28 Şubat 2014 Cuma

Veri Çalınması/Veri Hırsızlığı (Data Theft)

Veri çalınması kasıtlı olarak yetkisiz kişilerin bilgilere ulaşma ve ele geçirmesi durumudur. Veri çalınması olayları organizasyon dışından kişiler tarafından gerçekleştirilebileceği gibi, organizasyon içinden kişiler tarafından da gerçekleştirilmesi mümkündür. Örneğin küskün çalışanların veri hırsızlığı yaptığı durumlarla organizasyonlar sıklıkla karşı karşıya gelebilmektedir.

Organizasyon içerisinde olan kişiler için veri hırsızlığı kolaylıkla gerçekleştirilebilir. Kişilerin erişim yetkileri dahilinde organizasyon için bilgi güvenliğini ihlal ederek veri hırsızlığı yapmaları için herhangi bir araç kullanmalarına gerek kalmayabilir. Özellikle verilere dışarıdan yetkisiz erişim sağlamak isteyen kişiler ise sıklıkla zararlı yazılımlar kullanırlar. Keyloggerlar da bu işlemler için tercih edilen araçlardandır. Kullanıcı aktivitelerini izlerler ve kullanıcı adları, parolalar gibi önemli bilgiler elde ederek saldırgana ulaştırırlar.

Kullanıcılara ait banka hesapları, e-posta adresleri, sosyal medya hesaplarına giriş parolaları gibi önemli bilgilerin ve verilerin çalındığı olaylara dünyada çok sayıda örnek vermek mümkündür. Veri hırsızlığı olayları ayrıca kasıtlı olarak yapılan, laptop, CD, USB Bellek gibi ortamların çalınması yoluyla da gerçekleşir.

26 Şubat 2014 Çarşamba

Veri Kaybı (Data Loss)

Veri kayıpları verilerin kasıtlı olarak ele geçirilmesi dışında, verilerin yanlışlıkla kaybedilmesi ya da yok edilmesi sonucunda oluşur. Bu tip olaylar genellikle, veri taşıyan cihazların (medya ortamlarının) kaybedilmesi ile meydana gelir. Örnek olarak CD, DVD, Flash Bellekler, laptop, tablet, cep telefonu gibi bilgi depolanan araçların kaybedilmesi verilebilir.

Veri kaybı kazayla (kasıtsız) olarak gerçekleşse de kaybedilen ortam ve veri tehlike altına girecektir. Yetkisiz kişilerin erişimine açık ortamda bulunan veriler kolayca ele geçirilebilir hale gelecektir.

Veri depolama ortamının kaybolması riskine karşı şifreli diskler, uygulamalar, programlar, verilerin yetkisiz erişime karşı korunması amacıyla alınabilecek önlemler arasındadır.

24 Şubat 2014 Pazartesi

Veri Sızıntısı (Data Leakage)

Veri sızıntısı, bilgiye yetkili olmayan kişiler tarafından ulaşılmasıdır. Bu duruma örnek olarak, şirket çalışanların, müşterilerin ve ilişkili diğer kimselerin özel kimlik bilgilerinin üçüncü kimseler tarafından ele geçirilip halka açık internet sayfalarında yayınlanması gösterilebilir.

Veri sızıntılarını engelleme Güvenlik Bölümü çalışanlarının başlıca görevleri arasındadır. Sistem kullanıcıları dosyalarını, veri sızıntısının risklerini ve doğuracağı sonuçları tam olarak anlayamadan yollayabilir veya paylaşabilirler. Bu tip durumlara hazırlıklı olmak için; antivirüs yazılımları, şifreleme yazılımları, güvenlik duvarları DLP gibi otomatize yöntemlerle azaltacağı gibi, kişisel farkındalığın artırılması kilit öneme sahiptir.

