Bilgi Güvenliği Yönetim Sistemleri

(1)

Faruk Çalıkuşu

Bilgi Güvenliği Danışmanı

Bilgi Güvenliği Yönetim Sistemleri

(2)

Kurumumuzda Bilgi Güvenliği Yapılanması

BİLGİ GÜVENLİĞİ ALT KOMİSYONU (SAĞLIK İL MÜDÜRLÜĞÜ ) BİLGİ GÜVENLİĞİ ALT KOMİSYONU

(SAĞLIK İL MÜDÜRLÜĞÜ )

BİLGİ GÜVENLİĞİ İL YETKİLİSİ BİLGİ GÜVENLİĞİ İL YETKİLİSİ

KURUM İDARELERİ KURUM İDARELERİ

(3)

Veri & Bilgi

Çerkeş Devlet

Hastane

L094567 Numara

Dosya

Hasta Kayıt

HBYS

(4)

Veri & Bilgi

Çerkeş Devlet Hastanesi HBYS’sindeki L094567 Dosya

Numaralı Hasta Kaydı

(5)

Bilgi Güvenliği Nedir?

Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir.

Aslında güvenlik sadece bilginin başkasının eline geçmesi

anlamına gelmez. Güvenlik, “gizlilik”, “bütünlük” ve “erişilebilirlik”

olarak isimlendirilen üç unsurdan oluşur.

(6)

Bilgi Güvenliği Nedir?

• Gizlilik; Bilgi ye erişime izni olan yetkili kişiler yada sistemlerin erişmesini sağlamaktır.

• Bütünlük; Bilginin yetkisiz kişi yada işlemler

tarafından değiştirilmemesini sağlamaktır. Böylece Bilginin tutarlılığı sağlanmış olur.

• Erişilebilirlik; Bilgi ye doğru zamanda erişimin ve

erişim sürekliliğinin sağlanmasıdır.

(7)

Bilgi Güvenliği Neden Önemlidir?

BİLGİ GÜVENLİĞİ ZAFİYETLERİ

NELERE YOL AÇAR?

(8)

Bilgi Güvenliği Neden Önemlidir?

Bir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir

 Sosyal medyada kurum itibarına

zarar verecek bilgiler yayınlanabilir.

(9)

Bilgi Güvenliği Neden Önemlidir?

 Sağlık çalışanlarının parolaları ele

geçirilerek yasa dışı işler yapılabilir.

(10)

Bilgi Güvenliği Neden Önemlidir?

 İnteraktif bankacılık sistemi ile kullanıcıların

hesaplarındaki paralar çalınabilir

(11)

Bilgi Güvenliği Neden Önemlidir?

 CAN KAYIPLARI OLABİLİR!!!!!

(12)

DROP TABLE

DROP DATABASE

(13)

Doktorların şifreleri çalındı binlerce ilaç yazıldı

Sağlık sektörünü gözüne kestiren dolandırıcılık şebekeleri, doktorların e-reçete şifrelerini çaldı.

Şebeke, yüksek tutarlı ilaçları hastalar üzerine yazmaya başladı.

Vatandaşlar ilaç katkı payı

Ödemek zorunda kaldı.

(14)

(15)

Faruk Çalıkuşu

Bilgi Güvenliği Danışmanı

AKILLI TELEFON VE TABLETLER

(16)

Akıllı Telefonlar

(17)

(18)

Mobil Sosyal Medya Uygulamaları

En çok kullandığımız Sosyal Medya Uygulamaları cep telefonumuzun hangi verilerini alıyor.

(19)

Akıllı Telefon Güvenliği

Ana ekranınızda muhakkak güvenlik parolası olmalı

Akıllı telefonunuzdaki verileri (resim, video, dokümanlar vb.) düzenli olarak yedekleyin.

Uygulamayı kabul etmeden önce kişisel bilgilerinize erişim yetkisi hakkında daha dikkatli olun.

Kesinlikle bir Antivirüs uygulaması kullanın. Ücretsiz CM Security, Avira Antivirus Security, Avast, AVL, 360 Security ve AVG AntiVirus

Otomatik güncelleştirmeleri etkinleştirin ve işletim sisteminizi güncel tutun.

(20)

PAROLA GÜVENLİĞİ

(21)

Nerelerde Parola Var / Olmalı

 Bilgisayar girişi

 Ekran koruyucu

 Cep telefonu

 Chrome vb. e- posta girişleri

 E-posta

 Akıllı Telefonlar, Tablet

 İnternet Bankacılığı

 Online Alışveriş

 Taşınabilir Bellekler

 Otomasyon Programları

(22)

En Kötü Parola Oscarları

2014 2015 2016

123456

password 123456

password 123456 password

12345678 12345 12345678

qwerty 12345678 qwerty

abc123 qwerty 12345

(23)

Parolanın Karakter sayısı ve şekli

BGYS Politikalarına göre parolanız, en az;

 8 karakterden,

 bir büyük harf,

 bir küçük harf,

 bir rakam ve

 bir özel karakterden oluşmalıdır.

Sr#$2^&!

(24)

Parola Güvenliği

Parolanız size özeldir, başkaları ile paylaşılmamalıdır!

