ENERJİ PİYASASINDA BİLGİ GÜVENLİĞİNE VERİLEN ÖNEM GİDEREK ARTIYOR

EPDK’nın (Enerji Piyasası Düzenleme Kurumu) son dönemlerde geliştirdiği bilgi sistemleri projeleri ve bilgi güvenliğinin sağlanmasına ilişkin yayınladığı yönetmelik taslakları ile enerji sektöründe bilgi güvenliğinin sağlanmasına verilen önemin giderek arttığı gözlemlenmektedir.

EPDK’nın 2011-2015 stratejik planına göre EBİS yani EPDK Bilişim Sistemi Geliştirilmesi Projesi ile kurumun faaliyetlerinin (Denetim vb.) etkinliğinin ve izlenebilirliğinin arttırılması, zamanında ve güvenilir raporların oluşturulması, bilgi sistemleri yönetiminin sağlanması, doküman yönetimi, enerji piyasası veritabanı gibi sistemlerin hayata geçirilmesi planlanmaktadır.

EPDK bünyesinde bilgi sistemleri anlamında altyapı çalışmalarını sürdürürken, web sitesinde yayınladığı elektrik, doğal gaz, petrol piyasaları lisans yönetmeliklerinde öngördüğü değişiklikler ile enerji sektöründe yer alan özel ve kamu kurum/kuruluşlarının bilgi güvenliğini sağlamasına yönelik hükümler de ortaya koymaktadır. Tüm bu bilgi güvenliğinin sağlanmasına yönelik hükümlerin ise EPDK’na tabi kurumlar için ISO 27001 Bilgi Güvenliği Yönetim Sistemini işaret ettiği görülmektedir.

Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği Ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik

EPDK’nın web sitesinde geçtiğimiz aylarda “Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği Ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik” yayınlandı ve ilgili taraflardan görüş toplandı.

Yayınlanan yönetmelik taslağına göre Elektrik Piyasası, Doğal Gaz Piyasası ve Petrol Piyasası Lisans Yönetmeliklerine eklenecek yeni bir maddede özetle “kurumsal bilişim sistemi ve endüstriyel kontrol sistemlerinin bilgi güvenliği standartlarına uygun bir şekilde işletilmesi, Türk Akreditasyon Kurumundan akredite bir belgelendirme firması tarafından denetlenmesi ve uyumluluğun sürdürülmesi” istenmektedir.

Elektrik Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Elektrik Piyasası Lisans Yönetmeliğine tabi “OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış her bir üretim tesisi için ayrı ayrı olmak üzere üretim lisansı sahibi,  İletim Lisansı sahibi, Piyasa İşletim Lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere, Dağıtım Lisansı sahibi” firmalar için geçerli olacaktır.

Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Doğal Gaz Piyasası Lisans Yönetmeliğine tabi “İletim Lisansı sahibi ve Dağıtım Lisansı sahibi” firmalar için geçerli olacaktır.

Petrol Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Petrol Piyasası Lisans Yönetmeliğine tabi “Rafinerici Lisansı sahibi” firmalar için geçerli olacaktır.

Beklenen o ki önümüzdeki dönemlerde, bilgi güvenliği çalışmaları ve bilgi işleme sistemlerinin altyapı değişikliği enerji sektöründe hız kazanacaktır ve sektörde bilgi güvenliği anlamında ortak bir dil oluşturulacaktır.

Android - Kilit Ekranını Etkinleştirmek, Parola Koymak ve Parola İçerisinde Sayısal Karakterler Kullanılması

Cihazınızdaki kişisel ve ya kurumsal bilgilerinizi korumak için kilit ekranı oluşturmak fayda sağlayacaktır. Kilit ekranı; telefonunuzun şifresini bilmeyen kişilerin, telefonunuza erişimini engeller. Çok basit bir işlemle kilit ekranını etkinleştire bilir ve şifre koyabilirsiniz.

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Personal (Kişisel)” bölümünde
bulunan “Security (Güvenlik)” seçeneğine tıklıyoruz.

Bundan sonra karşımıza gelen ekranda ise “Screen Security (Ekran Güvenliği)” bölümünde bulunan
“Screen lock (Ekran kilidi)” butonuna basıyoruz.

Karşımıza ekran kilidi seçeneklerinin bulunduğu bir ekran çıkıyor. Buradan “Password (Şifre)”
seçeneğini seçiyoruz.

Bundan sonra karşımıza çıkan ekranda ise parolamızı gireceğiz fakat burada parolamızı oluştururken önemli bir nokta var. Parolamızı oluştururken mümkün olduğunca büyük-küçük harfler, işaretler ve rakamlar kullanarak güçlü bir parola oluşturmaktır. Parolanızı her telefonunuzu kullanacağınızda girmeniz gerektiğinde hatırlayabileceğiniz şekilde koymanızda fayda vardır. Parola en az 4, en fazla 17 karakterden oluşabilir ve içerisinde en azından bir harf içermesi gerekmektedir.

iOS Mobil Cihazı Parola ile Kilitleme

iOS 7 iPhone, iPad ya da iPod touch’da verilerinizi korumak için parola kullanmanız faydalı olacaktır. Aygıtınızı her açtığınızda ya da uyandırdığınızda, aygıta erişmek için parola istenecektir. Touch ID özelliği bulunan iPhone 5s'te telefon kilidini açmak için parmak izi de kullanabilirsiniz.