21 Şubat 2014 Cuma

Exploit

Exploit, bilgisayar ve sistem üzerindeki açıklıklardan ya da hatalardan faydalanarak sistemlere sızma amacı taşıyan programlardır. Sistemlere erişim yöntemlerine göre exploitlerin çeşitleri mevcuttur:

  -Remote Exploit (Ağ üzerinden sistemle etkileşimde bulunurlar.
  -Local Exploit (Genelde sistemdeki yetkili kullanıcı özelliklerini kullanmak amacıyla oluşturulurlar)
    -Client Side Exploit ( Sistemle etkileşimde bulunduktan sonra bir kullanıcı tarafından tetiklenerek aktif olurlar)


Saldırganlar için exploitlerin en önemli avantajı sisteme sızarak “yetkili profil” oluşturabilmelidir. Exploitler saldırganlar tarafından açıklıklardan faydalanarak özel amaçlar için kullanılmak üzere tasarlanırlar. Yama yönetimi exploitlerden korunmak için oldukça önemlidir. Spesifik bir açıklık için yama güncellemesi yapıldığında exploitler etkisiz hale gelmektedir.

Zero-day exploit ise açıklık bilinirliği sağlanmadan önce gerçekleştirilen saldırılara verilen isimdir. Üretici/tedarikçi şirket açıklığı yayınlamadan önce zero day exploit saldırıları gerçekleştirilmiş olur. Öyle ki açıklık ilk defa saldırganlar tarafından tespit ediliyor olabilir.


Tüm işletim sistemleri ve uygulamalar exploitlerden etkilenmeye açıktır. Bu nedenle önlem için antivirüs ve endpoint güvenlik yazılımları kullanılmalı ve yama yönetimi gerçekleştiriliyor olmalıdır.

20 Şubat 2014 Perşembe

ISO 22301 İş Sürekliliği Yönetim Sistemi Eğitimi Açılıyor, 5-7 Mart 2014, Bostancı Green Park Hotel

Detaylı bilgi ve kayıt için lütfen egitim@btyon.com adresi ile irtibata geçiniz.

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ (ISO22301) UYGULAMA EĞİTİMİ

