Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

ERZURUM KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİM SUNUMU Uzm.Baydettin KARAGÖZ Bilgi İşlem Sorumlusu 1.

Benzer bir sunumlar


... konulu sunumlar: "ERZURUM KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİM SUNUMU Uzm.Baydettin KARAGÖZ Bilgi İşlem Sorumlusu 1."— Sunum transkripti:

1

2 ERZURUM KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİM SUNUMU Uzm.Baydettin KARAGÖZ Bilgi İşlem Sorumlusu 1

3 Günümüzde hızla gelişen bilim ve teknoloji insan hayatını oldukça kolaylaştırmaktadır. Bilgisayarlar, tabletler, akıllı cep telefonları vb. elektronik aletler günlük hayatımızda artık sürekli kullandığımız cihazlardır. İnternet teknolojisi ile bu cihazların kullanımı artmış, bilgiye ulaşmak kolaylaşmıştır. Bu küresel iletişim ağı bilimsel araştırmaların, üretkenliğin, kültürel değişmelerin, küresel ticaretin ve küresel eğitimin ana bilgi kaynağı olmuştur. Bu ağ dünyada yaşayan tüm insanlar arasında yazılı, sözlü ve görüntülü iletişim kurmak için küresel bir merkez oluşturmuştur. 2 GİRİŞ

4 Dünyanın bir ucundaki kütüphanede bulunan bilgilere çok hızlı ve çok kolay bir şekilde ulaşılabilmektedir. Artık kâğıt ortam yerini elektronik ortama bırakmış ve böylece bilgi akışı hızlanmış, bilgi ve belge saklama, depolama ve korumada büyük kolaylık sağlanmıştır. İstenilen bilgi, belge, doküman ve verilere ulaşımda zaman kazanılmış, maliyet azalmış ayrıca çevreyi koruma açısından önemli bir adım atılmıştır. Günümüzde kurumlar bilgilerinin büyük bir kısmını elektronik ortamda bulundurmakta ve bu bilgileri bilişim sistemleri altyapısı kullanarak işlemektedir. Kamu hizmetlerinde iş ve işlemlerin elektronik ortama taşınması, bilgilerin elektronik ortamlarda saklanması yoğun bir şekilde artmıştır. 3 GİRİŞ

5 Ancak bu durum, kişisel bilgilerin sahiplerinin isteği dışında ilgisiz ve yetkisiz tarafların eline geçmesi, kişisel bilgi sahibini rahatsız edecek veya onlara zarar verecek şekilde yasa dışı olarak kullanılması ve kişi mahremiyetinin ihlali tehlikesini de doğurmaktadır. Dolayısı ile gelişen bilişim teknolojileri bilgi güvenliği olgusunu da beraberinde önce ihtiyaç sonra zorunluluk haline getirmiştir. Sağlık sektöründe güncel teknolojinin hissedilir şekilde kullanılmasıyla birlikte teknolojinin taşıdığı bazı risklerle de yüz yüze gelinmiştir. Elektronik ortamdaki tüm veriler gibi, kişisel sağlık bilgilerini tehdit eden riskler için güvenlik önlemlerinin alınması zorunlu hale gelmiştir. 4 GİRİŞ

6 Kişisel sağlık bilgileri, kişinin doğum öncesinden ölüm sonrasına kadar geçen süreyi kapsayan sağlık bilgilerinin tümüdür. Sağlık kayıtlarının sayısallaştırılması etkin sağlık hizmeti için yadsınamayan ciddi bir hamledir. Güncel teknolojilerin kişisel sağlık bilgilerinin gizlilik, bütünlük ve erişilebilirlik risklerini artırmasından dolayı sağlık bilgilerinin güvenliği zedelenmektedir. Kişisel sağlık bilgilerinin mahremiyeti esastır. Bu nedenle önlemlerin alınması, risklerin saptanıp indirgenmesi zorunlu hale gelmiştir. 5 GİRİŞ

7 Bilgi, öğrenme, araştırma ya da gözlem yoluyla elde edilen gerçek, malumat veya bilişimde; çeşitli kurallardan yararlanarak kişinin veriye yönelttiği anlamdır. Bilgi, diğer önemli ticari varlıklar gibi, bir kurum ya da işletme için maddi veya manevi anlamda değerlidir ve bu nedenle uygun olarak korunması gerekmektedir Özetle bilgi, değerli olan ve uygun şekilde korunması gereken varlıklar bütünüdür. Dünya genelinde ISO/IEC numarasıyla standartlaştırılmıştır. 6 BİLGİ NEDİR

