BİLGİ
GÜVENLİĞİ YÖNETİM
SİSTEMİ
1
VERİ NEDİR? BİLGİ NEDİR?
Sayısal ve mantıksal her bir değere (rakam, harf, sembol) VERİ yada DATA denir.
İşlenmemiş ham bilgiye VERİ; verinin işlenmiş haline ise BİLGİ denir.
2
BİLGİ ÇEŞİTLERİ VE BULUNDUĞU ORTAMLAR
Fiziksel Ortamlar
Kağıt, Tahta, Pano
Çöp/Atıklar
Dosyalar
Dolaplar
Elektronik Ortamlar
Bilgisayarlar, Mobil iletişim cihazları
E-posta, USB, CD, Diskler
Sosyal Ortamlar
Telefon görüşmeleri
Muhabbetler
Toplu taşıma araçları
Tanıtım Platformları
İnternet siteleri
Broşürler
Reklamlar, Sunumlar
Eğitimler
BİLGİNİN KORUNACAK NİTELİKLERİ
Gizlilik
Bilginin yetkili olmayan kişiler, varlıklar ve süreçler tarafından erişilemez ve ifşa edilemez niteliği
Bütünlük
Bilginin doğruluk, bütünlük ve kendisine has özelliklerinin korunması
Erişilebilirlik
Bilginin yetkili kişiler (görevi gereği) tarafından istenildiğinde ulaşılabilir ve kullanılabilir olma özelliği
4
BİLGİ GÜVENLİĞİ NEDİR?
Bilgi Güvenliği, bilgilerin izinsiz
kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz
değiştirilmesinden, bilgilere hasar
verilmesinden koruma, veya bilgilere
yapılacak olan izinsiz erişimleri engelleme işlemidir. Bilgi güvenliği, bilgisayar güvenliği ve bilgi sigortası terimleri, sık olarak
birbirinin yerine kullanılmaktadır.
SON KULLANICI GÜVENLİĞİ
Sistemlere, etki alanları dâhilinde kendilerine verilmiş kullanıcı adı ve şifreleri ile bağlanmalıdır.
Yetkileri dâhilinde sistem kaynaklarına ulaşabilmeli ve internete çıkabilmelidir.
Yetkileri, içinde bulundukları grup politikasına göre belirlenmelidir.
Aktiviteleri, güvenlik zafiyetlerine ve bilgi sızdırmalarına karşı loglanarak kayıt altına alınmalıdır.
Kendi hesaplarının ve/veya sorumlusu oldukları cihazlara ait kullanıcı adı ve şifre gibi kendilerine ait bilgilerin gizliliğini korumalı ve başkaları ile
paylaşmamalıdır. 6
SON KULLANICI GÜVENLİĞİ
Bilgisayarlarındaki ve sorumlusu oldukları cihazlarda
ki bilgilerin düzenli olarak yedeklerini
almalıdır.
Güvenlik
zafiyetlerine sebep olmamak için, bilgisayar başından
ayrılırken mutlaka ekranlarını
kilitlemelidir.
Bilgisayarlarında ya da sorumlusu oldukları sistemler üzerinde USB flash
bellek ve/veya harici hard disk gibi donanımları bırakmamalıdır.
SON KULLANICI GÜVENLİĞİ
8
Mesai bitiminde
bilgisayarlarını kapatmalıdır. Bilgisayarlarında, güncel anti virüs yazılımları bulunmalıdır.
SON KULLANICI GÜVENLİĞİ
9
Son kullanıcı güvenliğine dair oluşturulmuş grup
politikalarını, etki alanı üzerinden kullanıcı onayı olmaksızın uygulamalıdır.
Farkında olmadan yapabilecekleri ve sonunda zafiyet yaratabilecek değişikleri merkezi grup politikalarıyla engellemelidir.
Yeni parolaları bildirilirken sms gibi daha güvenli yöntemler kullanılmalıdır.
Temiz masa, temiz ekran ilkesi benimsenmeli ve hayata geçirilmelidir.
10
Parola en az 8 karakterden oluşmalıdır
Harflerin yanı sıra, rakam ve "?, @, !, #,
%, +, -, *, %" gibi özel karakterler içermelidir.
Büyük ve küçük harfler bir arada kullanılmalıdır
Kişisel bilgiler gibi kolay tahmin edilebilecek bilgiler parola olarak
kullanılmamalıdır.
Sözlükte bulunabilen kelimeler parola olarak kullanılmamalıdır.
PAROLA GÜVENLİĞİ
GÜÇLÜ PAROLA YÖNTEMLERİ
12
GÜÇLÜ PAROLA YÖNTEMLERİ
ELEKTRONİK POSTA GÜVENLİĞİ
Gelen mailler için
*Anti-Virüs Taraması
*URL Scanning
*Anti-Spam
*Commercial Bulk (Reklam Kontrolü)
Giden mailler için
*Anti-Virüs Taraması
*URL Scanning
* Anti-Spam
DLP (Data Lost Prevention
KURUMSAL E-POSTA
14
E-posta güvenliği kurum tarafından sağlanmaktadır.