Konrolü için,

1. Ayarlar

2. Genel
3. Parolayla kitleme

İyileştirme,

1. Ayarlar           

2. Genel

3. Parolayla Kilitleme

4. Parolayı Aç

5. Bir parola girin

6. Parolayı yeniden girin

Kilitlemenin en önemli özelliği, 4 basamaktan daha fazla sayıda karakter içeren, karmaşık şifrelere de izin vermesidir.

Cihazın kilidini açmak için alfanümerik bir şifre ile korumak, yetkisiz erişim sağlamak isteyenler tarafından parolanın belirlenebilme zorluğunu arttıracağı için basit parola yerine karmaşık parola tercih etmek daha güvenli olacaktır. Bunun için basit parolanın kapatılması gerekmektedir.

Konrolü için,

1. Ayarlar

2. Genel

3. Parolayla Kitleme

4. Parolanızı girin

5. Basit parolanın kapalı olduğunu doğrulayın

İyileştirme,

1. Ayarlar

2. Genel

3. Parolayla Kitleme

4. Parolanızı girin

5. Basit Parolayı kapatın.

6. Eski parolanızı girin

7. Yeni, Karmaşık Bir Parola Girin

8. Sonraki ögesine dokunun

9. Karmaşık parolanızı tekrar girin

10. Bitti ögesine dokunun

Parmak İzi ile Koruma Yapılandırması

İzinsiz ‘paşarılı parola’ girişiminin önüne geçmede oldukça etkili bir yöntemdir. Bu özellik şu anda sadece 5S de bulunmaktadır. Çalışma yöntemi ise, izi önceden bırakılan parmağın, ev tuşuna basılmak sureti ile okutulması şeklindedir.

Kontrolü için,

1. Ayarlar

2. Genel

3. Parola & Parmak İzi

4. Parmak İzi

5. Parmak izi için, parola korumasının kapalı olduğunu doğrulayın

İyileştirme,

1. Ayarlar

2. Genel

3. Parola & Parmak İzi

4. Parmak İzi

5. Parmak izi için, parola korumasını kapatın

Ransomware (Fidyeci Yazılımlar)

Saldırganlar, Ransomware ile bilgisayar ve dosyalarınıza erişiminizi engelleyerek tekrar erişiminiz karşılığında fidye talep ederler. Bu türden zararlı yazılımlar kullanıcı verilerine erişerek rehin alırlar. Örneğin; kullanıcı bilgisayarında bulunan dokümanları parola ile korumalı bir dosyanın içerisine kopyalayarak, orijinal dokümanları siler. Verilerinin bulunduğu dosyaları kullanıcı açmaya çalıştığında kullanıcıya bir mesaj bırakarak fidye karşılığında verilerinin bulunduğu dosyanın parolasını vereceğini taahhüt eder. Fidye ödenmediği takdirde verilerin silineceği ya da kötü amaçla kullanılacağı gibi tehditler gönderebilirler.

Ransomware yoluyla saldırganlar kullanıcılara resmi otoriteler olarak da görünebilir. Pop-up penceresi, bir web sitesi ya da e-posta gibi yollarla, kullanıcıya mesaj göndererek, program ve dosyalarına erişebilmek için, kullanıcıda istenilen fidyeyi iletmesi istenebilir.

Kullanıcı bilgisayarına yüklendiği tespit edilen ransomware zararlı yazılımıyla ilgili olarak, temizlemeye yönelik güvenlik çözümleri kullanılmalıdır ve özellikle dönemsel olarak yaygınlaşan bu tip yazılımlara karşı dikkatli olunarak, farkındalık sağlanmalıdır.

Android Sürümünü Güncel Tutmak ve Güncel Sistemin Önemi

Android sürüm güncellemeleri; sistem, içerik, güvenlik, hız gibi birçok önemli özellik içerirler. Android sürümünüzü güncel tutarak daha iyi bir android deneyiminin yanında güncel güvenlik tehditlerine karşı da daha çok korunmuş olursunuz. Peki, cihazınızın Android sürümünü nasıl güncel tutarsınız;

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve en altta bulunan “About phone (Telefon hakkında)” seçeneğine tıklıyoruz.

Bundan sonra karşımıza gelen ekranda ise “System updates (Sistem güncellemeleri)” butonuna tıklayarak Android sürümümüzün güncel olup olmadığını kontrol edebiliriz.

iOS Mobil Cihazlarda Sistem Güncellemenin Önemi

Sistem güncellemesi

Çıkan güncellemeler ile işletim sisteminin sürümünü yükseltmek, olası güvenlik açıklıklarını düzeltmek ve olası güvenlik istismarlarını önlemek için faydalı olmaktadır.