Eğitim Yeri : Green Park Hotel / Bostancı
Eğitim Tarihi : 5-7 Mart 2014
İş sürekliliği, iş işletmenin ürün ve servislerini kesinti olayı sonrasında kabul edilebilir seviyede sürdürebilme kapasitesidir.  İşletmenin iş süreçlerinin ne kadar kesintiye tahammül edebildiği ve süreçleri ön görülen süre içerisinde tekrar çalışır hale getirmek için neler yapılması gerektiği iş sürekliliği çalışmalarının temelini oluşturmaktadır. Bu eğitimde bir işletmenin ISO22301 standardına uygun İş Sürekliliği Yönetim Sistemi kurabilmesi için gerekli tüm bilgiler ve kavramlar uygulamalı olarak sunulacaktır. Eğitime ayrıca iş sürekliliği için büyük öneme sahip tedarikçi denetimleri konusu da eklenmiştir.
Kurumlarında iş sürekliliği çalışmalarını yürüten yöneticiler veya uzmanlar, iş sürekliliği çalışması yürütecek profesyoneller, kurumlarında risk yönetimi alanında çalışan yöneticiler veya uzmanlar,  iş sürekliliği konusunda kariyer planlayan uzmanlar, IT Risk yöneticileri, bilgi güvenliği yöneticileri, iş sürekliliği ekiplerinde yer alan orta ve üst seviye yöneticiler, iş sürekliliği uzmanları.
Ali DİNÇKAN, CBCI, CISA, CRISC, CEH, CCNP
• İş Sürekliliği ve ISO22301
         o İş sürekliliği nedir? İş Sürekliliği Yönetimi nedir?
         o Organizasyona ne kazandırır?
         o İş sürekliliği yönetiminde yaygın kullanılan standartlar ve en iyi uygulamalar
         o İş sürekliliği yönetimi temel parçalarının tanıtımı
         o Uygulama 1 ISO22301 terimler ve tanımların kavranması
         o Uygulama 2 ISO22301 PUKÖ (Ana başlık eşleştirme)
         o Uygulama 3 ISO22301 PUKÖ (Faaliyet Eşleştirme)
• Planlama Aşaması - Organizasyonun İçeriği
         o Organizasyonu ve içeriğini anlamak (iç ve dış konular)
         o İlgili tarafların ihtiyaçlarını ve beklentilerini anlamak
         o Yönetim Sisteminin kapsamını belirleme
         o İş Sürekliliği Yönetim Sistemi
• Planlama Aşaması – Liderlik
         o Üst yönetim taahhüdü
         o Üst yönetim sorumlulukları
         o İş sürekliliği politikası ve politika örneği
         o Sorumlulukların atanması
• Planlama Aşaması – Planlama
         o Risk ve fırsatlar için aksiyonları belirleme
         o İş Sürekliliği hedefleri
• Planlama Aşaması – Destek
         o Kaynaklar yetkinlikler farkındalık
         o Eğitim ihtiyaç analizi
         o Eğitim planı ve yıllık eğitim planı örneği
         o Eğitim sonrası faaliyetler
         o Üst yönetim farkındalığı ve İSYS kurulum eğitimleri
         o Kurtarma takımı eğitimleri ve tatbikat eğitimleri
         o Genel farkındalık eğitimlerir
         o Dokümante edilmiş bilgi kavramı
         o Gerekli prosedür ve süreçler
         o Dokümantasyon genel bakış
• Uygulama Aşaması – Operasyon - İş Etki Analizi Kavramlar, Teknikler ve Uygulamalar
         o İş etki analizi nedir ve iş sürekliliği çalışmalarındaki yeri neresidir?
         o RTO, RPO, MTPoD (MAO) kavramları
         o İş Etki Analizi (İEA) süreci
         o İş etki analizi ile ilgili ISO22301 şartlarının açıklanması ve iş etki analizi sürecinin özeti./p>
         o Uygulama 4 – İş Etki Analizi Uygulamasıı
• Uygulama Aşaması – Operasyon – İş Sürekliliğinde Risk Yönetimi
         o İş sürekliliği risk yönetimi nedir ve iş sürekliliği çalışmalarındaki yeri
         o Risk kavramları
         o İş sürekliliği risk yönetiminde dikkat edilecek hususlar
         o İş Sürekliliği risk yönetimi
         o Sonuçlar nerede kullanılacak?
         o İş sürekliliği risk yönetimi ile ilgili ISO22301 şartlarının açıklanması ve risk yönetimi çalışmalarının özeti.
         o Uygulama 5 – Risk Analizi Uygulaması
• Uygulama Aşaması – Operasyon – İş sürekliliği Strateji Geliştirme Çalışmaları
         o İş sürekliliği yönetim stratejilerinin tanıtımı
         o Strateji seçeneklerinin belirlenmesi ve karar verilmesi
         o İş sürekliliği stratejileri ile ilgili ISO22301 şartlarının açıklanması
• Uygulama Aşaması – Operasyon – İş sürekliliği Planları ve Prosedürleri
         o Olay yönetim sürecinin tasarlanması ve hayata geçirilmesi
         o Olay tepki yapısının oluşturulması
         o Olay yönetim planlarının tanıtımı ve içeriği
         o Olay yönetim planı ile ilgili ISO22301 şartlarının açıklanması ve denetlenmesi.
         o İş sürekliliği planları
         o İş sürekliliği planı ile ilgili ISO22301 şartlarının açıklanması ve iş sürekliliği planlarının denetimi.
• Uygulama Aşaması – Operasyon – İş sürekliliği Tatbikat ve Testleri
         o İş sürekliliği tatbikat kavramı ve çeşitleri
         o İş sürekliliği planlamasında tatbikatların yeri
         o Tatbikat programı hazırlama ve içeriğinde bulunması gerekenler
         o Kapsam belirleme
         o Tatbikat süreci tasarımı ve uygulanması
         o Tatbikatın hazırlığı
         o Tatbikat gerçekleme ve ölçümler
         o Tatbikat sonrası değerlendirmeler
         o İş sürekliliği tatbikatları ile ilgili ISO22301 şartlarının açıklanması ve iş sürekliliği tatbikatlarının denetlenmesi
• Kontrol Et Aşaması – Performans ve Değerlendirme
         o İzleme, Ölçme, analiz ve değerlendirme
         o İç denetim
         o Yönetim gözden geçirmesi
         o Tedarikçi değerlendirmeleri
• Önlem Al Aşaması – İyileştirme
         o Uygunsuzluk ve düzeltici faaliyet
         o Sürekli İyileştirme
Detay bilgi için lütfen egitim@btyon.com.tr adresine İSY-02 konulu e-posta gönderiniz.
BTYÖN Danışmanlık, Eğitim, Yazılım Ve Teknoloji Hizmetleri San. Ve Tic. Ltd. Şti.
İnönü Cad. Sümer Sok. Zitaş Blokları C-1 Blok Daire:8 34736 Kozyatağı / İSTANBUL

