/ / / / CIA Üçlüsü Nedir?

CIA Üçlüsü Nedir?

CIA Triad
CIA Triad


CIA Üçlüsü Nedir?

CIA Üçlüsü veya CIA Üçgeni, ISO/IEC 27001 Standardı tarafından belirtilen bilgi güvenliğinin en önemli 3 temel bileşenidir. Baş harflerinin yazılması ile isimlendiren CIA üçlüsü sağlanmadığı zaman güvenlikten bahsetmek aslında mümkün değildir. Bu yazımda sizlere kısaca şu soruların cevaplarını vermiş olacağım:

  • Bilgi Güvenliği nedir?
  • CIA Üçlüsü nelerden oluşur?
  • Bu üçgen nasıl sağlanır?
  • Üçgenin iç açıları toplamı bize neyi verir?

Bilgi Güvenliği nedir?

Bilgi Güvenliği, elimizde bulunan bilgilere izinsiz erişilmesi, yok edilmesi veya değiştirilmesi gibi kritik olayları engellemek için verilen uğraştır. Kısaca var olan bilgiye bizim iznimiz dahilinde erişilerek işlemlerin yapılmasını sağlamaktır.

Peki bilgiyi neden korumaya çalışırız? Bilginin Güvenliği sağlanmadığı zaman neler olur?

Bilgiler, bizleri veya şirketlerin müşterilerini tanımlayan bir gerçektir. Bilgiler bize ait olduğu için kötü niyetli kişilerin veya kurumların eline geçmesini de istemeyiz. Bizi tanımlayan bu bilgiler başkalarının eline geçtiğinde ise o kişi aynı bizmiş gibi davranabilir veya bunları farklı bir kişiye satabilir. Biz kendi bilgilerimizle neler yapabiliyorsak, kötü niyetli kişilerin elinde bunlar daha kullanışlı hale gelerek bizim yapmak istemediğimiz veya yapamayacağımız şeyleri kendileri yapabilirler. Ve burada zararlı herzaman biz çıkarız. Çok basit bir örnek üzerinden gitmek gerekirse örneğin:

  • Şahsi açıdan: Üyesi olduğumuz bir forum düşünelim ve burada çok yakın arkadaşlarımız bulunuyor. Eğer bize ait olan forum bilgilerimiz yani e-mail adresimiz, parolamız ve beraberinde verdiğimiz diğer bilgiler bir başkasının eline geçtiği zaman kişi bu bilgiler ile hesabımıza girebilir ve samimi olduğunuz kişilerden para yardımı veya daha kötüsü olarak onlarıda kandırarak bilgilerine el koyma gibi istenmeyen durumlarla karşılaşabiliriz.

  • Şirket açısından: Bir e-ticaret sitesi düşünün ve siz buradan alış-veriş yapıyorsunuz. Hali ile üyelik bilgileri dışında kredi kartı bilgilerinizide ekliyorsunuz. Peki bu site hacklendiği zaman ve sizin verilerinizin sızdırıldığını öğrendiğiniz zaman bu siteye karşı duruşunuz nasıl olur? Elbette her sistem hacklenebilir ama sizin o şirkete karşı olan bakış açınızın değişmesi ve daha az ticaret yapmanız, şirketi hem mali açıdan zarara sokar hem de müşteri kaybı yaşar ki buda şirketin gelirini etkileyerek batma noktasına getirebilir (günümüzde şahit olsakta batmıyorlar o yüzden uzak ihtimal).

CIA Üçlüsü nelerden oluşur?


ISO/IEC 27001 Standardı tarafından incelenen Bilgi Güvenliği 3 önemli başlığa sahiptir. Bunlar:

  • Confidentially (Gizlilik)
  • Integrity (Bütünlük)
  • Availability (Erişilebilirlik)

Baş harflerini aldığımız zaman “CIA” ortaya çıkar ve bunu “CIA Üçlüsü” veya “CIA Üçgeni” şeklinde isimlendiririz.

Confidentially (Gizlilik)

Verileri yalnızca amaçlanan alıcılar okuyabilmelidir.

Mesela bir e-ticaret sitesine üye olduğumuzda bizim için veritabanında bir satır oluşur ve şu bilgiler eklenir: Ad Soyad, Email adresi, Parola, Kredi Kartı bilgileri, Adres bilgileri vs. Bu bilgilerin gizli olması ve sadece yetkili kişilerin görebilmesi gereklidir. Örneğin bir ürün aldığımızda ürünün bize gelmesi için adres bilgilerimizi vermemiz gerekiz ama bunu farklı bir kullanıcıya vermeyiz veya parolamızı sadece bizim değiştirebilmemiz ve bilmemiz gerekir. Bu yüzden bilgilerin gizliliği önemlidir.

Integrity (Bütünlük)

Verilerin iletişim sırasında değiştirilmeyeceğinin güvencesidir.

Mesala 100 dolarımız var ve bunu farklı bir banka hesabına transfer etmek istiyoruz. Transfer sırasında eğer verilerin bütünlüğü sağlanamazsa 100 yerine 1000 dolar gidebilir veya 100 doların banka hesabımızdan çıkmasına rağmen bakiyemizden düşülmemesi gibi durumlar olabilir veya kredi kartı ile yaptığımız 100 dolarlık alışveriş sistemde 1000 olarak da görülebilir. Bunların hepsi bütünlüğü ortadan kaldıran istenmeyen durumlardır.

Availability (Erişilebilirlik)

Yetkili kullanıcılar için verilere zamanında ve güvenilir erişim garantisidir.

Basit bir örnek verelim bir sınav sistemimiz var ve yılın belirli bir zamanında milyonlarca insanın girdiği bir sınav bu sistemde açıklanıyor veya buna göre başvurular yapılıyor. Eğer bu sistemin sağlam bir altyapısı yoksa, milyonlarca kişi yılın belirli bir gün ve saatinde açıklanan sınav sonucunu görmek için buraya uğrayacak ve uğradığında aşırı trafik nedeni ile erişim sağlayamayacak. Veya sahip olduğumuz şirketin veri sunucusuna bir malware bulaştığını ve tüm verilerin şifrelendiğini düşünün. Verilerin yedeği alınmadıysa artık geçmiş olsun diyebiliriz :)

İşte bu gibi durumlar erişlebiliriğin ne kadar önemli olduğunu bizlere göstermektedir.

Ne tür önlemler almalıyız?

Confidentially

Güçlü parolalar kullanılmalı, 2FA kullanılmalı, hassas bilgiler şifrelenmeli ve en önemlisi bu alanda eğitim alarak bilinçlenmeli.

Integrity

Veriler sağlama toplamı adı verilen checksums içerebilir, yedek alınmalı, güvenli yazılım geliştirme süreçleri ile yazılımlar sürekli olarak test edilmeli.

Availability

Yedek alınmalı, kurtarma sistemleri kullanılmalı, altyapı planlanırken ölçeklenebilirlik (Scalability) göz önüne alınmalı.

Üçgenin iç açıları toplamı bize neyi verir?

Bu üçgenin iç açıları toplamı, ISO/IEC 27001 Standardına göre verilerimizin güvende olduğunu söyler. Olurda bana soracak olursanız bu üçlü sağlandığı zaman veriler güvende midir? Elbette değil. Unutmamak gerekir hiçbir şey her zaman güvende değildir ama her zaman güvenli olması için çaba gösterilir. Bu süreç veriler ve bu verileri kullanmak isteyenler olduğu sürece devam edecektir.

# # #

Yorumlar

Yorum Gönder

Donate