Güncelleme kontrolü için,

1. Ayarlar

2. Genel

3. Hakkında

4. Sürüm 7.0.4

Bu güncel değerlere sahip değilse cihazınız

İyileştirme

iTunes kullanılarak güncelleme,

1. Cihaz bilgisayara usb kablosu aracılığı ile bağlanır

2. iTunes açılır

3. Cihazlar listesinde, bağlanan telefon seçilir

4. Güncelleme olup olmadığı denetlenir

5. İndir ve kur seçilir

6. Güncelleme bitene kadar bağlantı kesilmez

İlk adım söz konusu güncelleme paketinin inip, kurulabileceği bir alan hazırlamaktır. Yeterli hafıza olmadan, güncelleme başlamaz.

Wifi üzerinden güncelleme,

1. Ayarlar

2. Genel

3. Yazılım güncelleme

4. iOS güncellemeleri otomatik olarak kontrol edecektir. Mevcut güncelleme olması durumunda, İndir seçeneği ile yükleyebilir ve kurabilirsiniz.

5. Güncelleme bitene kadar cihaz kapatılmamalı ve kullanılmamalıdır. Bir güç kaynağına takılı olması ve yeterli kullanılabilir alana sahip olmak gerekmektedir.




Güncellemenin doğrulanmasının ardından, siyah ekran gelir ve cihaz güncellemelere uyarlanarak yeniden başlamış olur.

Mobil Cihaz Güvenliği

Bir bilgiye ilişkin aşağıdaki konumlardan herhangi birinde iseniz;

• Bilginin sahibi
• Bilgiyi kullanan
• Bilgi sistemini yöneten

Çok ciddi sorumluluklarınız ve görevleriniz var demektir. Çünkü hedeftesiniz!

Bilgi güvenliğinin sağlanmasında yalnızca IT/BT tabanlı teknolojik önemlerin yeterli olmadığı yaşanan bir çok olayla defalarca kanıtlandı. Son kullanıcının görev ve sorumluluklarını bilmesi ve yaşayabileceği bilgi güvenliği ihlallerinin farkında olması kritik derecede önemlidir. Mobil cihazlar ise son kullanıcıların hem kişisel hem de kurumsal bilgilerini barındırdığı ve çok sayıda kişinin verilerine ulaşılmasında da köprü görevi gördüğü için kritik öneme sahiptir.

Gizlilik : Bilginin yetkisiz kişilerin eline geçmemesidir.

Bütünlük : Bilginin yetkisiz kişiler tarafından değiştirilmemesidir.

Erişilebilirlik : Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır.

Üç durumdan birinin bozulması, bilgilerinizin güvende olmadığını gösterir.

Son kullanıcılar tarafından mobil cihazlarda barındırılan uygulamalar, kayıtlı olunan sosyal ağlar, adres defterleri, mail hesapları, takvimler, notlar ve daha bir çok veri içeren platformdan dolayı, mobil cihazlar için son kullanıcı bilgi güvenliği farkındalığı hayati önem taşımaktadır.

Bu yazı dizisi, iOS ve Android cihazlarda bilgi güvenliği adına uygulanması gereken adımlarını içermektedir.

Mobil Cihazlar İçin Son Kullanıcı Bilgi Güvenliği Uygulama Adımları, Android;

“Security Configuration  Benchmark  for  Android  4.0” çalışmasını referans alarak, işletim sistemi Android 4.0 ve desteklediği tüm donanımlar için geçerli olup,  Android  4.0  ve Android 4.0.3 SDK sürümünü bulunduran Android Sanal Makinası  üzerinde test edilerek yazıya dökülmüştür.

Mobil Cihazlar İçin Son Kullanıcı Bilgi Güvenliği Uygulama Adımları, iOS;

“Security Configuration Benchmark for Apple iOS 7” çalışmasını referans alarak, işletim sistemi iOS 7.0.2 ile üst sürümleri olan ve iPhone 5S, iPhone 5C, iPhone 5, iPhone 4S, iPhone 4, iPad with Retina display, iPad Mini, iPad 2, iPod Touch (5th Generation) aygıtları için geçerli olup, iPhone 4S üzerinde test edilerek yazıya dökülmüştür.

Veri Çalınması/Veri Hırsızlığı (Data Theft)

Veri çalınması kasıtlı olarak yetkisiz kişilerin bilgilere ulaşma ve ele geçirmesi durumudur. Veri çalınması olayları organizasyon dışından kişiler tarafından gerçekleştirilebileceği gibi, organizasyon içinden kişiler tarafından da gerçekleştirilmesi mümkündür. Örneğin küskün çalışanların veri hırsızlığı yaptığı durumlarla organizasyonlar sıklıkla karşı karşıya gelebilmektedir.