İstihdam Süresince-Disiplin Süreci

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.3 Disiplin Süreci

Kontrol: Bilgi güvenliği ihlaline karışan bir çalışana ne yapılacağına ilişkin, resmi ve bildirilmiş bir disiplin süreci olmalıdır.

Uygulama Kılavuzu:
Disiplin süreci bilgi güvenliği yönetimi sürecinin en sıkıntılı konu başlıklarından biridir.  Etik olarak ve kişi haklarını ihlal etmeden bilgi güvenliğinin sağlanması gerekliliği ana motivasyon kaynağı olmalıdır. Disiplin süreci ihlal olayına karışmayan çalışanları güvence altına alacak şekilde düzenlenmelidir.
Bilgi ihlali gerçekleşmeden ve ihlal olayı ile ilgili kesin bilgi sahibi olunmadan disiplin süreci başlatılmamalıdır.
Disiplin süreci adil ve doğru olarak işletilmelidir. İhlal olayı değerlendirilirken, işe vekuruma etkisi göz önünde bulundurulmalıdır. Kasıt veya kazara olmasına, aynı zamanda tekrarlı olup olmadığına bakılmalıdır.
Disiplin süreci öncelikle caydırı nitelikte olmalıdır. Olayın büyüklüğüne göre süreç işletimi boyunca sorumlulukların bir kısmının devre dışı bırakılması gerekli durumlarda uygulamaya alınmalıdır.

Disiplin sürecinin kendisine ödüllendirici bir boyut da kazandırılabilir. Bilgi güvenliğine pozitif katkı yapanlar bu bağlamda teşvik edilip ödüllendirilebilir.

19 Şubat 2014 Çarşamba

Fake Antivirüs Malware (Sahte Antivirüs Zararlı Yazılımları)


Sahte Antivirüs zararlı yazılımları, bilgisayar kullanıcılarını genellikle sahte virüs tehdidi algılandı uyarısıyla (pop-up mesajı) karşılayarak zararlı yazılımın, virüs temizlemek yada taramak amacıyla indirilmesine teşvik ederler. Bu tip uyarılar genellikle zararlı web sayfalarında görülür ve online virüs tarama dokümanı görüntülerler.

Siber suçlular ise bu yöntemi kullanıcıları zararlı içerik sağlayan sitelere çekerek ya da yasal siteleri ele geçirerek, spam mesajlar göndermek için kullanırlar. Bu tip yazılımların en popüler arama sitelerinde kullanıcıların karşılarına çıktıları görülmektedir.

Sahte antivirüs yazılımları son dönemlerde mobil telefonlar, tabletler de dahil olmak üzere tüm internet erişimli cihazlar için tehlike oluşturmaktadır. Mobil uygulamalara pop-up mesajları olarak günlük hayatta sıklıkla sayısız kullanıcının karşısına çıkabilmektedir. Saldırgan gruplar için finansal karlılık açısından tercih edilen bir yöntem olmaya başlamıştır.

Bu tip yöntemlerle zararlı yazılım bulaşmasının önlenmesi amacı ile yasal antivirüs programları kullanılmalıdır. Bir başka korunma yöntemi ise bu tip tehditlere karşı bilinçli olunmalı ve şüpheli olabilecek linklerden kaçınılmalıdır.