8 İnsanlarda (Sözlü İletişim, telefon, yüz yüze) Yazılı iletişim araçlarında (E-posta, faks, SMS, anlık ileti) Çeşitli evrak doküman not gibi kağıtlar üzerinde Bilgisayar sistemlerinde Kayıtlarda (Video kaydı, ses kaydı) Elektronik dosyalarda (Yazılım kodları, veri dosyaları) Çeşitli fiziksel ortamlarda 7 BİLGİ NEREDE BULUNUR

9 Sunucuİstemci Dizüstü bilgisayar Kablosuz ağlar Yazıcı çıktıları Dokümanlar Yazılımlar Medya Kurum çalışanları İnsanlar Telefon/Tablet 8

10 Bilgi güvenliği, “Bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak” tanımlanır. Bilgisayar teknolojilerinde güvenliğin amacı ise “Kişi ve kurumların bu teknolojileri kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır. Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır.. 9 BİLGİ GÜVENLİĞİ NEDİR

11 Bilgi Güvenliğinin sağlanmasında yönetsel, teknik, idari, hukuki araçlar sistematik olarak birlikte kullanılmalıdır. Bilgi güvenliğinin sağlanmasında standart bir yaklaşımın tesis edilmesi için kabul edilen standart ISO/IEC Bilgi Güvenliği Yönetim Sistemi standartıdır. Kurumlar, TS ISO Standardı uyumlaşma çalışmaları neticesinde, TSE başta olmak üzere akredite edilmiş kurum ve kuruluşlar tarafından sertifikalandırılmaktadır. Ancak, bilgi güvenliğinin sağlanmasında sertifikasyondan ziyade, kurumsal farkındalık ve duyarlılığın çok daha önemli olduğu gerçeği göz ardı edilmemelidir. 10 BİLGİ GÜVENLİĞİ NEDİR

12 Bütünlük Erişilebilirlik(Süreklilik) Gizlilik GİZLİLİK, bilginin yetkisiz kişilerin erişimine kapalı olması, bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir. BÜTÜNLÜK, bilginin kazara veya kasıtlı yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı içeriğinin korunmasıdır. 11 BİLGİ GÜVENLİĞİ UNSURLARI ERİŞİLEBİLİRLİK, bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun ya da problem çıkması durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir. Bu erişim kullanıcının hakları çerçevesinde olmalıdır.

13 Sağlık Bakanlığının ve dolayısıyla Genel Sekreterliğimizin görevleri kapsamında bilginin toplanması, değerlendirilmesi, raporlanması ve paylaşılması süreçlerinde ; Bilgi güvenliği sağlanmasına yönelik tedbir almak, Bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında içerden veya dışardan kasıtlı kasıtsız tüm tehditlerden korunmasını sağlamak, İnsan kaynaklı zafiyetlerin önlenmesi suretiyle son kullanıcı, idareci, sistem yöneticileri ile teknik personelin bilgi sistem ve ağları üzerinde yapacakları çalışmalarda bilgi güvenliği farkındalık ve duyarlılığının artırılmasını sağlamak, Bu suretle; veri ve bilgi kayıplarının, ekonomik zararların ve kurumsal prestij kayıplarının önüne geçmektedir. 12 BİLGİ GÜVENLİĞİNDE AMAÇ

14 13 BİLGİ GÜVENLİĞİ NASIL SAĞLANIR 1 Yönetsel Önlemler 2 Teknoloji Uygulamaları 3 Eğitim ve Farkındalık Yaratma Yönetimsel, teknik ve son kullanıcı düzeyinde sorumluluk ve yetki alanları belirlenmeli, bu kapsamda bir bilgi güvenliği politikası oluşturmalı, idarece onaylamalı ve yayımlamalı, Bilgi güvenliği için gerekli tedbirlerin sağlanması hususunda teknolojiden faydalanılmalı Tüm personelin gerekli eğitimlerle bilgi güvenliği farkındalık, duyarlılık ve bilgi düzeylerinin geliştirilmesi sağlanmalıdır.

