ISO Bilgi Güvenliği Farkındalık Eğitimi EMRE ERKIRAN.

... konulu sunumlar: "ISO Bilgi Güvenliği Farkındalık Eğitimi EMRE ERKIRAN."— Sunum transkripti:

1 ISO 27001 Bilgi Güvenliği Farkındalık Eğitimi EMRE ERKIRAN

2 Eğitimin Hedefi Kurum personelinin ve yöneticilerin güvenlik risklerini anlaması,geçmişte ve günümüzde sıklıkla karşılaşılan saldırı teknikleri hakkında bilgilenip,kurum/kişisel hedefli saldırılara karşı korunma yöntemleri hakkında bilinçlenmesi hedeflenmektedr.

3 Varlık : Kuruluş için değeri olan herhangi bir şey. Donanımlar : Server, laptop, yazıcı Yazılımlar : Erp Office yazılımları Bilgi : Dosyalar, belgeler,mailler,sözleşmeler. Altyapı ve Dış Hizmetler : İnternet, elektrik, klima. İnsanlar

4 Bilgi, diğer önemli ticari varlıklar gibi bir işletme için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi değişik formlarda bulunabilir Bilgisayarlarda depolanan veri Ağlar boyunca iletilen Çıktılar Fax ile gönderilen kağıtta yazanlar Disklerde depolanan Bantlarda tutulanlar Karşılıklı telefon konuşmaları

5 Bilgi güvenliği nedir ?

6 Kurum un en değerli varlığı olan Bilgi nin kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir. Gizlilik (Kim ?) Bütünlük (Ne ?, Hangi ? ) Erişilebilirlik ( Ne zaman?, Nasıl ? )

7 Bilgi Güvenliği : Bilginin Gizliliği, Bütünlüğü ve Erişilebilirliğinin korunmasıdır.

8 Bilgi güvenliği nedir ? Bilgi Güvenliğinde 3 Temel Kavram Gizlilik: Bilginin yetkisiz kişilerce erişilememesidir. Bütünlük: Bilginin doğruluğunun ve tamlığının sağlanmasıdır.Bilginin içeriğinin değiştirilmemiş ve hiçbir bölümünün silinmemiş ya da yok edilmemiş olmasıdır. Erişilebilirlik: Yetkili bir varlık tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğidir.

9 Bilgi güvenliği nedir ? Bilgi Güvenliğinde 3 Temel Kavram DİKKAT ! Bu üç temel, güvenlik öğesinden herhangi biri zarar görürse güvenlik zaafiyeti oluşur.

10 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Bilgi güvenliğini kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve geliştirmek için iş riski yaklaşımına dayalı tüm yönetim sisteminin bir parçası. BGYS, “Planla-Uygula-Kontrol Et – Önlem Al (PUKÖ)” modelini benimser.

11 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Planla: BGYS’nin kurulması Sonuçları kuruluşun genel politikaları ve amaçlarına göre dağıtmak için, risklerin yönetimi ve bilgi güvenliğinin geliştirilmesiyle ilgili BGYS politikası, amaçlar, hedefler, prosesler ve prosedürlerin kurulması. Uygula: BGYS’nin gerçekleştirilmesi ve işletilmesi BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesi.

12 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ Kontrol Et: BGYS’nin izlenmesi ve gözden geçirilmesi BGYS politikası, amaçlar ve kullanım deneyimlerine göre proses performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesi. Önlem Al: BGYS’nin sürekliliğinin sağlanması ve iyileştirilmesi BGYS’nin sürekli iyileştirilmesini sağlamak için, yönetimin gözden geçirme sonuçlarına dayalı olarak, düzeltici ve önleyici faaliyetlerin gerçekleştirilmesi.

13 Bilgi güvenliği politikası ne işe yarar ? Rekabet avantajını, itibarı, güveni korur Hukuki cezaları önler Bilgi varlıklarını korur: Tasarımlar Tesciller Yazılım Elektronik dosyalar Ticari sırlar Finansal bilgi Kişisel bilgi

14 Uyarılar ! BGP sadece Bilgi Teknolojileri ni ilgilendiren bir politika değildir. Riskleri sıfıra indirmez, yönetilebilir kılar. Kendi kendini uygulayamaz. Başta yönetim kurulunun ardından personel in katkısı gerekir. İşten önce gelmez. Zaman geçtikçe güncellenmesi gerekir. Sadece İdari yada teknik bir politika değildir.

