1990’lı yıllardan bu yana işletmeler bilginin iç ve dış tehditlere karşı korunmasına, başka bir deyişle bilgi güvenliğine büyük önem vermeye başlamışlardır. Çünkü 1990’lardan itibaren İnternetin yaygınlaşması, bilginin paylaşılmasını ve dolayısıyla bilgi güvenliğini yepyeni boyutlara taşımıştır.

Bilgi güvenliğinden kaynaklanan konular hiç bilgisayar kullanmayan işletmeler için de soruna yol açar. Sözgelimi hiçbir işletme müşteri, personel bilgilerini ya da ticari sır niteliğindeki bilgilerini paylaşmak istemez.

Bilgi güvenliğinin amacı bilgiyi ve bilgi sistemlerini yetkisiz olarak gerçekleştirilebilecek erişim, kullanım, bozma, değiştirme, okuma, inceleme, kaydetme veya yok etme işlemlerinden korumaktır. ). Bilgisayarla gerçekleştirilen işlemlerle ilgili olarak ise, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması sırasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür.

Bilgi güvenliğinin “gizlilik (mahremiyet), bütünlük ve kullanıma hazır tutma” olmak üzere üç temel amacı vardır:

• Gizlilik: İşletmelerin sahip oldukları veri ve bilginin yetkisiz kişilerce kullanılmasını engellemektir. Örneğin çalışanlara ve müşterilere ilişkin bilgilerin kayıt edildiği sistemlerin gizliliği ve korunması önemlidir.
• Bütünlük: Tüm bilgi sistemlerinin fiziksel sistemlerle uyumlu ve tutarlı olmasıdır.
• Kullanıma hazır tutma: Veri ve bilgilerin ihtiyaç duyulduğu anda erişime hazır tutulmasıdır.

Uluslararası Telekomünikasyon Birliği (ITU) tarafından yayımlanan Küresel Siber Güvenlik Endeksi 2017 raporuna göre, 164 ülkenin siber güvenlik alanındaki gelişmişlik düzeyi 5 kategoriden oluşan bir endeks aracılığıyla değerlendirilmiştir. Bu endeks temel olarak yasal tedbirler, teknik tedbirler, organizasyonel tedbirler, kapasite geliştirme ve işbirliğinden oluşmaktadır. Bu beş kategori dikkate alınarak hazırlanan endekste Türkiye 164 ülke arasında yüzde 58,1 skor değeriyle 43. sırada yer almaktadır.

Etik kavramı Türkçe Sözlükte hem ahlaklı olmak, hem de “çeşitli meslek kolları arasında tarafların uyması veya kaçınması gereken davranışlar bütünü” olarak tanımlanmaktadır (TDK, 2009). Etik, diğer insanlara yönelik davranışlarımızı yöneten ilkelerdir. Etik davranmak, belirli ilkelere uyarak diğer insanlara saygılı davranmaktır. Etik değerlerimiz tarihimiz, kültürümüz ve dinimizden etkilenir ve zamanla değişebilir.

Bilgi etiği, bilginin nasıl toplandığını ve kullanıldığı kişinin etik anlayışına, başka bir ifadeyle neyi doğru neyi yanlış kabul ettiğine dayanır. Sözgelimi kimine göre iş saatlerinde kişisel e-postalar yollamak etik değilken, bir diğeri ise bir başkasının e-posta mesajını okumaktan rahatsız olmaz. Değişimin çok hızlı yaşandığı koşullarda doğru karar vermek zordur. Kanunları bilmek, her zaman yeterli olmaz. Çünkü bazen yasal olan etik olmayabilir ya da, etik olan yasal değildir.

Kimi zaman etik olarak çok da belirli olmayan durumlarla karşılaşılabilir. Böyle bir durumla karşılaşan kişi, ne yapacağı konusunda kararsız kalabilir. Sözgelimi yasal bir davranış, etik dışı olarak görülebilir ya da başlangıçta normal gelen bir durum sonradan kişiyi rahatsız edebilir. Bu tür durumlar kurumsallaşan işletmeler için çözüm yollarından birisi işletmede etik konularda tavsiyelerde bulunan bir birim ya da bu işle ilgilenen bir yetkili (ombudsman) olmasıdır. Ayrıca işletmenin etik kuralları da yol göstericidir. İşletmede etik kodlar belirlenmemişse, meslek etik kodları da yardımcı olabilir. “Bilgi etiği” hakkında etik kurallar ACM’nin (Association for Computing Machinery) web sitesinde (İngilizce olarak) yayınlanmaktadır (http://www.acm.org/about/code-of-ethics). Türkiye’de ise benzer bir çalışma örneği ODTÜ’nün web sitesinde yer almaktadır.

En çok karşılaşılan etik sorunlardan biri, yazılımların kullanımı ya da kopyalanmasıdır.

Yazılım, fikri mülkiyetin bir çeşididir.

Fikri mülkiyet, fiziksel varlığı olmayan yaratıcı bir çalışmanın, fiziksel bir forma dönüştürülmesidir. Yazılımlar, romanlar, müzik eserleri ve tablolar fikri mülkiyetin bir örneğidir ve Telif Hakları Yasası ile korunmaktadır. Yazılım bazen de bir  fikri koruduğu için, örneğin bir traş makinesinin tasarımı gibi, Patent Yasasının içine de girmektedir. Telif hakları alınmış bir yazılımı kopyalamak yasa dışıdır. Kaç tane kopya yapabileceği, satın alma anlaşmasıyla belirlenir. Bazı yazılım şirketleri, yazılımın, ikinci bir bilgisayara yüklemesini yasaklar. Bazıları ise daha esnektir, bir kullanıcı için, birden çok bilgisayarda kullanmaya izin verirler. Yazılım korsanlığı, telif hakkı alınmış bir yazılımın, izinsiz kullanılarak, çoğaltılması, dağıtılması ve satılmasıdır.

Yazılım korsanlığı, işletmelerin yılda yaklaşık olarak, 12 milyar dolar kaybetmesine neden olmaktadır. Örneğin, Microsoft yılda, 25 binden fazla yazılım korsanlığı ihbarı almakta ve hepsinin takibini yapmaktadır. En büyük kayıplar sırasıyla şu ülkelerde olmaktadır; ABD, Japonya, İngiltere, Almanya, Çin, Fransa, Kanada, İtalya, Brezilya ve Hollanda.