15 Basit örneklerle; Bilginin bilgisiz ve bilinçsiz başkalarıyla paylaşımı Temizlik görevlisinin sunucunun fişini çekmesi Eğitilmemiş çalışanın veri tabanını silmesi Kötü niyetli fiziki hareketler, kırma, bozma İşten çıkarılan çalışanın, kuruma ait web sitesini değiştirmesi Bir çalışanının, ağda sniffer çalıştırarak e-postaları okuması Bir yöneticinin, geliştirilen ürünün planını rakip kurumlara satması 14 DAHİLİ TEHDİT UNSURLARI

16 15 HARİCİ TEHDİT UNSURLARI Basit örneklerle; Bir saldırganın kurum web sitesini değiştirmesi Bir saldırganın bir hekime ait hbys şifresini çalarak ilaç yazması Bir saldırganın hasta/sağlık bilgilerini ele geçirmesi ve ilaç firmalarına satması Çeşitli saldırı veya ataklarla hizmet engelleme çalışamaz hale getirme

17 16 SİBER SALDIRILAR

18 17 EN BÜYÜK TEHDİT Bilgi güvenliğinde en büyük tehdit Zincirin en zayıf halkası olan “İNSAN” dır

19 1. İnsan Kaynakları ve Zafiyetleri Yönetimi 18 BİLGİ GÜVENLİĞİ POLİTİKALARI Personele ait şahsi dosyalar ve gizlilik ihtiva eden yazıları kilitli dolaplarda muhafaza edilmeli Örneğin ÇKYS, HBYS gibi kişisel bilgi ekranı diğer kişilerden saklanmalı, görmeleri engellenmeli Başka birim veya kurumlardaki kişilere telefonla veya sözlü olarak kurum çalışanlarlarıyla ilgili bilgi istenildiğinde verilmemeli Görevden ayrılan personeldeki zimmet geri alınmalı Kimlik veya giriş kartı iade alınmalı, ayrılan personelin bildiği yetki şifreleri değiştirilmelidir.

20 2. Fiziksel ve Çevresel Güvenlik 19 BİLGİ GÜVENLİĞİ POLİTİKALARI Fiziksel ve çevresel güvenlik, işyerine yetkisiz erişimlerin engellenmesi ve bilgi varlıklarının hırsızlığa veya tehlikeye karşı korunmasıdır Hassas bilgilerin bulunduğu alanlar (kimlik doğrulama kartı ve PIN koruması gibi yöntemlerle) yetkisiz erişime kapatılmalı Binada bilgi işlem faaliyetlerinin yürütüldüğüne dair işaret, tabela vb. bulunmamasına dikkat edilmeli Yangın, sel, deprem, patlama ve diğer tabii afetler veya toplumsal kargaşa sonucu oluşabilecek hasara karsı fiziksel koruma tedbirleri alınmalı Güvenli bölgelere giriş çıkışlar kayıt altına alınmalıdır

21 3. Ekipman Güvenliği 20 BİLGİ GÜVENLİĞİ POLİTİKALARI Masalarda ya da çalışma ortamlarında korumasız bırakılmış bilgiler yetkisiz kişilerin erişimleriyle gizlilik ilkesinin ihlaline, yangın, sel, deprem gibi felaketlerle bütünlüğünün bozulmalarına ya da yok olmalarına sebep olabilir, temiz çevre ve temiz masa kurallarına uyulmalı Şifre, tel no, TC no gibi bilgiler ekran üstlerinde veya masa üstlerinde olmamalı Faks makinalarında gelen giden yazılar kontrol edilmeli Nem, sıcaklık gibi parametreler kontrol altında olmalı, Tüm ekipmanların bakımları yapılmalı, yangın, sel, deprem tehlikelerine karşı önlemleri alınmalıdır

22 3. İşletim Sistemleri ve Son Kullanıcı Güvenliği 21 BİLGİ GÜVENLİĞİ POLİTİKALARI Son kullanıcı düzeyinde kurumca hangi işletim sistemlerinin kullanılacağına karar verilmeli İşletim sistemleri orijinal son sürümlerine güncellenmiş olmalı Kullanıcılar sistemlere, etki alanları dâhilinde kendilerine verilmiş kullanıcı adı ve şifreleri ile bağlanmalı Bilgisayar başından ayrılırken ekranlar kilitlemeli Bilgisayarlara USB/CD bilinçli şekilde takılmalı Son kullanıcılar sorumlu oldukları cihazlardaki bilgilerin yedeğini sürekli almalı Son kullanıcılar temiz masa ilkesine göre hareket etmeli