15 Bilgi Güvenliği Hedefleri

16 Bilgi Güvenliği ihlalleri nelere mal olur ? Para : Oluşabilecek tüm maddi kayıplar. İş Kaybı : Bilginin oluşturulmasında harcanan iş ve emek gücü kaybı. İmaj : Sektörde oluşan firma isminin, etiketin zarar görmesi. Güven : Müşteriler ile, tedarikçi firmalar ile, bayiiler ile ve birlikte çalışılan veya çalışılabilecek kurumlar ile güven kaybı oluşması. Zaman : Bilginin oluşturulmasında harcanan zamanın kaybolması. Hukuksal Problemler : Para Cezaları, Hapis Cezaları..

17 Dahili Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım -Temizlik görevlisinin sunucunun fişini çekmesi -Eğitilmemiş çalışanın veri tabanını silmesi Kötü Niyetli Hareketler -İşten çıkarılan çalışanın, Kuruma ait Web sitesini değiştirmesi -Bir çalışanının, Ağda Sniffer çalıştırarak E-postaları okuması -Bir yöneticinin, Geliştirilen ürünün planını rakip kurumlara satması.

18 Harici Tehdit Unsurları Hedefe Yönelmiş Saldırılar Bir saldırganın Kurum Web sitesini değiştirmesi Bir saldırganın Kurumun korunan bilgisini çaldırması Birçok saldırganın kurum Web sunucusunu servis dışı bırakma saldırısı yapması

19 Meşhur Güvenlik Olayları Sony Playstation Bilgileri Irak Nükleer Santralinin Hacklenmesi Avustralya SB sitesi sahte doğum kayıtları yapılması Türkiye’de Kamu Kurumlarına Yönelik Saldırılar

20 Meşhur Güvenlik Olayları

21

22 BGYS ‘nin Faydaları Müşterileriniz, onların bilgilerini güvende tutacağınız konusundaki taahhüdünüzden dolayı güven hissederler. Uluslararası ihalelere katılımda şart olan ISO/IEC 27001:2013 gerekleri sağlanmış olur. İş sürekliliğini sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilginin birçok tehlikeye karşı korunmasını sağlar. Kuruluşun kurumsal değerlerini, yatırımlarını ve hedeflerini sürdürebilip, koruyabilmesi için ortaya konması gereken kontrollerin firma içinde yerleştirilmesi ve uygulanması yolunda temel teşkil eder.

23 BGYS Neden Gereklidir? Bilgi kaynaklarına erişimin denetlenmesi Personelin, yüklenicilerin ve alt yüklenicilerin güvenlik konusunda farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi. Bilgi varlıklarının bütünlüğünün ve doğruluğunun sağlanması.

24 BGYS KURULUMU

25 BGYS’nin kapsamı ve sınırları belirlenmelidir. BGYS’nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Her iki durumda da, kurumun BGYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. Adım 1: Kapsam Belirleme

26 BGYS KURULUMU Ardından BGYS politikasının oluşturulması gerekmektedir. Bu politika, hedefleri ortaya koyan, yönetime yön veren ve harekete geçiren, hangi riskin değerlendirmeye alınacağına ilişkin risk yönetim kapsamı ve kriterini belirleyen bir çerçeve sunmalıdır. Adım 2: BGYS Politikası Adım 3: Risk Değerlendirme Yaklaşımı Bilgi güvenliği politikası temel alınarak sistematik bir risk değerlendirme yaklaşımı belirlenmelidir.

