Bilgi Güvenliği Nedir? Oğuzhan HUPAL 29.01.2014.

Slides:



Advertisements
Benzer bir sunumlar
EK 1: BROŞÜR ATM, İnternet ve Telefon Bankacılığı İşlemlerinde
Advertisements

Bilgisayar ve İnternet Güvenliği
BİLGİ GÜVENLİK TALİMATI
BİLİŞİM SUÇLARI BİLİŞİM SUÇLARI.
Ardesenmyo.wordpress.com.
Günümüzde ticari şirketler ve devlet kurumları işlerini sürdürebilmek için yoğun bir şekilde bilgi kullanımına yönelmişlerdir. Zaman geçtikçe bilginin.
Bilgisayar 1 Dr İsmail Marulcu Dr. Ismail Marulcu
İNTERNET VE BİLİŞİM SUÇLARI
Döner Sermaye Mali Yönetim Sistemi Bilgi Güvenliği
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Bilgi Güvenliği Şubesi
AĞ GÜVENLİĞİ.
Virüsler ve Diğer Zararlı Yazılımlar
İNTERNETİN GÜVENLİ KULLANIMI
VERİ TABANI VE YÖNETİM SİSTEMLERİ
Bilgi Ve İletişim Teknolojisi
BİLİŞİM SUÇLARI.
YONT171 Bilgi Teknolojilerine Giriş I
Sedat Uslu / AVG 1991 yılında kurulup cihazları, verileri ve insanları korumak için öncü yazılım ve hizmetler sağlayan bir çevrimiçi güvenlik.
Strateji Geliştirme Başkanlığı. Strateji Geliştirme Başkanlığı.
YONT171 Bilgi Teknolojilerine Giriş I
BİLGİ GÜVENLİĞİ.
BİLGİSAYARDA GÜVENLİK
Gündem Belge, herhangi bir bireysel veya kurumsal fonksiyonun yerine getirilmesi için alınmış veya fonksiyonun sonucunda üretilmiş, * içerik, * ilişki.
GÜVENLİ İNTERNET KULLANIMI
1.5. BİT’in Gizlilik ve Güvenlik Boyutları
BİLİŞİM SUÇLARI ve ALINACAK TEDBİRLER
İnternetin Güvenli Kullanımı ve Sosyal Ağlar
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
BİT’in Gizlilik ve Güvenlik Boyutları
Bilişim Suçları Ve Güvenlik
Bilgisayar ve Veri Güvenliği
Sertaç Çelikyılmaz Genel Müdür Elektronik Bilgi Güvenliği A.Ş. Türkiye’de Kurumlar İçin e-Güven Altyapısı 07 Ekim 2004, İstanbul Eczacıbaşı Holding.
GÜVENLİ İNTERNET KULLANIMI
Fatih İlkokulu Rehberlik Servisi
İNTERNETTE GÜVENLİK BİLİŞİM SUÇLARI.
Çocukların Güvenli İnternet Kullanımı ile ilgili Ebeveynlere öneriler
WİNDOWS SERVER 2003’te KULLANICI VE GRUP HESAPLARI.
BİLGİ GÜVENLİĞİ.
VERGİDE ELEKTRONİK TEBLİGAT DÖNEMİ
Kasım 2015 VERGİDE ELEKTRONİK TEBLİGAT DÖNEMİ 1 OCAK 2016’ DA BAŞLIYOR.
BİLGİSAYAR VİRÜSLERİ.
Lütfen parolanızı değiştirin
Bir bilgisayardan bir diğerine yayılmak ve bilgisayarın çalışmasına müdahale etmek amacıyla tasarlanmış küçük programlardır.
TELEFONDA KRİTİK BİLGİ PAYLAŞMAYIN  Yöneticileriniz de dahil hiç kimse ile kurum ve personele ait kritik bilgiyi telefondan paylaşmayın.  Telefon ile.
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
KÖTÜ AMAÇLI YAZILIMLAR
BILIŞIM KOMISYONU Kurumsallıkta Bilişimin Önemi ve Bilgi Güvenliği Ocak 2016.
KÜTÜPHAN-E TÜRKİYE PROJESİ Güvenli e-Posta Kullanımı.
Ünite 5: Bilgi Güvenliği. Anahtar Kavramlar: Bilgi Güvenliği Bilgi Gizliliği Bilgi Etiği İstenmeyen E-Posta Casus Program Kimlik Hırsızlığı Bilgisayar.
BİT’in Gizlilik ve Güvenlik Boyutları.  Bilgi; verinin, işlenerek karar verici için anlamlı ve kullanışlı hale gelmesidir. Veri ise, işletme içinde oluşan.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
GÜVENLİ BİLGİSAYAR ve İNTERNET KULLANIMI
Virüsler ve Diğer Zararlı Yazılımlar
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
BİLGİSAYAR VİRÜSLERİ.
BİT’İN GİZLİLİK VE GÜVENLİK BOYUTLARI
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Bilgisayar, çevre birimleri, pos makinesi,cep telefonu gibi her türlü teknolojinin kullanılması ile işlenilen suçlardır. Bilişim suçu; Teknolojik aletler.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
YONT172 Bilgi Teknolojilerine Giriş I
VİRÜS ÇEŞİTLERİ VE BULAŞMA YÖNTEMLERİ. VİRÜS NEDİR? Bilgisayar virüsleri, aslında "çalıştığında bilgisayarınıza değişik şekillerde zarar verebilen" bilgisayar.
BİLGİ GÜVENLİĞİ. Bilgi güvenliği elektronik ortamda kaydetmiş olduğumuz bilgilerimizin güvenli olması anlamında önemlidir. Elektronik ortamdaki bilgilerimizin.
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
E - İMZA ANIL TUNCER
VİRÜSLER VE DİĞER ZARARLI YAZILIMLAR
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
SİBER GÜVENLİK VERİNİZİ VE GİZLİLİĞİNİZİ KORUYUN
GÜVENLİ İNTERNET KULLANIMI
Sunum transkripti:

