Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik.

Benzer bir sunumlar


... konulu sunumlar: "Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik."— Sunum transkripti:

1 Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü

2 2 •Genel bilgi güvenliği prensipleri –Kullanıcı kimlik tespiti ve şifre güvenliği –Bilgisayarda donanım ve yazılım değişiklikleri yapma –Dizüstü bilgisayar kullanımı –Yazıcı kullanımı –Taşınabilir medya kullanımı –Virüsten korunma –İnternet erişim güvenliği •5651 sayılı kanun –E-posta güvenliği –Yedekleme –Sosyal mühendislik –Dosya erişim ve paylaşımı –Bilgisayar güvenlik olayları ihbarı Gündem

3 3 Sunucu İstemci Dizüstü bilgisayar Kablosuz ağlar Dokümanlar Kurum çalışanları Radyo-televizyon yayınları Yazıcı çıktıları Medya Yazılımlar Cep telefonları, PDA’lar Fotoğraf makineleri Değişik Formdaki Bilgi

4 4 •Herkes bilgi işlem servislerine büyük oranda bağlı... •Güvenliğin sadece küçük bir yüzdesi teknik güvenlik önlemleri ile sağlanıyor. Büyük yüzde ise kullanıcıya bağlı. Bilgi Güvenliğinden Herkes Sorumludur

5 5 •Sorumlu herkes: –Bilginin sahibi –Kullanıcılar –Bilgi sistemini yönetenler •En zayıf halka bilgi güvenliğinin seviyesini belirlemektedir. •Çoğunlukla en zayıf halka insandır. Bilgi Güvenliğinden Herkes Sorumludur

6 6 •Bilginiz başkalarının eline geçebilir •Kurumun onuru, toplumdaki imajı zarar görebilir (en kötü durum) •Donanım, yazılım, veri ve kurum çalışanları zarar görebilir •Önemli veriye zamanında erişememek •Parasal kayıplar •Vakit kayıpları •Can kaybı! BT’nin Kötüye Kullanımı Sonucu Oluşan Zararlar

7 7 •Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. •Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. •Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. •Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır. •Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. •Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır. •Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir. Kullanıcı Bilincinin Önemi

8 8 •Güvenlikten bilgi işlem sorumludur. •Antivirüs yazılımımız var, dolayısıyla güvendeyiz! •Kurumumuz güvenlik duvarı (firewall) kullanıyor, dolayısıyla güvendeyiz! •Bilgimin kopyasını alıyorum, güvenlikten bana ne! •Bir çok güvenlik saldırısı kurum dışından geliyor! Bazı Yanlış Düşünceler

9 9 •Bilgisayarınıza girerken şifrenin başkaları tarafından görülmemesi sağlanmalıdır. •Kullanıcı isminizi ve kullanıcı haklarınızı kullanarak başka bir kimsenin işlem yapmasına izin verilmemelidir. •Şifrelerinizi korumazsanız başkalarının günahını da üstlenmek zorunda kalabilirsiniz … Kullanıcı Kimlik Tespiti

10 10 •Bilgisayar başından kalkarken ekran kilitlenmelidir. •Şifre korumalı ekran koruyucusu ayarlanmalıdır. Bilgisayarı Kullanırken

11 11 •En önemli kişisel bilgi şifrenizdir. •Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. •Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. •Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız. Şifre Güvenliği - 1

12 •En az sekiz karakterli olmalıdır. •Rakam ve özel karakterler (?, vs) içermelidir. •Büyük ve küçük harf karakteri kullanılmalıdır. •Örnek güçlü bir şifre: AG685kt?! Şifre Güvenliği - 2

13 Şifre Güvenliği - 3

14 •Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü, doğum günü vs.). •Sisteme erişimde kullandığınız şifreler oyun siteleri, bilgilendirme siteleri gibi yerlerde kullandığınız şifrelerle aynı ya da benzer olmamalıdır. •Farklı sistemler için aynı şifre kullanılmamalıdır. Şifre Güvenliği - 4

