Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

© Nobel Akademik Yayıncılık 2011 DİJİTAL İŞLETMEYİ YÖNETME, 12. BASIMDAN ÇEVİRİ Yönetim Bilişim Sistemleri ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Bölüm 8.

Benzer bir sunumlar


... konulu sunumlar: "© Nobel Akademik Yayıncılık 2011 DİJİTAL İŞLETMEYİ YÖNETME, 12. BASIMDAN ÇEVİRİ Yönetim Bilişim Sistemleri ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Bölüm 8."— Sunum transkripti:

1 © Nobel Akademik Yayıncılık 2011 DİJİTAL İŞLETMEYİ YÖNETME, 12. BASIMDAN ÇEVİRİ Yönetim Bilişim Sistemleri ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Bölüm 8

2 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Enformasyon sistemleri yıkım, hata ve suistimale karşı neden zayıftır? Güvenlik ve kontrolün iş değeri nedir? Güvenlik ve kontrol için örgüt çerçevesi bileşenleri nelerdir? Enformasyon kaynaklarını korumak için en önemli araç ve teknolojiler nelerdir? Öğrenme Hedefleri BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ 2

3 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Facebook – dünyanın en büyük sosyal ağı Problem – Kimlik hırsızlığı ve kötü amaçlı yazılımlar – Örnekler: Netwitness Şubat 2010 raporuna göre, Facebook 18 aylık korsan saldırılarında birinci yöntem olarak hizmet vermiştir Aralık 2008 Koobface solucanı Mayıs 2010 kullanıcı şifrelerini çalan istenmeyen posta kampanyası Tüketicilerin yüzleştikleri güvenlik saldırıları sergilenmekte Hacklemenin her yerde olabileceği, kötü amaçlı yazılımlar gösterilmekte Facebook’tasınız, dikkatli olun! 3 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ

4 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Güvenlik: – Enformasyon sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı veya fiziksel hasarları engellemek için var olan kurallar, yordamlar ve teknik tedbirleri temsil eder Kontroller: – Örgütün varlıklarının; tutulan kayıtlarının doğruluğunun, güvenilirliğinin ve yönetim standartlarına işlevsel uyumunun güvenliğinin garanti altına alınması için var olan metotlar, kurallar ve örgüt yordamlarıdır Sistem Zafiyeti ve Suistimal 4 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ

5 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Neden sistemler zayıf? – Ağlara erişebilirlik – Donanım problemleri (çökmeler, yapılandırma hataları, hatalı kullanım hasarları) – Yazılım problemleri (programlama hataları, kurulum hataları, yetkisiz değiştirmeler) – Felaketler – Ağların/bilgisayarların dışarıda işletme kontrolü dışında kullanımı – Taşınabilir cihazların kaybedilmesi ve çalınması 5 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

6 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri GÜNÜMÜZ GÜVENLİK ZORLUKLARI ve ZAYIFLIKLARI Günümüz Web tabanlı bir uygulama mimarisi tipik olarak bir Web istemcisi, bir sunucu ve veritabanlarına bağlı kurumsal enformasyon sistemlerinden meydana gelir. Bu bileşenlerin her biri güvenlik güçlüklerini ve zayıfl ıklarını temsil eder. Seller, yangınlar, güç kayıpları ve diğer elektrik sorunları ağın herhangi bir noktasında kopmalara neden olabilir. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

7 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri İnternet açıkları – Herkese açık ağlar – İnternet o kadar büyüktür ki suiistimaller olduğunda bunlar çok geniş bir alanı etkiler – Sabit bir internet adresi korsanlar için sabit bir hedef yaratmaktadır – Şifrelenmemiş VOIP – , eşler arası ve anında mesajlaşma Kötü amaçlı yazılım eklentileri Ticari sırların aktarılması 7 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

8 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kablosuz güvenlik – Radyo frekans aralıkları kolaylıkla taranabilir – SSIDs (Hizmet seti tanımlayıcıları) Erişim noktalarını tanımlama Birden fazla kez yayın yapar Savaş sürüşü – Kaçak dinleyiciler binaların yanına araçlarını getirerek ağa ve kaynaklara erişmeye çalışırlar – Kablolu Eşgüvenlik Standardı (WEP) Standart ürünlerinde bulunur, kullanımı isteğe bağlıdır. Hem kullanıcılar hem de erişim noktaları için paylaşılan şifreleri kullanır. Kullanıcılar Wep’i veya güçlü şifrelemeleri uygulamada sıklıkla başarısız olur. 8 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