23 5. Parola Güvenliği 22 BİLGİ GÜVENLİĞİ POLİTİKALARI Parolalar en az 8 karakterden oluşan içinde harf ve rakamların yanısıra # $ + * gibi karakterler içermeli Tahmin edilebilecek bilgilerden oluşmamalı Bir rakam veya harf dizisinden oluşmamalı Örnek güçlü şifreler Dün kar yağmış -> Dün*Yagm1$ Şeker gibi bir soru sordu -> $eker~1?Sordu Tek eksiğim bir güldü -> 1-gim1:)du

24 7. İnternet ve Elektronik Posta Güvenliği 23 BİLGİ GÜVENLİĞİ POLİTİKALARI Resmi işlemler için kurumsal eposta adresi kullanılmalı ve kötü amaçlı ve kişisel çıkarlar için kullanılmamalı Kurum içi ve dışı başka bir kişi veya gruba küçük düşürücü, hakaret edici veya virüs spam vb. zarar verici mesajlar gönderilmemeli Kullanıcı hesapları doğrudan veya dolaylı ticari kar amaçlı kullanılmamalı, sunulan eposta ve internet hizmetlerinin kurum tarafından sadece kurum işlerini yürütmek için verildiği unutulmamalıdır. Bunlar haricinde talepte bulunulmamalıdır. Kaynağı belirsiz epostalar açılmamalı, zararlı içerikli internet adreslerine girilmemelidir.

25 8. Sunucu ve Sistem Güvenliği 24 BİLGİ GÜVENLİĞİ POLİTİKALARI Tüm sunucu ve disk üniteleri idarece uygun görülen güvenli fiziksel alanlarda konumlandırılmalı Sunuculara ve servislere erişimler kaydedilmeli ve erişim, kontrol yöntemleri ile sağlanmalı Sunucular üzerinde çalışan tüm yazılımlar güncel tutulmalı Sunucu bağlantıları güvenli bağlantılar üzerinden sağlanmalı Sunucu kurulumları, konfigürasyonları, yedeklemeleri, yamaları, güncellemeleri Sistem Yöneticisi tarafından yapılmalı Sistem odası doğru fiziksel kuralları taşımalı Sistem odalarına giriş çıkışlar kontrol edilmelidir.

26 9. Ağ Cihazları Güvenliği 25 BİLGİ GÜVENLİĞİ POLİTİKALARI Ağa bağlanan ve DHCP sunucundan bir IP alan tüm cihazlara ait IP ve MAC adres bilgileri bir envanter dosyasında saklanmalı Cihazlar üzerinde kullanılmayan servis ve portlar kapatılmalı Yazılımları güncel tutulmalı Yetkisiz girişler engellenmiş olmalı Wifi ağlarında SSID zorunlu haller dışında kapalı olmalı ve güçlü WPA2 şifre ile korunmalı Erişim cihazları üzerinden gelen kullanıcılar firewall üzerinden ağa dahil olmalı, internet bant genişliği sınırlanmalı, kurumsal bant genişliğinin tüketilmesi engellenmelidir.

27 10. Mal ve Hizmet Alımları Güvenliği 26 BİLGİ GÜVENLİĞİ POLİTİKALARI Mal ve hizmet alımlarında kanun, genelge, ve yönetmeliklere aykırı olmayacak ve rekabete engel teşkil etmeyecek şekilde güvenlik hususları teknik şartnamelerde belirtilmeli Taraflar arasında yapılan anlaşmalar bazı durumlarda değişebilir. Bu nedenle; alımlar, anlaşmalar, belirlenen tüm riskleri ve güvenlik gereklerini içerecek şekilde yapılmalı Hizmet sağlayıcısı firma ve hizmet alımı personellerle gizlilik sözleşmesi imzalanmalıdır.

28 12. Güvenlik Yazılım ve Donanımları Yönetimi 27 BİLGİ GÜVENLİĞİ POLİTİKALARI Kuruma ait sunucularda, sadece yetkili kişilerin erişebileceği administrator/root yetkisi bulunmalıdır. Tüm kullanıcı hesapları (administrator ve root hesaplarıda dahil olmak üzere) güçlü şifreler ile korunmalıdır. Güvenlik yazılım ve donanımlarının erişim logları, merkezi log sisteminde tutulmalı ve izlenmelidir. İstemcilere ve sunuculara virüs bulaştığı fark edildiğinde etki alanından çıkartılmalıdır. Kullanıcı hiç bir sebepten dolayı anti-virüs yazılımını bilgisayarından kaldırmamalıdır.

