İPUCUİnternette güvenlik, kusursuzluk değil; risk yönetimidir.
UYARI“Antivirüs/firewall kurdum, artık %100 güvendeyim” sanma; saldırgan çoğu zaman insanı hedef alır.
MIND MAP
ÖNEMLİ
- Güvenliğin hedefini doğru koy: %100 değil, kabul edilebilir risk.
- Politikanı yaz: neye izin var, neye yok?
- Mekanizma kur: politikayı zorunlu uygulat.
- İnsan faktörünü güçlendir: farkındalık + pratik refleks.
- Kritik hesaplarda bugün 2FA’yı aç.
PROBLEM
Dostum tekrar merhaba. Dijital dünyada tehditler her gün değişiyor: bir gün zararlı yazılım, ertesi gün “masum” görünen bir link, başka bir gün telefonda ikna etmeye çalışan biri.
Bu yüzden asıl soru şu: Ne kadar önlem alırsak alalım, %100 güvenlik mümkün mü?
Cevap net: Hayır. Güvenlik “tamamen kapatmak” değil, neyi kabul edilebilir risk saydığını tanımlayıp onu tutarlı biçimde uygulamak demektir.
En sık yanılgı da burada başlar: “Teknik önlemler tamamsa sorun biter.” Oysa güvenlik; teknik + insan + süreç birleşimidir. Bir halkası zayıfsa zincir kopar.
NASIL? NEDEN?
1. GÜVENLİK POLİTİKASI:
“Neye izin var, neye yok?”
Güvenlik politikası, bir eylemin uygun/uygunsuz çerçevesini çizen bir “sözleşme” gibidir.
- Normal şartlarda güvenli kabul ediliyorsa → izin ver
- Olağanüstü durumda risk artıyorsa → engelle / ek kontrol iste
Teoride “net” görünür; pratikte gerçek hayat sürprizlidir: yeni saldırı türleri, yeni yazılımlar, beklenmedik kullanıcı davranışları…
Bu yüzden “politikam var, artık kesin güvenliyim” demek, “emniyet kemerimi taktım, riski ortadan kaldırdım” demek gibidir: kemer seni korur, ama kazayı sıfırlamaz.
1.1 Örnek: Politika doğru, hesap ele geçirildi
Tüm erişim kuralları tanımlı bir sistemde bile, yetkili bir kullanıcının kimlik bilgilerinin ele geçirilmesi, politikanın kâğıt üzerinde kusursuz olmasına rağmen ciddi bir ihlale yol açabilir.
2. GÜVENLİK MEKANİZMASI:
“Politikayı zorunlu kılan şey”
Politika tek başına yetmez; uygulanmıyorsa kâğıt üzerinde kalır. İşte burada güvenlik mekanizmaları devreye girer: politikayı “zorunluluk” ile uygulatır.
Teknik güvenlik mekanizmaları
- Şifreleme
- Anahtar yönetimi
- Güvenlik duvarı
- VPN
- Virüs koruma
- E-imza
Teknik olmayan güvenlik mekanizmaları
- Rol/sorumluluk netliği (iş tanımları)
- Süreçler ve talimatlar (kabul edilebilir kullanım)
- Fiziki yöntemler (imza vb.)
- Fiziki koruma (giriş kontrolleri, kilitli ortamlar)
- Farkındalık
Kritik nokta: Teknik kısım iyi olsa bile, teknik olmayan kısım zayıfsa saldırgan çoğu zaman insanı hedef alır.
2.1 “İnsan” neden en zayıf halkadır?
Teknik açık olmadan da saldırı yapılabilir. En tehlikeli örneklerden biri sosyal mühendisliktir: saldırgan sistemi “kırmak” yerine insanı ikna eder.
Bu noktayı Kevin Mitnick sert ama net özetler:
As I said before.. There is no patch for stupidity
— Kevin Mitnick (@kevinmitnick) June 18, 2012
Mesaj şu: İnsan zaafının “yaması” yoktur; insan bazen tek başına bir açıklığa dönüşebilir. Bu yüzden farkındalık, güvenliğin “opsiyonel” değil “zorunlu” parçasıdır.
SONUÇ VE ÇIKARIMLAR
- Güvenlik, “asla saldırıya uğramamak” değil; riski azaltmak, darbeyi sınırlamak ve hızlı toparlanmak demektir.
- Güvenlik bir ürün değil, süreçtir: politika + mekanizma + farkındalık birlikte yürür.
- Tehditler değiştiği için politika ve mekanizmalar sürekli güncellenmelidir.
- Saldırgan çoğu zaman teknolojiden önce davranışı hedef alır.
REFLEKS
UYARI“Bunu görürsem → şunu düşüneceğim → şunu yapacağım”
- Tetikleyici: “Beni kim hedeflesin ki?”
- Düşünce: “Hedef ben değilim; benim erişimim (hesap, veri, para, bağlantılar).”
- Aksiyon: “Kritik hesaplarda 2FA’yı aç → şifreleri güçlendir → şüpheli link/arama/refleks kontrolü uygula.”
MINIMUM BİLGİ SETİ
UYARIANA MESAJ
- İnternette %100 güvenlik yok; politika, mekanizma ve farkındalıkla riski yönetirsin.
UNUTMA
- Teknik önlemler tek başına yetmez; insan + süreç zayıfsa saldırgan oradan girer.
Mind Map
- Politika: neye izin var / neye yok?
- Mekanizma: politikayı zorunlu uygulat (teknik + teknik olmayan)
- Farkındalık: sosyal mühendislik gibi insan odaklı riskleri azalt
ÖNERİ
- Bugün e-posta hesabında 2FA’yı hemen etkinleştir.
Bazı bilgiler güncel olmayabilir.