9 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri WI-FI GÜVENLİK Pek çok Wi-Fi ağına saldırganlar paket dinleyici programları kullanarak kolayca sızabilirler. Bu programlar yetki olmaksızın bir ağın kaynaklarına erişmek için gereken bir adresi bulmada kullanılırlar. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

10 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kötü amaçlı yazılımlar – Virüsler Kendisini diğer yazılım programlarına veya veri dosyalarına çalıştırılmak için genellikle kullanıcının bilgisi ve izni dışında ekleyen program – Solucanlar Kendilerini bir ağdaki bir bilgisayardan diğerine kopyalayan bağımsız bilgisayar programları – Truva atları Tehlikesiz gibi görünüp daha sonra beklenen farklı şeyler yapan bir yazılım programı 10 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

11 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kötü amaçlı yazılımlar (devam) – SQL enjeksiyon saldırıları SQL enjeksiyon saldırıları kötü niyetli program kodunu işletme sistem ve ağlarına sokmak için kodlanmış Web uygulama yazılımlarının açıklarından yararlanır – Casus yazılımlar Web gezintilerini takip etmek için kendini gizlice bilgisayara kurarlar ve reklamcılığa hizmet ederler – Klavye kayıtçıları Yazılım seri numarasını çalmak, internet saldırılarını başlatmak, e posta hesaplarına erişim sağlamak veya kişisel bilgilerini elde etmek için bilgisayarda gerçekleşen tüm klavye hareketlerini kaydeder 11 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

12 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Bilgisayar korsanları ve suçları – Bilgisayar korsanı - güvenlik kırıcı – İçerdiği faaliyetler; Sisteme erişim Sistem hasarı Sibervandalizm – Bir Web sitesinin veya işletmenin enformasyon sisteminin bilinçli kesintiye uğratılması, tahrifatı hatta yok edilmesi 12 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

13 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kimlik sahteciliği (spoofing) – Sahte e-posta adresleri kullanarak veya başkası gibi görünerek gerçek kimliklerin saklanması – Bir Web bağlantısının amaçlanandan farklı bir adrese yönlendirilmesi Paket dinleyicisi (sniffer) – Ağ üzerinde dolaşan enformasyonu takip eden izinsiz bir program – Bilgisayar korsanlarının, ağdaki herhangi bir yerden e-posta mesajları, işletme dosyaları ve gizli raporlar dahil özel enformasyonları çalmasına imkan sağlar 13 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

14 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Hizmet engelleme (DoS) – Korsanlar bir ağ sunucusunu ve Web sunucusunu binlerce yanlış iletişim veya hizmet isteğiyle şişirirler Dağıtılmış hizmet engelleme (DDoS) – Sayısız noktadan sayısız bilgisayarın ağı şişirmek ve çökertmek için kullanımı – Robot ağ Robot zararlı yazılım tarafından filtrelenmemiş bilgisayarlardan oluşan zombi ağları Dünya çapında 6 ile 24 milyon bilgisayar zombi olarak robot ağına hizmet etmektedir 14 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

15 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Bilgisayar suçu – İşlenmesi, tahkikat yapılması ve dava açılması için bilgisayar teknolojisi enformasyonu gerektiren her türlü ceza kanunu ihlali şeklinde tanımlanmıştır – Bilgisayar suçun hedefi olabilir; örneğin Korunan bilgisayar verisinin gizliliğinde gedik açılması Bir bilgisayar sistemine yetkisiz erişim – Bilgisayar suç aracı olabilir, örneğin; Ticari sır hırsızlığı Tehdit ve taciz için e-posta kullanımı 15 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

16 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kimlik hırsızlığı – Kişisel bilgi hırsızlığıyla (sosyal güvenlik, ehliyet veya kredi kartı vs.) başka birisine kimlik kazandırmak Yemleme (phishing) – Sahte Web siteleri yaratmayı ve gerçek işletmelerin gönderdiğine benzer e-posta ve mesaj göndermeyi kapsar Şeytan ikizler (evil twins) – İnternet için güven verici Wi-Fi bağlantısı sunuyormuş izlenimi veren kablosuz ağlardır 16 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