18 Şubat 2014 Salı

Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.2 Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

Kontrol: Kuruluştaki tüm çalışanlar ve ilgili yükleniciler, kendi iş fonksiyonları ile ilgili olarak uygun bilgi güvenliği farkındalığı eğitimini almalı ve kurumsal politika ve prosedürler hakkında düzenli olarak bilgilendirilmelidir.

Uygulama Kılavuzu:
Öncelikle bilgi güvenliği farkındalık programı, kuruluştaki çalışanların ve ilgili yüklenicilerin, bilgi güvenliğine ilişkin sorumlulukların anlaşılmasını hedeflemelidir.
Bilgi güvenliği farkındalık programı kuruluşun politika/prosedür/standartlarına paralel olarak geliştirmelidir ve kuruluşun bilgi varlıklarının korunması ve uygulanan kontrolleri tanıtıcı özellikte olmalıdır. Farkındalık programının etkinliğini artırmak için kurum içi ödüllendirme mekanizmaları, yarışmalar  ve “Farkındalık Günü” gibi çalışmalar önemli ölçüde katkı sağlayacaktır.

Farkındalık programı, çalışanlar ve ilgili yüklenicilerden beklentileri açıkça ifade etmelidir. Farkındalık programı bir düzen çervesinde ele alınmalı ve periyodik olarak tekrarlanmalıdır. Gerekli durumlarda yeni çalışanlar ve düzeltici faaliyet olarak tekrarlanması için program gerekli esnekte tasarlanmalıdır. Farkındalık eğitimleri, kurum içi yıllık eğitim programı takvimine alınmalıdır. Farkındalık eğitimi kurumsal ihtiyaçlara göre güncellenmeli ve gerekli durumlarda uzmanlardan destek alınmalıdır.

Bilgi Güvenliği Farkındalık eğitiminde aşağıdakilerle sınırlı olmamak üzere aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;
  •         Üst yönetimin Bilgi Güvenliği’ne bakış ve desteği
  •         Politika, prosedür, talimatlar, yasalar ve düzenlemelerle kuruluş bünyesine dahil olan bilgi güvenliği gereksinimlerin tanıtılması
  •         Son kullanıcı sorumlulukları, hesap verebilirlik
  •       Temel düzeyde yönetim sistemi gereksinimleri (ihlal olayı bildirme, temiz masa temiz ekran kurallarına uyum v.b)
  •         Ek bilgi gereksinimi için kaynaklara nerden ve nasıl ulaşılacağı
  •         Bilgi güvenliği iletişim kanallarının tanıtılması (acil danışma hattı, e posta grubu v.b)

Bilgi güvenliği farkındalık programı, sınıf içi eğitim olabileceği gibi e-öğrenme ve self-study (kendi başına çalışma) şeklinde planlanabilir.

Bilgi güvenliği kontrolleri anlatılırken sadece ne ve nasıl yapıldığından çok neden yapıldığı ve kök nedenlerden de bahsedilmesi, kuruluş bünyesinde anlaşılmayı kolaylaştıracaktır.

17 Şubat 2014 Pazartesi

Rootkit

Rootkit bilgisayar üzerinde çalışan programları gizleyen bir yazılım parçasıdır. Bu yüzden zararlı yazılımlar genellikle rootkit’leri yükleyerek bilgisayar üzerindeki faaliyetlerini gizlemeyi amaçlarlar. Bilgisayar ve ağlara yönetici düzeyinde erişim hakkı elde edip, tüm sistemi kontrol edebilecek düzeye gelebilirler.

Rootkitler tek başlarına tehlikeli olmayabilir. Ancak beraberlerinde tehlikeli bir virüs/zararlı yazılım çeşidi ile birlikte yüklendiklerinde ciddi tehlike teşkil ederler. Rootkit keylogger zararlı yazılımlarını, parola çözücü programları saklayarak içerdikleri/topladıkları hassas bilgileri internet aracılığı ile saldırganlara gönderilmesi amacıyla kullanılabilirler.

