Siber Güvenlikte CIA Üçlüsü Nedir?

0

Bir şirket içinde güvenli bir sistem oluşturmak için bu ilkeler üçgenine uyulmalıdır. Peki CIA üçlüsü tam olarak ne anlama geliyor?


Siber saldırıların ve ihlallerin sıkça yaşandığı bu günlerde, her kuruluşun güvenliğini iyileştirmesi ve varlıklarının güvenliğini sağlamak için önlemler alması önemlidir. CIA üçlüsü, her kuruluşun güvenlik duruşu ve altyapısı için hayati önem taşıyan bir modeldir. Peki CIA üçlüsü tam olarak nedir? Ve güvenli bir sistem oluşturmanıza ve sürdürmenize nasıl yardımcı olur?

CIA Üçlüsü Nedir?
CIA üçlüsü, Gizlilik, Bütünlük ve Kullanılabilirlik anlamına gelir. Her sistem veya organizasyonun güvenliğini yönlendirmek için kullanılan bir modeldir.

CIA üçlüsü bir üçgene benzetilebilir. Güvenli bir sistem oluşturmak için uyulması gereken birbirine bağlı üç kural ve ilkeden oluşan bir settir. CIA üçlüsünün bir bileşeni karşılanmazsa, sistem güvenli değildir.

CIA üçlüsü, etkili güvenlik altyapısı ve politikaları için bir temel görevi görür; yerinde olduğunda, güvenlik uzmanlarının politikalar belirlemesi ve birinin güvenliğindeki zayıflıkları analiz etmesi daha kolaydır.

Gizlilik
Gizlilik, kuruluşunuzun verilerinin ve varlıklarının gizliliğiyle ilgilenir. Bu, yalnızca yetkili personel ve hesapların özel verilere erişmesi gerektiği anlamına gelir. Yetkisiz herhangi bir hesap, bir sistemdeki verileri veya komutları okuyamaz, yazamaz veya yürütemez.


Bir kuruluşta hesabınız varsa, hesabınızdaki verilere erişebilmeniz veya bunları değiştirebilmeniz için önce oturum açmanız gerekir. Bilgilerinizi girme süreci, kimliğinizi doğrulayan kuruluşun veritabanıdır. Bu, varlıklarınızın gizliliğini korumak için yapılır. Bir bilgisayar korsanı, hesabınıza ve verilerine erişirse gizliliğiniz ihlal edilmiştir.

İhlal edilen bazı gizlilik örnekleri arasında Ortadaki Adam (MitM) saldırıları , paket koklama, SQL enjeksiyonları ve bir kuruluşa yönelik doğrudan siber saldırılar veya kasıtsız veri sızıntıları sayılabilir.

Çoğu zaman, şifreler güvenli bir şekilde saklanmadığından gizlilik ihlal edilir. Parolaları şifrelemek ve parola yöneticileri ve tek oturum açma sağlayıcıları gibi parolasız kimlik doğrulama kullanmak , varlıklarınızın gizliliğini ve dolayısıyla güvenliğinizi artırmaya yardımcı olur. Her kullanıcının kimliğini doğrulamak ve verilere erişme ve bunları değiştirme yetkisine sahip olduklarından emin olmak için işletme genelinde çok faktörlü kimlik doğrulama da uygulanmalıdır.

Bütünlük
Siber güvenlikte bütünlük, bir sistemde depolanan varlıkların ve verilerin güvenilirliğini, güvenilirliğini ve gerçekliğini ifade eder. Bir kişi veri aktarmak için web sitenizi veya uygulamanızı kullandığında, bu veriler onlara herhangi bir değişiklik yapılmadan ulaşıyor mu?

Dürüstlük, sahip olduğunuz veya bakımınıza emanet ettiğiniz her varlığın her zaman doğru, eksiksiz ve tutarlı olmasını sağlar. Sisteme saldıran, önemli verileri, günlükleri ve bilgileri değiştiren siber suçlular tarafından bütünlük tehlikeye girebilir.


Sisteminizin bütünlüğünü sağlamanın yolları arasında şifreleme, mesaj özetlerinin kullanılması ve dijital filigranlar yer alır. Bu yöntemler, herhangi bir değişiklik yapılmadığından emin olmak için aktarımın başında ve sonunda verileri kontrol etmenizi sağlar. Diğer yöntemler arasında sürüm kontrolü ve izinsiz giriş tespit sistemlerinin kullanımı yer alır.