Organizasyon içerisinde olan kişiler için veri hırsızlığı kolaylıkla gerçekleştirilebilir. Kişilerin erişim yetkileri dahilinde organizasyon için bilgi güvenliğini ihlal ederek veri hırsızlığı yapmaları için herhangi bir araç kullanmalarına gerek kalmayabilir. Özellikle verilere dışarıdan yetkisiz erişim sağlamak isteyen kişiler ise sıklıkla zararlı yazılımlar kullanırlar. Keyloggerlar da bu işlemler için tercih edilen araçlardandır. Kullanıcı aktivitelerini izlerler ve kullanıcı adları, parolalar gibi önemli bilgiler elde ederek saldırgana ulaştırırlar.

Kullanıcılara ait banka hesapları, e-posta adresleri, sosyal medya hesaplarına giriş parolaları gibi önemli bilgilerin ve verilerin çalındığı olaylara dünyada çok sayıda örnek vermek mümkündür. Veri hırsızlığı olayları ayrıca kasıtlı olarak yapılan, laptop, CD, USB Bellek gibi ortamların çalınması yoluyla da gerçekleşir.

Veri Kaybı (Data Loss)

Veri kayıpları verilerin kasıtlı olarak ele geçirilmesi dışında, verilerin yanlışlıkla kaybedilmesi ya da yok edilmesi sonucunda oluşur. Bu tip olaylar genellikle, veri taşıyan cihazların (medya ortamlarının) kaybedilmesi ile meydana gelir. Örnek olarak CD, DVD, Flash Bellekler, laptop, tablet, cep telefonu gibi bilgi depolanan araçların kaybedilmesi verilebilir.

Veri kaybı kazayla (kasıtsız) olarak gerçekleşse de kaybedilen ortam ve veri tehlike altına girecektir. Yetkisiz kişilerin erişimine açık ortamda bulunan veriler kolayca ele geçirilebilir hale gelecektir.

Veri depolama ortamının kaybolması riskine karşı şifreli diskler, uygulamalar, programlar, verilerin yetkisiz erişime karşı korunması amacıyla alınabilecek önlemler arasındadır.

Veri Sızıntısı (Data Leakage)

Veri sızıntısı, bilgiye yetkili olmayan kişiler tarafından ulaşılmasıdır. Bu duruma örnek olarak, şirket çalışanların, müşterilerin ve ilişkili diğer kimselerin özel kimlik bilgilerinin üçüncü kimseler tarafından ele geçirilip halka açık internet sayfalarında yayınlanması gösterilebilir.

Veri sızıntılarını engelleme Güvenlik Bölümü çalışanlarının başlıca görevleri arasındadır. Sistem kullanıcıları dosyalarını, veri sızıntısının risklerini ve doğuracağı sonuçları tam olarak anlayamadan yollayabilir veya paylaşabilirler. Bu tip durumlara hazırlıklı olmak için; antivirüs yazılımları, şifreleme yazılımları, güvenlik duvarları DLP gibi otomatize yöntemlerle azaltacağı gibi, kişisel farkındalığın artırılması kilit öneme sahiptir.

Exploit

Exploit, bilgisayar ve sistem üzerindeki açıklıklardan ya da hatalardan faydalanarak sistemlere sızma amacı taşıyan programlardır. Sistemlere erişim yöntemlerine göre exploitlerin çeşitleri mevcuttur:

  -Remote Exploit (Ağ üzerinden sistemle etkileşimde bulunurlar.

  -Local Exploit (Genelde sistemdeki yetkili kullanıcı özelliklerini kullanmak amacıyla oluşturulurlar)

    -Client Side Exploit ( Sistemle etkileşimde bulunduktan sonra bir kullanıcı tarafından tetiklenerek aktif olurlar)

Saldırganlar için exploitlerin en önemli avantajı sisteme sızarak “yetkili profil” oluşturabilmelidir. Exploitler saldırganlar tarafından açıklıklardan faydalanarak özel amaçlar için kullanılmak üzere tasarlanırlar. Yama yönetimi exploitlerden korunmak için oldukça önemlidir. Spesifik bir açıklık için yama güncellemesi yapıldığında exploitler etkisiz hale gelmektedir.

Zero-day exploit ise açıklık bilinirliği sağlanmadan önce gerçekleştirilen saldırılara verilen isimdir. Üretici/tedarikçi şirket açıklığı yayınlamadan önce zero day exploit saldırıları gerçekleştirilmiş olur. Öyle ki açıklık ilk defa saldırganlar tarafından tespit ediliyor olabilir.

Tüm işletim sistemleri ve uygulamalar exploitlerden etkilenmeye açıktır. Bu nedenle önlem için antivirüs ve endpoint güvenlik yazılımları kullanılmalı ve yama yönetimi gerçekleştiriliyor olmalıdır.

ISO 22301 İş Sürekliliği Yönetim Sistemi Eğitimi Açılıyor, 5-7 Mart 2014, Bostancı Green Park Hotel

Detaylı bilgi ve kayıt için lütfen egitim@btyon.com adresi ile irtibata geçiniz.