Rootkitleri antivirüs programlarının tespit etmesi güç olabilmektedir. Bu yüzden endpoint güvenlik ürünlerinde rootkitlerin tespiti ve bilgisayardan kaldırılabilmesi için özel geliştirmeler yapılmıştır. Buna rağmen bazı rootkit zararlı yazılımlarının tespiti ve kaldırılabilmesi için daha kapsamlı ürünler ve stratejiler gerekebilmektedir.

14 Şubat 2014 Cuma

Brute Force Attack

Brute Force (Deneme/Yanılma) saldırıları bir sisteme yada dosyaya yetkisiz erişebilmek için kullanıcı adı ve parolalarda çok sayıda numara ve karakter kombinasyonlarını deneyen saldırı türüdür. Saldırı süreleri kullanıcı bilgilerinin kompleks olma durumuna göre değişmektedir. 
Brute Force saldırılarını engellemenin yolu ise parola ve şifrelerin güvenli seçilmesidir. Bunu gerçeklemek için yeterince güçlü, en az bir sayı, özel karakter, büyük ve küçük harf içeren parolalar seçilmelidir. Bu parolalar mümkün olduğunca uzun olmalı ve kişisel bilgilerle tahmin edilebilir olmamalıdır. Bunu sağlamak için kullanılan arabaların plakaları, yakınlarımızın doğum tarihi, isim bilgileri, futbol takımı, şehir, popüler müzik ve kitap isimleri parola olarak seçilmemesi tavsiye edilmektedir. Ayrıca seçilen parolalar belirli periyotlarla güncellenmelidir.

13 Şubat 2014 Perşembe

İnsan Kaynakları Güvenliği -Yönetimin Sorumlulukları-




7.2 İstihdam Süresince
Amaç:  Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.1 Yönetimin Sorumlulukları
 Kontrol: Yönetim, tüm çalışanlar ve yüklenicilerden, kuruluşun politika ve prosedürlerine uygun olarak, bilgi güvenliğini uygulamalarını istemelidir.
Uygulama Kılavuzu:

Yönetimin sorumluklarına ilişkin aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır.
-Gizli bilgiye erişimin sağlanmasından önce bilgi güvenliği rol ve sorumlulukların etkin ve etkili bir biçimde aktarılması
-Çalışanların ve yüklenicilerin kuruluşun bilgi güvenliği politikalarına uyumu konusunda desteklenmesi ve motive edilmesi
-Çalışanların ve yüklenicilerin belirlenen seviyede bilgi güvenliği farkındalığına erişmesi için gerekli desteğin sağlanması
-Yönetim, çalışanların ve yüklenicilerin istihdam süresince bilgi güvenliği politikalarına ve çalışma yöntemlerine uygun olarak çalıştığının garanti altına alınması
-Çalışan ve yüklenicilerin gerekli bilgi seviyesi ve yetkinlikte kalması adına eğitim programı düzenlenmesine öncülük etmesi
-Politika ve prosedürlere ilişkin uyumsuzlukların, bağımsız şekilde raporlanmasını sağlayacak kontrollerin geliştirilmesi

Bilgi güvenliğinin hedeflenen etkinlikte olabilmesi adına, üst yönetim çalışanlar için rol-model olmalı ve örnek teşkil etmelidir.

Yönetimin desteğinin yetersiz olması durumda oluşabilecek ihlal olayları kuruluşa büyük zarar verebileceği göz ardı edilmemelidir.

12 Şubat 2014 Çarşamba

Spyware (Casus Yazılımlar)

Spyware (Casus Yazılımlar) izin almaksızın, reklam verme, kişisel bilgi toplama yada bilgisayar konfigürasyonunu değiştirme davranışlarında bulunan, adware yada önemli verileri takip eden yazılımlardır.

Spyware’ler web siteleri üzerinden bir pop-up mesajıyla çıkan yükleme bildirimine izin verilmesi yada bilgilendirme olmaksızın programın bilgisayara yüklenmesi ile bulaşabilir.