27 BGYS KURULUMU Korunması gereken varlıkları tehdit eden riskler, Adım 3’te belirlenen yöntem kullanılarak tespit edilmelidir. Kurum BGYS kapsamına dahil edeceği tüm varlıkların sahiplerini, türünü ve önem derecesini bir envanter listesi şeklinde belgelemelidir. Adım 4: Risk Belirleme Adım 5 : Risk Analizi ve Derecelendirilmesi Tespit edilen risklerin analizi ve derecelendirilmesi yapılmalıdır. Bu adım bir önceki adımda tespit edilen risklerin yorumlanması olarak görülebilir. Risk analizi yaparken riske neden olan tehdit ve açıklıklardan yola çıkılmalıdır.

28 BGYS KURULUMU Adım 6: Risk İşleme Bu adımda risk değerlendirme sonuç raporundan yola çıkılarak uygun risk işleme (risk treatment) yöntemleri belirlenmelidir. 1.Uygun kontroller uygulanarak riskin ortadan kaldırılması veya kabul edilebilir seviyeye düşürülmesi 2. Riskin oluşmasına neden olan faktörleri ortadan kaldırarak riskten kaçınılması 3. Riskin sigorta şirketleri veya tedarikçiler gibi kurum dışındaki taraflara aktarılması 4. Kurum politikalarına ve risk kabul ölçütlerine uyması şartıyla riskin objektif bir biçimde ve bilerek kabul edilmesi

29 BGYS KURULUMU Adım 7: Kontrol Seçimi Risk işleme süreci sonuçlarına uygun kontrol ve kontrol hedeflerinin seçilmesi gerekir Risk işleme süreci sonrasında geriye kalan riske artık risk (residual risk) denir. Bunlar kabul edilen riskler veya tamamen ortadan kaldırılamayan riskler olabilir. Kurum üst yönetimi artık riskler için onay vermelidir. Bu adım sonunda artık risk onay belgesi oluşturulmalıdır. Adım 8: Artık Risk Onayı

30 BGYS KURULUMU Adım 9: Yönetim Onayı Risk yönetimi adımlarını geçtikten sonra BGYS işletimi ve uygulamasını yapmak için yönetimden onay almak gerekmektedir. Adım 10: Uygulanabilirlik Bildirgesi Son olarak risklere karşı seçilen kontrolleri içeren bir Uygulanabilirlik Bildirgesi hazırlanarak BGYS kurulum işi tamamlanır. Uygulanabilirlik Bildirgesi Adım 7’de seçilen kontrollerin neler olduğu ve bunların hangi gerekçelerle seçildiğini anlatmalıdır.

31 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

32 ISO 27001 Ana Başlıkları Güvenlik Politikası Bilgi Güvenliği Organizasyonu Varlık Yönetimi İnsan Kaynakları Güvenliği Fiziksel ve Çevresel Güvenlik Haberleşme ve İşletim Yönetimi Erişim Kontrolü Bilgi Sistemleri Edinim, Geliştirme ve Bakını Bilgi Güvenliği İhlal Olayı Yönetimi İş Sürekliliği Yönetimi Uyum

33 SON KULLANICI FARKINDALIĞI Şifre Güvenliği E-Posta Güvenliği Sosyal Mühendislik

34 ŞİFRE GÜVENLİĞİ Parola Elde Etme Yöntemleri Tahmin Çalma Deneme

35 ŞİFRE GÜVENLİĞİ En önemli kişisel bilgi şifrenizdir. Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız.

36 ŞİFRE GÜVENLİĞİ Güçlü Şifre Özellikleri En az sekiz karakterli olmalıdır. Hem dijit hem de noktalama karakterleri ve ayrıca harflere sahip olmalıdır (0-9, @, !, &, =, } ?, \) Büyük ve küçük harf karakteri kullanılmalıdır. Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü vs) Örnek: Güçlü bir şifre: AG685kt?!

37 ŞİFRE GÜVENLİĞİ Zayıf Şifre Özellikleri Şifreler sekizden daha az karaktere sahiptir. Ailesinin, arkadaşının sahip olduğu bir hayvanın veya bir sanatçının ismine sahiptir. 123456, 1453, doğum tarihi (01011980), ahmet, istanbul vb. kolay hatırlanabilecek ifadeler.