15 15 Kullanıcının adı ve soyadıalicelik İçerisinde kullanıcı ismi ve soyismi geçiyor.Ali_celik1234 Kelimenin türeviKalem111 Sözlüklerde bulunan bir kelime. Bunun yanında 8 karakterden az. Kalem Özel isimMercedes Çok kullanılan karakter sıraları.Qwerty123 Doğum tarihi ya da önemli bir tarih.13nisan1967 Araç plakası.34bg356 Özel isim. Kullanıcının doğum yeri ise daha zayıf bir şifredir. antalya Kullanıcı isminin türevi de zayıf bir şifredir. 8 karakterden az. ali123 Kullanıcının soyismi. 8 karakterden az. Sadece harfler kullanılmış. Özel karakterler, rakamlar kullanılmamış. celik Şifreler - Kötü Şifre Örnekleri

16 16 Şifreler - Kötü Şifre Örnekleri

17 17 Şifreler - Düzenli Olarak Değiştirin

18 18 Şifreler - Güvenli Muhafaza Edin - 1

19 19 Şifreler - Güvenli Muhafaza Edin - 2

20 20 Şifreler - Güvenli Muhafaza Edin - 3

21 21 •Şifreler sakız gibidir... •Taze olduklarında işe yararlar. •Grup tarafından değil de, bireysel olarak kullanılmalıdırlar. •Etrafa atıldıklarında, büyük yapışkan sorunlar çıkarırlar. Şifreler - Son Söz

22 22 •Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. •Güvenilir olmayan sitelerden indirilen yazılımlar indirilmemeli ve kullanılmamalıdır. Yazılım Yükleme - Güncelleme

23 23 •İnternet’e erişim için kurum tarafından kabul edilmiş yöntemler kullanılmalıdır. –Bilgisayarlara modem takılmamalıdır. –Bluetooth ve 3G modemler ile İnternet bağlantısı yapılmamalıdır. Donanım Ekleme

24 24 •Çalınmalara karşı fiziksel güvenlik sağlanmalıdır. •Şifre güvenliği sağlanmış olmalıdır. •İçinde kurumsal veri olmamalıdır. •Eğer veri şifreleme sistemi kurumda kullanılıyor ise gizli bilgiler şifrelenmelidir. Dizüstü Bilgisayar Kullanımı

25 25 •Floppy, USB, CD vs. gibi taşınabilir medya kullanımına özen gösterilmelidir. •Başkaları ile paylaşıldığında bu ortamlar içerisinde gereğinden fazla bilgi bulunmamalıdır. •İşlevi sona ermiş taşınabilir medya içindeki bilgi tekrar ortaya çıkarılamayacak şekilde yok edilmelidir. •Taşınabilir medya, masa gibi açık alanlarda bırakılmamalıdır. •Kağıt üzerindeki bilgiler de taşınabilir medya tanımına girebilir. •Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir. Taşınabilir Medya Güvenliği

26 26 Gizli bilgi içeren dokümanların çıktıları alınırken, •Doküman çıktısının eksik olmadığı kontrol edilmelidir (sayfa ve kopya sayısı bazında) •Yazıcı hataları ile karşılaşıldığında gönderilen doküman iptal edilmeli ve yanlışlıkla basılmadığı kontrol edilmelidir. •Çıktının yazıcıda basılması süresinde dokümanın başında bulunulmalıdır. Yazıcı Kullanımı

27 27 •Tüm bilgisayarlarda virüs koruma programı çalıştırılmalı ve güncellemesi yapılmalıdır. •Antivirüs programı kapatılmamalıdır. •Dosyalar virüs taramasından geçirilmelidir. •Uzantısı exe, scr, zip, rar olan dosyalara özel dikkat göstermelidir. Zararlı Programlar - Virüsler

28 28 Giriş Kurban Bulaşma Şekilleri •E-posta eklentileri •Sohbet programları •İnternet sayfaları •Paylaşımlar Saldırgan Zararlı Programlar - Truva Atları

29 29 Spyware (Casus Yazılım) saldırısının belirtileri şunlardır: •Bitmek bilmeyen pop up pencereleri •Tarayıcımızda istem dışında kurulan araç çubukları •Web tarayıcımızda giriş sayfasının değişmesi •Tab tuşu gibi bazı özel tuşların çalışmaması •Rastgele karşımıza gelen hata mesajları •Bilgisayarla çalışırken karşılaştığımız aşırı yavaşlık Zararlı Programlar - Spyware - 1