Parolanız çoraplarınız gibidir,

sık sık değiştirilmelidir!

(25)

Parola Güvenliği

(26)

Parolaların Tahmini Kırılma Süreleri

Parolaların tahmini kırılabilme süreleri şöyle;

Kelime: Parola

Çözülme süresi: 33 saniye

Kelime: Parola1

Çözülme süresi: 14 dakika Kelime: P4rola$11

Çözülme süresi: 2 gün

Kelime: P4rol4$123+

Çözülme süresi: 4 ay

https://password.kaspersky.com/tr/

Kelime: P4rol4$123+?

Çözülme süresi: 4 yüzyıl

(27)

Parolanızı kimseyle paylaşmayın

 Yüz yüze

 Telefon

 E-posta

 Omuz sörfü vb.

 İdareci

 İş arkadaşı

 Misafir

 Teknik eleman

(28)

Her platform için farklı parola

Kullanıcılarının %55’i her hesap için aynı parolayı kullanıyor.

Bir parola kırılınca diğerleri çorap söküğü gibi geliyor.

2017 yılında aktif olan milyonlarca yahoo, gmail

kullanıcısının parolası çalındı.

(29)

Kurumsal E-posta

Kullanımı ve Güvenliği

(30)

E-Posta Kullanım Politikamız -1

• Kurumsal iş ve işlemler, kişilerin özel işleri için (Gmail, Hotmail gibi) internet hizmet sağlayıcılarından alınan hesaplar üzerinden yürütülmez.

• KVKK tarafından 6698 sayılı Kanunda yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması kanuni zorunluluktur.

(31)

E-Posta Kullanım Politikamız

• E-posta adresinin kime bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz.

• Konu alanı boş bir e-posta mesajı göndermemeli

• Kimliği belirsiz, Spam,Zincir-Zararlı e-posta olduğu düşünülen e-postalar hiçbir

işlem yapılmadan (Açılmadan ) Slinmelidir ve ivedilikle Bilgi Sistemleri Birimine haber verilmelidir

(32)

İNSAN KAYNAKLARI ZAAFİYETLERİ

SOSYAL MÜHENDİSLİK

(33)

İnsan Kaynakları Zaafiyeti Yönetimi

 Çalışan personele ait şahsi dosyalar kilitli

dolaplarda muhafaza edilmeli ve

dolap anahtarları kolay ulaşılabilir bir

yerde olmamalıdır.

(34)

İnsan Kaynakları Zaafiyeti Yönetimi

 Personel, yetkisi olmayan hiçbir kişi ile bilgi

paylaşımı yapmaz.

(35)

İnsan Kaynakları Zaafiyeti Yönetimi

 Personel, edindiği bilgileri hiçbir kişi,

grup, kurum veya kuruluşun menfaati için

kullanamaz.

(36)

İnsan Kaynakları Zaafiyeti Yönetimi

 Personel, görev yaptığı kurum tarafından

kendisine verilen ya da tanımlanan kullanıcı

adı/parolayı hiç kimseyle paylaşmaz ve bunların

hiçbir kopyasını alamaz

(37)

 Temiz Masa

(38)

 A.8.3.2 Belli başlı temiz masa kuralları

 Bu gibi bilgi ve belgeler kilitli dolap, çelik kasa ya da arşiv odası gibi fiziki koruması olan güvenli alanlarda muhafaza edilir.

Hassas bilgiler içeren bilgi, belge ve evraklar masa üzerlerinde ya da kolayca ulaşılabilir yerlerde açıkta bulundurulmaz.

(39)

Hastanelerde Sosyal Mühendislik Önlemleri

• Kişisel sağlık kayıtlarının (tüm tetkik sonuçları, hasta dosyası,

barkodlar, gözlem formları vs.) özel nitelikli kişisel veri kategorisinde olduğu ve 6698 sayılı kanun ile özel koruma uygulanması gerektiği her zaman dikkate alınır.

• Telefon ile hasta hakkında bilgi almak isteyen kişilere, hastanın kişisel bilgileri ile ilgili açıklama yapılmaz.

• Hasta dosyaları ilgili doktor ve hemşire dışında kimseyle paylaşılmaz. Kolay ulaşılır yerlere konulmaz.

• SBYS programlarında kullanılan parolalar kimseyle paylaşılmaz

(40)

Taşınabilir Medya ve Cihaz

Güvenliği

(41)

Taşınabilir Medya Birimleri

Bilgi Güvenliği Politikaları Kılavuzu;

• A.4.4.2.1-Kuruma ait veriler, kişilere ait medyalar üzerinde saklanamaz.

Verilerin bir taşınabilir ortama aktarılması ihtiyacı kaçınılmaz ise bu maksatla kuruma ait medyalar kullanılır.

• A.4.4.2.2- Kuruma ait medyalar varlık envanteri içinde listelenir ve kimler tarafından kullanıldığı kayıt altına alınır. Görev devir teslimlerinde veya işten

ayrılışlarda, kişilere teslim edilmiş olan medyaların iade edilmesi istenir veya ne şekilde sarf edildiği bilgisi sorgulanır.

(42)