Bilgi güvenliğinin temelinde üç kritik kavram yer alır. Bunlar sırasıyla: Gizlilik, Bütünlük ve Erişilebilirlik’tir. İngilizce baş harflerinden oluşan bu “CIA” (Confidentiality, Integrity, Availability) üçlemesi, sızma testlerinin de temel dayanağını oluşturur. Çünkü bir sistemin güvenliğini test ederken sadece dışarıdan gelen saldırılara değil, bu üç ilkenin ne kadar korunduğuna da dikkat edilmelidir. Sızma testleri kapsamında da CIA üçlemesi oldukça önem taşır.
Gizlilik, verilerin yetkisiz kişilerin eline geçmemesini sağlar. Bu hem verinin şifrelenmesiyle hem de kimlerin hangi bilgiye erişebileceğinin net olarak belirlenmesiyle sağlanır. Örneğin, bir çalışanın sadece kendi departmanına ait dosyalara ulaşabilmesi gibi.
Bütünlük, verinin doğruluğunu ve değişmeden kalmasını ve eksilmemesini ifade eder. Bir dosya üzerinde kim ne zaman ne yaptı, bu kayıt altına alınmalıdır. Ayrıca verinin bozulması durumunda geri yüklenebilmesi için yedekleme sistemleri de devrede olmalı.
Erişilebilirlik ise ihtiyaç duyulan bilgiye zamanında ve sorunsuz ulaşabilmeyi ifade eder. Sistem çöktüğünde ya da saldırıya uğradığında kritik verilere ulaşamamak büyük zararlara yol açabilir. Bu yüzden yedek sistemler, saldırı önleme çözümleri ve iyi planlanmış altyapılar şarttır.
Sızma testleri bu üç ilkeyi doğrudan test etmektedir. Örneğin, bir test sırasında gizli bir veriye erişilebiliyorsa gizlilik aşılmıl olur. Ya da sistem kolayca çökertilebiliyorsa erişilebilirlik riski yüksektir.
Sonuç olarak, bilgi güvenliği sadece teknik önlemlerle değil, bu üç temel ilkenin sürekli korunmasıyla sağlanır. CIA üçlemesi, her sızma testinin ve raporunun merkezinde yer almaldır. Bilgi güvenliği bir dizi halkadan oluşan bir zincir gibidir ve bu zincirin bir halkası koptuğunda tüm sistem savunmasız kalır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Uygulamaları doğru yapılandırılıp uygulanırsa bir kurum için Siber Güvenlik konusu da iyi yapılandırılmış olur. Ayrıca bilgi güvenliği sadece teknik önlemlerle değil, insan davranışlarıyla da şekillenen bir olgudur. Fiziksel güvenlik de dijital veriler kadar önemli olup dijital verilerin korunmasında kritik rol oynar. Düzenli olarak güncellenen yazıımlar, yedekleme vs gibi önlemler veri kaybını önler. Bir organizasyon için güvenlik olgusu tüm organizasyonun sorumluluğudur. Şeffaf iletişim, güvenlik açıklarının hızla tespit edilmesini sağlar. En nihayetinde, teknoloji kadar insan da güvenliğin merkezindedir.