30 30 İstem dışı kurulan spyware yazılımlarından korunmak için, •Karşınıza çıkan pop-up pencerelerindeki bağlantılara tıklanmamalıdır. •Pop-up pencerelerini kapatırken, pencere içindeki kapat tuşunu kullanmak yerine, pencerenin sağ üst köşesinde bulunan “X” işareti kullanılmalıdır. •Karşınıza çıkan pencerelerde beklemediğiniz bir soru çıktığında, doğrudan “Evet” seçeneği seçilmemelidir. •Spyware ile mücadele için kullanılan bir çok yazılım da aslında başlı başına casus yazılımdır. Sistem yöneticisine danışmadan bu tip yazılımlar kurulmamalıdır. •Ücretsiz yazılımlara dikkat edilmelidir. Zararlı Programlar - Spyware - 2

31 31 Internet’i kullandığınızda arkanızda saldırganlar için önemli izler bırakırsınız... Eğer Spyware Bulaştıysa …

32 32 Zararlı Programlar - Şüpheleniyorsanız …

33 33 •Şüpheli durumlarda bilgi işlem merkezine haber vermekte tereddüt etmeyiniz. Zararlı Programlar - Şüpheleniyorsanız …

34 34 •Onu göremeseniz de... •O size yine de zarar verebilir. •Antivirüs yazılımınızı güncel tutun! Zararlı Programlar - Son Söz

35 35 HTTP ve FTP veri alışverişini sağlayan erişim protokolleridir. •Spyware, arkakapı (backdoor) programları genellikle HTTP veya FTP erişimleri ile bilgisayara girer. •Güvenilmeyen web ve FTP siteleri ziyaret edilmemelidir. •Şifreli iletişimlerde (SSL) pencerede çıkan sertifika kontrol edilmelidir. •Şifrenizin değişmesi gerektiği ile ilgili gelen web sayfaları ya da e-posta mesajlarının kaynağı gerektiğinde bilgi sistemlerine danışarak kontrol edilmelidir. HTTP ve FTP Erişimleri

36 Sayılı Kanun •İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) •Madde 1: Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usülleri düzenlemektir.

37 37 Uygulama Güvenliği - Ofis Uygulamaları

38 38 •Kurumsal dokümanlar yedeği alınan dizinin altına konumlandırılmalıdır. Yedeklenmesi gereken tüm dokümanlar bu dizinde olmalıdır. •Diğer dizinlerdeki dosyaların yedeklerini alma kullanıcı sorumluluğundadır. Yedekleme

39 39 Sistemin güvenliğinin kullanıcı adı ve şifreye dayandığını unutmayınız. •Şifrenizi başkasının öğrenmesi durumunda sizin e-postalarınızı okuyabileceğini, sizin adınıza kurum içindeki ve dışındaki kişilere e-posta gönderebileceğini ve bunun kurum açısından ve sizin açınızdan doğuracağı sakıncaları aklınızda bulundurunuz. •İnternet kafe ve diğer genel yerlerden yapacağınız bağlantılarda sistemden çıkmayı unutmayınız, gizli olduğunu düşündüğünüz ekleri açmayınız. E-posta Güvenliği

40 40 •Virüslerin en fazla yayıldığı ortam e-postalardır. •Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. •Güvenilmeyen eklentiler açılmamalıdır. •Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. •Spam e-postalara cevap verilmemelidir. •E-posta adres bilgisi güvenilir kaynaklara verilmelidir. E-posta Güvenliği

41 41 E-posta’nın kimden bölümündeki adres yanlış. E-posta’nın kime bölümündeki adres E- postanın geldiği kişiye ait değil. İlgi çekici bir konu. Genellikle her spam E-postada olan üyelik sildirme bölümü. E-postalar - Spam E-posta Örneği

42 42 •Bilmediğiniz haber ve e-posta gruplarına üye olmayınız. •Kişisel dosyaları fıkra, karikatür, ses dosyası vs. kurumun size tahsis ettiği posta adresinizden yollamayınız. •Çoğu Spam’ın sonunda bulunan üyelik sildirme formu kullanılmamalıdır. E-postalar - Spam’den Nasıl Korunulur?