17 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri DNS tabanlı yemleme (pharming) – Tarayıcılarına doğru Web sayfası adresini girseler dahi kullanıcıları sahte Web sayfalarına yönlendirir Tıklama hilesi (click fraud) – Bir kişi veya bilgisayar programının reklam veren hakkında daha fazla enformasyon edinmek veya ürünü satın almak gibi bir niyeti olmaksızın sahtekarca çevrimiçi bir reklam tıklamasıyla olur Siber terörizm ve siber savaş 17 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

18 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri İç tehditler: Çalışanlar – Güvenlik tehditleri sıklıkla örgütün içerisinden ortaya çıkar – Ayrıcalıklı bilgiye erişim hakkı – Özensiz iç güvenlik kuralları Kullanıcının bilgi eksikliği – Sosyal mühendislik: Sisteme erişim yolu arayan kötü niyetli saldırganlar bazen çalışanları işletmenin gerçek çalışanıymış gibi davranarak kandırıp şifrelerini açığa çıkartması 18 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

19 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Yazılım zafiyetleri – Ticari yazılımlar güvenlik zafiyetleri yaratan aksaklıklar yaratmaktadır. Gizlenmiş hatalar(program kodu hatası) – Sıfır hata büyük programlarla başarılamaz, çünkü tam sınama açıkça mümkün değildir Aksaklıklar davetsiz misafirlere ağları açabilir – Yamalar Satıcılar tespit edilen kusurları, yazılımın düzgün akışını kesmeden onarmak için küçük yazılım parçacıkları hazırlar Ancak saldırılar yamaların ortaya çıkması ve uygulanmasından sıklıkla daha hızlı yaratılır 19 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

20 © Nobel Akademik Yayıncılık 2011 Etkileşimli Oturumu okuyunuz ve aşağıdaki soruları tartışınız Yönetim Bilişim Sistemleri Hangi yönetim, örgüt ve teknoloji unsurları McAfee’nin yazılım sorunlarından sorumludur? Hem McAfee hem de müşterileri için bu yazılım sorununun iş etkileri nelerdir? Eğer bir McAfee kurumsal müşterisi olsaydınız, McAfee’nin sorun karşısındaki tepkisini kabul edilebilir bulur muydunuz? Neden? McAfee gelecekte benzer sorunlarla karşılaşmamak için neler yapmalıdır? ANTİVİRÜS YAZILIMLARI BİLGİSAYARLARINIZI FELÇ ETTİĞİ ZAMAN 20 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Sistem Zafiyeti ve Suistimal

21 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Başarısız bilgisayar sistemleri işletme faaliyetlerinin toplam kaybına yol açabilir ve kritiktir İşletmeler şimdi geçmişten daha savunmasızdır – Gizli kişisel ve finansal veriler, – Ticari sırlar, yeni ürün ve stratejiler Bir güvenlik ihlalinde işletmenin değeri hemen düşmektedir. Yetersiz güvenlik ve kontrol ciddi yasal mesuliyetler doğurabilir Güvenlik ve Kontrolün İş Değerleri 21 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ

22 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Elektronik kayıt yönetimi için yasal ve düzenleyici gereksinimler ve mahremiyetin korunması – HIPAA: Sağlık güvenliği ve gizliliği kuralları ile bazı prosedürlerin ana hatlarını belirler – Gramm-Leach-Bliley Kanunu: Finansal kurumların müşteri verilerinin güvenliğini ve gizliliğini garanti eder – Sarbanes-Oxley Kanunu: Bu kanun halka açık işletmelerdeki finansal skandallardan yatırımcıları korumak için tasarlanmış, işletmeleri içeride kullanılan ve dışarıya açıklanan enformasyonun doğruluğu ve bütünlüğünü korumaya zorlamaktadır 22 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrolün İş Değerleri

23 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Elektronik kanıt – Dijital formda beyaz yakalı suçlular için kanıt Bilgisayarda, e-posta, anında mesajlaşma ve internetteki e-ticaret hareketlerinde bulunan dijital veriler – Yasal araştırma sonuçlarıyla ilgili olarak uygun veri kontrolü zaman ve paradan tasarruf ettirebilir Adli bilişim: – Mahkemede kanıt olarak kullanabilecek eldeki ve bilgisayar ortamından alınmış verinin bilimsel olarak toplanması, incelenmesi, doğrulanması, korunması ve analiz edilmesi – Gizlenmiş veri ve ortam verisini içermektedir 23 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrolün İş Değerleri