29 13. Bilgi Güvenliği Teknolojileri Güvenliği 28 BİLGİ GÜVENLİĞİ POLİTİKALARI Bilgisayarlar üzerinde korsan yazılımlar bulundurulmamalı ve tüm yazılımlar son güncel sürümle güncellenmelidir Kuruma ait sistemler ve sunucular dışarıdan gelebilecek saldırılara karşı, güncel teknolojilere sahip donanımsal firewall cihazları ile korunmalıdır Kurumda ki güvenlik cihazları sürekliliğin sağlanması için cluster (yedekli yapıda) bulunmalıdır Kurumda kullanılan bütün sistem ve güvenlik donanımları, kurumun ihtiyaçlarına bağlı olarak sadece izin verilen erişimlere göre konfigüre edilmelidir

30 15. Mobil Cihazlar Güvenliği 29 BİLGİ GÜVENLİĞİ POLİTİKALARI Bilgiyi taşımanın kolay bir yolu laptop ve akıllı telefonlar gibi mobil cihazlardır, bunlara erişim mutlaka parola ile olmalıdır Mobil cihazınızda ne tür bilgiler sakladığının farkında olunmalı, hassas ve gizli bilgileri mümkün olduğunca mobil cihazlarda bulundurulmamalıdır Kaybolması ve çalınması kolay olduğundan mobil cihazlar başıboş bırakılmamalıdır.

31 18. Kayıt Tutulması (log) 30 BİLGİ GÜVENLİĞİ POLİTİKALARI Kurumun güvenlik cihazlarına ait loglar ilgili sistem yöneticisi tarafından yönetilmeli ve değerlendirilmelidir. İstendiğinde ilgili idari ve hukuki birimlerle raporlar paylaşılmalıdır Tüm sunuculara ve servislere sağlanan erişimler uzak ve merkezi bir kayıt sunucusuna gönderilmelidir. Merkezi kayıt sunucusu üzerindeki kayıt verileri belirli tarih aralığında tutulmalı ve istenildiğinde raporlanabilmelidir. Merkezi kayıt sunucusu kayıtlar üzerinde yaptığı analizler doğrultusunda saldırı ve normal olmayan durumları tespit edip, uyarı gönderebilmelidir. Log kayıtları 5651 yasasına uygun olmalıdır

32 21. Veri Merkezi Standartları Yönetimi 31 BİLGİ GÜVENLİĞİ POLİTİKALARI Kurumun veri merkezinde yedek enerji, soğutma, yangın söndürme sistemleri olmalıdır. Girişler sadece tek kapıdan ve bu kapıda da gerekli güvenlik tedbirleri (biometric giriş, card-reader, şifre paneli) alınmış olmalıdır. Veri Merkezine yetkisiz personelin girişi engellenmelidir. Veri Merkezi 7/24 güvenlik kameraları ile gözetlenmeli ve kayıt altına alınmalıdır. Veri merkezinde bulunan bütün güvenlik, acil durum ve iklim sistemlerinin periyodik bakımları yapılmalı ve bu bakımlar dokümante edilmelidir

33 23. Kaydedilebilir Taşınır Materyaller Güvenliği 32 BİLGİ GÜVENLİĞİ POLİTİKALARI USB flash diskler ve harici hddler; yüksek veri kapasiteleri, boyutları, taşınabilirlikleri ve farklı sistemlerde sorunsuzca çalışabilmeleri ile yanımızdan hiçbir zaman ayırmadığımız temel ihtiyaçlarımızdandır. Bilgisayarlarımıza takacağımız USB belleklerin tehdit yazılımı içermediğinden emin olunmalıdır USB bellekler tehdit unsuru taşıyabilecek bilgisayar ve sistemlere takılmamalıdır USB bellek / CD / DVD araçlarında çalınma kaybolma durumlarına karşı gizli veya kurumsal bilgiler bulundurulmamalıdır

34 26. Bilgi Kaynakları Atık ve İmha Yönetimi 33 BİLGİ GÜVENLİĞİ POLİTİKALARI Evraklar veya belgeler idari ve hukuki hükümlere göre belirlenmiş Evrak Saklama Planı’na uygun olarak muhafaza edilmelidir Bilgi Teknolojileri atıkları (Disk Storage Veri tabanı dataları vb.) 14 Mart 2005 Tarihli sayılı Resmi Gazete ’de yayınlanan yönetmeliğe göre imha edilmelidir. Yetkilendirilmiş personel tarafından imhası gerçekleşen atıklara ait imha tutanağı düzenlenmeli, bertaraf edilen ürünlerin adet bilgisi ve seri numaraları kayıt altına alınmalıdır.

