ETMN AMACI Bu eitimin amac bilgi gvenliine ynelik
EĞİTİMİN AMACI Bu eğitimin amacı, bilgi güvenliğine yönelik yaygın tehditler ile bu tehditlere karşı alınabilecek önlemler hakkında bilgi vermek ve bu konuda belirli bir farkındalık oluşturmaktır.
EĞİTİM İÇERİĞİ Temel Kavramlar ve Kullanıcı Sorumlulukları Temel Güvenlik Kuralları Fiziksel Güvenlik Bilgisayar Güvenliği Mobil Cihaz Güvenliği Parola Güvenliği Güvenli Olmayan Yazılımlar E-Posta Güvenliği Yedekleme Sosyal Mühendislik İnternet Güvenliği Evde İnternet Bilgi Sınıflandırma ve Etiketleme Bilgi Güvenliği İhlal Olayı Yönetimi OGM 27001 Bilgi Güvenliği Yönetim Sistemi
TEMEL KAVRAMLAR Bilgi Nedir? Bilgi Güvenliği Nedir? Yanlış Düşünceler!
BİLGİ NEDİR? Karar verme aşamasında kullanılan, anlam taşıyan, işlenmiş ve analiz edilmiş veriye bilgi denir. Bilgi farklı bir çok ortamda saklanır ve aktarılır. • Dokümanlar, panolar, tahtalar vb. fiziksel ortamlarda saklanan bilgiler. • Bilgisayarlar, veritabanları, mobil iletişim cihazları, CD/DVD’ler, USB’ler vb. elektronik ortamlarda işlenen bilgiler. • Telefon görüşmeleri, toplantılar vb. ortamlarda sözlü olarak iletilen bilgiler. • İnternet sitelerinde, broşürlerde vb. yayınlanan bilgiler. • Parola, kurumsal bilgiler vb. hafızamızda sakladığımız bilgiler.
BİLGİ GÜVENLİĞİ NEDİR? Bilgi güvenliği, bilginin tehditlere karşı uygun şekilde korunmasıdır. Bilgi güvenliği aşağıda ki ilkelerle sağlanır. Gizlilik, Bütünlük Erişilebilirlik BİLGİ GÜVENLİĞİ
BİLGİ GÜVENLİĞİ NEDEN ÖNEMLİ? Bilgi uygun şekilde korunmazsa! Kuruma ait bilgiler çalınabilir veya açığa çıkabilir, Kurumsal imaj sarsılabilir, Vatandaş mağduriyeti ve memnuniyetsizliği oluşabilir, İş sürekliliği aksayabilir, Yasal yaptırımlarla karşılabilir, Gizli veya uluslararası öneme sahip bir belge ele geçebilir, Elektronik ortamda sizin adınıza işlem yapılabilir,
BİLGİ GÜVENLİĞİ OLAYLARI Panama Belgeleri ele geçirilerek sızdırıldı! ‘Panama Belgeleri’, Panamalı hukuk firması Mossack Fonseca’ya ait, aralarında on iki dünya lideri ile çok sayıda bürokrat ve iş çevrelerinden önemli kişilerin bulunduğu tarihin en büyük para aklama ve vergi kaçırma skandalı olarak nitelendirilen dokümanların ele geçirilerek sızdırılması olayıdır. Toplamda 11 buçuk milyon doküman sızdırılmış ve 2. 6 terabyte’lık (TB) veri ele geçirildi. Bu olay sonucunda milyonlarca dolar yatırımı bulunan İzlanda Başbakanı baskılar sebebiyle istifa etti.
BİLGİ GÜVENLİĞİ OLAYLARI 50 Milyon Türk Vatandaşının Kimlik Bilgileri Çalındı. 2016 yılında Hacker’lar tarafından 50 Milyon Türk vatandaşının kimlik bilgileri ele geçirilerek internet ortamında paylaşıldı.
BİLGİ GÜVENLİĞİ OLAYLARI Hastanelerde Sistem çöktü, gün boyu erişim sağlanamadı! Hasta kayıt, muayene, tetkik, yatış ve diğer tüm işlemlerin gerçekleştirildiği sistem çöktü, gün boyu süren arıza hastanelerin çalışmalarını adeta felce uğrattı.
