2022 yılında yaşanan gelişmeler doğrultusunda bilgi güvenliğinde risk yönetiminin artan önemine ilişkin bir değerlendirme

Öz

Güvenlik olaylarının etkilerini minimize etme, bilgi varlıklarını koruma, müşteri güveni ve işin sürdürülebilirliğini temin etmek üzere tasarlanan bilgi güvenliği yönetim süreci bilgi ve iletişim teknolojilerinde yaşanan gelişmelerle önemi giderek artan bir noktaya gelmiştir. Bu sistematik yaklaşım; bilgi güvenliğini kurma, uygulama ve işletme, izleme ve gözden geçirme, sürdürme ve iyileştirme süreçleri ile kurumsal hedeflere ulaşmayı kolaylaştırmaktadır. Sistemin yönetimi hedeflerin belirlenmesi, gerekliliklerin analizi, kontrollerin geliştirilmesi ve kontrollerin sürekli değerlendirilerek iyileştirilmesi çerçevesinde bütüncül bir yaklaşım ile sağlanmalıdır. Gizlilik, bütünlük ve erişilebilirlik unsurları kapsamında bilgi güvenliği risk temelli bir yönetim anlayışının benimsenmesini gerekli kılmaktadır. Bu kapsamda rehber olarak uluslararası ISO 27001 standardı kullanılabilmektedir. ISO 27001, uygun bir bilgi güvenliği yönetim sisteminin uygulaması hakkında bir dizi ilkeleri belirlemektedir. Çalışmada 2022 yılında yaşanan bilgi güvenliği olayları ışığında etkin bir bilgi güvenliği risk yönetim sürecinin işletilmesinin gerekliliği tartışılmıştır. Doküman analizi yöntemi ile yayımlanmış makaleler, bildiri ve tezler, web sayfa içerikleri ve sektör raporları analiz edilerek kurumsal ve bireysel ölçekte alınabilecek önlemlere de yer verilmiştir.

Anahtar Kelimeler

• Risk yönetimi
• Bilgi güvenliği
• Siber güvenlik
• BGYS
• ISO 27001

An evaluation of the increasing importance of risk management in information security in line with the developments in 2022

Öz

The information security management process, designed to minimize the effects of security incidents, protect information assets, ensure customer trust and business sustainability, has become increasingly important with the developments in information and communication technologies. This systematic approach; It facilitates the achievement of corporate goals with the processes of establishing, implementing and operating information security, monitoring and reviewing, maintaining and improving. The management of the system should be provided with a holistic approach within the framework of determining the targets, analyzing the requirements, developing the controls, and constantly evaluating and improving the controls. Within the scope of confidentiality, integrity and accessibility, information security requires the adoption of a riskbased management approach. In this context, the international ISO 27001 standard can be used as a guide. ISO 27001 specifies a set of principles on the implementation of an appropriate information security management system. In the study, the necessity of operating an effective information security risk management process in the light of information security events in 2022 is discussed. The measures that can be taken on an institutional and individual scale are also included by analyzing the articles, papers and theses, web page contents and sector reports published with the qualitative analysis method.

