Bilgi Gvenlii Ynetim Sistemleri Faruk alkuu Bilgi Gvenlii
Bilgi Güvenliği Yönetim Sistemleri Faruk Çalıkuşu Bilgi Güvenliği Danışmanı
Kurumumuzda Bilgi Güvenliği Yapılanması BİLGİ GÜVENLİĞİ ALT KOMİSYONU (SAĞLIK İL MÜDÜRLÜĞÜ ) BİLGİ GÜVENLİĞİ İL YETKİLİSİ KURUM İDARELERİ
Veri & Bilgi Kayıt Devlet Çerkeş Numara Hastane HBYS L 094567 Dosya Hasta
Veri & Bilgi Çerkeş Devlet Hastanesi HBYS’sindeki L 094567 Dosya Numaralı Hasta Kaydı
Bilgi Güvenliği Nedir? Kişinin ve Kurumun en değerli varlığı olan bilginin; kaybolmasını, zarara uğramasını, yok olmasını, yetkisiz ve kötü niyetli kişilerin eline geçmesini engellemektir. Aslında güvenlik sadece bilginin başkasının eline geçmesi anlamına gelmez. Güvenlik, “gizlilik”, “bütünlük” ve “erişilebilirlik” olarak isimlendirilen üç unsurdan oluşur.
Bilgi Güvenliği Nedir? • Gizlilik; Bilgi ye erişime izni olan yetkili kişiler yada sistemlerin erişmesini sağlamaktır. • Bütünlük; Bilginin yetkisiz kişi yada işlemler tarafından değiştirilmemesini sağlamaktır. Böylece Bilginin tutarlılığı sağlanmış olur. • Erişilebilirlik; Bilgi ye doğru zamanda erişimin ve erişim sürekliliğinin sağlanmasıdır.
Bilgi Güvenliği Neden Önemlidir? BİLGİ GÜVENLİĞİ ZAFİYETLERİ NELERE YOL AÇAR?
Bilgi Güvenliği Neden Önemlidir? ØBir hastanenin hastaları ile ilgili kişisel bilgileri ele geçirilebilir Ø Sosyal medyada kurum itibarına zarar verecek bilgiler yayınlanabilir.
Bilgi Güvenliği Neden Önemlidir? Ø Sağlık çalışanlarının parolaları ele geçirilerek yasa dışı işler yapılabilir.
Bilgi Güvenliği Neden Önemlidir? Øİnteraktif bankacılık sistemi ile kullanıcıların hesaplarındaki paralar çalınabilir
Bilgi Güvenliği Neden Önemlidir? Ø CAN KAYIPLARI OLABİLİR!!!!!
DROP TABLE DROP DATABASE
Doktorların şifreleri çalındı binlerce ilaç yazıldı Sağlık sektörünü gözüne kestiren dolandırıcılık şebekeleri, doktorların e-reçete şifrelerini çaldı. Şebeke, yüksek tutarlı ilaçları hastalar üzerine yazmaya başladı. Vatandaşlar ilaç katkı payı Ödemek zorunda kaldı.
AKILLI TELEFON VE TABLETLER Faruk Çalıkuşu Bilgi Güvenliği Danışmanı
Akıllı Telefonlar
Mobil Sosyal Medya Uygulamaları En çok kullandığımız Sosyal Medya Uygulamaları cep telefonumuzun hangi verilerini alıyor.
Akıllı Telefon Güvenliği Ana ekranınızda muhakkak güvenlik parolası olmalı Akıllı telefonunuzdaki verileri (resim, video, dokümanlar vb. ) düzenli olarak yedekleyin. Kesinlikle bir Antivirüs uygulaması kullanın. Ücretsiz CM Security, Avira Antivirus Security, Avast, AVL, 360 Security ve AVG Anti. Virus Otomatik güncelleştirmeleri etkinleştirin ve işletim sisteminizi güncel tutun. Uygulamayı kabul etmeden önce kişisel bilgilerinize erişim yetkisi hakkında daha dikkatli olun.
PAROLA GÜVENLİĞİ
Nerelerde Parola Var / Olmalı Bilgisayar girişi Akıllı Telefonlar, Tablet Ekran koruyucu İnternet Bankacılığı Cep telefonu Online Alışveriş Chrome vb. e- posta girişleri Taşınabilir Bellekler E-posta Otomasyon Programları
En Kötü Parola Oscarları 2014 123456 password 12345678 qwerty abc 123 2015 2016 123456 password 12345678 qwerty 12345
Parolanın Karakter sayısı ve şekli BGYS Politikalarına göre parolanız, en az; 8 karakterden, bir büyük harf, bir küçük harf, bir rakam ve bir özel karakterden oluşmalıdır. Sr#$2^&!
Parola Güvenliği Parolanız size özeldir, başkaları ile paylaşılmamalıdır! Parolanız çoraplarınız gibidir, sık değiştirilmelidir!