24 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Enformasyon sistemlerinde kontrol – Elle ve otomatik kontrol – Genel ve uygulama kontrolleri Genel kontrol – Tasarım, güvenlik ve bilgisayar programlarının kullanımı ile genel olarak baştan sona örgütün enformasyon teknolojileri altyapısı içinde yer alan veri dosyalarının güvenliğini ele alır – Bilgisayarla yapılan tüm işlere uygulanır – Tüm kontrol çevresi yaratmak için yazılım, donanım ve elle oluşturulan prosedürlerin karışımıdır Güvenlik ve Kontrol için bir Çerçeve Oluşturulması 24 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ

25 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Genel kontrol türleri – Yazılım kontrolleri – Donanım kontrolleri – Bilgisayar işlemleri kontrolleri – Veri güvenliği kontrolleri – Uygulama kontrolleri – Yönetim kontrolleri 25 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

26 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Uygulama kontrolleri – Ödeme ve sipariş işlemleri gibi bilgisayara uyarlanmış uygulamaların her bir için tek ve özel olan kontroller – Hem otomatik hem de elle uygulanan kuralları kapsar – Bu kurallar uygulamanın yalnız yetki verilmiş veriler üzerinden tam ve doğru bir biçimde işlem yapmasını sağlar – İçerik: Girdi kontrolleri İşleme kontrolleri Çıktı kontrolleri 26 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

27 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Risk değerlendirmesi: Belirli bir faaliyet veya süreç uygun kontrol edilmediği takdirde işletmenin karşı karşıya olacağı riskin seviyesini belirler Tehdit türü Yıl boyunca gerçekleşme olasılığı Potansiyel kayıplar, tehdidin değeri Beklenen kayıp 27 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

28 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Güvenlik politikası – Enformasyon risklerini derecelendirir, kabul edilebilir güvenlik hedefleri ve bu hedeflere ulaşmak için gereken mekanizmaları belirler – Diğer politikaları yürütür Kabul edilebilir kullanım politikası (KEKP) – İşletmenin enformasyon kaynaklarının ve bilgi işlem teçhizatının kabul edilebilir kullanımı belirler Yetkilendirme politikaları – Kullanıcıların sistem kaynaklarına erişimini seviyelendirme 28 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

29 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kimlik yönetimi – Bir sistemin geçerli kullanıcılarını tanımlamak ve bunları sistem kaynaklarına erişimini kontrol etmek için iş süreçleri ve araçları Farklı kategorideki sistem kullanıcıların belirlenmesi ve yetkilendirilmesi Farklı kullanıcıların hangi sistemlere izinli olduğunu tanımlar Kullanıcıları doğrulamak ve kimliklerini saklamak – Kimlik yönetimi sistemi Farklı kategorideki kullanıcıların erişim kurallarını kapsar 29 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

30 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri ÇALIŞAN SİSTEMİ İÇİN ERİŞİM KURALLARI Bu iki örnek bir personel sisteminde bulunabilecek iki güvenlik profi lini veya veri güvenlik örneğini temsil etmektedir. Erişim kurallarına göre, bir kullanıcı bir örgütteki çeşitli sistemlere, alanlara veya verilere erişimde belirli kısıtlamalara maruz kalacaktır. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

31 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Felaket eylem planı: Hizmetler kesintiye uğradıktan sonra eski haline getirilmesi için yapılan plan İş sürekliliğini planlama: Felaketten sonra işletmenin iş faaliyetlerini nasıl eski haline getireceğine odaklanır – Planlardan hangisinin sistem ve süreçler için en kritik olduğunu belirleme – Bir sistem kesintisinin işletmeye etkisini analiz etme – Yönetim hangi sistemin ilk olarak onarılması gerektiğini belirlemeli 31 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

32 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Denetimin rolü – İşletmenin tüm güvenlik ortamını ve bireysel enformasyon sistemlerine hakim olan kontrolleri inceler – Teknolojileri, prosedürleri, belgeleri, eğitimi ve çalışanları gözden geçirir – Bir saldırı ve felaketi canlandırarak teknolojinin, enformasyon sistemi ekibinin ve işletme çalışanlarının tepkisini de sınayabilir – Tüm kontrol zayıflıklarını derecelendirerek listeler ve gerçekleşme olasılıklarını hesaplar – Her bir tehdidin finansal ve örgütsel etkilerini hesaplar 32 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