Anahtar Kelimeler

• Risk management
• Information security
• Cyber security
• ISMS
• ISO 27001

Kaynakça

1. Altunışık, R., Coşkun, R., Bayraktaroğlu, S. ve Yıldırım, E. (2010). Sosyal bilimlerde araştırma yöntemleri: SPSS uygulamalı. Sakarya yayıncılık.
2. Blakley, B., McDermott, E., & Geer, D. (2001). Information security is information risk management. In Proceedings of the 2001 workshop on New security paradigms (pp. 97-104).
3. Bodrožić, A. (2018). Analiza rizika u intermodalnom transportu (Doctoral dissertation, University of Zagreb. Faculty of Transport and Traffic Sciences. Division of Intelligent Transport Systems and Logistics. Department of Intelligent Transport Systems).
4. Bozkus, A. Y. (2021). Development of Cyber Threat Intelligence Tool (No. 5674). EasyChair. International Conference on Cyber Security and Digital Forensics (ICONSEC’21), June 4-5, 2021, Yalova, TURKEY
5. Brandefence (2022). Security News. https://brandefense.io/security-news/ adresinden alındı.
6. Cains, M. G., Flora, L., Taber, D., King, Z., & Henshel, D. S. (2022). Defining cyber security and cyber security risk within a multidisciplinary context using expert elicitation. Risk Analysis, 42(8), 1643-1669.
7. Canbek, G. ve Sağıroğlu, Ş. (2007). Bilgisayar sistemlerine yapilan saldirilar ve türleri: Bir inceleme. Erciyes Üniversitesi Fen Bilimleri Enstitüsü Fen Bilimleri Dergisi, 23(1), 1-12.
8. Certification Europe (2022). https://www.certificationeurope.com/certificate/iso-27001/ adresinden alındı.