38 ŞİFRE GÜVENLİĞİ https://howsecureismypassword.net/ http://passwordsgenerator.net/

39 ŞİFRE GÜVENLİĞİ

40 Şifreler Güvenli Muhafaza Edilmeli

41 E-Posta Güvenliği Ne Yapma(ma)lıyım ? Kişisel kullanım için internet’teki Forumlara üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır. Kullanıcıların kullanıcı kodu / şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, herhangi bir işlem yapılmaksızın derhal silinmelidir.

42 E-Posta Güvenliği Ne Yapma(ma)lıyım ? Mesajların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere azami biçimde özen gösterilmelidir. Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.

43 E-Posta Güvenliği Spam, zincir e-posta, sahte e- posta vb. zararlı e-postalara yanıt yazılmamalıdır.

44 Sosyal Mühendislik Yalan Söyleme tekniğinin siber alemdeki tanımıdır. Bilgi Güvenliğinin en zayıf halkası olan insan üzerinden açıklık elde etme çalışmasıdır.

45 Sosyal Mühendislik: Sistem ve bilgiler üzerinde izinsiz erişim sağlayabilmek için insanların aldatılma yada hilekarlıkla kullanılmasdır. Yardımcı olmaya istekli olma, başkalarına güvenme ve zor durumda kalmak istemem gibi zaaflarımızdan yararlanırlar. Amaç > Dolandırıcılık, sistemlere erişmek, endüstriyel casusluk, kimlik hırsızlığı, sistemleri bozmak için gereken bilgiyi elde etmek.

46 Sosyal Mühendislik

47 Son Kullanıcının İnternete Açılan Kapıları E-posta Tarayıcı Cep Telefonu Tabletler

48 Sosyal Mühendislik Alınacak önlemler Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır.

49 Sosyal Mühendislik Teknikleri Yetkisiz kişilerin kullandıkları kelime ve tekniklerin bazıları şöyledir; "Acil” bir durum ortamının oluşturulması Üst yönetimden ikna edici veya yıldırıcı tarzda formların öne sürülmesi İyi tanınan TV veya radyo muhabirleri isimleri verme tekniği kullanma Alt yüklenici şirketlerinin isimlerini verme tekniği kullanma

50 Sosyal Mühendislik Teknikleri Güzel söz, kelime veya hediye argümanlarını kullanma. Mail hesabına aldatıcı mail gönderimi. Telefonunuza « Tebrikler XXX Kazandınız…» mesajı gelmesi.

51 Ne Yapma(ma)lıyım ? Kurum çalışanları kimliğini kanıtlamayan kişilere kesinlikle bilgi aktarmamalıdır. İş hayatı ile özel hayatını birbirinden ayırmalıdır. Kurum ve personel ile ilgili gizli bilgiler yakın çevre ve aile ile paylaşılmamalıdır. İletişim kanalları kullanılırken özellikle telefonda kuruma/kişilere ait bilgiler ifşa edilmemelidir. Mail ve telefon üzerinden kullanıcı adı, şifre, kredi kartı vb. bilgiler paylaşılmamalıdır. Şüpheli durumlarda yetkili kişilere başvurmaktan çekinilmemelidir.

52 Yazılım Yükleme- Güncelleme *Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. *Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır

53 Dizüstü Bilgisayar Kullanımı Çalınmalara karşı fiziksel güvenlik sağlanmalıdır. Şifre güvenliği sağlanmış olmalıdır. İçinde kurumsal veri olmamalıdır. Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir.

54 Evrak İmha Gizli evraklar” evrak imha politikası ile kararlaştırılmalı imha edilecek evraklar kırpma makinesi veya yakılma yöntemleri kullanılarak imhaları yapılmalıdır. İmha edilemeyecek evrak tanımına giren belgeler geri dönüşüme devirleri yapılmalıdır.

55 Yazıcı Kullanımı Gizli bilgi içeren dokümanların çıktıları alınırken, Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır. Çıktı alındıktan sonra yazıcıdan silindiğinden emin olunmalı.

56 Zararlı Programlar- Virüsler Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır. Anti virüs programı kapatılmamalıdır. Dosyalar virüs taramasından geçirilmelidir.