İş Yazılımcıları Birliği (BSA-Business Software Alliance), yazılım telif hakları konusunda bilinci artırmak ve lisanssız yazılım kullanımını önlemek amacıyla, dünyanın ve Türkiye’nin önde gelen yazılım üreticisi şirketlerinin faaliyetlerini kar amacı gütmeksizin birleştirip koordine ettiği bir birliktir.

Araştırma Şirketi IDC’nin (International Data Corporation) 2006 yılı raporu Türkiye’de kişisel bilgisayarlara (PC) yüklenen yazılımların yüzde 64’ünün lisanssız olduğunu göstermektedir. Bu nedenle BSA lisanssız PC yazılımlarının riskleri ve kullanımın doğuracağı yasal sonuçlar hakkında PC kullanıcılarını ve işverenleri bilgilendirmeyi amaçlamaktadır. BSA, bilgisayar kullanıcılarını yazılım telif hakları konusunda eğitmekte, yeniliği teşvik eden ve ticaret fırsatlarını artıran kamu politikalarını desteklemekte, yazılım korsanlığıyla mücadele etmektedir (BSA, 2009)

Kişinin istediği olmadan hakkında bilgi toplanması “bilgi gizliliği” konusunda değerlendirilebilir. Gizlilik, gizli olma durumu, mahremiyet olarak tanımlanmaktadır. (TDK, 2009). Kişinin istediği zaman yalnız kalma hakkına sahip olması ve izni olmadan, gözlenmeden kişisel mülkiyetleri üzerinde kontrol sahibi olması da (işverenlerin çalışanları ya da müşteriler hakkında izinsiz bilgi toplaması, devletin vatandaşları hakkında bilgi toplaması gibi) “bilgi gizliliği” kapsamında ele alınabilir. TSE 17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde bilgi gizliliği, “bilginin sadece erişim hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak tanımlanmaktadır.

Microsoft tarafından bilgi gizliliğini korumak için önerilen yöntemler şunlardır (Microsoft Web Sitesi, 2011):

Kişisel bilgilerinizi paylaşmadan önce düşünün.

Önce, web sitesinin gizlilik politikasını okuyun. Gizlilik politikalarında web sitesinin sizin hakkınızda hangi verileri topladığı, bunları nasıl kullandığı, paylaştığı ve güvenlik altına aldığı ve bu bilgileri nasıl değiştirebileceğiniz veya silebileceğiniz açıkça belirtilmelidir. Web sitesinin gizlilik beyanı yok mu? O zaman işinizi başka bir yerde halledin. +-

İhtiyacınız olandan fazlasını paylaşmayın.

• Genele açık hale getirmek istemediğiniz hiçbir şeyi yayınlamayın.
• Sizi veya hakkınızdakileri belirten ayrıntıları en aza indirin.
• Hesap numaralarınızı, kullanıcı adlarınızı ve şifrelerinizi gizli tutun.
• Asıl e-posta adresinizi veya Anlık Mesajlaşma (IM) adınızı sadece tanıdığınız kişilerle veya itibarlı kuruluşlarla paylaşın. Adresinizi veya adınızı Internet dizinlerinde veya iş ilanı verilen sitelerde yayınlamaktan kaçının.
• Kayıt sırasında ve diğer formlarda sadece girilmesi zorunlu olan bilgileri - genelde bir yıldız işaretiyle (*) belirtilir - girin.

Profilinizin veya bloğunuzun ne kadar özel olmasını istediğinizi seçin

Tarayıcı veya web sitesi ayarlarını veya seçeneklerini, çevrimiçi profil veya fotoğraflarınızı kimlerin görebileceğini, insanların sizi nasıl arayabileceklerini, yayınladıklarınızla ilgili kimlerin yorumda bulunabileceklerini ve başkalarının istenmeyen erişimlerini nasıl engelleyebileceğinizi yönetecek şekilde değiştirin. Başkalarının neler yayınladıklarını izleyin

• En az iki arama aracı kullanarak Internet üzerinde adınızı aratın. Metin ve resimleri arayın. Bir web sitesinde kendinizle ilgili hassas bilgiler bulmanız halinde web sitesinin irtibat bilgilerini bulun ve bu hassas bilgilerin kaldırılması talebinde bulunun.
• Başkalarının bloglar ve sosyal ağ sitelerinde hakkınızda neler yazdıklarını düzenli olarak inceleyin. Arkadaşlarınızdan izniniz olmaksızın sizin veya ailenizin fotoğraflarını yayınlamamalarını isteyin. Başkalarının web sitelerinde yayınlanmış bilgiler veya fotoğraflar gibi materyallerden rahatsızlık duyarsanız bunların kaldırılmasını isteyin.

Bazı web siteleri snoopware olarak adlandırılan, bilgisayarınızda ne gibi işlemler yapıldığını izlemeyi sağlayan takip programlarını izinsiz olarak o siteye giren kişilerin bilgisayarına yükler. Bu programlar, bir bilgisayara yüklendiği zaman, her tuş darbesini ya da fare hareketini kaydeder. E-postaları, anlık mesajlaşmaları, ziyaret edilen web sitelerini ve bilgisayara yazılan tüm şifreleri kaydeder.

