ISO 27001 Yetkisiz Erişim ve Bilgi Sızıntısı Riskine Karşı Alınacak Teknik Önlemler (2025 Siber Güvenlik Kılavuzu)
Yetkisiz erişim ve bilgi sızıntısı, günümüzün en kritik siber güvenlik tehditleri arasında yer alıyor.
ISO 27001, bu tür tehditlere karşı önleyici ve tespit edici teknik kontrollerin uygulanmasını zorunlu kılıyor.
Bu rehberde, 2025 yılına uygun olarak:
-
ISO 27001’de hangi kontroller kullanılmalı,
-
Hangi önlemler teknik olarak nasıl uygulanmalı,
-
Denetime nasıl hazır olunmalı,
adım adım ele alıyoruz.
Yetkisiz Erişim Nedir?
Yetkisiz erişim, bir sistem, uygulama veya veriye izinli olmayan bir kişi ya da süreç tarafından erişilmesidir.
Bu durum;
-
Kurumsal verilerin çalınmasına,
-
KVKK/GDPR ihlallerine,
-
Kurumsal itibar kaybına yol açabilir.
ISO 27001’de İlgili Kontroller
Aşağıdaki ISO/IEC 27001:2022 kontrol maddeleri doğrudan bu konuyla ilgilidir:
-
A.5.15 – Erişim kontrol politikası
-
A.5.16 – Kullanıcı erişim yönetimi
-
A.5.18 – Sistem ve uygulama erişim kontrolü
-
A.8.9 – Uç nokta cihazlarının korunması
-
A.8.10 – Kimlik doğrulama bilgileri
-
A.8.11 – Kimlik doğrulama
-
A.8.23 – Bilgi sızıntısı önleme
Teknik Önlem Kategorileri
1. Ağ Güvenliği Önlemleri
-
Güvenlik Duvarları (Firewall)
-
Saldırı Tespit ve Önleme Sistemleri (IDS/IPS)
-
VPN ile Şifreli Erişim
-
Segmentasyon: İç ağların kritik sistemlerden ayrılması
2. Erişim Yönetimi ve Kimlik Doğrulama
-
Rol tabanlı erişim kontrolleri (RBAC)
-
Minimum yetki ilkesi (Least Privilege)
-
2FA / MFA – Çok faktörlü kimlik doğrulama
-
Tek oturum açma sistemleri (SSO)
3. Veri Koruma ve Şifreleme
-
Veri-at-rest ve veri-in-transit için şifreleme (AES-256, TLS)
-
Harici disk ve USB’lerde şifreleme yazılımları
-
E-posta şifreleme ve DLP kuralları
4. Cihaz ve Uç Nokta Güvenliği
-
Antivirüs ve anti-malware yazılımları
-
Disk şifreleme (BitLocker, VeraCrypt)
-
Cihaz güvenlik profilleri (MDM sistemleri)
-
USB ve yazıcı portu kısıtlamaları
5. Sistem Güncellemeleri ve Yama Yönetimi
-
İşletim sistemlerinin ve uygulamaların düzenli olarak güncellenmesi
-
Otomatik yama uygulama araçları
6. Loglama ve İzleme
-
Kullanıcı erişim günlükleri (loglar) tutulmalı
-
Anormal erişim girişimleri otomatik uyarı oluşturmalı
-
SIEM sistemleri ile merkezi izleme yapılmalı
Kurulması Gereken Politika ve Belgeler
-
Erişim kontrol politikası
-
Bilgi sınıflandırma ve veri koruma prosedürü
-
Olay müdahale planı
-
Sistem erişim ve kullanıcı yönetimi prosedürü
-
Log yönetimi prosedürü
Sık Yapılan Hatalar
-
Tüm kullanıcılara "admin" yetkisi verilmesi
-
Şirket içi paylaşımlarda parola koruması olmaması
-
USB belleklerle veri taşımanın denetlenmemesi
-
Erişim sonlandırma süreçlerinin atlanması
-
Günlüklerin tutulmaması ya da analiz edilmemesi
Denetimlerde Sıkça Sorulanlar
| Soru | Beklenen Kanıt |
|---|---|
| Erişimler nasıl tanımlanıyor ve onaylanıyor? | Erişim talep ve onay formları |
| Şirket dışına çıkan veriler nasıl kontrol ediliyor? | DLP yazılımları, veri aktarım politikaları |
| Sistemlerde şifreleme var mı? | Teknik dökümanlar, ekran görüntüleri |
| Kimlik doğrulama nasıl yapılıyor? | 2FA/MFA ekranları, erişim kayıtları |
| Loglar tutuluyor ve inceleniyor mu? | SIEM raporları, log analiz çıktıları |
YYS Danışmanlık ile Siber Güvenlik Altyapınızı Güçlendirin
YYS olarak:
-
Kurumunuza özel erişim kontrol altyapısı oluştururuz
-
Teknik önlem haritası çıkarırız (BT güvenlik gap analizi)
-
ISO 27001 uyumlu politika ve prosedür setlerini hazırlarız
-
Olaylara müdahale ve log yönetimi süreçlerinizi kurarız
Unutmayın:
Yetkisiz bir erişim, bütün sisteminize sızmak için tek bir kapı olabilir.