25 Mart 2014 Salı

Bilgi Güvenliği ve Varlıkların Kabul Edilebilir Kullanımı



8.1.2 Varlıkların Kabul Edilebilir Kullanımı
Kontrol: Bilginin, bilgi ve bilgi işleme araçları ile ilişkilendirilmiş varlıkların kabul edilebilir kullanım kuralları,  tanımlanmış, dokümante edilmiş ve uygulanmış olmalıdır.
Uygulama Kılavuzu:
Kurum çalışanları ve kurumsal varlıklara erişebilen tüm üçüncü taraf çalışanlar/tedarikçiler varlıkların kullanımı ile ilgili bilgi güvenliği gereksinimlerini sağlamak adına gerekli farkındalığıa sahip olmalıdır. Kendi sorumlulukları altında olan bilgi varlıklıklarının üretilmesi, işlenmesi ve depolanmasına ilişkin  sorumlukları yerine getirmelidir.  Varlıklıkların kabul edilebilir kullanım easları belirlenirken, kuruluşun verdiği hizmetler gözönünde bulundurulmalıdır. (Ör: E-posta kullanımı, ağ servislerinin kullanımı, mobil cihazların kullanımı)

23 Mart 2014 Pazar

Android - Uykuya Dalma Süresinin Kısaltılması

Uyku, cihazınızın kullanımdan sonra kendini kitleyeceği süredir. Uykuya dalma süresini kısa tutmak oldukça fayda sağlar. Uykuya geçmeden cihazlar üzerinde yetkisiz erişim olması mümkündür.

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Device (Cihaz)” bölümünde bulunan
“Display (Ekran)” seçeneğine tıklıyoruz.

Bundan sonra karşımıza çıkan ekranda ise “Sleep (Uyku)” seçeneği karşımıza çıkıyor. “Sleep” seçeneğine tıklıyoruz;

Tıkladığımızda karşımıza süreler seçenek olarak çıkıyor. Burada önemli olan süreyi olabildiğince kısa
tutmaktır.

22 Mart 2014 Cumartesi

iOS Mobil Cihazlarda Otomatik Kilit ve Veri Silme

Otomatik kilitleme ayarı


Bir cihazın hareketsiz kaldığı anda kilitleniyor olması, saldırı olasılığını azaltır. Burda açıklanan özellik, hareketsiz kalınan süre sonucunda cihazın kilitlendiği dakikayı tanımlamaktadır. Önerilen ayar bu sürenin 2 dakika veya daha az olmasıdır.

Otomatik Kilit sadece ekranı kapatır, parola kilitlemesi sağlamaz. Parola kilitlemesi Parolayla Kilitleme süresinden ayarlanmaktadır.

Kontrolü için,

1. Ayarlar
2. Gener
3. Otomatik Kilit süresinin izlenmesi

İyileştirme,

1. Ayarlar
2. Genel
3. Otomatik Kilit
4. Kilit süresinin 2 dk veya daha az seçilmesi


“Verileri Silme”yi aktifleştirme,


Bu yapılandırma, fazla (10) başarısız parola girişiminden sonra cihazın otomatik olarak içeriğini silmesi özelliğini sağlar. Bu özelliğin etkin olması tavsiye edilir. Çünkü bu kadar fazla başarısız parola girişi, genellikle girişimlerin cihaz sahibinin kontrolü dışında olduğunu göstermektedir. Böyle bir olay için de, saldırgana karşı verilerin siliniyor olması gizliliğin korunması için etkili olacaktır.

Kontrolü için,

1. Ayarlar
2. Genel
3. Parolayla Kitleme
4. Mevcut parolayı girin
5. İleri
6. Verileri Sil’in aktif olması

İyileştirme,

1. Ayarlar
2. Genel
3. Parolayla Kitleme
4. Mevcut parolayı girin
5. İleri
6. Verileri Sil’i aktifleştir
7. Onay

21 Mart 2014 Cuma

E-Posta Zararlı Yazılımları

Zararlı yazılımın birçok örneğinin e-posta ile bulaştırıldığı bilinmektedir. Günümüzde ise e-posta yerine birçok kişiye web üzerinden zararlı yazılımların daha kolay yayılabildiği aşikardır. Eskiden ise zararlı yazılım içeren dosyalar e-posta ekinde hesaplara dağıtılıp, eke tıklanması halinde zararlı yazılımın indirilmesi işlemi gerçekleşmiş oluyordu.