Parola Güvenliği
Parolaların Tahmini Kırılma Süreleri Parolaların tahmini kırılabilme süreleri şöyle; Kelime: Parola Çözülme süresi: 33 saniye Kelime: P 4 rola$11 Çözülme süresi: 2 gün Kelime: Parola 1 Çözülme süresi: 14 dakika Kelime: P 4 rol 4$123+? Çözülme süresi: 4 ay Çözülme süresi: 4 yüzyıl https: //password. kaspersky. com/tr/
Parolanızı kimseyle paylaşmayın Yüz yüze Telefon E-posta Omuz sörfü vb. İdareci İş arkadaşı Misafir Teknik eleman
Her platform için farklı parola Kullanıcılarının %55’i her hesap için aynı parolayı kullanıyor. Bir parola kırılınca diğerleri çorap söküğü gibi geliyor. 2017 yılında aktif olan milyonlarca yahoo, gmail kullanıcısının parolası çalındı.
Kurumsal E-posta Kullanımı ve Güvenliği
E-Posta Kullanım Politikamız -1 • Kurumsal iş ve işlemler, kişilerin özel işleri için (Gmail, Hotmail gibi) internet hizmet sağlayıcılarından alınan hesaplar üzerinden yürütülmez. • KVKK tarafından 6698 sayılı Kanunda yer alan bazı hususların açıklanması amacıyla alınan 2018/10 sayılı karar gereği, e-posta ile aktarılacak verilerin özel nitelikli kişisel veri statüsünde olması durumunda aktarma işlemlerinin kurumsal e-posta veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak yapılması kanuni zorunluluktur.
E-Posta Kullanım Politikamız • E-posta adresinin kime bölümüne yetkisi dışında başka bir kullanıcıya ait e-posta adresini yazamaz. • Konu alanı boş bir e-posta mesajı göndermemeli • Kimliği belirsiz, Spam, Zincir-Zararlı e-posta olduğu düşünülen e-postalar hiçbir işlem yapılmadan (Açılmadan ) Slinmelidir ve ivedilikle Bilgi Sistemleri Birimine haber verilmelidir
İNSAN KAYNAKLARI ZAAFİYETLERİ SOSYAL MÜHENDİSLİK
İnsan Kaynakları Zaafiyeti Yönetimi Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dolap anahtarları kolay ulaşılabilir bir yerde olmamalıdır.
İnsan Kaynakları Zaafiyeti Yönetimi Ø Personel, yetkisi olmayan hiçbir kişi ile bilgi paylaşımı yapmaz.
İnsan Kaynakları Zaafiyeti Yönetimi Personel, edindiği bilgileri hiçbir kişi, grup, kurum veya kuruluşun menfaati için kullanamaz.
İnsan Kaynakları Zaafiyeti Yönetimi Personel, görev yaptığı kurum tarafından kendisine verilen ya da tanımlanan kullanıcı adı/parolayı hiç kimseyle paylaşmaz ve bunların hiçbir kopyasını alamaz
v Temiz Masa
q A. 8. 3. 2 Belli başlı temiz masa kuralları ØHassas bilgiler içeren bilgi, belge ve evraklar masa üzerlerinde ya da kolayca ulaşılabilir yerlerde açıkta bulundurulmaz. Ø Bu gibi bilgi ve belgeler kilitli dolap, çelik kasa ya da arşiv odası gibi fiziki koruması olan güvenli alanlarda muhafaza edilir.
Hastanelerde Sosyal Mühendislik Önlemleri • Kişisel sağlık kayıtlarının (tüm tetkik sonuçları, hasta dosyası, barkodlar, gözlem formları vs. ) özel nitelikli kişisel veri kategorisinde olduğu ve 6698 sayılı kanun ile özel koruma uygulanması gerektiği her zaman dikkate alınır. • Telefon ile hasta hakkında bilgi almak isteyen kişilere, hastanın kişisel bilgileri ile ilgili açıklama yapılmaz. • Hasta dosyaları ilgili doktor ve hemşire dışında kimseyle paylaşılmaz. Kolay ulaşılır yerlere konulmaz. • SBYS programlarında kullanılan parolalar kimseyle paylaşılmaz
Taşınabilir Medya ve Cihaz Güvenliği
Taşınabilir Medya Birimleri Bilgi Güvenliği Politikaları Kılavuzu; • A. 4. 4. 2. 1 -Kuruma ait veriler, kişilere ait medyalar üzerinde saklanamaz. Verilerin bir taşınabilir ortama aktarılması ihtiyacı kaçınılmaz ise bu maksatla kuruma ait medyalar kullanılır. • A. 4. 4. 2. 2 - Kuruma ait medyalar varlık envanteri içinde listelenir ve kimler tarafından kullanıldığı kayıt altına alınır. Görev devir teslimlerinde veya işten ayrılışlarda, kişilere teslim edilmiş olan medyaların iade edilmesi istenir veya ne şekilde sarf edildiği bilgisi sorgulanır.
Antivirüs ve Lisanslı Yazılım Kullanın
- Slides: 42