bilişim güvenliği
TRANSCRIPT
Bilişim Güvenliği
Bilecik şeyh Edebali ÜniversitesiBilgi İşlem Daire Başkanlığı
Murat ÖzalpMayıs, 2014
Bu çalışmaCreative Commons Attribution-NonCommercial-NoDerivatives 4.0Uluslararası Lisansı ile lisanslanmıştır.
06.05.2014 2/12
Ne var, ne yok?
● Yasal durum
● Fiziksel güvenlik
● Sistem güvenliği
● Bireysel güvenlik
● Genel kurallar
06.05.2014 3/12
Yasal Durum:5651 Sayılı yasa ve Bağlı Yönetmelikler
1)04/05/2007 tarihli ve 5651 sayılı "internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun" (23.05.2007 tarih ve 26030 sayılı Resmi Gazete)
2)Telekomünikasyon kurumu tarafından erişim sağlayıcılara ve yer sağlayıcılara faaliyet belgesi verilmesine ilişkin usul ve esaslar hakkında yönetmelik. (24/10/2007 tarihli Resmi Gazete)
3)İnternet toplu kullanım sağlayıcıları hakkında yönetmelik. (01/11/2007 tarihli Resmi Gazete)
4)İnternet ortamında yapılan yayınların düzenlenmesine dair usul ve esaslar hakkında yönetmelik. (30/11/2007 tarihli Resmi Gazete)
5)Telekomünikasyon kurumu tarafından erişim sağlayıcılara ve yer sağlayıcılara faaliyet belgesi verilmesine ilişkin usul ve esaslar hakkında yönetmelikte değişiklik yapılmasına dair yönetmelik. (01/03/2008 tarihli Resmi Gazete)
Önemli: Kişisel Verilerin Korunması Kanunu Tasarısı Taslağı (Başbakanlığa Gönderilme Tarihi: 08/06/2012)
06.05.2014 4/12
Yasal Durum
Özetle:
● Yasal durum karışık
● Uygulamada çözüleceği belirtiliyor
● Uygulama sırasındaki vatandaşlar kim olacak?
● İyi niyet önemli
● 5070 sayılı e-imza yasası, kişisel verilerin korunması yasa tasarısı, vb.
06.05.2014 5/12
Güvenlik dediğimizde...
"Güvenlik" bir bütündür ve yaşam tarzıdır.
● Fiziksel güvenlik
● Kurumsal güvenlik
● Bireysel güvenlik
06.05.2014 6/12
Fiziksel güvenlik
● Bir sistemin yanına gidebiliyorsanız, ele geçirebilirsiniz.
● Linux, Windows, Unix, Cisco, vb. tüm sistemlerde kurtarma modu var.
● Kurumlarda sistem odasına yalnız girebilen firmalar var
06.05.2014 7/12
Kurumsal güvenlik
● Çok boyutlu bir süreç
● Hedefli ve planlı bir saldırı mutlaka zarar verir
● İçeridekiler bazen daha tehlikelidir
● Neresi içerisi, neresi dışarısı belli değil. Kablosuz ağlar, GSM ağları, vb.
● Hizmet durdurma saldırıları (dağıtık olan ve olmayanlar)
● Verilerin değiştirilmesi mi, silinmesi mi, dışarı çıkması mı?
● Sosyal mühendislik
06.05.2014 8/12
Bireysel güvenlik (çok riskli)
● Çok riskli: Çünkü, bireylerin kişisel profesyonel güvenlik uzmanı istihdam etme şansı yok.
● Çok riskli: Çünkü, farkındalık yok.
● Çok riskli: Çünkü, "Biz Türk'üz, bize bişey olmaz"
● Çok riskli: Evlerde çoluk-çocuk, konu-komşu aynı IP adresini kullanıyoruz. Kayıt-kuyut yok.
06.05.2014 9/12
Öneriler...
● Güvenlik; güvenlikçilerin işi değildir. Fiziksel savaş olduğunda herkesin askerdir, asker yetenekleri korunmalıdır!
● %80-%20 kuralı:Kaynaklarının %20'sini kullanarak %80 güvenlik elde edersin. Geri kalan %20 güvenlik için ise, kaynaklarının geri kalan %80'ini harcaman gerekir.
● Kimsenin (benim bile) gereğinden fazla bilgi sahibi olması doğru değildir.
● Asla olmaması gereken durumların olduğuna sürekli şahit oluyoruz. "Olmaması lazım" çözüm olmıyor.
● Biraz paranoyak olmaktan zarar gelmez.
06.05.2014 10/12
Öneriler...
● Umuma açık yerlerde internet'e girme, girersen dikkatli ol. Ctrl+Shift+P : Gizlilik modu
● Facebook'ta oturum açmışken, web'te gezinme
● Google'da (gmail) oturum açmışken web'te gezinme
● Forumlara, vb. sitelere üye olurken gerçekçi bilgiler verme. Sahte e-posta adresi al ve kullan.
● Cep telefonu numaranı, e-posta adresini sağa sola verme.
● Parolanız karmaşık (tahmin edilemez) olsun.
● İnternet'te (web, e-posta) ilgi çekici şeylerin genellikle tuzak olduğunu unutma! (Ayça22 oturum açtı... vb.)
06.05.2014 11/12
Öneriler...
● Hiçbir ciddi kurumun, e-posta göndererek parolanı ya da kişisel bilgilerini istemeyeceğini unutma! (oltalanmaya yakalanma)
● İnternet'ini paylaşma, ya da paylaşırsan sorumluluğunu taşı.
● Kullandığın tarayıcıya mutlaka güvenlik eklentilerini kur (Ad-block, WOT, vb.)
● Antivirüs yazılımının mutlaka güncel olduğundan emin ol. Hangisini seçeceğin konusunda tereddütlü isen, MS Antivirüs ücretsiz ve iyidir.
● İnternet konusunda teknik bilgin iyi değilse, servis sağlayıcınla görüş ve aile filtresi uygulat.
● ...
06.05.2014 12/12
SON
Murat ÖZALP (Öğretim Görevlisi)
Bilecik Şeyh Edebali Üniversitesi
Bilgi İşlem Daire Başkanlığı