İşletmelerin müşteriler hakkında pazarlama amacıyla kullandığı araçlar,

• Çerez (Cookie): Bir web sunucusu tarafından bilgisayarınıza kaydedilen bir metin dosyasıdır. Müşteriyi internette izlemenin temel aracıdır. Çerez dosyası bilgisayarda ziyaret edilen sitelerde kullanılan kullanıcı adı ve şifreleri saklar. Böylece o web sitesine her girdiğinizde doğrulama işlemlerinden tekrar geçmek zorunda kalmazsınız. Ancak, çerez dosyalarıyla kişinin internet alışkanlıkları takip edebilir. Hangi sitelere girdiği, ne kadar süre kaldığı gibi.
• İstenmeyen E-Posta (SPAM): Pazarlama amacıyla izin alınmadan çok sayıda kişiye gönderilen e-postalara “istenmeyen e-posta” adı verilir. “İşe yaramaz e-posta”, “çöp mesaj”, “önemsiz eposta”, “reklam amaçlı mesaj” gibi isimler de istenmeyen e-posta yerine kullanılmaktadır. Çoğunlukla istenmeyen e-postalar “taklit ucuz ilaç” gibi güvenilmeyen ürünlerin, pornografik içeriğin ya da kolay zengin olma vaatlerinin duyurulması amacına yöneliktir. İstenmeyen epostalar günümüzde internet kullanıcıları için çok rahatsız edici duruma gelmiştir. Uzmanlar eposta trafiğinin yüzde 70’inin istenmeyen e-posta olduğunu göstermektedir. Tek bir istenmeyen e-posta göndericisi bir günde 80 milyon bu tür e-posta gönderebilir. Farklı ülkelerin istenmeyen e-postayı çeşitli yaptırımlarla engellemek için yasal düzenlemelerle mücadele etmektedir. Sözgelimi ABD Anti Spam Yasası olarak bilinen CAN-Spam Act’i 2003’de çıkarmıştır. Ancak yasal yollardan mücadele istenen sonuçları doğurmamıştır. Bu tür e-postalarla bireysel olarak mücadele yollarını da kullanmak gereklidir. Sözgelimi, istenmeyen e-postaları filtreleyen “anti spam filtreleri” kullanarak “spam” olarak işaretlenen adreslerden tekrar e-posta alınması engellenebilir. Bu sayede birçok kişinin oluşturduğu havuzda (veri tabanında) biriken adreslerden gelen e-postaların hepsi okunmadan çöpe gidecektir. Bugün birçok kurum ya da kişi e-posta sistemlerinde spam filtresi kullanmaktadır.
• Reklam Program (Adware: Advertising Supported Software) ve Casus Program (Spyware): Reklam içeren bilgisayar programlarına “Reklam Program”, kullanıcının bilgisi dışında kişisel bilgiler toplayan bilgisayar programlarına ise “Casus Program” adı verilir. Geniş bant bağlantısı olan bilgisayarların yaklaşık yüzde 90’ında casus yazılım bulunduğu tahmin edilmektedir (Scott Culp, Microsoft). Casus yazılımlar bütün Windows uygulama çökmelerinin üçte birinden sorumludur (Scott Culp, Microsoft). 3 milyon işyeri bilgisayarının ele alındığı bir araştırmada, bilgisayarlar üzerinde 83 milyon çasus yazılım saptandı (Gartner Group). Reklam programların çoğu aynı zamanda casus program özelliği taşır. İnternetten bedava program yüklendiğinde, genellikle yüklenen programla birlikte bu reklam ve casus programlar da bilgisayara yüklenir. Casus programlar daha tehlikelidir. Yüklendiği bilgisayarın kullanıcısı hakkında sürekli olarak izinsiz bilgi toplayıp, bunları bir başkasına gönderirler. Adı geçen iki programla mücadele için bunları arayıp bulan “casus temizleme programları”ndan ya da “güvenlik duvarı”ndan yararlanılabilir.

FBI raporlarına göre, çalışanlarının yüzde 78’inin, İnterneti işle ilgisi olmayan başka aktivitelerde kullandıklarını ortaya koymaktadır. Bu yüzden işletmeler çalışanlarının neler yaptığını izlerler. Hatta iş saatleri süresince gönderilen e-postaları kayıt altında tutarlar. American Management Association, Mart 2005’te yaptığı açıklamada, işverenlerin yüzde 60’ının çalışanlarının epostalarını izlediklerini açıklamıştır.

İşverenleri çalışanlarının gün içinde vaktini nasıl geçirdiğini öğrenmek ve bazı kritik bilgileri riske atmasını, paylaşmasını engellemek için izler.
Ayrıca birçok işyerinde kablosuz internet hizmeti ya da taşınabilir bellek kullanımı yasaktır.

Bilgi etiği ve gizliliği konusundaki en önemli ihlallerden biri de kimlik hırsızlığıdır. Kimlik hırsızlığı, dolandırıcılık amacıyla, bir başkasının kimliğini kullanmaktır. Dolandırıcılık genellikle, maddi kazanç için yapılmakta ve çalınan kimlik bilgileri, kredi başvurusunda ya da alışverişte kullanılmaktadır. Ayrıca çalınan kimlik bilgileri suçlu bir kişinin kanundan kaçması için de kullanılabilir. Javelin Strateji ve Araştırma Şirketi’nin yaptığı araştırmalara göre, Ekim 2003 ve Eylül 2004 arasında, ABD’de yaşayan 9 milyon kişi, kimlik hırsızlığının kurbanı olmuştur. Kişi başına yaklaşık kaybın 1000 dolar olduğunu tahmin etmektedir. (Buna tüm kredi raporlarının temizlenmesi, ehliyet, sosyal güvenlik numarası gibi yeni kimlik belgelerinin doldurulması gibi işlere harcanan sayısız saatler dahil değildir). Federal Ticaret Komisyonu, kimlik hırsızlığının işletmelere ve müşterilere, yılda 60 milyar dolar kaybettirdiğini açıklamıştır. (Haag vd., 2007, 362).
Kimlik hırsızlığı yeni değildir. Hırsızlar eskiden beri posta kutularından postaları çalarak veya çöp kutularını karıştırarak insanların kişisel bilgilerini yasalara aykırı olarak elde etmenin yollarını aramışlardır. Şimdi ise kimlik hırsızlığı çevrimiçi ortama geçmiştir.
Kimlik avı dolandırıcılığının anlaşılması için şu e-postalara dikkat edilmesi gerekir (Microsoft, 2014):
• Alarm veren iletiler ve hesap kapatma tehditleri.
• Çok az çaba harcayarak veya hiç çaba harcamayarak para verme vaatleri.
• Gerçek olamayacak kadar iyi olan teklifler.
• Haberlerde bir doğal afetin yaşandığının belirtilmesinin ardından bir hayır örgütüne bağış talepleri.
• Kötü bir gramer ve imla hataları.