Bilgi Güvenliği Nedir? Oğuzhan HUPAL 29.01.2014

Bilgi güvenliği, bilgileri izinsiz erişimlerden ve kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden koruma işlemidir. .

Hangi Bilgiler Gizlidir? »» Hastaya ve hastalığına ait bilgiler »»Personele ait bilgiler »» Birime ait bilgiler »» Kuruma ait bilgiler

. Bilginin güvenliğinin sağlanmasındaki boyutlar. »» Bilginin üretildiği ve kullanıldığı ortamda, »» Taşındığı ve saklandığı ortamda gerekli güvenlik tedbirleri alınmalıdır. .

Bilgi Güvenliği İçin On Altın Kural »» Gizli olduğu düşünülen bilgiler mutlaka güvenli ortamlarda tutulmalıdır. »» Önemli bilgilerin kaybedilme olasılığına karşılık, o bilgilere harcanılan zaman ve maliyeti de göz önünde bulundurarak belli aralıklarla bilgiler yedeklenmeli »» Şifreler korunmalıdır. »» Bilgisayarda mutlaka antivirüs, antispam, anticasus yazılımları kullanılmalıdır. »» Mutlaka orjinal ekipmanlar kullanmaya özen gösterilmelidir. »» Bilgisayar kullanılmadığı zamanlarda erişimi sınırlandırılmalıdır. »» İnternet ortamından indirilen ve içeriği belli olmayan dosyalar açılmamalıdır. »» Bilgi internet ortamında kolayca takip edilebilir. Bu nedenle yasalarca yasaklanmış sitelerden uzak durulması gerekir. »» Kurumlar bilgi güvenliği konusunda bilgisini artırmalı, güvenlik açıklarını sürekli takip ederek mutlaka gidermeye çalışmalıdır.

Verilerin hangi nitelikleri korunacaktır? Bilgi güvenliği, bilgilerin izinsiz erişimlerinden ve kullanımından, ifşa edilmesinden, yok edilmesinden, değiştirilmesinden veya hasar verilmesinden korunacaktır.

KULLANIM YETKİLERİ Her kademedeki çalışan sadece yetkilendirilmiş olduğu işlemleri yürütebilmektedir. Yetkilendirilmemiş kimseler tarafından yapılan herhangi bir işlemi saptayan birim yetkilileri bu durumu en kısa zamanda yeterli delilleri ile birlikte bağlı bulunduğu BİM’e iletilmek üzere Bilgi işlemden sorumlu başhekim yardımcısına bildirmelidir.

Tüm çalışanlar otomasyon üzerinde yetkili oldukları bilgileri herhangi bir şekilde farklı ortamlarda paylaşamaz bilgi taşıyamaz. Kullanılan yazılımlarla ilgili şifreler kullanıcılara BİM tarafından verilir ve gerektiğinde değiştirilir. Yetkilendirilen çalışan, şifrelerin kullanılması ve korunması konusunda sorumludur.