BİLGİ GÜVENLİĞİ OLAYLARI POS cihazının yazılımını değiştirip, evlere sipariş götürürken kredi kartı bilgilerini ele geçirip vatandaşları dolandırdılar. İstanbul'da 5 Motosikletli Kurye yazılımı değiştirilmiş POS cihazlarıyla sipariş götürdükleri kişilerin kart bilgilerini kopyalayarak 50 bin lira dolandırdı.
YANLIŞ DÜŞÜNCELER Güvenlik ihlalinin mazereti olmaz! Ne iş yaptığımızı zaten herkes biliyor. Bilgiler ele geçirilse ne olur? İkimizde zaten aynı işi yapıyoruz. Aynı proje veya evraklar başka kurumlara da gidiyor. Bu proje zaten ilana çıkacak, neden bu kadar saklıyoruz. Kullanılan güvenlik teçhizatını herkes satın alabilir. Virüsten korunma yazılımımız var, ben güvendeyim! Güvenlik duvarı – Firewall kullanıyoruz, dolayısıyla güvendeyiz.
YANLIŞ DÜŞÜNCELER Güvenlik ihlalinin mazereti olmaz! Bilgisayarla pek işim olmuyor. Bu konu beni ilgilendirmez. Bilgimin bir kopyasını alıyorum, güvenlik sorunum yok! Şüpheci olmaya gerek yok. En fazla bir kaç önemsiz dosya gider. Güvenlikten bilgi işlem sorumludur, benim bilmem gerekmiyor. Bilgisayardan pek anlamıyorum. Bu işler zor ve karışık. Bugüne kadar bir şey olmadı bundan sonra da olmaz. Şifremi başkasına vermemde hiçbir sakınca görmüyorum.
BİLGİ GÜVENLİĞİNDEN KİM SORUMLU? TÜM ÇALIŞANLAR SORUMLUDUR.
KULLANICILARIN SORUMLULUKLARI § Güvenlik ihlallerinin bildirilmesi, § Güvenlik ihlali yapan veya yapma ihtimali olan kişilerin uyarılması, § Güvenlik kurallarından haberdar olunması ve kurallara uyulması, § İlgili kanunların bilinmesi, § Kurumsal bilginin kurumda kalması, § İç ve Dış bilgi toplama faaliyetlerine karşı tedbirli olması, § Sorumluluğunda olan bilgileri § koruması. Zayıf halka olmayın!
FİZİKSEL GÜVENLİK KURALLARI 1 - Odalar kimse olmadığında kilitli tutulmalı, 2 - Bilgi içeren medyalar kilitli ortamlarda bulunmalı, 3 - Yazıcı, fotokopi ve faks cihazlarında belge bırakılmamalı, 4 - Her tür bilişim cihazı güvenlik prosedürlerine uygun kullanılmalı, 5 - Güvenlik gerektiren alanlarda çalışma kuralları belirli olmalı, 6 - Güvenli alanlara kayıt cihazlarının sokulmasını önleyici tedbirler konulmalı, 7 - Fiziksel olarak erişilmesi gereken sistem cihazı ve sistem merkezlerine erişim kontrollü olmalıdır.
FİZİKSEL GÜVENLİK Toplantı bitişlerinde tahta üzerinde yazılı bilgiler silinmeli, toplantı notları salonda bırakılmamalıdır.
FİZİKSEL GÜVENLİK Fiziksel varlığın kullanım amacını engelleyen tedbirler alınmamalıdır.
FİZİKSEL GÜVENLİK İşe yaramayan önlemler alınmamalıdır.
FİZİKSEL GÜVENLİK Maksadı aşan güvenlik tedbirleri alınmamalıdır.
FİZİKSEL GÜVENLİK Alınacak fiziksel güvenliğin fayda-maliyet analizi yapılmalıdır.
FİZİKSEL GÜVENLİK Fiziksel güvenlik doğru planlanmalıdır.
FİZİKSEL GÜVENLİK Alınan tedbirlerin işe yarayıp yaramadığı denetlenmelidir.