Popüler dolandırıcılıklardan bazıları şunlardır (Microsoft, 2014);
• Microsoft’un adını veya diğer iyi bilinen şirketlerin adlarını kullanan dolandırıcılıklar. Bu dolandırıcılıklar, Microsoft’un adını kullanan sahte e-posta iletilerini veya web sitelerini içerir. E-posta mesajı, bir Microsoft yarışması kazandığınızı, Microsoft’un oturum açma bilgilerinize
veya parolanıza ihtiyacı olduğunu veya bilgisayarınız konusundayardımcı olmak üzere bir Microsoft temsilcisinin sizinle irtibata geçmekte olduğunu iddia edebilirler.

• Piyango dolandırıcılıkları. Microsoft piyangosunu veya çekilişlerini kazandığınızı iddia eden iletiler alabilirsiniz. Bu iletiler hatta bir Microsoft yöneticisinden geliyormuş gibi de görünebilir. Microsoft Piyangosu diye bir şey yoktur!

• Sahte güvenlik yazılımı dolandırıcılıkları. “Korkutma amaçlı yazılımlar” olarak da bilinen sahte güvenlik yazılımları, güvenlik açısından yararlı gibi görünen, ancak sınırlı veya sıfır güvenlik sağlayan, hatalı veya aldatıcı uyarılar üreten veya sizleri sahte işlemlere katılmanız için kandırmaya çalışan yazılımlardır. Bu dolandırıcılıklar, bir e-postada, çevrimiçi reklamlarda, sosyal ağ sitenizde, arama motoru sonuçlarında veya hatta bilgisayarınızda açılan pencereler halinde karşınıza çıkabilir ve işletim sisteminizin bir parçası gibi görünebilirler, ama değillerdir

Kimlik hırsızlığı eylemi kimlik sahteciliği (spoofing) olarak da tanımlanmaktadır.

Online olarak yapılan kimlik hırsızlığına, “oltalama” (phishing) ya da “yemleme” adı verilir. İngilizce “password”(şifre) ve “fishing” (balık tutma) sözcüklerinin bileşiminden türetilmiş bir terimdir. Oltalama tuzağı şöyle işlemektedir (NTVMSNBC, 2003):
“Korsan kişisel bilgileri ele geçirmek için e-posta aracılığıyla iletişime geçer. Ciddi kurumlardan yollanmış gibi gözüken bu e-postalar ilk bakışta hakiki imajı verir. Örneğin Yahoo, MSN, eBay ve birtakım bankaların logolarıyla yollanan e-postalar kişisel bir dil ile yazılarak ciddi imaj güçlendirilir. Bu e-postalarda kullanıcıya kurumun web sitesine giderek şifresinin süresinin dolduğu ve yenilemesi gerektiği söylenir. Korsan daha
önceden hazırladığı ve kurumsal sitenin aynısı olan bu siteye kurbanını soktuktan sonra, ondan şifreyi girmesini ister, sonra da kullanıcı kendi şifresini yeni şifresiyle değiştirir, ya da değiştirdiğini zanneder. Esasen eski şifre hala geçerli olduğu için korsan bu şifre ile internette alış veriş yapabilir. Bir başka teknikte ise müşterinin kişisel bilgilerini güncellemesi gerektiği gerekçesiyle tüm bilgileri tekrar girmesi söylenir. Bazı epostalarda yarışmaya katılması teklif edilen kullanıcılara ödül olarak lüks araba kazandıkları ancak gerekli kişisel bilgileri vermeleri gerektiği bile söylenmektedir. Bu gibi durumlarda bilgilerini veren kullanıcının tüm bilgileri benzer şekilde bilgisayar korsanının eline geçmektedir.

Normalde işletmeler ya da bankalar e-posta aracılığıyla müşteri bilgilerinin güncellenmesini talep etmezler. Bu yüzden eğer böyle bir e-posta alırsanız, bilginin doğruluğunu kontrol etmeden yanıt vermeyiniz. Diğer önemli bir konu da banka ya da alış veriş sitelerine başka bir sitedeki linkten girmeyiniz ve web adresini kendiniz yazınız. Banka web sitelerinde güvenlikle ilgili linklerde yazılanları okumanız da sizin için bilgilendirici olacaktır.

Bir ağ (netwok) üzerindeki bilgiyi izinsiz olarak izleyen programlara ise paket dinleyici (sniffer) adı verilir. Bu programlar normalde ağ üzerindeki sorunları izlemek için kullanılır. Ancak kötü amaçlı olarak korsanlar tarafından kullanıldığında ağ üzerindeki e-postaları okumak ya da önemli dosyalara, raporlara erişmek için kullanılır. Tespiti genelde güçtür. Çoğunlukla da eski ya da halen çalışan biri bu işi yaptığı için; bu yüzden önemli ve kişisel konuların kurumsal e-postalarda paylaşılmaması en doğru çözümdür.

Yemleme konusunda kullanılan iki yeni yöntem vardır: Şeytan İkizler ve DNS (Domain Name System, Alan Adı Sistemi) Tabanlı Yemleme.

Şeytan İkizler (ewil twins) yönteminde havaalanı, otel, alış veriş merkezi vb. yerlerde wi-fi bağlantı hizmeti sunuyormuş gibi gözüken kablosuz ağlardır. Oysa bu bağlantı kötü niyetli kişinin dizüstü bilgisayarından yayılmaktadır. Sahte ağa bağlanan kullanıcıların kişisel bilgileri alma niyetiyle organize edilen bir düzenektir.

DNS Tabanlı Yemleme (pharming): Kullanıcılar tarayıcılarına, doğru web adreslerini girseler dahi, kullanıcılar sahte web sayfalarına yönlendirmektir. Bunu yapabilmek için korsanlar internet servis sağlayıcı (ISS), yani internet hizmeti veren kuruma ulaşırlar. Korsanlar servis sağlayıcılardan taramayı hızlandırmak için saklanan internet adresi bilgilerine erişip, bu adresleri değiştirirler. Bu durumda kullanıcılar doğru adresleri yazdıkları halde, korsanların yönlendirdikleri adrese gider. Gittikleri site kullanıcının gerçekte gitmek istediği site ile tıpatıp benzer olarak tasarlanmıştır. 