Belirli bir şifre ile yapılan tüm işlemlerin idari ve yasal sorumluluğu söz konusu şifrenin tanımlanmış kullanıcısına ait olduğundan, belli bir kullanıcıya ayrılmış şifre hangi şartla olursa olsun başkalarına verilemez. Bilgi güvenliği açısından ilişiği kesilen personelin şifresinin bir an önce iptali esastır. İlişiği kesilen personelin tüm şifreleri ve kullanıcı yetkileri kullanıma kapatılır. Şifrenin 24 saat içerisinde iptali BİM’ in sorumluluğundadır.

Yazılım kurma ve silme işlemleri, Bilgi Sistemleri Yöneticisine açık otomasyon sistemi işlemleri, Üst yönetime açık otomasyon sistemi işlemleri BADSM bünyesinde kullanılma kararı alınmış otomasyon sistemi dahilindeki her türlü yazılımın kurma, silme ve düzenleme işlemleri ile işletim sistemi ayarlarının yapılması ve değiştirilmesi BİM yetkisindedir. BİM bilgisi dışında herhangi bir yazılım kurma ve silme işlemi ve işletim sistemi ayarları yetkilendirilmemiş bir işlem olarak değerlendirilecektir ve tamamen ilgili cihazın kullanıcısının sorumluluğundadır.

Hastane bilgi yönetim sistemi işlemleri, BİM’ in onayladığı şartlar kapsamında saptanan çalışanın yetkisinde olacaktır. Verilen standart yetkiler dışında istenilen bir yetki, bağlı bulunduğu yöneticinin onayından sonra, uygun görüldüğü seviyede BİM tarafından verilir.

E-İMZA Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur. E-imza ile işlemlerin elektronik ortamda yürütülmesiyle evrak trafiğinin azaltılması amaçlanmaktadır. Ör: ÖSS başvurusu, pasaport başvurusu,.

E-İMZA Kamusal alandaki uygulamalar: Her türlü başvurular, Kurumlar arası iletişim, Sosyal güvenlik uygulamaları, Sağlık uygulamaları, Vergi ödemeleri, Elektronik oy verme işlemleri Ticari alandaki uygulamalar: Internet bankacılığı, Sigortacılık işlemleri, Kağıtsız ofisler, E-sözleşmeler, E-sipariş

Sosyal Mühendis Sosyal mühendislik yani ingilizce tanımı “Social Engineering” olarak isimlendirilen en temel hacking yöntemlerinden biridir...Sosyal mühendislik temel olarak insan ilişkilerini veya insanların dikkatsizliklerini kullanarak hedef kişi yada kurum hakkında bilgi toplamak ve gereken yönergelerle kullanmak olarak tanımlanabilir. Bu olayda amaç hedef kurum veya kişi yapısı, kurumsal ağın yapısı, çalışanların/yöneticilerin kişisel bilgileri , şifreler ve saldırıda kullanılabilecek her türlü materyalin toplanmasıdır.

Kuruma çalışan olarak sızmak, çalışanlarla arkadaş olmak, teknik servis yada destek alınan bir kurumdan arıyormuş gibi görünerek bilgi toplamak, hedef kişiyle dost olmak , olmadığı halde kendini kız gibi gösterip kişilerin zaaflarından yararlanmak bilinen en iyi örnekleridir.

Sosyal mühendislik aslında hack’in atası olarak bilinir bir nevi ilk hack atağıdır. Sosyal mühendisliğin mucidi olarak Kevin Mitnick bilinir ve bu alanda yazdığı kitapta sosyal mühendislikten bahsetmiştir. Hayatını Okuyup incelediğimiz kadarı ile girdiği sistemlerin %80 nine sosyal mühendislik yöntemleriyle ulaştığını gördük. Kevin Mitnick zamanında FBI tarafından 1. sırada aranan bilişim suçlusu haline gelmiştir ve yakalanmasında başrol oynayan ünlü güvenlik uzmanı Tsutomu Shimomura Kevin ile girdiği mücadeleyi anlattığı Takedown adlı kitabında özellikle bu yönteme değinmiştir.

Sosyal mühendislik üzerine yapılan araştırmalarda kadın sesinin erkek sesinden daha şanslı olduğunu göstermiştir. Kısaca Sosyal Mühendislik kişileri kandırarak elindeki gizli bilgileri sorularla veya farklı yollarla fark ettirmeden elinden almaktır...