35 27. Bilgi Güvenliği Teknik ve Farkındalık Eğitimleri 34 BİLGİ GÜVENLİĞİ POLİTİKALARI Yıllık planlar çerçevesinde bilgi güvenliği teknik ve farkındalık eğitimleri gerçekleştirilmelidir. Sunulan bilgi güvenliği teknik ve farkındalık eğitimleri katılım öncesi ve sonrası çeşitli ölçme teknikleriyle ölçülmeli ve eğitim etkinliği hususunda değerlendirme yapılmalıdır. Kurumların teknik işlerinde (Bilişim faaliyetleri), uygulama geliştirme, sistem güvenliği kapsamında hizmet veren personellerin kişisel gelişimlerinin devamlılığı konusunda eğitimler düzenlenmelidir.

36 28. Değişim Yönetimi 35 BİLGİ GÜVENLİĞİ POLİTİKALARI Bilgi sistemlerinde değişiklik yapmaya yetkili personel ve yetki seviyeleri belirlenmeli Herhangi bir sistemde değişiklik yapmadan önce, bu değişiklikten etkilenecek tüm sistem ve uygulamalar tespit edilmeli Değişiklikler gerçekleştirilmeden önce kurumun ilgili biriminden onay alınmalıdır. Değişiklikler ilgili üretici tarafından onaylanmış kurallar çerçevesinde gerçekleştirilmelidir. Değişiklik öncesi test süreci tanımlanmalıdır.

37 29. İhlal Bildirim ve Yönetimi 36 BİLGİ GÜVENLİĞİ POLİTİKALARI Bilginin gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, yetkisiz erişim gibi güvenlik ihlali durumlar mutlaka kayıt altına alınmalı, bilgi güvenliği yöneticisine veya idareye haber verilmelidir İhlali yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği belirlenmelidir. Tüm çalışanlar, üçüncü taraf kullanıcılar ve sözleşme tarafları güvenlik zayıflıklarını ilgili birimlere mümkün olan en kısa sürede rapor etmelidir Bilgi güvenliği politika ve talimatlarına uyulmaması halinde, kanun ve yönetmelikler doğrultusunda cezai işlem yapılmalıdır

38 34. Sosyal Mühendislik Zafiyetleri 37 BİLGİ GÜVENLİĞİ POLİTİKALARI Sosyal mühendislik, normalde insanların tanımadıkları birisi için yapmayacakları şeyleri yapmalarını sağlama sanatı olarak tanımlanmaktadır. Başka bir tanım ise; İnsanoğlunun zaaflarını kullanarak istenilen bilgiyi, veriyi elde etme sanatıdır. Sosyal mühendisler teknolojiyi kullanarak ya da kullanmadan insanların zaaflarından faydalanıp bilgi edinirler, en çok etkileme ve ikna yöntemlerini kullanırlar. Sosyal Mühendislik modern hırsızlıktır Taşınan bilgilerin öneminin bilincinde olunmalı, kötü niyetli kişilerin eline geçmesi halinde oluşacak zararları düşünerek hareket edilmelidir. Bilinmeyen kişi ve kaynaklarla bilgi paylaşılmamalıdır

39 35. Sosyal Medya Güvenliği 38 BİLGİ GÜVENLİĞİ POLİTİKALARI Sosyal medya hesaplarına giriş için kullanılan şifreler ile kurum içinde kullanılan şifreler farklı olmalıdır. Kurum içi bilgiler sosyal medyada paylaşılmamalıdır. Kuruma ait hiçbir gizli bilgi, yazı sosyal medyada paylaşılmamalıdır.

40 ERZURUM KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİM SUNUMU DİNLEDİĞİNİZ İÇİN TEŞEKKÜRLER 39


"ERZURUM KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİM SUNUMU Uzm.Baydettin KARAGÖZ Bilgi İşlem Sorumlusu 1." indir ppt

Benzer bir sunumlar


Google Reklamları