Tıklama Hilesi (click fraud): İnternette bir reklamı tıkladığınızda (örneğin sosyal medyada ya da arama aracı kullanırken) reklam veren site sahibine her tıklama için belirli bir ücret öder. Reklam verenin amacı müşteri adaylarını kendi sitesine çekmektir. Tıklama hilesi yapıldığında; bir yazılım aracılığıyla robot ağlar kullanılarak sitedeki reklam tıklanır. Diğer bir yöntemde bu tıklamayı yapması için (ücretler düşükse) birileri kiralanır. Sonuç olarak her tıklama başına ücret ödeyen (Google’da olduğu gibi) reklam veren yanıltılmış olur.

Bir işletmenin bilgi güvenliğine yönelik saldırılar hem işletme içinden hem de işletmenin dışından kaynaklanıyor olabilir. Bunları içsel (dahili) ve dışsal (harici) tehditler olarak sınıflandırabiliriz;

İçsel (Dahili) Tehditler; İçsel tehditler kavramıyla anlatılmak istenen işletmenin çalışanlarından kaynaklanan bilgi güvenliği sorunlarıdır. İşletmenin çalışanlarının yanı sıra işletmede geçici olarak çalışanlar, danışmanlar, iş ortakları, tedarikçiler ve taşeronlar da içsel tehdit unsuru yaratan aktörler arasında sayılabilir.

Dışsal (Harici) Tehditler; Dışardan gelen saldırılar çeşitlidir. Sözgelimi bilgisayar korsanları müşteri listelerini ve yeni projeleri öğrenip rakiplere satmaya çalışabilir. ABD Bilgisayar Güvenlik Kurumu 2001 yılında, büyük şirketlerin ve devlet kurumlarının yüzde 85’nin bilgisayar sistemlerine izinsiz girildiğini açıklamıştır. Bunların yüzde 64’ü mali kayıplara da uğramıştır

Bu araçlar; 

Virüsler: Bilgisayar virüsleri, bilgisayarın çalışmasını engelleyecek, verileri kaydedecek, bozacak veya silecek ya da kendilerini İnternet üzerinden diğer bilgisayarlara yayarak yavaşlamalara veya başka sorunlara neden olacak şekilde tasarlanmış programlardır.

Solucan, kendisini bir bilgisayardan diğerine kopyalamak için tasarlanmıştır ancak bunu otomatik olarak yapar. Solucan bir kez bilgisayara girdikten sonra kendi başına ilerleyerek kendini çoğaltır. Sözgelimi bir solucan, e-posta adres defterindeki herkese kendi kopyalarını gönderebilir ve sonra aynı şeyi gönderdiği kişilerin bilgisayarlarına da yapabilir. Solucanlar bilgisayar sistemindeki açıkları kullanarak, bilgisayara dışarıdan başkalarının erişmesini sağlayabilirler. 2000 yılında yayılan Love Bug solucanı ABD Massachusetts Eyaletinde e-posta hizmetinin kapatılmasına neden olmuştur.

Klavye kayıtçı (Keylogger) denilen programlar da Truva atıyla var olurlar. Klavye kayıtçı basitçe klavyeden yapılan her dokunuşu kaydeden ve bu kayıtları kişisel bilgileri çalmak isteyen kişilere gönderen programlardır. Bu kişiler istedikleri zaman yazılan her tür bilgiyi görebilirler. Bu yolla e-posta şifresi, kredi kartı numarası gibi önem taşıyan bilgiler çalınabilir.

SQL Enjeksiyon (SQL injection): SQL Enjeksiyon web uygulamalarındaki en ciddi açıkların başında gelir. SQL (Structured Query Language: Yapılandırılmış Sorgulama Dili) veritabanlarında data çekme, silme ve değiştirme gibi işlemler için kullanılan basit yapılı bir dildir. Bugün hemen hemen tüm Web uygulamalarının altyapısında veritabanı desteği vardır ve bu web uygulamaları veritabanı ile SQL aracılığıyla anlaşırlar

Yanıltıcı E-Posta: Yanıltıcı (misleading) e-postalar genellikle insanları korkutmak panik yaratmak için gönderilir. Genellikle zaman kaybına yol açıp, İnternet trafiğini yavaşlatırlar. Kullanıcının bilgisayarının zarar görmesine de yol açabilirler. “Çok zararlı bir virüs bulundu. Bu e-postayı bir an önce bütün tanıdıklarınıza gönderin” şeklinde gelen bir yanıltıcı e-posta olabilir.

Hizmeti Engelleme Saldırıları: (DoS ve DDoS) Bir bilgisayar sisteminin ya da web sitesinin işlemesini, hizmet vermesini engellemek amacıyla yapılan saldırılardır. Hizmet Reddi Saldırısı - DoS (Denial of Service Attack) şöyle işler: Zombi adı da verilen casus programlarla sisteme sızan saldırganlar, sunuculara (server) çok sayıda veri göndererek, sunucuların dolayısıyla web sitelerinin çökmesini sağlar. Dağıtılmış Hizmet Reddi Saldırısı-DDoS (Distributed Denial of Service Attack)’nin işleyişi DoS gibidir. Tek farkı saldırının birden fazla noktadan yapılmasıdır

Yedekleme: Bilgi kaybını önlemenin en kolay yoludur. Kayıpları önlemek için önemli bilgileri içeren dosyaların sistemli bir şekilde çoğaltılmasıdır.

Anti Virüs Programları: Bilgisayara herhangi bir şekilde (CD, e-posta, taşınabilir bellek vb.) gelen her dosyayı otomatik olarak tarayan ve bu dosyaları bir çeşit karantinaya aldıktan ve temiz olduğunu gördükten sonra kullanıma sokan programlara “anti virüs programları” adı verilir. Virüsten koruma yazılımları, bilgisayarınızı virüslere ve solucanlar ve truva atları gibi kötü amaçlı yazılımlara karşı korumaya yardımcı olur. Virüsten koruma yazılımları güncel tutulmalıdır.