Örnek Bir e-Posta Dolandırıcılığı Tarih: 10 Kasım 2010, Çarşamba, 11:41  Gönderen: ahmetzen@golfgrup.com Alıcı: sensin@postaci.com Konu: yakın akraba Sevgili Arkadaşım, Ben Ali Gücen, Singapurda ve deneyimli bir muhasebe uzmanı olarak Bahraid Bankasında çalışmaktayım. Bu fırsatı size haber vermek ve sunmaktan büyük bir mutluluk duyuyorum; sizinle aynı soyadı taşıyan eski bir müşterimi geçtiğimiz pazar günü (07.11.2010) kalp krizi nedeniyle kaybettik. 26 Aralık 2004’te Sumatra yakınlarında gerçekleşen tsunami nedeniyle müşterim bütün yakınlarını, yani bütün varislerini kaybetmişti. Müşterimin hesabında bulunan 3.7 milyon dolar para için herhangi bir yakın akraba bulunamadı. Müşterimin yaşayan hiçbir yakın akrabasının kalmadığından emin olduktan sonra, tek soyadı tutan kişi olarak, yakın akrabalık konusunda sizinle temasa geçmemin uygun olduğunda karar verdim. Ölen müşterimin tek varisi olarak kalan kaynağın size aktarılmasını planlayabilirim. Bu konuda herhangi bir çekinceniz olmaması için gerekli yasal bilgi ve belgelerin sizin adınıza düzenleneceğinizi belirtirim. Mirasın sizin adınıza devriyle ilgili son tarihi kaçırmamak için ivedi olarak sizden bu konuda işbirliği ve anlayış konusundaki cevabınızı bekliyorum. Bu konuyla ilgileniyorsanız ve benimle işbirliği yapmayı kabul ediyorsanız, benimle hemen irtibata geçiniz. Size konuyla ilgili bilgi ve belgelerle birlikte, sizden ödeme için istenen dokümanlar konusunda en kısa zamanda iletişime geçeceğim. Bu süreçte hukuki işlemler için gerekli olan harcamaların %35’i sizin tarafınızdan, %65’i benim tarafımdan karşılanacaktır. Saygılarımla, Ahmet Akın, mhyakin@safim.com

Sonuç Olarak Güvenlik, bir varlığı çeşitli zararlı etkenlerden korumaktır. Söz konusu bilgi güvenliği olunca korunmak istenen varlık, bilginin kendisidir.

İşte Mitnick’in 10 altın kuralı… Herşeyi yedekleyin! Açıksınız. Felakete yol açabilecek bilgi kaybına uğrayabilirsiniz — bir worm veya Trojan, hepsi bu. Tahmin edilmesi çok güç olan şifreler seçin — Bir kaç numaradan oluşturmayın. Varsayılan şifreleri daima değiştirin. AVG veya Norton gibi bir Anti-Virüs kullanın, ve otomatik güncellenmesini sağlayın. İşletim sisteminizi her zaman güncel tutun, özellikle güvenlik güncelleştirmelerini iyi takip edin. Hacker’ların yem uygulamalarından uzak durun, mesela Linklerimizi üyelerimiz görebilir Uslanmam üyeliği için tıklayın. ve e-posta istemcinizin otomatik script özelliklerini kapatın. E-posta gönderirken PGP (pretty good privacy) gibi bir encryption yazılımı kullanın. PGP’yi ayrıca tüm hard diskinizi korumak için de kullanabilirsiniz. Bir anti-spyware uygulaması yükleyin — veya birden fazla. Arada sırada otomatik olarak çalışabilen yazılımlar, SpyCop gibi, yeterli olacaktır. Kişisel bir firewall kullanın. Bağlandığınız diğer bilgisayarlardan, ağlardan ve web sayfalarından korunmak için ayarlayın. Hangi programların internete erişim izinleri olduğunu kendiniz ayarlayın. Sistem hizmetlerinden kullanmadıklarınızı kapatın, özellikle dışarıdan bilgisayarınıza bağlanılmasına yarayan hizmetleri(Remote Desktop, RealVNC ve NetBIOS gibi). Wireless ağınızın güvenliğini güçlendirin. Evde WPA’yı (Wi-Fi protected access) en az 20 karakterden oluşan bir şifre ile etkinleştirin. Dizüstü bilgisayarınızı “Infrastructure mode only” ile ayarlayın, ve WPA kullanmayan ağlara bağlanmayın

GÜNDEM

GÜNDEM

GÜNDEM

Risk algılama, değerlendirme ve yönetimi

Teşekkür Ederim. Toplum mühendisi, aradığı bilginin değerini tam olarak bilmeyen bir çalışanı hedefleyecektir; böylece hedef, tanımadığı birinin isteğini yerine getirmeye daha meyilli olacaktır.    Kevin Mitnick