TEMİZ MASA - TEMİZ EKRAN 1 8 2 3 4 7 6 5
BİLGİSAYAR GÜVENLİĞİ 1 - Parola bir başkasına iş maksatlı dahi verilmemeli, görülmesi engellenmeli, 2 - Bilgisayardan kalktığımızda ekran kilidi devreye sokulmalı (Windows + L) 3 - Kurumsal kurulum haricinde yazılım kurulmamalı veya engellenmeli, 4 - Bilgisayara bilgi sistemlerinin kontrolü dışında donanım eklenmemeli, 5 - Dizüstü bilgisayarlar dış mekanda açıkta bırakılmamalı, araçların bagajında taşınmalı, 6 - Güvenliğinden emin olunmayan kablosuz ağlara bağlanılmamalıdır, 7 - Başkasının bilgisayarında sadece kendi hesabımızla oturum açılmalı, 8 - İş gereği takılan harici disk, USB bellek antivirüsle taranmalıdır.
MOBİL CİHAZ GÜVENLİĞİ 1 - Yabancı kablosuz internet erişimleri kullanılmamalı, 2 - Kullanıcı, mobil cihazı yanında taşımalı, 3 - Yabancı uygulamalar üzerinden kurumsal veri paylaşılmamalı, 4 - Güvenliğinden emin olunmayan uygulamalar indirilmemeli,
İNTERNET GÜVENLİĞİ 1 - Kritik bilgiler kurum ağını kullanarak iletilmeli, 2 - Gizli bilgiler internet ortamında iletilmemeli, zorunlu ise şifrelenerek iletilmeli, 3 - Güvenliğinden emin olunmayan web sitelerine girilmemeli, 4 - İnternette kullanılan servisler ile kuruma ait servislerde farklı parolalar kullanılmalı, 4 - İyi bilinen, güvenilir sitelerden işlem yapılmalı, 4 - Başka bir internet sayfası üzerindeki ya da e-posta ile gelen bağlantılardan alışveriş yapılmamalı.
İNTERNET GÜVENLİĞİ Bir web sitesinin güvenli olup olmadığı nasıl anlaşılır? Güvenlik Durumu SSL kullanmıyor. Bu tarz sayfalara, kullanıcı adları ve şifreler gibi hassas bilgileri girmeyin. SSL kullanıyor. Güvenlik kilidi aktif. Kullanıcı girişi yapmanız ve hassas bilgiler girmeniz gerektiğinde bu özellik mutlaka olmalıdır. SSL kullanmaktadır ancak Google Chrome sayfada güvenli olmayan içerik saptamıştır. Hassas bilgiler girmekten sakının. SSL kullanmaktadır ancak Google Chrome sitede riski yüksek, güvenli olmayan içerik saptamış veya sitenin sertifika sorunu bulunmaktadır. Hassas bilgiler girmekten sakının. Simge
İNTERNET GÜVENLİĞİ Pharming - Sahte siteye yönlendiren saldırı
İNTERNET GÜVENLİĞİ Sahte Browser
İNTERNET GÜVENLİĞİ Gerçek Bir Hackleme Hikayesi
PAROLA GÜVENLİĞİ Parolaların « 123456» olmasından dolayı hacklendiler Kurum personellerinin güvenli parola yerine « 123456» gibi basit parola kullanmaları sebebiyle bazı resmi kurumlar hacklendi. • Bilgi Teknolojileri ve İletişim Kurumu / 14 Şubat 2012 • İçişleri Bakanlığı / 20 Nisan 2012 • Ankara Emniyet Müdürlüğü / 26 Şubat 2012
PAROLA GÜVENLİĞİ Parolalar ne kadar sürede kırılabilir? « 123456» Anında kırılabilir. Uzunluk Parola karakterleri Küçük harf 6 karakter 10 saat Küçük ve büyük harf, rakamlar, semboller 18 gün Küçük harf ve büyük harf Küçük ve büyük harf, rakamlar, semboller Küçük harf 8 karakter Küçük harf ve büyük harf Küçük ve büyük harf, rakamlar, semboller Küçük harf 9 karakter 10 dakika Küçük harf ve büyük harf Küçük harf 7 karakter Kırılma süresi Küçük harf ve büyük harf Küçük ve büyük harf, rakamlar, semboller 4 saat 23 gün 4 yıl 4 gün 3 yıl 463 yıl 4 ay 178 yıl 44530 yıl
PAROLA GÜVENLİĞİ 1 - Kurumsal parolanız size özeldir, başkasıyla paylaşmayın, 2 - Parolanızı belirli aralıklarla yenileyin, 3 - Kurumsal hesabınız verilirken parolanızın güvenliğini sağlayacağınız konusunda taahhütnameniz bulunmaktadır. 4 - Parolanızın ele geçmesi durumunda yapılan her işlemin sorumluluğu sizdedir. SOSYAL MEDYA HESABINIZIN PAROLASINI BAŞKA BİRİNE VERİR MİYDİNİZ? KURUMSAL PAROLANIZ HACKERLAR İÇİN DAHA DEĞERLİDİR!