Bütünlük, siber güvenlikte bir başka önemli kavrama yol açar: inkar etmeme.

Reddetmek, bir sözleşmenin veya işlemin geçerliliğini reddetmek veya itiraz etmek anlamına gelir. Reddetmeme, gönderenin alıcıya bir mesajın gönderildiğini inkar edememesini ve bunun tersini sağlar. Göndericiye teslimat kanıtı, alıcıya ise göndericinin kimliğinin kanıtını sağlar. Bu şekilde, her iki taraf da aktarılanların bütünlüğünden emin olur. İnkar etmeme ayrıca şifreleme ve dijital imzalardan da yararlanır.
 

Kullanılabilirlik
Verilerin gizliliği ve bütünlüğü sağlanmışsa ve yine de erişilemiyorsa, hepsi boşuna değil mi?

CIA üçlüsünde erişilebilirlik, bir kuruluştaki ve sistemdeki tüm veri ve varlıkların her zaman yetkili kullanıcılar tarafından kolayca erişilebilir olması gerektiği anlamına gelir. Bunu başarmak için tüm veritabanları, teknik altyapı ve sistemler – hem yazılım hem de donanım – düzenli olarak bakıma alınmalı ve çalışır durumda tutulmalıdır.

Kullanılabilirlik ihlaline bir örnek, Hizmet Reddi (DoS) saldırısıdır. Bir siber suçlu, çok fazla trafiğe sahip bir sistemi su bastığında ve kullanıcılar tarafından erişilemez hale geldiğinde bir DoS saldırısı meydana gelir. Kullanılabilirlik ihlallerinin diğer örnekleri arasında arabellek taşması saldırıları , donanım arızası ve basit insan hataları sayılabilir.

Kullanılabilirlik ihlallerini engellemek için her zaman birden fazla veri yedeklemeniz gerekir. Sunucular, veritabanları ve uygulama ağları gibi donanım ve yazılım altyapılarında artıklık kavramının uygulanması da gereklidir. Yedeklilik, her zaman kullanılabilirliği sağlamak için aynı depolama altyapısının birden çok örneğinin tutulduğu bir uygulamadır. Bir saldırı durumunda, bir sonraki cihaz veya ekipman, herhangi bir aksama olmadan saldırıya uğrayan cihazın çalışmasını üstlenebilir.

CIA Triadı Neden Önemli?
CIA üçlüsü, siber güvenlikte çok önemli bir kavramdır çünkü sistemlerin ve varlıkların güvenliğinin sağlanması için bir rehber ve bir kontrol listesi görevi görür. CIA üçlüsü ile kuruluşların ve güvenlik personelinin güvenilir ve güvenli sistemler oluşturması daha kolaydır.


Olay müdahalesinde, CIA üçlüsü, üçlünün ihlal edilmiş olan kısımlarını tam olarak belirlemek ve ekibin buna göre tepki vermesine yardımcı olmak için esastır.

Gizlilik, Bütünlük, Kullanılabilirlik: Hangisi Daha Önemli?
Her biri çok farklı ve herhangi bir sistemin güvenliği için gerekli olan üç kavramdan en önemlisini seçmek zor olacaktır. Bazı durumlarda, biri diğerinin üzerinde seçilebilir. Örneğin, bir siber saldırı sırasında bir sistemin gizliliğini korumak amacıyla kullanılabilirlikten vazgeçilmesi gerekebilir.

Ancak unutmayın, CIA üçlüsünün bir bileşeni ihlal edilirse, o sistemin güvenliği yetersizdir.

CIA Üçlü ile Güvenlik Duruşunuzu İyileştirin
CIA üçlüsü, kuruluşunuzun genel güvenlik duruşunu iyileştirmede ve sürdürmede büyük rol oynar. Uygulanan bu üç temel bileşenle, kuruluşunuz tehdit aktörlerine ve siber suçlulara karşı güvende kalabilir. Ayrıca firmanız için farkındalık ve güvenlik eğitimleri gerçekleştirirken yol gösterici olabilirler.

Yorum Gönder

0Yorumlar

UYARI: > Küfür, hakaret, rencide edici cümleler veya imalar, içeren, imla kuralları ile yazılmamış, Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.<

Yorum Gönder (0)