrulama maddi kaybı önler (ISO 27001 A 8.32 değişiklik yönetimi).

📌 Senaryo 3 (Erişilebilirlik): Bir çalışan bilinmeyen bir kaynaktan gelen 'Fatura.zip' ekini açtıktan sonra dosyalarının açılmadığını ve ekranda fidye notu çıktığını fark eder.
  Doğru davranış: Cihazın ağ bağlantısını kes (kabloyu çek/Wi-Fi kapat), kapatma; hemen BT/güvenlik birimine bildir; fidye ÖDEME, talimat bekle. Yedekten geri dönüş başlatılır.
  Sonuç/Neden: Fidye yazılımı erişilebilirliği hedefler. Ağdan izole etmek yayılımı durdurur; 3-2-1 yedek varsa veri kayıpsız geri yüklenir (ISO 27001 A 8.13 yedekleme, A 5.29 kesintide güvenlik).

📌 Senaryo 4 (Gizlilik — fiziksel): Bir çalışan öğle arasına çıkarken bilgisayarını açık, hassas sözleşme ekranda görünür halde bırakır; ortak alanda ziyaretçiler dolaşmaktadır.
  Doğru davranış: Her kalkışta ekranı kilitle (Windows: Win+L). Masada hassas evrak bırakma (temiz masa); hassas belgeleri çekmeceye kilitle.
  Sonuç/Neden: Açık ekran ve evrak, omuz sörfü ve yetkisiz erişimle gizlilik ihlaline yol açar. Temiz masa/temiz ekran politikası bunu engeller (ISO 27001 A 7.7 Temiz masa ve temiz ekran).

📌 Senaryo 5 (Üçlünün birlikte değerlendirilmesi): Yöneticin bir olayı raporlarken 'önce neyi tamir edelim?' diye sorar; olayda bir veritabanı hem dışarı sızmış hem de bir kısmı şifrelenip erişilemez hale gelmiştir.
  Doğru davranış: Olayı CIA boyutlarıyla sınıflandır — gizlilik (sızıntı), erişilebilirlik (şifreleme/kesinti) ihlal; bütünlüğü doğrula. İş etkisine göre erişilebilirliği geri kazan, sızıntı için KVKK ihlal bildirimini değerlendir.
  Sonuç/Neden: Olayı CIA çerçevesiyle çözümlemek müdahale önceliğini ve yasal bildirim yükümlülüğünü (KVKK md. 12: ihlali en kısa sürede Kurul'a ve ilgili kişiye bildirim) netleştirir.

Özet

• Bilgi güvenliği = Gizlilik + Bütünlük + Erişilebilirlik (CIA Üçlüsü); ISO/IEC 27001:2022'nin temel tanımıdır. • Gizlilik: yalnız yetkililer erişir (bilmesi-gereken, şifreleme, ekran kilidi). • Bütünlük: bilgi doğru ve izinsiz değişmemiş (onay/log, hash, ikinci kanal teyidi). • Erişilebilirlik: ihtiyaç anında erişilebilir (yedekleme 3-2-1, süreklilik planı). • Üç ilke dengelenir; aşırı biri diğerini zedeler — kontrol veri değerine orantılı seçilir. • Bir olayı raporlarken 'hangi CIA ilkesi ihlal edildi?' sorusu önceliği ve KVKK bildirim yükümlülüğünü belirler.

✅ Mini-Test (5)

1.CIA Üçlüsü hangi üç bilgi güvenliği ilkesinden oluşur?

2.Bir müşteri listesinin yanlış kişilere e-postayla ifşa edilmesi öncelikle hangi ilkeyi ihlal eder?

3.Fidye yazılımının dosyaları şifreleyip erişilemez hale getirmesi en çok hangi ilkeyi hedefler?

4.Bilgiye yalnızca yetkili kişilerin erişebilmesini sağlamak 'bütünlük' ilkesinin tanımıdır.

5.Bir banka kaydındaki tutarın yetkisiz biçimde değiştirilmesi hangi ilkenin ihlalidir?

🧩 Uygulama Soruları (5)

1.Öğle arasına çıkarken hassas bir sözleşme ekranda açık dururken bilgisayarı kilitlemeden masadan ayrılmak üzeresin. En doğru davranış nedir?

2.Muhasebeye 'tedarikçinin IBAN'ı değişti, ödemeyi yeni hesaba yapın' diyen acil bir e-posta geldi. Ne yaparsın?

3.Bilinmeyen bir gönderenden gelen 'Fatura.zip' ekini açtın ve dosyaların şifrelendi, ekranda fidye notu var. İlk adımın ne olmalı?

4.Bilgi gizli ve doğru olsa bile, ihtiyaç duyulduğunda erişilemiyorsa CIA Üçlüsü açısından bir güvenlik sorunu vardır.

5.Bir güvenlik olayını yöneticine raporlarken, müdahale önceliğini ve yasal bildirim gereğini belirlemek için ilk sormak gereken soru hangisidir?

Tehdit, Açıklık ve Risk →

← Tüm modüllere dön · Güvenlik Sözlüğü