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ (ISO22301) UYGULAMA EĞİTİMİ
Eğitim Yeri : Green Park Hotel / Bostancı	Eğitim Tarihi : 5-7 Mart 2014
İş sürekliliği, iş işletmenin ürün ve servislerini kesinti olayı sonrasında kabul edilebilir seviyede sürdürebilme kapasitesidir.  İşletmenin iş süreçlerinin ne kadar kesintiye tahammül edebildiği ve süreçleri ön görülen süre içerisinde tekrar çalışır hale getirmek için neler yapılması gerektiği iş sürekliliği çalışmalarının temelini oluşturmaktadır. Bu eğitimde bir işletmenin ISO22301 standardına uygun İş Sürekliliği Yönetim Sistemi kurabilmesi için gerekli tüm bilgiler ve kavramlar uygulamalı olarak sunulacaktır. Eğitime ayrıca iş sürekliliği için büyük öneme sahip tedarikçi denetimleri konusu da eklenmiştir.
Kurumlarında iş sürekliliği çalışmalarını yürüten yöneticiler veya uzmanlar, iş sürekliliği çalışması yürütecek profesyoneller, kurumlarında risk yönetimi alanında çalışan yöneticiler veya uzmanlar,  iş sürekliliği konusunda kariyer planlayan uzmanlar, IT Risk yöneticileri, bilgi güvenliği yöneticileri, iş sürekliliği ekiplerinde yer alan orta ve üst seviye yöneticiler, iş sürekliliği uzmanları.
Ali DİNÇKAN, CBCI, CISA, CRISC, CEH, CCNP
• İş Sürekliliği ve ISO22301          o İş sürekliliği nedir? İş Sürekliliği Yönetimi nedir?          o Organizasyona ne kazandırır?          o İş sürekliliği yönetiminde yaygın kullanılan standartlar ve en iyi uygulamalar          o İş sürekliliği yönetimi temel parçalarının tanıtımı          o Uygulama 1 ISO22301 terimler ve tanımların kavranması          o Uygulama 2 ISO22301 PUKÖ (Ana başlık eşleştirme)          o Uygulama 3 ISO22301 PUKÖ (Faaliyet Eşleştirme) • Planlama Aşaması - Organizasyonun İçeriği          o Organizasyonu ve içeriğini anlamak (iç ve dış konular)          o İlgili tarafların ihtiyaçlarını ve beklentilerini anlamak          o Yönetim Sisteminin kapsamını belirleme          o İş Sürekliliği Yönetim Sistemi • Planlama Aşaması – Liderlik          o Üst yönetim taahhüdü          o Üst yönetim sorumlulukları          o İş sürekliliği politikası ve politika örneği          o Sorumlulukların atanması • Planlama Aşaması – Planlama          o Risk ve fırsatlar için aksiyonları belirleme          o İş Sürekliliği hedefleri • Planlama Aşaması – Destek          o Kaynaklar yetkinlikler farkındalık          o Eğitim ihtiyaç analizi          o Eğitim planı ve yıllık eğitim planı örneği          o Eğitim sonrası faaliyetler          o Üst yönetim farkındalığı ve İSYS kurulum eğitimleri          o Kurtarma takımı eğitimleri ve tatbikat eğitimleri          o Genel farkındalık eğitimlerir          o Dokümante edilmiş bilgi kavramı          o Gerekli prosedür ve süreçler          o Dokümantasyon genel bakış • Uygulama Aşaması – Operasyon - İş Etki Analizi Kavramlar, Teknikler ve Uygulamalar          o İş etki analizi nedir ve iş sürekliliği çalışmalarındaki yeri neresidir?          o RTO, RPO, MTPoD (MAO) kavramları          o İş Etki Analizi (İEA) süreci          o İş etki analizi ile ilgili ISO22301 şartlarının açıklanması ve iş etki analizi sürecinin özeti./p>          o Uygulama 4 – İş Etki Analizi Uygulamasıı • Uygulama Aşaması – Operasyon – İş Sürekliliğinde Risk Yönetimi          o İş sürekliliği risk yönetimi nedir ve iş sürekliliği çalışmalarındaki yeri          o Risk kavramları          o İş sürekliliği risk yönetiminde dikkat edilecek hususlar          o İş Sürekliliği risk yönetimi          o Sonuçlar nerede kullanılacak?          o İş sürekliliği risk yönetimi ile ilgili ISO22301 şartlarının açıklanması ve risk yönetimi çalışmalarının özeti.          o Uygulama 5 – Risk Analizi Uygulaması • Uygulama Aşaması – Operasyon – İş sürekliliği Strateji Geliştirme Çalışmaları          o İş sürekliliği yönetim stratejilerinin tanıtımı          o Strateji seçeneklerinin belirlenmesi ve karar verilmesi          o İş sürekliliği stratejileri ile ilgili ISO22301 şartlarının açıklanması • Uygulama Aşaması – Operasyon – İş sürekliliği Planları ve Prosedürleri          o Olay yönetim sürecinin tasarlanması ve hayata geçirilmesi          o Olay tepki yapısının oluşturulması          o Olay yönetim planlarının tanıtımı ve içeriği          o Olay yönetim planı ile ilgili ISO22301 şartlarının açıklanması ve denetlenmesi.          o İş sürekliliği planları          o İş sürekliliği planı ile ilgili ISO22301 şartlarının açıklanması ve iş sürekliliği planlarının denetimi. • Uygulama Aşaması – Operasyon – İş sürekliliği Tatbikat ve Testleri          o İş sürekliliği tatbikat kavramı ve çeşitleri          o İş sürekliliği planlamasında tatbikatların yeri          o Tatbikat programı hazırlama ve içeriğinde bulunması gerekenler          o Kapsam belirleme          o Tatbikat süreci tasarımı ve uygulanması          o Tatbikatın hazırlığı          o Tatbikat gerçekleme ve ölçümler          o Tatbikat sonrası değerlendirmeler          o İş sürekliliği tatbikatları ile ilgili ISO22301 şartlarının açıklanması ve iş sürekliliği tatbikatlarının denetlenmesi • Kontrol Et Aşaması – Performans ve Değerlendirme          o İzleme, Ölçme, analiz ve değerlendirme          o İç denetim          o Yönetim gözden geçirmesi          o Tedarikçi değerlendirmeleri • Önlem Al Aşaması – İyileştirme          o Uygunsuzluk ve düzeltici faaliyet          o Sürekli İyileştirme
Detay bilgi için lütfen egitim@btyon.com.tr adresine İSY-02 konulu e-posta gönderiniz.
BTYÖN Danışmanlık, Eğitim, Yazılım Ve Teknoloji Hizmetleri San. Ve Tic. Ltd. Şti. İnönü Cad. Sümer Sok. Zitaş Blokları C-1 Blok Daire:8 34736 Kozyatağı / İSTANBUL