Zararlı içerik yönetimi merkezi olarak yapılandırılır.
Kuruma ait birimler için eposta grupları oluşturulabilmektedir.
E-posta yönetimi kurumun güvencesi ve kaydı altındadır.
Kurumsal kimlik kazandırır.
SİBER GÜVENLİK SİBER KAVRAMİ
• Siber terimi sibernetik kökeninden
gelmektedir. İlk olarak 1958 yılında,
canlılar ve/veya makineler
arasındaki iletişim disiplinini
inceleyen Sibernetik biliminin
babası sayılan Louis Couffignal
tarafından kullanılmıştır.
SİBER GÜVENLİK
16
İnternet’i etkin olarak kullandığımız 10-15 sene gibi bir süre zarfında içerisinde
"Siber" kelimesi geçen birçok yeni kavram daha ortaya çıkmıştır.
Siber Güvenlik Siber Güvenlik
Siber Uzay Siber Uzay
Siber Casusluk Siber Casusluk Siber Silah
Siber Silah
Siber Savaş
Siber Savaş
SİBER GÜVENLİK
Siber ortamda, kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünüdür.
Siber ortamda, kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavramları, güvenlik teminatları, kılavuzlar, risk yönetimi yaklaşımları, faaliyetler, eğitimler, en iyi uygulamalar ve teknolojiler bütünüdür.
SİBER SİLAHLAR
18
• Bakteri,
• Solucan,
• Virüs,
• Truva atı,
• Mantık bombası,
• Arka kapı,
• Köle bilgisayarlar,
• Rootkit,
• Gelişmiş Siber Tehditler,
• Saldırı kitleri.
• Bakteri,
• Solucan,
• Virüs,
• Truva atı,
• Mantık bombası,
• Arka kapı,
• Köle bilgisayarlar,
• Rootkit,
• Gelişmiş Siber Tehditler,
• Saldırı kitleri.
SİBER SAVUNMA SİSTEMLERİ
• Kimlik doğrulama sistemleri,
• Zafiyet Tarayıcı,
• Güvenlik Duvarı,
• Saldırı
Tespit/Önleme Sistemi,
• Antivürüs,
• Yığın e-posta engelleme sistemi,
• Kimlik doğrulama sistemleri,
• Zafiyet Tarayıcı,
• Güvenlik Duvarı,
• Saldırı
Tespit/Önleme Sistemi,
• Antivürüs,
• Yığın e-posta engelleme sistemi,
• Veri kaçağı önleme sistemi,
• Hava boşluğu sistemi,
• Adli bilişim sistemleri,
• Ağ erişim kontrol sistemi,
• İçerik filtreleyici,
• Uç nokta güvenlik sistemi,
• Steganografi,
• Balküpü,
• Şifreleme Sistemleri,
• Sayısal imza
• Veri kaçağı önleme sistemi,
• Hava boşluğu sistemi,
• Adli bilişim sistemleri,
• Ağ erişim kontrol sistemi,
• İçerik filtreleyici,
• Uç nokta güvenlik sistemi,
• Steganografi,
• Balküpü,
• Şifreleme Sistemleri,
• Sayısal imza
ÜLKEMİZDE SİBER GÜVENLİĞE YÖNELİK ADİMLAR
20
• 2003/10 Sayılı Başbakanlık Genelgesi (2003),
• E-Dönüşüm Türkiye Projesi (2003),
• Bilgi Toplama Stratejisi ve Eylem Planı (2006),
• Ulusal Sanal Ortam Güvenlik Politikası (2009),
• Siber Güvenlik Çalıştayı (2011),
• Ulusal Siber Güvenlik Tatbikatı 2011
• Siber Güvenlik Hukuku Çalıştayı (2012),
• Türkiye Siber Güvenlik Organizasyonu ve Yol Haritası (2012),
• Ulusal Siber Güvenlik Strateji Çalıştayı (2012),
• Siber Kalkan Tatbikatı (2012),
• Ulusal Siber Güvenlik Tatbikatı (2013),
• Uluslararası Siber Kalkan Tatbikatı 2014
• 2003/10 Sayılı Başbakanlık Genelgesi (2003),
• E-Dönüşüm Türkiye Projesi (2003),
• Bilgi Toplama Stratejisi ve Eylem Planı (2006),
• Ulusal Sanal Ortam Güvenlik Politikası (2009),
• Siber Güvenlik Çalıştayı (2011),
• Ulusal Siber Güvenlik Tatbikatı 2011
• Siber Güvenlik Hukuku Çalıştayı (2012),
• Türkiye Siber Güvenlik Organizasyonu ve Yol Haritası (2012),
• Ulusal Siber Güvenlik Strateji Çalıştayı (2012),
• Siber Kalkan Tatbikatı (2012),
• Ulusal Siber Güvenlik Tatbikatı (2013),
• Uluslararası Siber Kalkan Tatbikatı 2014
SOSYAL MEDYA KAVRAMİ
İnternet
kullanıcılarının
birbirileriyle bilgi, görüş, ilgi alanlarını, yazılı görsel ya da işitsel bir şekilde paylaşarak iletişim kurmaları için olanak sağlayan araçlar ve web sitelerini
içermektedir.