PAROLA GÜVENLİĞİ Parolanız not kağıdına yazılmamalı, açıkta olmamalı.
PAROLA GÜVENLİĞİ Güçlü parola nasıl oluşturulur? En az 8 karakter • Büyük ve küçük harf • !, %, @, | alfa numerik karakter • Rakam kullanılmalıdır. ÖRNEK: Y 2 rv 7*A@
PAROLA GÜVENLİĞİ Güçlü parola nasıl oluşturulur? Parolanızın başkası tarafından kullanıldığını ya da bilginiz olmadan sizin adınıza işlem yapıldığını fark ederseniz/şüphelenirseniz; 1. Parolanızı hemen değiştirin, 2. «BGYS-F-10 GÜVENLİK İHLALLERİ BİLDİRİM FORMU» doldurun. 3. Yardimmasasi. ogm. gov. tr adresinden vakit geçirmeden iletin.
PAROLA GÜVENLİĞİ Parolanızı sorsalar, ne cevap verirdiniz?
GÜVENLİ OLMAYAN YAZILIMLAR 1 - Bilgilerinizi çalabilir ve başkalarına gönderebilir, 2 - Bilgilerinizi silebilir, kopyalayabilir veya yeni dosyalar ekleyebilir, 3 - Yaptığınız her şeyi kaydedebilir, 4 - Başka zararlı programların bulaşmasına yol açabilir, 5 - Diskinizi silebilir, biçimlendirebilir, 6 - Diğer zararlı programların bulaşmasına yol açabilir, 7 - Bilgisayarınız üzerinden başkalarına saldırabilir, 8 - Diğer zararlı programların bulaşmasına yol açabilirler,
E-POSTA GÜVENLİĞİ Gelen e-postanın sahte olup olmadığını nasıl anlar sınız? 1 - Genelde yabancı e-posta adresidir. Detayına baktığınızda sahtedir. brian 316@prebyte. net, Gelen kurumun alan adını içermez. 2 - İletilen metin de yazım yanlışları ve imla hataları vardır. Tanınmış bir markadan, güvenilir bankadan veya tanınmış bir kurumsal firmadan eksik harflerle, noktalama, imla ve diğer yazım yanlışlarıyla dolu bir e-posta alma ihtimaliniz çok düşüktür. 3 - Kişisel bilgilerinizi girmeniz istenir. Kullanıcı adı, parola, banka kartı bilgileri, banka güvenlik bilgileriniz. 4 - İçinde tehdit veya geri çevrilemeyecek kadar değerli bir teklif vardır. Dikkat hesabınız kapanacak, Şifreniz ele geçirildi, Fatura ödemeniz gecikti, Bilgilerinizi girin hediyenizi gönderelim.
E-POSTA GÜVENLİĞİ 1 - Kaynağı bilinmeyen e-postalar kesinlikle açılmamalı, 2 - İçeriğinden şüphelenilen e-postaların kaynağı doğrulanmalı, 3 - E-posta ekleri çalıştırılmadan önce antivirüs taramasından geçirilmelidir, 4 - E-posta içerisinde bulunan linklere tıklanmamalıdır, 5 - İçeriğinden emin olunmayan veya insan zaaflarını kullanan e-postalar paylaşılmamalıdır, 6 - Kurumsal e-posta hesapları kurumsal işler için verilmiş resmi adreslerdir. Kişisel yazışma, kişisel üyelik, kişisel bilgilendirme, tanıtım, tebrik ve kutlama vb. amaçlı kullanılması e-posta kullanım kurallarına ait prosedüre aykırıdır.