Güvenlik Duvarı: Güvenlik duvarı bir koruma engelidir. Güvenlik duvarı (firewall) terimi kimi zaman Türkçe’ye “ateş duvarı” olarak da çevrilir. Güvenlik duvarı, bilgisayar ya da bilgisayar sistemine İnternetten erişimi kısıtlayarak, denetleyerek (aynı yangının yayılmasını önlemek için örülmüş bir duvar gibi) çalışan yazılım veya donanımdır. Bilgisayar ile İnternet arasında ya da bilgi işlem sistemi ile İnternet arasında sanal bir duvar oluşturarak her iki tarafa aktarılan verileri denetler. İzinsiz giriş denemelerini önler. İnternete bağlanma şekli ne olursa olsun (çevirmeli modem, kablo modem veya dijital abonelik hattı, DSL veya ADSL), güvenlik duvarı kullanmak önemlidir.

Fiziksel Önlemler: Bilgi sistemlerine müdahalenin ve yetkisiz girişlerin önlenebilmesi için, bilgisayarlar güvenilir fiziksel bir alan içinde tutulmalı, buraya “işi olmayanlar girmemeli”dir. Bu alan kartlı geçiş sistemi, güvenlik kameraları ile gözetlenmeli, yetkisi olmayan kişilerin sözgelimi sunucuların yer aldığı odaya girişi engellenmelidir.

Denetimli Erişim: Denetimli erişim başlığı altındaki önlemlerle anlatılmak istenen -adından da anlaşılabileceği gibi- bilgi sistemlerine erişimin denetim altında tutulmasıdır. Bilgi sistemlerine, bilgisayarlara erişim çeşitli yöntemlerle denetim altına alınabilir. En başta yukarıda anlatıldığı gibi fiziksel önlemlerle bu denetim sağlanabilir. Diğer yollar ise “şifreleme”, “kartlı geçiş” ve “biometrik tanıma”dır. Şifreleme yaygın olarak kullanılan bir yöntemdir. Şifreleme bilginin üçüncü şahıslar tarafından anlaşılmayacak bir şekle dönüştürülmesidir. İki şekilde ele alınabilir. İlki “bilgisayarlararası veri aktarımının şifrelenmesi”, ikincisi ise “kullanıcı şifreleri”dir.

Şifre belirlemeye ilişkin şu konulara da özen göstermek gerekir: 

• Sistem elverdiği sürece en az 14 veya daha fazla karakter kullanın.
• Şifrenizdeki karakter çeşitliliği ne kadar fazlaysa, o kadar iyidir.
• Yalnızca en sık kullandığınız veya gördüğünüz harfleri ya da karakterleri değil, klavyenizin tamamını kullanın.
• Hatırlayabileceğiniz güçlü bir şifre oluşturun

Yama (patch): Her bilgisayar programında açık vardır ve olmaya devam edecektir. Büyük programlardan bütün hataların (bug) ayıklanması olanaksızdır. Önemli olan, açıkların programı sunan üreticiler tarafından kısa sürede tespit edilmesi ve bunları giderici programların yani “yama”ların hızlı bir şekilde yayınlanmasıdır. Yama, bilgisayar programlarında oluşan bir hatayı ya da programın içeriğindeki hatalı bir  fonksiyonu düzelten bir programcıktır. Genelde bilgisayarlardaki en büyük güvenlik sorunlarından olan yazılım açıklarına müdahale amacıyla kullanılır

Kablosuz ağlarda güvenli işlem yapabilmek için şunlar yapılabilir:
SSID Saklama: Kablosuz ağlarda erişim noktasının adını (SSID: Service Set Identifier) saklamak alınabilecek ilk temel güvenlik önlemidir. Böylece Windows, Linux da dahil olmak üzere birçok işletim sistemi etraftaki kablosuz ağ cihazlarını ararken bizim cihazımızı göremeyecektir.

Erişim Kontrolü: Standart kablosuz ağ güvenlik protokollerin de ağa giriş anahtarını bilen herkes kablosuz ağa dahil olabilir. Kullanıcılarınızdan birinin WEP (Wired Equivalent Privacy, Kabloya Eşdeğer Mahremiyet) anahtarını birine vermesi/çaldırması bu yöntemi işe yaramaz kılar. Herkeste aynı anahtar olduğu için kimin ağa dahil olacağını bilemeyiz.

Evinde kablosuz ağ kullananlar için temel seviyede güvenlik önlemi almak yeterlidir. Kullandığo erişim noktası cihazının adını değiştirmek gibi. Ayrıca modem cihazı markası ve modelini bilen kötü niyetli birileri cihazın yönetim arabirimine ulaşarak varsayılan kullanıcı adı ve parolalarını deneyebilir. Bu sebeple alınan cihazların varsayılan değerleri -özellikle yönetim arabirimine giriş için kullanılan hesap
bilgileri- mutlaka değiştirilmelidir.

Şirket ağlarında kullanılan erişim cihazları kesinlikle yerel ağla direkt haberleştirilmemelidir. Araya bir güvenlik duvarı konularak kablosuz ağ istemcilerinin yerel ağa girişleri sınırlandırılarak olası saldırı girişimlerinde iç ağın etkilenmesi önlenir. Ayrıca, ağa yeni eklenen ve ağda IP, MAC adreslerini değiştiren cihazlar uygun bir yazılım ile kontrol edilmelidir (arpwatch ve winarpwatch). Kablosuz ağlar için tasarlanmış saldırı tespit yazılımları da kullanılabilir. Fakat bu tip yazılımların yönetimi ve ağa uygulanması zaman alacaktır. Bu yüzden şirket ağlarında WPA (Wi-Fi Protected Access, Wi-Fi Korunmuş Erişim) kullanımı iyi bir seçim olacaktır. Erişim noktası cihazının özelliklerine bağlı olarak EAP (Extensible Authentication Protocol, Uzatılabilir Doğrulama Protokolü) olarak adlandırılan ve çeşitli şekillerde kimlik doğrulama özelliği sağlayan protokollerde kullanılabilir.