Spyware programı bilgisayara bulaştıktan sonra, gerçekleştirilen aktiviteleri izler ve üçüncü taraflarla paylaşımda bulunur. Spyware çalışırken bilgisayarı yavaşlatabilir, çalışamaz hale getirebilir. Antivirüs yazılımları ile bu tür zararlı yazılımların temizlenmesi mümkündür.

11 Şubat 2014 Salı

İnsan Kaynakları Güvenliği -İstihdam Koşulları-



7.1.2 İstihdam Koşulları
Kontrol: Çalışanlar ve yüklenicilerle yapılan sözleşmelerde, çalışanların, yüklenicilerin, kuruluşun bilgi güvenliğine ilişkin sorumluluklarına yer verilmelidir.

Uygulama Kılavuzu:
Çalışan ve yüklenicilerle imzalanan sözleşme yükümlülüklerde bilgi güvenliğini sağlamak adına aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

-Gizli bilgiye erişen çalışanların ve yüklenicilerin, gizli bilgiye erişiminden önce, ifşa etmeme(açığa vurmama) anlaşmalarını imzalamış olmalıdırlar
-Çalışanların ve yüklenicilerin yasalardan doğan yükümlülükleri ve haklarının tanımlanması (Ör: Fikri mülkiyet hakları, kişisel verilerin gizliliği)
-Çalışanlar ve/veya yükleniciler tarafından kullanılan bilgilerin, bilgi işleme bileşenlerinin, bilgi servislerinin kullanımına ilişkin kurumsal varlık yönetimi ve bilgi sınıflandırılmasına ilişkin sorumluluklar tanımlanması
-Dış taraflar veya diğer kurumlardan edinilen bilgilerin çalışanlar ve yükleniciler tarafından kullanım şekli ve esasları
-Tanımlanan bilgi güvenliği gereksinimlerine uyulmaması durumunda alınacak aksiyonların tanımlanması

İşe başlayacak adaylara, işe başlama öncesi bilgi güvenliği rol ve sorumlulukları hakkında bilgi verilmesi faydalı olacaktır.

Ek olarak istihdamın sonlanması ile birlikte tanımlanan süre boyunca gizli bilgilerin ifşa edilmeyeceğine dair sözleşme maddesi gerekli olacaktır.

10 Şubat 2014 Pazartesi

Denial Of Service (DoS)-Servis Sonlandırma Saldırıları

DoS saldırıları genel olarak sistemleri çalışamaz hale getirmek için yapılan saldırılardır. DoS saldırıları internet üzerinden gerçekleştirilebileceği gibi, ağ yapısı olan tüm ortamlar üzerinde gerçekleştirilebilir. Yani kablosuz ağlar ve yerel ağlarda DoS saldırılarının tehdit ettiği ortamlardır.

DoS saldırıları tek bir makinadan gerçekleştirilebilir yada bir saldırıyı gerçekleştirmek için birden çok bilgisayar/bileşen kullanılabilir. En çok karşılaştığımız haber türlerinden olan bilinen hacker grupların saldırıları DoS saldırıları şeklinde gerçekleşebilmektedir. Bu türden saldırılarda çoğunlukla roBOTNETworks (botnet)’ ler kullanılmakta ve dağıtık servis sonlandırma saldırıları şeklinde gerçekleştirilmektedir. (distrubuted denial of service-DDOS). Bu saldırı türünde bir çok farklı bileşen tek bir hedefin kaynaklarını tüketerek saldırılarını gerçekleştirir.


DoS saldırılarında hedef genellikle gizli bilgilerin ele geçirilmesi yada güvenlik kaybı değildir. Saldırılarda amaçlanan genellikle kişinin yada şirketin/kurumun prestij, zaman ve para kaybetmesidir. Saldırılardan etkilenen sistemlerde dosya ve programlarda zarar görebilmektedir.

7 Şubat 2014 Cuma

Mobile Phone Malware (Cep Telefonu Zararlı Yazılımı)

Mobile Phone Malware, akıllı telefonlar, tabletler, cep bilgisayarları gibi akıllı cihazlar için tasarlanmış zararlı yazılımlardır. 2010’dan beri mobil cihazlar sürekli artan zararlı yazılım tehdidi altındadır. Android ve IOS işletim sistemleri için çok sayıda zararlı yazılım mevcuttur. Ancak bu oranın IOS’a göre android cihazlarda çok daha yüksek olduğu görülmektedir.