E-POSTA GÜVENLİĞİ Sahte e-posta E-posta şifrenizin ele geçirildiği, bilgisayarda ki bütün bilgiler ve ekran görüntünüzün alındığı, verilen adrese 1000 dolar değerinde bitcoin göndermemeniz halinde e-postanızda bulunan bütün kişilere ifşa edileceğiniz şeklinde bir tehdit içeren sahte e-posta almış olabilirsiniz. Ele geçirme durumu bulunmamaktadır. Bu eposta başka bir resmi kurumun açık olan exchange relay özelliği kullanılarak gönderilmektedir.
E-POSTA GÜVENLİĞİ Sahte e-posta ZORUNLU BİLDİRİM! Bu bildirim, [Outlook Web App] e-posta hesabınızı düzenli olarak kontrol eden ve bakımını yapan BT hizmetine aittir. En son 2019 sürümüne güncellemek için OWA eposta hesabınızı doğrulamanız istenecektir; bu, eposta hesabınızın gelecek 24 saat içinde devre dışı bırakılmasını önlemek için zorunludur. Doğrulamak ve güncellemek için E-POSTA GÜNCELLEME-VERİFİKASYONU'nu tıklayın ve giriş portalı üzerinden giriş yapın. E-posta hesabınızı doğrulamak ve güncellemek için BURAYA TIKLAYIN. İçtenlikle, Yardım Masası Yöneticisi. Posta Güncelleme Bölümü. Orman Genel Müdürlüğü Bilgi Sistemleri Dairesi Başkanlığı tarafından hiçbir zaman uygulamanın güncelliği için Kullanıcı bilgilerinizi doğrulamanız gerektiği şeklinde e-posta göndermez. Kurumsal bütün uygulamalar merkezi olarak otomatik olarak güncellenir. Veya güncelleme işlemi Bilgi İşlemden sorumlu bir teknik personel tarafından sizin izninizle gerçekleştirilir.
YEDEKLEME 1 - Bilgi Sistemleri Dairesi Başkanlığı, kurumsal sunucular üzerinde bulunan uygulama ve veritabanlarının yedeğini almakla mükelleftir. 2 - Kullanıcı bilgisayarlarında bulunan bilgi ve belgelerin yedeklerinin alınması/aldırtılması ve saklanması işlemleri kullanıcı sorumluluğundadır. 3 - Yedeklerin alındığı cihazlar uygun şekilde korunmalıdır,
SOSYAL MÜHENDİSLİK Selçuk PARSADAN Sosyal mühendislik; internet, telefon, e-posta veya birebir insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle bilgiler elde edilmektedir. Türkiye tarihine geçmiş en büyük sosyal mühendislik olaylarından birisini gerçekleştirmiş kişidir, Yalnızca telefon yolu ile Cumhurbaşkanı, başbakan, belediye başkanı ve tanınmış başka kişileri dolandırmıştır, Örtülü ödenek ile yaptığı en büyük dolandırıcılığından sonra yakalanarak yaklaşık 5 yıl hapis cezasına çarptırılmıştır.
SOSYAL MÜHENDİSLİK Sosyal mühendisler bu konuda eğitimli olup, en hassas duygularınızı kullanırlar. Birilerinin sizden kurumsal bilgi ve belge elde etmeye çalıştığını hissettiğinizde iletişimi sonlandırın. Prof Dr. Canan Karatay Telefon yolu ile kendisine ulaşan dolandırıcılar, kendilerini polis olarak tanıttı, Banka hesabının ve telefon hattının terör örgütü mensupları tarafından ele geçirildiğini ileri sürdü, Varlıklarının güvenliği için tüm parasını çekip, örgüt üyelerinin yakalanması için bir çöp konteynırına bırakması istendi.
SOSYAL MÜHENDİSLİK
BİLGİ SINIFLANDIRMA VE ETİKETLEME Gizli NATO Hizmete Özel Tasnif Dışı Kişiye Özel
BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ Bütün çalışanların, bilgi güvenliği kapsamında tespit ettikleri ihlal durumlarını bildirme sorumluluğu bulunmaktadır. 1. Kurumsal portal’dan (kurum. ogm. gov. tr) 27001 BGYS dökümanları «FORMLAR» klasöründen «BGYS-F-10 GÜVENLİK İHLALLERİ BİLDİRİM FORMU» ’nu indirip, doldurarak, 2. Yardimmasasi. ogm. gov. tr adresinden iletebilir.
- Slides: 50