E-postaların halen zararlı yazılım bulaştırmakta kullanıldıkları görülmektedir. Zararlı kod içeren web sitesi vb. linkler e-posta içerisinde dağıtılıp, daha fazla kişiye temas etmesi ve zararlı koddan etkilenmesi sağlanıyor.

Zararlı yazılımlara karşı önlem olarak antivirüs programlarının kullanılması ve güncellenmesi önemlidir. 

20 Mart 2014 Perşembe

Bilgi Güvenliği Yönetim Sistemi ve Varlık Yönetimi



A-8 Varlık Yönetimi
A 8.1 Varlıkların Sorumluluğu
Hedef: Kurumsal varlıkları belirlemek ve uygun koruma sorumlulukları tanımlamak.
8.1.1 Varlıkların envanteri
Kontrol: Bilgi ve bilgi işleme araçları ile ilişkili varlıklar tanımlanmalı, varlıklara ait bir envanter hazırlanmalı ve sürdürülmelidir.
Uygulama Kılavuzu:
Kurum bünyesinde, bilginin yaşam döngüsü gözönünde bulundurularak bilgi varlıkları tanımlanmalı ve önlemleri dokümante edilmelidir. Bilginin yaşam döngüsü, bilgiyi oluşturma, işleme, depolama, iletimi ve imhasını içermelidir.
Bilgi varlık envanteri, kurum varlıklarını içerecek şekilde güncel olarak tutulmalıdır. Kurum bünyesinde hali hazırda kullanılan varlık entanverleri mevcutsa var olan envanter ile bütünleşik kullanımı fayda sağlayacaktır.
Belirlenen her bir bilgi varlığı için sahiplik ataması ve varlık sınıflandırılması yapılmalıdır. Örnek bilgi varlık envanteri için ISO 27005 ve ISO 27000 standartları referans olarak kullanılabilir.

19 Mart 2014 Çarşamba

Drive By Download

Drive By Download, zararlı yazılım içeren bir web sitesini ziyaret edildiğinde zararlı yazılımın kullanıcı bilgisayarına bulaşması durumudur. Yalnızca bir web sitesinde gezinirken ya da bir yazılım yüklemesi durumunda onay verilmesi halinde zararlı yazılım bilgisayara indirilmiş ve arka planda çalışmaya başlamış olacaktır. Drive By Download türü zararlı yazılımların bulaştırılması tamamen kasıtsızca gerçekleşir.

Bu zararlı yazılımlar, tarayıcının, işletim sisteminin ya da bir uygulamanın güvenlik açığından faydalanırlar. İlk etapta indirilen zararlı yazılım kodu ise oldukça küçük bir kısım oluşturur, bu kodun görevi ise uzaktaki bilgisayarla bağlantı kurup kodun geri kalan bölümünü tamamıyla bilgisayara, tablete yada akıllı telefona indirilmesini sağlamaktadır.
Web siteleri, bilgisayarda bulunan güvenlik açıklıklarıyla/zayıflıklarla eşleşecek şekilde alternatif olarak farklı türlerde zararlı yazılım kodu içerirler. Zararlı yazılımların görevi tarayıcıdaki güvenlik zafiyetlerini de açığa çıkarmak da olabilir. Bu tür zararlı yazılımlar, meşru web sitelerine de ilgi çekebilecek linkler aracılığı ile bulaştırılabilirler. Bu tip sosyal medya sitelerine, mail adresleri vb. yönlendirme linklerine tıklandığında, çoktan zararlı yazılım bilgisayara yüklenmeye başlanmış olur.

Bu tür saldırıların önüne geçmek için, zararlı ve tehlikeli web sitelerine (Yetişkin içerik, dosya paylaşım siteleri vb.) giriş yapmaktan kaçınılmalıdır. Internet tarayıcısı ve işletim sistemi güncel sürümü yüklenmeli, güvenilir arama motorları kullanılmalı ve antivirüs programları kullanılmalıdır.

