Bilgi Güvenliği Nedir? Oğuzhan HUPAL 29.01.2014
Bilgi güvenliği, bilgileri izinsiz erişimlerden ve kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir. .
Hangi Bilgiler Gizlidir? »» Hastaya ve hastalığına ait bilgiler »»Personele ait bilgiler »» Birime ait bilgiler »» Kuruma ait bilgiler
. Bilginin güvenliğinin sağlanmasındaki boyutlar. »» Bilginin üretildiği ve kullanıldığı ortamda, »» Taşındığı ve saklandığı ortamda gerekli güvenlik tedbirleri alınmalıdır. .
Bilgi Güvenliği İçin On Altın Kural »» Gizli olduğu düşünülen bilgiler mutlaka güvenli ortamlarda tutulmalıdır. »» Önemli bilgilerin kaybedilme olasılığına karşılık, o bilgilere harcanılan zaman ve maliyeti de göz önünde bulundurarak belli aralıklarla bilgiler yedeklenmeli »» Şifreler korunmalıdır. »» Bilgisayarda mutlaka antivirüs, antispam, anticasus yazılımları kullanılmalıdır. »» Mutlaka orjinal ekipmanlar kullanmaya özen gösterilmelidir. »» Bilgisayar kullanılmadığı zamanlarda erişimi sınırlandırılmalıdır. »» İnternet ortamından indirilen ve içeriği belli olmayan dosyalar açılmamalıdır. »» Bilgi internet ortamında kolayca takip edilebilir. Bu nedenle yasalarca yasaklanmış sitelerden uzak durulması gerekir. »» Kurumlar bilgi güvenliği konusunda bilgisini artırmalı, güvenlik açıklarını sürekli takip ederek mutlaka gidermeye çalışmalıdır.
Verilerin hangi nitelikleri korunacaktır? Bilgi güvenliği, bilgilerin izinsiz erişimlerinden ve kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunacaktır.
KULLANIM YETKİLERİ Her kademedeki çalışan sadece yetkilendirilmiş olduğu işlemleri yürütebilmektedir. Yetkilendirilmemiş kimseler tarafından yapılan herhangi bir işlemi saptayan birim yetkilileri bu durumu en kısa zamanda yeterli delilleri ile birlikte bağlı bulunduğu BİM’e iletilmek üzere Bilgi işlemden sorumlu başhekim yardımcısına bildirmelidir.
Tüm çalışanlar otomasyon üzerinde yetkili oldukları bilgileri herhangi bir şekilde farklı ortamlarda paylaşamaz bilgi taşıyamaz. Kullanılan yazılımlarla ilgili şifreler kullanıcılara BİM tarafından verilir ve gerektiğinde değiştirilir. Yetkilendirilen çalışan, şifrelerin kullanılması ve korunması konusunda sorumludur.
Belirli bir şifre ile yapılan tüm işlemlerin idari ve yasal sorumluluğu söz konusu şifrenin tanımlanmış kullanıcısına ait olduğundan, belli bir kullanıcıya ayrılmış şifre hangi şartla olursa olsun başkalarına verilemez. Bilgi güvenliği açısından ilişiği kesilen personelin şifresinin bir an önce iptali esastır. İlişiği kesilen personelin tüm şifreleri ve kullanıcı yetkileri kullanıma kapatılır. Şifrenin 24 saat içerisinde iptali BİM’ in sorumluluğundadır.
Yazılım kurma ve silme işlemleri, Bilgi Sistemleri Yöneticisine açık otomasyon sistemi işlemleri, Üst yönetime açık otomasyon sistemi işlemleri BADSM bünyesinde kullanılma kararı alınmış otomasyon sistemi dahilindeki her türlü yazılımın kurma, silme ve düzenleme işlemleri ile işletim sistemi ayarlarının yapılması ve değiştirilmesi BİM yetkisindedir. BİM bilgisi dışında herhangi bir yazılım kurma ve silme işlemi ve işletim sistemi ayarları yetkilendirilmemiş bir işlem olarak değerlendirilecektir ve tamamen ilgili cihazın kullanıcısının sorumluluğundadır.
Hastane bilgi yönetim sistemi işlemleri, BİM’ in onayladığı şartlar kapsamında saptanan çalışanın yetkisinde olacaktır. Verilen standart yetkiler dışında istenilen bir yetki, bağlı bulunduğu yöneticinin onayından sonra, uygun görüldüğü seviyede BİM tarafından verilir.
E-İMZA Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur. E-imza ile işlemlerin elektronik ortamda yürütülmesiyle evrak trafiğinin azaltılması amaçlanmaktadır. Ör: ÖSS başvurusu, pasaport başvurusu,.
E-İMZA Kamusal alandaki uygulamalar: Her türlü başvurular, Kurumlar arası iletişim, Sosyal güvenlik uygulamaları, Sağlık uygulamaları, Vergi ödemeleri, Elektronik oy verme işlemleri Ticari alandaki uygulamalar: Internet bankacılığı, Sigortacılık işlemleri, Kağıtsız ofisler, E-sözleşmeler, E-sipariş
Sosyal Mühendis Sosyal mühendislik yani ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir...Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.
Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini kız gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.
Sosyal mühendislik aslında hack’in atası olarak bilinir bir nevi ilk hack atağıdır. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını Okuyup incelediğimiz kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördük. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura Kevin ile girdiği mücadeleyi anlattığı Takedown adlı kitabında özellikle bu yönteme değinmiştir.
Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeki gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır...
Örnek Bir e-Posta Dolandırıcılığı Tarih: 10 Kasım 2010, Çarşamba, 11:41 Gönderen: ahmetzen@golfgrup.com Alıcı: sensin@postaci.com Konu: yakın akraba Sevgili Arkadaşım, Ben Ali Gücen, Singapurda ve deneyimli bir muhasebe uzmanı olarak Bahraid Bankasında çalışmaktayım. Bu fırsatı size haber vermek ve sunmaktan büyük bir mutluluk duyuyorum; sizinle aynı soyadı taşıyan eski bir müşterimi geçtiğimiz pazar günü (07.11.2010) kalp krizi nedeniyle kaybettik. 26 Aralık 2004’te Sumatra yakınlarında gerçekleşen tsunami nedeniyle müşterim bütün yakınlarını, yani bütün varislerini kaybetmişti. Müşterimin hesabında bulunan 3.7 milyon dolar para için herhangi bir yakın akraba bulunamadı. Müşterimin yaşayan hiçbir yakın akrabasının kalmadığından emin olduktan sonra, tek soyadı tutan kişi olarak, yakın akrabalık konusunda sizinle temasa geçmemin uygun olduğunda karar verdim. Ölen müşterimin tek varisi olarak kalan kaynağın size aktarılmasını planlayabilirim. Bu konuda herhangi bir çekinceniz olmaması için gerekli yasal bilgi ve belgelerin sizin adınıza düzenleneceğinizi belirtirim. Mirasın sizin adınıza devriyle ilgili son tarihi kaçırmamak için ivedi olarak sizden bu konuda işbirliği ve anlayış konusundaki cevabınızı bekliyorum. Bu konuyla ilgileniyorsanız ve benimle işbirliği yapmayı kabul ediyorsanız, benimle hemen irtibata geçiniz. Size konuyla ilgili bilgi ve belgelerle birlikte, sizden ödeme için istenen dokümanlar konusunda en kısa zamanda iletişime geçeceğim. Bu süreçte hukuki işlemler için gerekli olan harcamaların %35’i sizin tarafınızdan, %65’i benim tarafımdan karşılanacaktır. Saygılarımla, Ahmet Akın, mhyakin@safim.com
Sonuç Olarak Güvenlik, bir varlığı çeşitli zararlı etkenlerden korumaktır. Söz konusu bilgi güvenliği olunca korunmak istenen varlık, bilginin kendisidir.
İşte Mitnick’in 10 altın kuralı… Herşeyi yedekleyin! Açıksınız. Felakete yol açabilecek bilgi kaybına uğrayabilirsiniz — bir worm veya Trojan, hepsi bu. Tahmin edilmesi çok güç olan şifreler seçin — Bir kaç numaradan oluşturmayın. Varsayılan şifreleri daima değiştirin. AVG veya Norton gibi bir Anti-Virüs kullanın, ve otomatik güncellenmesini sağlayın. İşletim sisteminizi her zaman güncel tutun, özellikle güvenlik güncelleştirmelerini iyi takip edin. Hacker’ların yem uygulamalarından uzak durun, mesela Linklerimizi üyelerimiz görebilir Uslanmam üyeliği için tıklayın. ve e-posta istemcinizin otomatik script özelliklerini kapatın. E-posta gönderirken PGP (pretty good privacy) gibi bir encryption yazılımı kullanın. PGP’yi ayrıca tüm hard diskinizi korumak için de kullanabilirsiniz. Bir anti-spyware uygulaması yükleyin — veya birden fazla. Arada sırada otomatik olarak çalışabilen yazılımlar, SpyCop gibi, yeterli olacaktır. Kişisel bir firewall kullanın. Bağlandığınız diğer bilgisayarlardan, ağlardan ve web sayfalarından korunmak için ayarlayın. Hangi programların internete erişim izinleri olduğunu kendiniz ayarlayın. Sistem hizmetlerinden kullanmadıklarınızı kapatın, özellikle dışarıdan bilgisayarınıza bağlanılmasına yarayan hizmetleri(Remote Desktop, RealVNC ve NetBIOS gibi). Wireless ağınızın güvenliğini güçlendirin. Evde WPA’yı (Wi-Fi protected access) en az 20 karakterden oluşan bir şifre ile etkinleştirin. Dizüstü bilgisayarınızı “Infrastructure mode only” ile ayarlayın, ve WPA kullanmayan ağlara bağlanmayın
GÜNDEM
GÜNDEM
GÜNDEM
Risk algılama, değerlendirme ve yönetimi
Teşekkür Ederim. Toplum mühendisi, aradığı bilginin değerini tam olarak bilmeyen bir çalışanı hedefleyecektir; böylece hedef, tanımadığı birinin isteğini yerine getirmeye daha meyilli olacaktır. Kevin Mitnick