57 Mobil Cihaz Güvenliği Sahte aramalara dikkat Kurulan yazılımların kullanmaları gereken kaynaktan fazlasına erişim istemesi Arka planda çalışan yazılım ve servislerin izlenmesi Güvenlik ayarlarında bilinmeyen kaynaktan yazılım yüklenmesine engel olmak Mobil anti virüs kullanmak periyodik tarama yapmak,gereksiz veya güvenilmeyen uygulamaları kaldırmak Mobil cihaz yönetim yazılımı kullanmak -İşletim sistemini güncel tutmak KURUMSAL BİLGİLER MOBİL CİHAZLARDA ŞİFRELİ OLARAK TUTULMALI !

58 Ağ Güvenliği Ortak kablosuz ağlar veya parola korumasız ücretsiz kablosuz ağlarda VERİLERİNİZİN İZLENMESİ riski yüksektir. Kritik işlemlerinizi güvenli olmadığını düşündüğünüz kamuya açık kablosuz ağlar üzerinden yapmayınız.

59 Mobil Cihaz Güvenliği Akıllı telefonlar ve günümüz teknoloji dünyası sebebi ile her birimiz "Online" bireyler haline geldik. Akıllı telefonlar zararlı yazılımlar ile kontrol altına alınabilir. Sms geçmişi Yer Tespiti Arama geçmişi Mesajlaşma uygulamaları İzinsiz arama Hassas bilgilere erişim

60 Bilgisayarı kullanan kişilerin bilgisi ve izni olmaksızın, üzerinde barındığı bilgisayar sisteminin çalışmasını kesintiye uğratmak ve zarar vermek amacıyla yazılmış program kodlarına bilgisayar virüsü denir. Virüs nedir?

61 Sistem güvenliği: Virüsler nasıl bulaşır ? İnternet yada ağ üzerinden USB bellek yada harici disklerden Korsan \ Lisanssız yazılım CD lerinden E-Posta yoluyla

62 Dosya büyüklüğü artar, Performans düşüklüğü gözlenir, Hatalı veya komik mesajlar alınır, Yazılımda veya veride kayıplar oluşur, Sabit disk veya disketler formatlanır, Bilgisayarı açmakta (boot etmekte) zorluklar yaşanır. Bulaşma Belirtileri

63 5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

64 Ağ Güvenliği KAMUYA AÇIK KABLOSUZ AĞLARA DİKKAT ! Tren,Havaalanı,Gemi,Otobüs,Ev,İş,Cafe,Otel,Restaurant

65 Bilgi Güvenliği Temel Önlemler Şifre güvenliğinin sağlanması - E-Posta güvenliği Anti-virüs kullanımı -Firewall etkinleştirme Kullanılmayan programların kaldırıması Erişim yetkilerinin düzenlenmesi Yedeklerin alınması ve testi Güncelleştirmeler Ağ güvenliği Veriye erişimin denetlenmesi Risk Yönetimi Profesyonel destek

66 Personel den beklenenler Fiziksel güvenlik : Binanın korunması Kilitler BT bileşenlerinin korunması Fiziksel saldırı tesbit sistemleri Güvenlik görevlisi Kapı giriş sistemleri Kameralar

67 1 2 3 4 5 6 7 8 9 10 11 12 13 Personel den beklenenler Çalışma ortamı temizliği (Temiz Masa İlkesi) 67

68 Personel den beklenenler Sistem güvenliği: Donanım ve Yazılım kurulması İlgili ekipman güvenlik açığına sebep olabilir İlgili ekipman mevcut sistemin çalışmamasına sebep olabilir Kopya ve lisanssız ise hukuki problem oluşturabilir İnternetten indirilmiş ise virüs taşıyor olabilir Mevcut sistemle uyuşmuyor olabilir

69 Phishing Sistem güvenliği: Phishing saldırısı

70 Bilgisayarınıza Gelen Mesajlara Kanmayın

71

72

73 Cep Telefonunuza Gelen Mesajlara Kanmayın

74 6698 sayılı Kişisel Verilerin Korunması Kanunu

75 75

76 SORULARINIZ