18 Mart 2014 Salı

İnsan Kaynakları Güvenliği -İstihdamın Sonlandırılması ve Değiştirilmesi-



7.3 İstihdamın Sonlandırılması ve Değiştirilmesi
Hedef: İstihdamın değiştirilmesi ve sonlandırılması sürecinde, kuruluşun çıkarlarını korumak.
7.3.1 İstihdamın sonlandırılması veya değiştirilmesi sorumlulukları
Kontrol:
İstihdamın sonlandırılması veya değiştirilmesinden sonra geçerliliğini koruyan bilgi güvenliği sorumlulukları ve yükümlülükleri tanımlanmış, çalışanlara ve yüklenicilere bildirilmiş ve uygulamaya zorlanmış olmalıdır.
Uygulama Kılavuzu
İstihdamın sonlandırılması ile birlikte önceden tanımlanmış süre boyunca bilgi güvenliği rol ve sorumlulukları devam etmelidir. Bilgi güvenliği açısından kurum içi pozisyon değişiklikleri de istihdam sonlandırılması olarak değerlendirilmesi fayda sağlayacaktır. İstihdam sonrası bilgi güvenliğinin sağlanması adına, istihdam sonrası rol ve sorumluluklar işe alım sırasında yapılan sözleşmelerle garanti altına alınmalıdır. Erişilen bilginin hassasiyetine göre  anlaşmalara bilgiyi ifşa etmeme süresi tanımlanmalıdır.
Kurumsal ortamda istihdamın sonlandırılmasına ilişkin sorumluluklar genellikle İnsan Kaynakları bölümlerinin işlettiği bir süreç olarak görülmektedir. Bu süreçte istihdamı sonlandırılan personelin çalıştığı bölüm/birim/departman ile koordineli olarak çalışmak faydalı olacaktır. Kurum içinde dış kaynak çalıştırılıyorsa, personelin bağlı olduğu kurum ile sürecin yönetilmesi sağlıklı olacaktır. Gerekli ise istihdam sonlandırılması ve görev değişimlerinde tüm ilgili tarafların örneğin; çalışanlar vemüşterilerin bilgilendirilmesi faydalı olacaktır.

17 Mart 2014 Pazartesi

ENERJİ PİYASASINDA BİLGİ GÜVENLİĞİNE VERİLEN ÖNEM GİDEREK ARTIYOR

EPDK’nın (Enerji Piyasası Düzenleme Kurumu) son dönemlerde geliştirdiği bilgi sistemleri projeleri ve bilgi güvenliğinin sağlanmasına ilişkin yayınladığı yönetmelik taslakları ile enerji sektöründe bilgi güvenliğinin sağlanmasına verilen önemin giderek arttığı gözlemlenmektedir.

EPDK’nın 2011-2015 stratejik planına göre EBİS yani EPDK Bilişim Sistemi Geliştirilmesi Projesi ile kurumun faaliyetlerinin (Denetim vb.) etkinliğinin ve izlenebilirliğinin arttırılması, zamanında ve güvenilir raporların oluşturulması, bilgi sistemleri yönetiminin sağlanması, doküman yönetimi, enerji piyasası veritabanı gibi sistemlerin hayata geçirilmesi planlanmaktadır.

EPDK bünyesinde bilgi sistemleri anlamında altyapı çalışmalarını sürdürürken, web sitesinde yayınladığı elektrik, doğal gaz, petrol piyasaları lisans yönetmeliklerinde öngördüğü değişiklikler ile enerji sektöründe yer alan özel ve kamu kurum/kuruluşlarının bilgi güvenliğini sağlamasına yönelik hükümler de ortaya koymaktadır. Tüm bu bilgi güvenliğinin sağlanmasına yönelik hükümlerin ise EPDK’na tabi kurumlar için ISO 27001 Bilgi Güvenliği Yönetim Sistemini işaret ettiği görülmektedir.

Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği Ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik

EPDK’nın web sitesinde geçtiğimiz aylarda “Elektrik Piyasası Lisans Yönetmeliği, Doğal Gaz Piyasası Lisans Yönetmeliği Ve Petrol Piyasası Lisans Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik” yayınlandı ve ilgili taraflardan görüş toplandı.