33 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri DENETÇİNİN KONTROL ZAYIFLIKLARI LİSTESİ ÖRNEĞİ Bu çizelge yerel bir ticari bankanın kredi verme sisteminde bir denetimcinin bulabileceği kontrol zayıflıkları listesinden alınan örnek bir sayfadır. Bu form denetimciye kontrol zayıflıklarını kaydedip, değerlendirmesi için yardım etmekte ve yönetimle bu zayıflıklar üzerine yaptığı tartışmaların sonuçlarını göstermektedir. Ayrıca yönetim tarafından düzeltmeye yönelik yapılan eylemleri de göstermektedir. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Güvenlik ve Kontrol için bir Çerçeve Oluşturulması

34 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kimlik yönetim yazılımları – Kullanıcıların sistem imtiyazlarının izini sürme işlemini otomatik yürütür – Kullanıcıları doğrular, kimliklerini korur ve sistem kaynaklarına erişimi kontrol eder Doğrulama – Şifre – Jeton – Akıllı kart – Biyometrik doğrulama Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar 34 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ

35 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Ateş (Güvenlik) duvarı (Firewall): – Yetkisiz kullanıcıların özel ağa erişimini engelleyen, içeri ve dışarı akan ağ trafiğini kontrol eden yazılım ve donanım birleşimi – İçerdiği teknolojiler: Sabit paket süzme Ağ adresi dönüştürme Uygulama vekili süzme 35 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

36 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri İŞLETME ATEŞ (GÜVENLİK) DUVARI Ateş (güvenlik) duvarı işletmenin özel ağıyla genel internet veya başka bir güvensiz ağın arasına yetkisiz trafiği engellemek için konulur. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

37 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Saldırı algılama sistemleri: – Saldırganların algılanması veya engellenmesi için işletme ağının en zayıf noktaları veya hareketli kısımlarına yerleşmiş sürekli izleme araçları sağlar – Saldırıları faaliyet halindeyken yakalamak için olayları gerçekleşirken inceler Virüs ve casus yazılım önleyici yazılımlar: – Bilgisayar virüslerin varlığına karşı bilgisayar sistemlerini ve sürücülerini kontrol eder, genelde virüsü temizler – Sürekli güncelleme gerekir Birleşik tehdit yönetimi (BTY) sistemleri 37 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

38 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kablosuz ağların güvenliği – WEP güvenliği bazı güvenlik önlemleri sağlayabilir Ağ SSID’sine eşsiz bir isim atanması ve yayınlanmaması Sanal özel ağ teknolojileri ile birlikte kullanma – Wi-Fi Alliance sanayi iş grubu daha güçlü güvenlik standartları olan WAP2’yi WEP’in yerini aldı Devamlı değişen anahtarlar Merkezi dağıtıcıyla şifrelenmiş bir doğrulama 38 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

39 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Şifreleme: – Açık metin veya verinin, gönderici veya istenilen alıcıdan başka kimse tarafından okunamayacak biçimde şifreli metne dönüştürülmesi – Ağ üzerinde şifreleme için iki yöntem Güvenli yuva katmanı (SSL) and ulaşım güvenliği katmanı(TLS) Bağlantılı Metin Aktarım Protokolü (S-HTTP) 39 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

40 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Şifrelemenin iki yöntemi – Simetrik anahtar şifrelemesi Gönderici ve alıcı tek, paylaşılan anahtar kullanır – Açık anahtar şifrelemesi Matematiksel olarak ilişkili iki anahtar kullanır: Açık ve özel anahtar Gönderici saklı açık anahtarla mesajları şifreler Alıcı kendi saklı anahtarıyla onu deşifre eder. 40 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

41 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri AÇIK ANAHTARLI ŞİFRELEME Bir açık anahtarlı şifreleme sistemi iletilirken veriyi kilitleyip alındığında da kilidi açan bir dizi açık ve saklı anahtar olarak görülebilir. Gönderici alıcının açık anahtarını bir dizine yerleştirir ve bir mesajı şifrelemek için onu kullanır. Mesaj internet veya özel bir ağda şifrelenmiş haliyle gönderilir. Şifrelenmiş mesaj yerine ulaştığında, alıcı saklı anahtarını veriyi deşifre etmek için kullanır ve mesajı okur. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

42 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Dijital sertifika: – Çevrimiçi işlemlerin korunması için kullanıcıların ve elektronik varlıkların kimliklerinin oluşturulmasında kullanılan veri dosyaları – Kullanıcın kimliği geçerli olması için onay makamı güvenilen bir üçüncü tarafı kullanır – Onay makamı ID bilgisi ve sahibin açık anahtarının kopyasını içeren şifrelenmiş dijital sertifika üreten onay makamı dağıtıcıda bilgiyi depolar, kullanıcı kimliğini doğrular Açık anahtar altyapısı (PKI) – Onay makamıyla çalışan açık anahtar şifreleme kullanır – Elektronik ticarette yaygın olarak kullanılır 42 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