İstihdam Süresince-Disiplin Süreci

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.3 Disiplin Süreci

Kontrol: Bilgi güvenliği ihlaline karışan bir çalışana ne yapılacağına ilişkin, resmi ve bildirilmiş bir disiplin süreci olmalıdır.

Uygulama Kılavuzu:

Disiplin süreci bilgi güvenliği yönetimi sürecinin en sıkıntılı konu başlıklarından biridir.  Etik olarak ve kişi haklarını ihlal etmeden bilgi güvenliğinin sağlanması gerekliliği ana motivasyon kaynağı olmalıdır. Disiplin süreci ihlal olayına karışmayan çalışanları güvence altına alacak şekilde düzenlenmelidir.

Bilgi ihlali gerçekleşmeden ve ihlal olayı ile ilgili kesin bilgi sahibi olunmadan disiplin süreci başlatılmamalıdır.

Disiplin süreci adil ve doğru olarak işletilmelidir. İhlal olayı değerlendirilirken, işe vekuruma etkisi göz önünde bulundurulmalıdır. Kasıt veya kazara olmasına, aynı zamanda tekrarlı olup olmadığına bakılmalıdır.

Disiplin süreci öncelikle caydırı nitelikte olmalıdır. Olayın büyüklüğüne göre süreç işletimi boyunca sorumlulukların bir kısmının devre dışı bırakılması gerekli durumlarda uygulamaya alınmalıdır.

Disiplin sürecinin kendisine ödüllendirici bir boyut da kazandırılabilir. Bilgi güvenliğine pozitif katkı yapanlar bu bağlamda teşvik edilip ödüllendirilebilir.

Fake Antivirüs Malware (Sahte Antivirüs Zararlı Yazılımları)

Sahte Antivirüs zararlı yazılımları, bilgisayar kullanıcılarını genellikle sahte virüs tehdidi algılandı uyarısıyla (pop-up mesajı) karşılayarak zararlı yazılımın, virüs temizlemek yada taramak amacıyla indirilmesine teşvik ederler. Bu tip uyarılar genellikle zararlı web sayfalarında görülür ve online virüs tarama dokümanı görüntülerler.

Siber suçlular ise bu yöntemi kullanıcıları zararlı içerik sağlayan sitelere çekerek ya da yasal siteleri ele geçirerek, spam mesajlar göndermek için kullanırlar. Bu tip yazılımların en popüler arama sitelerinde kullanıcıların karşılarına çıktıları görülmektedir.

Sahte antivirüs yazılımları son dönemlerde mobil telefonlar, tabletler de dahil olmak üzere tüm internet erişimli cihazlar için tehlike oluşturmaktadır. Mobil uygulamalara pop-up mesajları olarak günlük hayatta sıklıkla sayısız kullanıcının karşısına çıkabilmektedir. Saldırgan gruplar için finansal karlılık açısından tercih edilen bir yöntem olmaya başlamıştır.

Bu tip yöntemlerle zararlı yazılım bulaşmasının önlenmesi amacı ile yasal antivirüs programları kullanılmalıdır. Bir başka korunma yöntemi ise bu tip tehditlere karşı bilinçli olunmalı ve şüpheli olabilecek linklerden kaçınılmalıdır.

Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

7.2 İstihdam Süresince

Amaç: Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.2 Bilgi Güvenliği Farkındalığı, Eğitim ve Öğretimi

Kontrol: Kuruluştaki tüm çalışanlar ve ilgili yükleniciler, kendi iş fonksiyonları ile ilgili olarak uygun bilgi güvenliği farkındalığı eğitimini almalı ve kurumsal politika ve prosedürler hakkında düzenli olarak bilgilendirilmelidir.