43 43 E-postalar - Taklit E-postalar

44 44 E-postalar - Taklit E-postalar

45 45 •Bu teknikte öncelikli amaç güven sağlamaktır.Güven sağladıktan sonra gerekli bilgi yavaş yavaş alınır. •Kötü niyetli kişi, her konuşmada küçük bilgi parçaları elde etmeye çalışabilir. •Konuşmalar daha çok arkadaş sohbeti şeklinde geçer. •Bu konuşmalarda önemli kişilerin adları, önemli sunucu bilgisayarlar veya uygulamalar hakkında önemli bilgiler elde edilir. •Sosyal mühendislik için en etkin yol telefondur. • Sosyal mühendislik her zaman telefonla olmaz, bunun dışında kuruma misafir olarak gelen kötü niyetli kişiler bilgisayarların klavye veya ekran kenarlarına yapıştırılan kullanıcı adı ve şifre kağıtlarını da alabilirler. • Kurumun çöplerini attığı yerleri karıştırabilirler. • Bu nedenle çöplerinize kurumsal bilgi içeren kağıtlar atmayınız. Sosyal Mühendislik

46 46 •Tarafımızca başka kurumlara yapılan sosyal mühendislik saldırılarından bazı örnekler … •1. kayıt: 2. kayıt: 3. kayıt: Sosyal Mühendislik Örnekleri

47 47 •Taşıdığınız, işlediğiniz verilerin öneminin bilincinde olunmalıdır. •Kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edin. •Arkadaşlarınızla paylaştığınız bilgileri seçerken dikkat edin. •Özellikle telefonda, e-posta veya sohbet yoluyla yapılan haberleşmelerde şifre gibi özel bilgilerinizi kimseye söylemeyin. •Şifre kişiye özel bilgidir, sistem yöneticinize bile telefonda veya e-posta ile şifrenizi söylemeyin. Sistem yöneticisi gerekli işlemi şifrenize ihtiyaç duymadan da yapacaktır. Sosyal Mühendislik - Alınacak Tedbirler

48 48 •Oluşturulan dosyaya erişecek kişiler ve hakları “bilmesi gereken” prensibine göre belirlenmelidir. •Erişecek kişilerin hakları yazma, okuma, değiştirme ve çalıştırma yetkileri göz önüne alınarak oluşturulmalıdır. •Verilen haklar belirli zamanlarda kontrol edilmeli, değişiklik gerekiyorsa yapılmalıdır. •Eğer paylaşımlar açılıyorsa ilgili dizine sadece gerekli haklar verilmelidir. •Kazaa, emule gibi dosya paylaşım yazılımları kullanılmamalıdır. Dosya Erişim ve Paylaşımı

49 49 •Aşağıdaki durumlarda bilgi sistem personeline başvurunuz. – Bilgisayarınızda gereksiz bir yavaşlama durumunda, – Sizin müdahaleniz olmadan bir bilgi kaybı veya değişikliği ile karşılaştığınızda, – Kontrol dışı programların çalışması durumunda, – Kontrol dışı web sayfalarının açılması durumunda, – Virüs tespit ajanlarının çalışmadığını fark ettiğinizde. Güvenlik Olayı Bildirme

50 50 •Tüm bu anlatılan maddeler “BİLGİ GÜVENLİĞİ POLİTİKASI” olarak kurum yönetimi tarafından uygulatılmalıdır. •Kullanıcı sorumlulukları bu politika içerisinde ifade edilmelidir. •Ayrıca bilgi işlem personelinin görevleri de politikada yer almalıdır. •Kullanıcı bilinçlendirme çalışmaları düzenli olarak tekrar edilmelidir. •İç Denetim biriminin düzenli olarak uygulamayı denetlemesi gerekmektedir. •Bilgi Güvenliği Politikası’nın uygulanması ve gözden geçirilmesi Kurum Yönetimi tarafından sağlanmalıdır. Sonuç – Bilgi Güvenliğinin Kurumsallaşması

51 51 İrtibat: / 120 Sonuç – Bilgi Güvenliğinin Kurumsallaşması


"Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik Enstitüsü Kurumsal Bilgi Güvenliği ve Siber Güvenlik Nesrin KAMIŞ Siber Güvenlik." indir ppt

Benzer bir sunumlar


Google Reklamları