Yayınlanan yönetmelik taslağına göre Elektrik Piyasası, Doğal Gaz Piyasası ve Petrol Piyasası Lisans Yönetmeliklerine eklenecek yeni bir maddede özetle “kurumsal bilişim sistemi ve endüstriyel kontrol sistemlerinin bilgi güvenliği standartlarına uygun bir şekilde işletilmesi, Türk Akreditasyon Kurumundan akredite bir belgelendirme firması tarafından denetlenmesi ve uyumluluğun sürdürülmesi” istenmektedir.

Elektrik Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Elektrik Piyasası Lisans Yönetmeliğine tabi “OSB üretim lisansı sahipleri hariç olmak üzere, kurulu gücü 100MW ve üzerinde olan ve geçici kabulü yapılmış her bir üretim tesisi için ayrı ayrı olmak üzere üretim lisansı sahibi,  İletim Lisansı sahibi, Piyasa İşletim Lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere, Dağıtım Lisansı sahibi” firmalar için geçerli olacaktır.

Doğal Gaz Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Doğal Gaz Piyasası Lisans Yönetmeliğine tabi “İletim Lisansı sahibi ve Dağıtım Lisansı sahibi” firmalar için geçerli olacaktır.

Petrol Piyasası Lisans Yönetmeliğinde yapılacak değişiklik öngörüsüne göre yukarıdaki koşullar Petrol Piyasası Lisans Yönetmeliğine tabi “Rafinerici Lisansı sahibi” firmalar için geçerli olacaktır.

Beklenen o ki önümüzdeki dönemlerde, bilgi güvenliği çalışmaları ve bilgi işleme sistemlerinin altyapı değişikliği enerji sektöründe hız kazanacaktır ve sektörde bilgi güvenliği anlamında ortak bir dil oluşturulacaktır.

16 Mart 2014 Pazar

Android - Kilit Ekranını Etkinleştirmek, Parola Koymak ve Parola İçerisinde Sayısal Karakterler Kullanılması

Cihazınızdaki kişisel ve ya kurumsal bilgilerinizi korumak için kilit ekranı oluşturmak fayda sağlayacaktır. Kilit ekranı; telefonunuzun şifresini bilmeyen kişilerin, telefonunuza erişimini engeller. Çok basit bir işlemle kilit ekranını etkinleştire bilir ve şifre koyabilirsiniz.

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve “Personal (Kişisel)” bölümünde
bulunan “Security (Güvenlik)” seçeneğine tıklıyoruz.

Bundan sonra karşımıza gelen ekranda ise “Screen Security (Ekran Güvenliği)” bölümünde bulunan
“Screen lock (Ekran kilidi)” butonuna basıyoruz.


Karşımıza ekran kilidi seçeneklerinin bulunduğu bir ekran çıkıyor. Buradan “Password (Şifre)”
seçeneğini seçiyoruz.

Bundan sonra karşımıza çıkan ekranda ise parolamızı gireceğiz fakat burada parolamızı oluştururken önemli bir nokta var. Parolamızı oluştururken mümkün olduğunca büyük-küçük harfler, işaretler ve rakamlar kullanarak güçlü bir parola oluşturmaktır. Parolanızı her telefonunuzu kullanacağınızda girmeniz gerektiğinde hatırlayabileceğiniz şekilde koymanızda fayda vardır. Parola en az 4, en fazla 17 karakterden oluşabilir ve içerisinde en azından bir harf içermesi gerekmektedir.

15 Mart 2014 Cumartesi

iOS Mobil Cihazı Parola ile Kilitleme


iOS 7 iPhone, iPad ya da iPod touch’da verilerinizi korumak için parola kullanmanız faydalı olacaktır. Aygıtınızı her açtığınızda ya da uyandırdığınızda, aygıta erişmek için parola istenecektir. Touch ID özelliği bulunan iPhone 5s'te telefon kilidini açmak için parmak izi de kullanabilirsiniz.



Konrolü için,

1. Ayarlar
2. Genel
3. Parolayla kitleme


İyileştirme,

1. Ayarlar           
2. Genel
3. Parolayla Kilitleme
4. Parolayı Aç
5. Bir parola girin
6. Parolayı yeniden girin

Kilitlemenin en önemli özelliği, 4 basamaktan daha fazla sayıda karakter içeren, karmaşık şifrelere de izin vermesidir.