Uygulama Kılavuzu:

Öncelikle bilgi güvenliği farkındalık programı, kuruluştaki çalışanların ve ilgili yüklenicilerin, bilgi güvenliğine ilişkin sorumlulukların anlaşılmasını hedeflemelidir.

Bilgi güvenliği farkındalık programı kuruluşun politika/prosedür/standartlarına paralel olarak geliştirmelidir ve kuruluşun bilgi varlıklarının korunması ve uygulanan kontrolleri tanıtıcı özellikte olmalıdır. Farkındalık programının etkinliğini artırmak için kurum içi ödüllendirme mekanizmaları, yarışmalar  ve “Farkındalık Günü” gibi çalışmalar önemli ölçüde katkı sağlayacaktır.

Farkındalık programı, çalışanlar ve ilgili yüklenicilerden beklentileri açıkça ifade etmelidir. Farkındalık programı bir düzen çervesinde ele alınmalı ve periyodik olarak tekrarlanmalıdır. Gerekli durumlarda yeni çalışanlar ve düzeltici faaliyet olarak tekrarlanması için program gerekli esnekte tasarlanmalıdır. Farkındalık eğitimleri, kurum içi yıllık eğitim programı takvimine alınmalıdır. Farkındalık eğitimi kurumsal ihtiyaçlara göre güncellenmeli ve gerekli durumlarda uzmanlardan destek alınmalıdır.

Bilgi Güvenliği Farkındalık eğitiminde aşağıdakilerle sınırlı olmamak üzere aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

•         Üst yönetimin Bilgi Güvenliği’ne bakış ve desteği
•         Politika, prosedür, talimatlar, yasalar ve düzenlemelerle kuruluş bünyesine dahil olan bilgi güvenliği gereksinimlerin tanıtılması
•         Son kullanıcı sorumlulukları, hesap verebilirlik
•       Temel düzeyde yönetim sistemi gereksinimleri (ihlal olayı bildirme, temiz masa temiz ekran kurallarına uyum v.b)
•         Ek bilgi gereksinimi için kaynaklara nerden ve nasıl ulaşılacağı
•         Bilgi güvenliği iletişim kanallarının tanıtılması (acil danışma hattı, e posta grubu v.b)

Bilgi güvenliği farkındalık programı, sınıf içi eğitim olabileceği gibi e-öğrenme ve self-study (kendi başına çalışma) şeklinde planlanabilir.

Bilgi güvenliği kontrolleri anlatılırken sadece ne ve nasıl yapıldığından çok neden yapıldığı ve kök nedenlerden de bahsedilmesi, kuruluş bünyesinde anlaşılmayı kolaylaştıracaktır.

Rootkit

Rootkit bilgisayar üzerinde çalışan programları gizleyen bir yazılım parçasıdır. Bu yüzden zararlı yazılımlar genellikle rootkit’leri yükleyerek bilgisayar üzerindeki faaliyetlerini gizlemeyi amaçlarlar. Bilgisayar ve ağlara yönetici düzeyinde erişim hakkı elde edip, tüm sistemi kontrol edebilecek düzeye gelebilirler.

Rootkitler tek başlarına tehlikeli olmayabilir. Ancak beraberlerinde tehlikeli bir virüs/zararlı yazılım çeşidi ile birlikte yüklendiklerinde ciddi tehlike teşkil ederler. Rootkit keylogger zararlı yazılımlarını, parola çözücü programları saklayarak içerdikleri/topladıkları hassas bilgileri internet aracılığı ile saldırganlara gönderilmesi amacıyla kullanılabilirler.

Rootkitleri antivirüs programlarının tespit etmesi güç olabilmektedir. Bu yüzden endpoint güvenlik ürünlerinde rootkitlerin tespiti ve bilgisayardan kaldırılabilmesi için özel geliştirmeler yapılmıştır. Buna rağmen bazı rootkit zararlı yazılımlarının tespiti ve kaldırılabilmesi için daha kapsamlı ürünler ve stratejiler gerekebilmektedir.

Brute Force Attack

Brute Force (Deneme/Yanılma) saldırıları bir sisteme yada dosyaya yetkisiz erişebilmek için kullanıcı adı ve parolalarda çok sayıda numara ve karakter kombinasyonlarını deneyen saldırı türüdür. Saldırı süreleri kullanıcı bilgilerinin kompleks olma durumuna göre değişmektedir. 

Brute Force saldırılarını engellemenin yolu ise parola ve şifrelerin güvenli seçilmesidir. Bunu gerçeklemek için yeterince güçlü, en az bir sayı, özel karakter, büyük ve küçük harf içeren parolalar seçilmelidir. Bu parolalar mümkün olduğunca uzun olmalı ve kişisel bilgilerle tahmin edilebilir olmamalıdır. Bunu sağlamak için kullanılan arabaların plakaları, yakınlarımızın doğum tarihi, isim bilgileri, futbol takımı, şehir, popüler müzik ve kitap isimleri parola olarak seçilmemesi tavsiye edilmektedir. Ayrıca seçilen parolalar belirli periyotlarla güncellenmelidir.