9. Cyber Security Hub (2022). The biggest data breaches and leaks of 2022. https://www.cshub.com/attacks/articles/the-biggest-data-breaches-and-leaks-of-2022 adresinden alındı.
10. Çakır, H. ve Uzun, S. A. (2021). Türkiye’nin siber güvenlik eylem planlarının değerlendirilmesi. Ekonomi İşletme Siyaset ve Uluslararası İlişkiler Dergisi, 7(2), 353-379.
11. Daya, B. (2013). Network security: History, importance, and future. University of Florida Department of Electrical and Computer Engineering, 4.
12. Gollmann, D. (2010). Computer security. Wiley Interdisciplinary Reviews: Computational Statistics, 2(5), 544- 554.
13. Güler, A. ve Arkin, A. K. (2019). Siber hijyenin sağlanmasında iç denetimin rolü. Denetişim, (19), 17-40.
14. Harris, S. (2002). All-in-one CISSP certification exam guide. McGraw-Hill/Osbourne.
15. Hsu, C., Wang, T., & Lu, A. (2016). The impact of ISO 27001 certification on firm performance. In 2016 49th Hawaii International Conference on System Sciences (HICSS) (pp. 4842-4848). IEEE.
16. ISC2 (2022). Siber Güvenlik İşgücü Araştırması. https://media.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2-Cybersecurity-Workforce-Study-2022.pdf?rev=1bb9812a77c74e7c9042c3939678c196 adresinden alındı.
17. IBM Security (2022). Cost of a data breach report. https://www.ibm.com/reports/data-breach adresinden alındı.
18. İçişleri Bakanlığı Bilgi Teknolojileri Genel Müdürlüğü (2021). 2021 yılı öne çıkan siber güvenlik olayları. https://www.icisleri.gov.tr/kurumlar/icisleri.gov.tr/IcSite/bilgiteknolojileri/Haberler/2022/02/siber_bulten_s ubat_2022.pdf adresinden elde edildi.
19. Jonsson, E. (1996). A quantitative approach to computer security from a dependability perspective. Chalmers University of Technology.
20. Kaspersky (2022). Güvenlik Bülteni. https://www.kaspersky.com/about/press-releases/2022_cybercriminalsattack-users-with-400000-new-malicious-files-daily---that-is-5-more-than-in-2021 adresinden alındı.
21. Korkmaz, İ. ve Dalkılıç, M. E. Öncül parola denetimi yöntemiyle parola seçim sistemi: Türkçe parolalar için bir araştırma. Akademik Bilişim, 10, 206.
22. Korucu, O. (2021). Yeni normal dünya düzeninin siber güvenlik ve bilgi güvenliğine etkileri. Yönetim Bilişim Sistemleri Dergisi, 7(1), 44-60.
23. Kuzminykh, I., Ghita, B., Sokolov, V., & Bakhshi, T. (2021). Information Security Risk Assessment. Encyclopedia, 1(3), 602-617.
24. Lewis, L. (2020). Infographic: What happens in an internet minute 2020. All Access. Recuperado de: https://bit. ly/3bz7D9N [Consultado el 25 de junio 2020].
25. Ma, Q., Schmidt, M. B., & Pearson, J. M. (2009). An Integrated Framework for Information Security Management. Review of Business, 30(1).
26. Nawrocki, M., Wählisch, M., Schmidt, T. C., Keil, C., & Schönfelder, J. (2016). A survey on honeypot software and data analysis. arXiv preprint arXiv:1608.06249.
27. Oscarson, P. (2003). Information security fundamentals: graphical conceptualisations for understanding. In Security Education and Critical Infrastructures: IFIP TC11/WG11. 8 Third Annual World Conference on Information Security Education (WISE3) June 26–28, 2003, Monterey, California, USA 3 (pp. 95-107). Springer US.
28. Security Magazine (2022). 2022'nin en büyük 10 veri ihlali. https://www.securitymagazine.com/articles/98716- the-top-10-data-breaches-of-2022 adresinden alındı.
29. Sertçelik, A. (2015). Siber olaylar ekseninde siber güvenliği anlamak. Medeniyet Araştırmaları Dergisi, 2(3), 25- 42.
30. Siber Güvenlik Kümelenmesi (2022). 2022 Yılında Gerçekleşen Siber Vakalar, https://siberkume.org.tr/NewsDetail/a2traEMvVHlJYXdmckFlemp3amdIN0t1aGNBSFk0Zklqc2tCem1aT 1YrQWlkb0tVWEFaMjloNWZpdXU1ZXhkT2tJNXRCLzYzd1pDalNOMFhuU09Za3YrZ2JPakMrSlBnd UpxaHZKemdxRXdiWjlHOTRQZHkxZGFzMEY5RXJwbDA1 adresinden alındı.
31. Sonicwall (2022). Siber Güvenlik Raporu. https://www.sonicwall.com/2022-cyber-threat-report/ adresinden alındı.
32. Soysal, H. (2023). ISO/IEC 27001 kapsamında bilgi güvenliği yönetim farkındalığının değerlendirilmesi: Ankara ili sağlık kurumları bilgi işlem birimi çalışanları örneği (Master's thesis, Necmettin Erbakan Üniversitesi Sağlık Bilimleri Enstitüsü).
33. STM Teknolojik Düşünce Merkezi (2022). Siber tehdit durum raporu Temmuz – Eylül 2022. https://thinktech.stm.com.tr/tr/siber-tehdit-durum-raporu-temmuz-eylul-2022 adresinden alındı.
34. Sunde S. J., (2017). Assurance and Cyber Risk Management, The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity Capabilities, Ed.: Domenic Antonucci, John Wiley & Sons, Inc.: Hoboken, New Jersey.
35. Talib, M. A., El Barachi, M., Khelifi, A., & Ormandjieva, O. (2012). Guide to ISO 27001: UAE case study. Issues in Informing Science and Information Technology, 7, 331-349.
36. Tübitak Bilgem, (2022). Rusya-Ukrayna Siber Savaş Tehdit Araştırma Raporu, https://bilgem.tubitak.gov.tr/sites/images/tubitak_bilgem_sge_rusya_ukrayna_siber_savas_tehdit_arastirma_raporu.pdf adresinden alındı.
37. Verizon (2022). Veri İhlalleri İnceleme Raporu. https://www.verizon.com/business/resources/reports/dbir/2022/master-guide/ adresinden alındı. Virustotal (2022). https://blog.virustotal.com/2022/11/deception-at-scale-how-attackers-abuse.html adresinden alındı.
38. Wach, E., & Ward, R. (2013). Learning about qualitative document analysis.
39. Yılmaz, H. (2014). TS ISO/IEC 27001 bilgi güvenliği yönetimi standardı kapsamında bilgi güvenliği yönetim sisteminin kurulması ve bilgi güvenliği risk analizi. KİDDER Kamu İç Denetçileri Derneği, 15(1), 45- 59.