Android cihazlar, dosya paylaşım siteleri aracılığı ile popüler uygulamaların zararlı yazılım içeren versiyonlarını yüklemeye olanak tanımaktadır. Bu gibi üçüncü parti kaynaklardan yüklenen uygulamaların zararlı yazılım içerme oranı oldukça yüksektir.

Benzer yazılımlar maddi kazanç elde etmek amacıyla kişisel bilgisayarlarda da kullanılabilmektedir. Mobil zararlı yazılımlar da sahte antivirüs yazılımları üzerinden yayılarak, gizli bilgilere ulaşabilmektedir.

Birçok güvenilir kaynak risk oluşturacak derecede gizli bilgi taşıyan uygulamalar barındırmaktadır. Örneğin reklam içerikli uygulamalar kullanıcının özel bilgilerinin (konum bilgisi, telefon numarası gibi) paylaşımına olanak tanımaktadır. Bu tip uygulamalarda “potentially unwanted applications” (PUAs), yani istenmeyen uygulamalar olarak nitelendirilmelidir.

Cep telefonu, tablet gibi akıllı cihazları zararlı yazılımlardan korumak için, işletim sistemine ait güvenlik güncellemeleri takip edilmeli ve yalnızca güvenilir kaynaklardan (Google Play, Apple iTunes vb.) uygulamalar yüklenmelidir. Mobil cihazlar için olan güvenlik yazılımları da cihazları zararlı yazılımlara karşı korumak için tercih edilen yöntemlerden biridir.

6 Şubat 2014 Perşembe

İnsan Kaynakları Güvenliği -Tarama-



A 7 İnsan Kaynakları Güvenliği
Amaç:  Çalışanlar ve yüklenicilerin kendi sorumluluklarını anlamalarını ve düşünüldükleri roller için uygun olup olmadıklarını sağlamak.

EK-A 7.1 İstihdam Öncesi

7.1.1 Tarama

Kontrol: Tüm işe alım adayları, yükleniciler ve üçüncü taraf kullanıcılar için ilgili yasa, düzenleme ve etik kurallara göre, iş gereksinimleri, erişilecek bilginin sınıflandırması ve alınan risklerle orantılı olarak geçmiş doğrulama kontrolleri gerçekleştirilmelidir.
Uygulama Kılavuzu:
Öncelikle ilgili tarama işlemi yasa ve mevzuatlarla belirlenmiş sınırların ötesine geçmemeli ve adaya tarama ile ilgili bilgi verilmelidir. Bu kontrol çalışılan sistemin hassasiyetine veya kuruluşun yapısına göre(Örn: Kamu kurumları) değişiklik gösterebilir.
Tarama faaliyeti sırasında aşağıdaki konu başlıklarınının göz önünde bulundurulması faydalı olacaktır;
-İş yaşamından ve kişisel yaşamdan referans kontrolü
-Özgeçmişin yeterlilik kontrolü
-Akademik ve profesyonel yetkinliklerin doğrulanması
-Bağımsız  kimlik doğrulması (Nüfüs Cüzdanı, pasaport, ehliyet v.b)
-Adli Sicil belgesi, adli geçmiş belgeleri
Çalışalacak birim güvenlik gereksinimleri gerektiriyorsa, kuruluş ek kontroller geliştirmeli ve uygulamalıdır.
Kuruluş, tarama faaliyetlerine ilişkin kısıtlamaları tanımlamalıdır. Tarama faaliyetlerini kurum içinde kim, ne zaman ve nasıl yapacağına ilişkin esaslar belirlenmelidir.
İnsan kaynaklarına ilişkin üçüncü taraf firmalarla çalışılıyorsa, tarama faaliyetlerine ilişkin sorumlulular ve gizlilik anlaşmaları yapılmalı ve kurallar tanımlanmalıdır.