İnsan Kaynakları Güvenliği -Yönetimin Sorumlulukları-

7.2 İstihdam Süresince

Amaç:  Çalışanlar ve yüklenicilerin tüm bilgi güvenliği sorumluluklarının farkında olmalarını ve yerine getirmelerini sağlamak.

7.2.1 Yönetimin Sorumlulukları

 Kontrol: Yönetim, tüm çalışanlar ve yüklenicilerden, kuruluşun politika ve prosedürlerine uygun olarak, bilgi güvenliğini uygulamalarını istemelidir.

Uygulama Kılavuzu:

Yönetimin sorumluklarına ilişkin aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır.

-Gizli bilgiye erişimin sağlanmasından önce bilgi güvenliği rol ve sorumlulukların etkin ve etkili bir biçimde aktarılması

-Çalışanların ve yüklenicilerin kuruluşun bilgi güvenliği politikalarına uyumu konusunda desteklenmesi ve motive edilmesi

-Çalışanların ve yüklenicilerin belirlenen seviyede bilgi güvenliği farkındalığına erişmesi için gerekli desteğin sağlanması

-Yönetim, çalışanların ve yüklenicilerin istihdam süresince bilgi güvenliği politikalarına ve çalışma yöntemlerine uygun olarak çalıştığının garanti altına alınması

-Çalışan ve yüklenicilerin gerekli bilgi seviyesi ve yetkinlikte kalması adına eğitim programı düzenlenmesine öncülük etmesi

-Politika ve prosedürlere ilişkin uyumsuzlukların, bağımsız şekilde raporlanmasını sağlayacak kontrollerin geliştirilmesi

Bilgi güvenliğinin hedeflenen etkinlikte olabilmesi adına, üst yönetim çalışanlar için rol-model olmalı ve örnek teşkil etmelidir.

Yönetimin desteğinin yetersiz olması durumda oluşabilecek ihlal olayları kuruluşa büyük zarar verebileceği göz ardı edilmemelidir.

Spyware (Casus Yazılımlar)

Spyware (Casus Yazılımlar) izin almaksızın, reklam verme, kişisel bilgi toplama yada bilgisayar konfigürasyonunu değiştirme davranışlarında bulunan, adware yada önemli verileri takip eden yazılımlardır.

Spyware’ler web siteleri üzerinden bir pop-up mesajıyla çıkan yükleme bildirimine izin verilmesi yada bilgilendirme olmaksızın programın bilgisayara yüklenmesi ile bulaşabilir.

Spyware programı bilgisayara bulaştıktan sonra, gerçekleştirilen aktiviteleri izler ve üçüncü taraflarla paylaşımda bulunur. Spyware çalışırken bilgisayarı yavaşlatabilir, çalışamaz hale getirebilir. Antivirüs yazılımları ile bu tür zararlı yazılımların temizlenmesi mümkündür.

İnsan Kaynakları Güvenliği -İstihdam Koşulları-

7.1.2 İstihdam Koşulları

Kontrol: Çalışanlar ve yüklenicilerle yapılan sözleşmelerde, çalışanların, yüklenicilerin, kuruluşun bilgi güvenliğine ilişkin sorumluluklarına yer verilmelidir.

Uygulama Kılavuzu:

Çalışan ve yüklenicilerle imzalanan sözleşme yükümlülüklerde bilgi güvenliğini sağlamak adına aşağıdaki maddelerin göz önünde bulundurulması faydalı olacaktır;

-Gizli bilgiye erişen çalışanların ve yüklenicilerin, gizli bilgiye erişiminden önce, ifşa etmeme(açığa vurmama) anlaşmalarını imzalamış olmalıdırlar

-Çalışanların ve yüklenicilerin yasalardan doğan yükümlülükleri ve haklarının tanımlanması (Ör: Fikri mülkiyet hakları, kişisel verilerin gizliliği)

-Çalışanlar ve/veya yükleniciler tarafından kullanılan bilgilerin, bilgi işleme bileşenlerinin, bilgi servislerinin kullanımına ilişkin kurumsal varlık yönetimi ve bilgi sınıflandırılmasına ilişkin sorumluluklar tanımlanması

-Dış taraflar veya diğer kurumlardan edinilen bilgilerin çalışanlar ve yükleniciler tarafından kullanım şekli ve esasları

-Tanımlanan bilgi güvenliği gereksinimlerine uyulmaması durumunda alınacak aksiyonların tanımlanması

İşe başlayacak adaylara, işe başlama öncesi bilgi güvenliği rol ve sorumlulukları hakkında bilgi verilmesi faydalı olacaktır.

Ek olarak istihdamın sonlanması ile birlikte tanımlanan süre boyunca gizli bilgilerin ifşa edilmeyeceğine dair sözleşme maddesi gerekli olacaktır.