İnternet
kullanıcılarının
birbirileriyle bilgi,
görüş, ilgi
alanlarını, yazılı görsel ya da işitsel
bir şekilde
paylaşarak iletişim kurmaları için olanak sağlayan araçlar ve web sitelerini
içermektedir.
SOSYAL MEDYA DÜNYASİNİN GELİŞİMİ
22
1971 – İlk e-mail
1978 – BBS - İki arkadaş!
1988 – IRC
1994 – GeoCities / Friends United 1997 – AOL / Google / Sixderegess
2000 – .com patlaması / Myspace, LinkedIn
2002 – Friendster İlk 3 ay 3 milyon
2003 – Plaxo, Hi5, Del.icio.us 2004 – Facebook ve Flickr 2005 – YouTube
2006 – Twitter 2007 – Friendfeed 2009 – Tumblr
2010 – Google Buzz 2012 – Google Plus 2014 –2015 ...
1971 – İlk e-mail
1978 – BBS - İki arkadaş!
1988 – IRC
1994 – GeoCities / Friends United 1997 – AOL / Google / Sixderegess
2000 – .com patlaması / Myspace, LinkedIn
2002 – Friendster İlk 3 ay 3 milyon
2003 – Plaxo, Hi5, Del.icio.us 2004 – Facebook ve Flickr 2005 – YouTube
2006 – Twitter 2007 – Friendfeed 2009 – Tumblr
2010 – Google Buzz 2012 – Google Plus 2014 –2015 ...
SOSYAL MEDYA VE SOSYAL MÜHENDİSLİK
Sosyal Mühendislik,
insanlar arasındaki iletişim ve insan davranışındaki arasındaki modelleri açıklıklar olarak tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir.
Sosyal Mühendislik,
insanlar arasındaki iletişim ve insan davranışındaki arasındaki modelleri açıklıklar olarak tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir.
SOSYAL MEDYA VE SOSYAL MÜHENDİSLİK
24
Sosyal Mühendislik Sürecinde
1. Bilgi Toplama (Sosyal ağlar üzerinde etkilidir. Foursquare, Twitter, Facebook…)
2. İlişki Oluşturma (Arkadaşlık talebi, sahte senaryolar üretilir, güvenilir bir kaynak olduğuna ikna edilir)
3. İstismar (Zararlı yazılımlar gönderilir)
4. Uygulama
Sosyal Mühendislik Sürecinde
1. Bilgi Toplama (Sosyal ağlar üzerinde etkilidir. Foursquare, Twitter, Facebook…)
2. İlişki Oluşturma (Arkadaşlık talebi, sahte senaryolar üretilir, güvenilir bir kaynak olduğuna ikna edilir)
3. İstismar (Zararlı yazılımlar gönderilir)
4. Uygulama
SOSYAL MÜHENDİSLİK SALDİRİLARİNA KARŞİ KORUNMA
*Güvenlik bilincini arttırma eğitimleri
*İçerik doğrulama
*Fiziksel Güvenlik
*Sınırlı veri paylaşımı
*Kurum içi sosyal mühendislik testleri
*Veri sınıflandırma politikası
BİLGİ GÜVENLİĞİ BİLİNCİNİ ARTTIRMA YÖNTEMLERİ
26
•Virüsten korunma
•İnternet erişim güvenliği
•5651 sayılı kanun
•E-posta güvenliği
•Yedekleme
•Bilgisayar güvenlik olayları ihbarı
•Sosyal mühendislik
BİLGİ GÜVENLİĞİ BİLİNCİNİ ARTTIRMA YÖNTEMLERİ
•Bilgisayara giriş ve şifre güvenliği
•Bilgisayarda donanım ve yazılım değişiklikleri yapma
•Dizüstü bilgisayar kullanımı
•Dosya erişim ve paylaşımı
•Yazıcı kullanımı
•Taşınabilir medya kullanımı
TEŞEKKÜR EDERİZ
28
FEYZULLAH KARABACAK İL BİLGİ GÜVENLİĞİ YETLİLİSİ
ISPARTA İL SAĞLIK MÜDÜRLÜĞÜ
BİLGİ GÜVENLİĞİ KOMİSYONU