Cihazın kilidini açmak için alfanümerik bir şifre ile korumak, yetkisiz erişim sağlamak isteyenler tarafından parolanın belirlenebilme zorluğunu arttıracağı için basit parola yerine karmaşık parola tercih etmek daha güvenli olacaktır. Bunun için basit parolanın kapatılması gerekmektedir.



Konrolü için,

1. Ayarlar
2. Genel
3. Parolayla Kitleme
4. Parolanızı girin
5. Basit parolanın kapalı olduğunu doğrulayın




İyileştirme,

1. Ayarlar
2. Genel
3. Parolayla Kitleme
4. Parolanızı girin
5. Basit Parolayı kapatın.
6. Eski parolanızı girin
7. Yeni, Karmaşık Bir Parola Girin
8. Sonraki ögesine dokunun
9. Karmaşık parolanızı tekrar girin
10. Bitti ögesine dokunun




Parmak İzi ile Koruma Yapılandırması

İzinsiz ‘paşarılı parola’ girişiminin önüne geçmede oldukça etkili bir yöntemdir. Bu özellik şu anda sadece 5S de bulunmaktadır. Çalışma yöntemi ise, izi önceden bırakılan parmağın, ev tuşuna basılmak sureti ile okutulması şeklindedir.

Kontrolü için,
1. Ayarlar
2. Genel
3. Parola & Parmak İzi
4. Parmak İzi
5. Parmak izi için, parola korumasının kapalı olduğunu doğrulayın

İyileştirme,
1. Ayarlar
2. Genel
3. Parola & Parmak İzi
4. Parmak İzi
5. Parmak izi için, parola korumasını kapatın

11 Mart 2014 Salı

Ransomware (Fidyeci Yazılımlar)

Saldırganlar, Ransomware ile bilgisayar ve dosyalarınıza erişiminizi engelleyerek tekrar erişiminiz karşılığında fidye talep ederler. Bu türden zararlı yazılımlar kullanıcı verilerine erişerek rehin alırlar. Örneğin; kullanıcı bilgisayarında bulunan dokümanları parola ile korumalı bir dosyanın içerisine kopyalayarak, orijinal dokümanları siler. Verilerinin bulunduğu dosyaları kullanıcı açmaya çalıştığında kullanıcıya bir mesaj bırakarak fidye karşılığında verilerinin bulunduğu dosyanın parolasını vereceğini taahhüt eder. Fidye ödenmediği takdirde verilerin silineceği ya da kötü amaçla kullanılacağı gibi tehditler gönderebilirler.

Ransomware yoluyla saldırganlar kullanıcılara resmi otoriteler olarak da görünebilir. Pop-up penceresi, bir web sitesi ya da e-posta gibi yollarla, kullanıcıya mesaj göndererek, program ve dosyalarına erişebilmek için, kullanıcıda istenilen fidyeyi iletmesi istenebilir.
Kullanıcı bilgisayarına yüklendiği tespit edilen ransomware zararlı yazılımıyla ilgili olarak, temizlemeye yönelik güvenlik çözümleri kullanılmalıdır ve özellikle dönemsel olarak yaygınlaşan bu tip yazılımlara karşı dikkatli olunarak, farkındalık sağlanmalıdır.

9 Mart 2014 Pazar

Android Sürümünü Güncel Tutmak ve Güncel Sistemin Önemi

Android sürüm güncellemeleri; sistem, içerik, güvenlik, hız gibi birçok önemli özellik içerirler. Android sürümünüzü güncel tutarak daha iyi bir android deneyiminin yanında güncel güvenlik tehditlerine karşı da daha çok korunmuş olursunuz. Peki, cihazınızın Android sürümünü nasıl güncel tutarsınız;

İlk önce telefonumuzun menüsünden ayarlar kısmına geliyor ve en altta bulunan “About phone (Telefon hakkında)” seçeneğine tıklıyoruz.


Bundan sonra karşımıza gelen ekranda ise “System updates (Sistem güncellemeleri)” butonuna tıklayarak Android sürümümüzün güncel olup olmadığını kontrol edebiliriz.