Sosyal Ağlarda Güvenlik: Bilindiği gibi Türkiye’de internet kullanımında çocuk ve ailelere dönük önlemler almak için “Güvenli İnternet Hizmeti” hayata geçirilmiştir. Bu hizmetle “Çocuk Profili” ve “Aile Profili” olmak üzere iki seçenek sunmaktadır. Güvenli Net sitesi özellikle sosyal ağlarda
güvenlik konusunda aşağıdaki uyarıları yapmaktadır

Bilgisayar korsanları bilgisayar sistemlerini kıran bilgisayar kullanıcısıdırlar. “Sanal dünyanın korsanları”, “bilgisayar dünyasının kötü adamları” gibi ifadeler de aynı saldırganlar için kullanılmaktadır. Bu kişiler İnternet üzerinde bir önceki başlıkta sayılan “sistemlere girmek” ya da “şifreleri çalmak” gibi suçları işleyerek bilgisayar kullanıcıları ve işletmeleri güç durumda bırakırlar. Adı geçen saldırganların hepsine birden genel olarak “bilgisayar korsanı” denmekle birlikte, bilgisayar korsanları amaçlarına göre farklı gruplara ayrılabilir

Heyecan Düşkünü Bilgisayar Korsanları: Heyecan düşkünü bilgisayar korsanları (thrill seeker hacker) bilgisayar sistemlerini eğlence için kırarlar. Bu kişiler kendilerini “iyi çocuklar” olarak varsayarlar ve hatta bazıları kendi aralarında belirledikleri “hacker yasaları”na uyarlar. Sözgelimi bilgisayar sistemlerinin girseler de bilgileri çalmak ya da değiştirmek yoluna gitmezler. Bunun yerine girdikleri sitelerin güvenlik açıklarını yetkililere haber verirler.

Etik Bilgisayar Korsanları: Etik bilgisayar korsanı bilişim suçları işleyen korsanların kullandıkları teknik ve yöntemleri bilen, korsanların eylemleri sırasında kullandıkları araçları ve yazılımları tanıyan, kısacası bilgisayar dünyasının kötü adamları ile aynı bilgi ve beceriye sahip, iyi niyetli güvenlik uzmanıdır. Etik korsan, saldırı becerilerini, savunma amaçlı kullanarak görev yaptığı veya danışmanlığını yaptığı kurum ya da kuruluşların saldırıya uğramasını engellemeye veya saldırıları en az zararla atlatmaya çalışır. Etik bilgisayar korsanlığı günümüzde belgelenebilmektedir.

Kara Şapkalı Bilgisayar Korsanları: Sistemdeki açıkları bulup (insanları veya sistem yöneticilerini uyarmak yerine) o açıkları kötü amaçla kullanan bilgisayar korsanlarına “kara şapkalı bilgisayar korsanı” adı verilir (Black hat hacker). Bunlar eriştikleri bilgileri çalabilir, silebilir ya da istediği gibi kullanabilirler. Ele geçirdikleri şifreleri yine İnternet aracılığıyla satabilirler. Sadece zevk için bile virüsler yaratabilir, web sitelerini çökertebilirler. Bu nedenlerden ötürü çok tehlikelidirler.

Sistem Kırıcılar: Yazılımlarda kopyalanma için geliştirilen önlemleri çeşitli yöntemlerle kaldıran kişilere “Sistem Kırıcı” (cracker) adı verilir. Bu kişiler ücretli programları kırarak (crack) ücretsiz kullanır ya da kullanılmasını sağlarlar.

Eylemci Bilgisayar Korsanları: Bilgisayar korsanlığını siyasi amaçlar için yapan kişilerdir. Hacktivist olarak da anılan eylemci korsan terimi, bilgisayar korsanı (hacker) ve eylemci (activist) sözcüklerinin birleşmesiyle üretilmiştir. Bu kişiler siyasi konulardan motive olurlar ve İnterneti siyasi mesajlar vermek, propaganda yapmak için kullanırlar. Verdikleri mesaj dünyadaki aç çocuklar ya da siyasi bir kişiyi desteklemek olabilir.

Siber Teröristler: Siyasi ve sosyal kurumlara ve kişilere gözdağı vermek, baskı oluşturmak amacıyla resmi kurumların bilgisayarlarına ve bilgi sistemlerine saldıran kişilere “siber terörist” adı verilir. Siber teröristler “eylemci bilgisayar korsanları” gibi siyasi konulardan motive olurlar. Ancak daha zararlıdırlar. Siber terörizm bireye ve mala şiddet içeren eylemleri işaret eder. Sözgelimi, 11 Eylül 2001 tarihinde  ABD’de meydana gelen ve dünyayı etkileyen terör olayı, teröristlerin ve terör gruplarının İnternet ve teknoloji kullanarak sınır tanımayan bir şekilde eylemlerde bulunulabileceğini göstermiştir.

Amatörler: Bilgisayar korsanı olmak isteyen ancak bu konuda fazla teknik bilgisi olmayan kişiler “amatör bilgisayar korsanı” olarak adlandırılabilir (script kiddies, script bunnies). Amatörler, program ve programlama konularında çok bilgi sahibi olmadıkları için İnternette kolayca bulunabilen çeşitli hazır korsanlık program ve araçlarını kullanırlar

5651 Sayılı Kanun’da erişimin engellenmesi kararı ve yaptırımları aşağıdaki şekilde alınmıştır (Resmi Gazete, 2007):
MADDE 8- (1) İnternet ortamında yapılan ve içeriği aşağıdaki suçları oluşturduğu hususunda yeterli şüphe sebebi bulunan yayınlarla ilgili olarak erişimin engellenmesine karar verilir
a. 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununda yer alan;
1. İntihara yönlendirme (madde 84),
2. Çocukların cinsel istismarı (madde 103, birinci fıkra),
3. Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma (madde 190),
4. Sağlık için tehlikeli madde temini (madde 194),
5. Müstehcenlik (madde 226),
6. Fuhuş (madde 227),
7. Kumar oynanması için yer ve imkân sağlama (madde 228) suçları.
b. 25/7/1951 tarihli ve 5816 sayılı Atatürk Aleyhine İşlenen Suçlar Hakkında Kanunda yer alan suçlar.