43 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri DİJİTAL SERTİFİKALAR Dijital sertifikalar kişilerin veya elektronik varlıkların kimliklerini oluşturmaya yardım eder. Çevrimiçi işlemleri, güvenli ve şifreli çevrimiçi iletişim sağlayarak korurlar. ŞEKİL BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

44 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Sistem erişilebilirliğinin garanti edilmesi – Çevrimiçi işlemler % 100 sistem mevcudiyeti bekler, kesinti istemez Aksaklığa dayanıklı bilgisayar sistemleri – Devamlı mevcut olabilirlik – Gereğinden fazla donanım, yazılım ve güç destek bileşenleri barındırır ki sürekli ve kesintisiz hizmet sağlayacak bir ortam yaratılsın Aksaklığa dayanıklı yüksek oranda erişilebilir bilgi işleme – Çökmeden hızlıca kurtulmaya yardım eder – Hizmet görememe süresini asgariye indirir 44 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

45 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Kurtarmaya dayalı bilgi işlem – Çabuk kurtulan sistemler tasarlamayı ve operatörlere çok bileşenli sistemlerde aksaklıkların yerini tam olarak tespit etmesi için ve bunların hatalarını kolayca düzeltmesi için yardım eden beceri ve araçları sağlar Ağ trafiğinin kontrol edilmesi – Derin paket inceleme (DPI) Video and müzik bloklama Güvenlik dış hizmeti – Yönetilen güvenlik hizmeti sağlayıcıları (YGHS) 45 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

46 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Bulut içerisinde güvenlik – Güvenlik için sorumluluk verinin bulunduğu işletmeye aittir – İşletmeler sağlayıcıların yeterince koruma sağladıklarını garanti altına almalıdır – Hizmet seviyesi anlaşması (HSA) Mobil platformların güvenliği – Güvenlik politikaları mobil araçların gereksinimlerini de içermeli ve kapsamalıdır Örneğin akıllı telefonların en son güvenlik yamalarına sahip olması 46 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

47 © Nobel Akademik Yayıncılık 2011 Etkileşimli Oturumu okuyunuz ve aşağıdaki soruları tartışınız Yönetim Bilişim Sistemleri Bu örnek olayda hangi güvenlik ve kontrol sorunları ele alınmıştır? Hangi kişiler, örgütler ve teknoloji unsurları bu sorunlara katkıda bulunabilir? Bulut bilgi işlem ne kadar güvenli? Cevabınızı açıklayınız. Siz işletmenizin enformasyon sistemleri bölümünün sorumlusu olsaydınız, muhtemel satıcılarınızla hangi hususları açığa kavuştururdunuz? İşletme sistemlerinizi bir bulut bilgi işlem sağlayıcısına emanet eder miydiniz? Neden? BULUT NE KADAR GÜVENLİ? 47 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

48 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri Yazılım kalitesinin garanti edilmesi – Yazılım ölçütleri: Sistemin kantitatif ölçütlerle objektif olarak değerlendirilmesi İşlem sayısı Çevrimiçi yanıtlama süresi Bir saatte basılan ödeme çeklerinin sayısı Programın her yüz satırındaki bilinen hata sayısı – Erken ve düzenli testler – Yapısal denetim: Kalifiye küçük bir grup insan tarafından özellikler ve tasarım belgelerinin gözden geçirilmesi – Ayıklama: Hataların kaynağının bulunup düzeltilmesi 48 BÖLÜM 8: ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Enformasyon Kaynaklarını Korumak için Teknoloji ve Araçlar

49 © Nobel Akademik Yayıncılık 2011 Yönetim Bilişim Sistemleri All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of the publisher. Printed in the United States of America. Copyright © 2011 Pearson Education, Inc. Copyright © 2011 Pearson Education, Inc. Publishing as Prentice Hall


"© Nobel Akademik Yayıncılık 2011 DİJİTAL İŞLETMEYİ YÖNETME, 12. BASIMDAN ÇEVİRİ Yönetim Bilişim Sistemleri ENFORMASYON SİSTEMLERİNİN GÜVENLİĞİ Bölüm 8." indir ppt

Benzer bir sunumlar


Google Reklamları