Ülkemizin bilgi ve iletişim teknolojilerinden etkin olarak yararlanması ve bilgi toplumuna dönüşmesi ile ilgili uygulanacak stratejiler T.C Başbakanlık Devlet Planlama Teşkilatı (DPT) tarafından 2005 yılında yayınlanan “Bilgi Toplumu Stratejisi” adlı çalışmada belirlenmiştir. Bu çalışmanın “Kamu Yönetiminde Modernizasyon” kategorisinde “Güvenlik ve Kişisel Bilgilerin Mahremiyeti” alt başlığında olmak üzere 87 numaralı eylem “Bilgi Güvenliği ile İlgili Yasal Düzenlemeler” 88 numaralı eylem ise sorumlu kuruluşu olan “Ulusal Bilgi sistemleri Güvenlik Programı”dır.

Sorumlu kuruluşu Adalet Bakanlığı olan 87 numaralı eylem
• Ülke güvenliğini ilgilendiren bilgilerin elektronik ortamda korunması ve ve devletin bilgi güvenliği sistemlerinin geliştirilmesi amacına uygun yasal altyapıyla ilgili düzenleme yapılacak ve uygulamaya konulacaktır.
• Kişisel Verilerin Korunması Hakkında Kanun Tasarısı Taslağı yasalaştırılacaktır. Sorumlu kuruluşu TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü’ne (UEKAE) olan 88 numaralı eylemin ise ana başlıkları şunlardır (Bilgem Web Sitesi, 2012):
• Kamu kurumlarının bilgi güvenliği konusunda bilinçlenmesinin sağlanması, bilgi eksikliğinin giderilmesi ve kurumlar için güncel bilgi güvenliği uyarılarının yayınlanması 
• Bilgisayar Olayları Müdahale Ekibi - Koordinasyon Merkezi’nin kurulması ve etkili bir şekilde çalışması
• Kamu kurumlarının bilgi güvenliğinin sağlanması amacıyla alması gerektiği tedbirlerin belirlenmesi
• Kamu kurumlarını hedef alan tehditlerin tespit edilmesi

Ayrıca Türkiye’de, 2011’de “Güvenli İnternet Hizmeti” hayata geçirilmiştir.

Türkiye’de, 2011’de “Güvenli İnternet Hizmeti” hayata geçirilmiştir. Bu hizmet bireysel abonelere İnternet servis sağlayıcıları tarafından ücretsiz olarak sunulan ve İnternetteki muhtemel zararlı içeriklerden sizi ve ailenizi koruyan alternatif İnternet erişim hizmetidir. Hizmet Çocuk Profili ve Aile Profili olmak üzere iki seçenek sunar. İstediğiniz zaman Güvenli İnternet Hizmeti’ni alabilir, istediğiniz zaman profilinizi değiştirebilir, isterseniz bu hizmetten vazgeçebilirsiniz. İnternet servis sağlayıcının bayisi, çağrı merkezi, online işlem merkezinden herhangi birine başvurarak “Güvenli İnternet Hizmeti” etkinleştirilebilir, profiller değiştirilebilir ya da devre dışı bırakılabilir.
Çocuk Profili: Çocuk profili ile eğitim, kültür, sanat, iş, ekonomi, ödev, bankacılık ve finans, kariyer, alışveriş, sağlık, müzik, haber, e-posta, resmi ve kamu siteleri, tatil, özel şirketler, eğitim kurumları, edevlet gibi pek çok farklı türden web sitesinin yer aldığı profildir.

Aile Profili : Kumar, intihara yönlendirme, çocukların cinsel istismarı, uyuşturucu ve uyarıcı madde kullanımını kolaylaştırma, sağlık için tehlikeli madde temini, fuhuş, müstehcenlik, ırkçılık, ayrımcılık, nefret, terör, şiddet-vahşet görüntüleri, kan ve şiddet içeren dövüş sporları, hayvan dövüşleri, dolandırıcılık, zararlı yazılım vb. içerikleri barından web sitelerinin yer almadığı profildir. Aile profilinde Çocuk profiline ek olarak kişisel sitelere, forum ve paylaşım sitelerine erişilebilir. Aile profili oyun sitelerini, sohbet sitelerini ve sosyal medya sitelerini ise ayrı ayrı veya birlikte erişime kapatma imkanı sunar

Uluslararası Standartlar Örgütü (ISO) ve Uluslararası Elektronik Komisyon (IEC) tarafından hazırlanan ISO/IEC 27000 serisi standartlar “Bilgi Yönetim Sistemi” kapsamında bilgi güvenliği, riskler ve denetimler konusunda iyi uygulama örnekleri sağlayan oldukça geniş kapsamlı bir standartlar serisidir. Bütün kuruluşların bilgi sistemleriyle ilgili riskleri kılavuz ve öneriler doğrultusunda değerlendirdikten sonra ihtiyaçlarına göre uygun bilgi güvenliği denetlemelerini uygulamaya başlamaları teşvik edilmektedir. Her alandaki kamu ve özel kuruluşların yaralanabileceği standartlar Uluslararası Standartlar Örgütü (ISO: International Organization for Standardization ) ve Uluslararası Elektromekanizasyon Komisyonu (IEC: International Electromechanical Commission) tarafından hazırlanmıştır.

ISO/IEC 27000:2009 Bilgi güvenliği yönetim sistemleri
ISO/IEC 27001:2005 Bilgi güvenliği yönetim sistemleri
ISO/IEC 27002:2002 Bilgi güvenliği yönetim sistemleri uygulama kuralları
ISO/IEC 27003 Bilgi güvenliği yönetim sistemleri kurulum rehberi
ISO/IEC 27004 Bilgi güvenliği yönetim sistemleri
ISO/IEC 27005:2008 Bilgi güvenliği yönetim sistemleri risk yönetimi
ISO/IEC 27006:2007 Bilgi güvenliği yönetim sistemleri denetim ve sertifikasyon kuruluşları için gereksinmeler
ISO/IEC 27007:2011 Bilgi güvenliği yönetim sistemleri denetimi
ISO/IEC 27011 Telekomünikasyon işletmeleri için ISO/IEC 27002 temelli bilgi güvenliği yönetimi rehberi
ISO/IEC 27031 İşletme sürekliliği için bilgi ve iletişim teknolojileri hazırlık bulunurluk rehberi
ISO/IEC 27033 Ağ güvenliği konuları ve kavramları
ISO/IEC 27799:2008 Sağlık kurumları için işletmeleri için ISO/IEC 27002 temelli bilgi güvenliği yönetim