Bilgi  Güvenliğinde  Süreç  ve    

Son  Kullanıcı  Yöne8mi                                  Osman  Demircan  

Kimdir?  

•  Bilgi  Teknolojileri  Eğitmenliği  •  Bilgi  Teknolojileri  Danışmanlığı  •  Bilgi  Güvenliği  Süreç  Danışmanlığı  •  Bilgi  Güvenliği  Çözümleri  ve  Pentest  •  Kurucu  Ortak  –  Corvues  Bilişim  ve  Danışmanlık      

Neden  Güvende  Olmaya  İh8yacımız  Var  

•  İ8bar!  •  Zaman!  •  Para!  Güvenlik  sistemlerinin  her  zaman  kazanmak  zorunda  olduğu,  saldırganın  ise  sadece  bir  defa  kazanmak  zorunda  olduğu  sözü  kesinlikle  doğru.                        -­‐  Dus8n  Dykes  

Hangi  Bilgi  Bizim  İçin  Gizli?  •  Hangi  bilgiyi  korumalıyız?  •  Öncelik  tanımlamak.  •  Bilgiyi  sınıflandırmak  (Data  Classifica8on)  – Veri  Tipleri,  Konumları,  Yetkileri  

•  Sınıflandırmadan  Hiçbir  Bilgiyi  Koruyamazsınız    

Data  Loss  Preven8on  •  Gizli  veriyi  belirlediniz.  Peki  Sonra?  •  Dosya  Sunucuları  – E-­‐Posta  – Ftp  –  Instant  Message  Services  –  I/O  Ports  – Neleri  Unubuk?    

Neleri  Unubuk  •  Firewall  •  VPN  (Virtual  Private  Network)  •  IPS/IDS  (Intrusion  Preven8on  &  Detec8on  Sys)  •  Iden8ty  Manager  •  SSO  (Single  Sing  On)  •  Access  Manager  •  Two  Factor  Authen8ca8on  (Token)    

•  Veri  Tabanı  Erişim  ve  Sorgu  Güvenliği  •  ISO  27001  Gereksinimi  Güvenliğin  Temeli  •  Hardware  Security  •  An8virus  -­‐  An8spam  •  Applica8on  Security  •  Mobile  Security  ?????  •  Content  Filtering  •  Neleri  Unubuk?  

Neleri  Unubuk  

       Yöne%lemeyen  Hiçbir  Sistem  Güvende  Değildir  

Sistem  Yöne8mi  

Sistem  Yöne8cisi  •  IT  Ekibine  Hakimiyet  •  Minimum  Dış  Destek  •  Maximum  Eği8m  ????  •  Hakim  Değilsen  Anali8k  Düşünemezsin  •  Hakim  Değilsen  Problem  Çözemezsin  •  Tüm  Ekipmanları  İle  Sisteme  Hakimiyet    •  Yönetemiyorsan  Delege  Et!    

Sistem  Yöne8cisi  •  Tüm  Süreçlere  Hakim  IT  Departmanı  – Tüm  iş  süreçlerine  hakimiyet  (Departman  Bazında)  – Sistem  Gereksinimlerine  Hakimiyet  (Bütçe)  – Güvenlik  Gereksinimlerine  Hakimiyet  (Bütçe)  – Sonuç:  

•  Herkesin  Sahip  Olduğu  Değil  Sizin  İçin  Gerekli  Olana  Sahip  Olma  (Bütçe)  •  Her  Ürünü  Samn  Almak  Sizi  Güvenli  Yapmaz  ve  Her  Ürünü  Size  Satmak  İsterler….  

Ve  En  Zayıf  Halka  •  Zamanın  en  pahalı,  en  güncel  yazılım  ve  donanımlarını  kullanın,  yanmaya,  patlama,  sıvıya  karşı  önleminizi  alın,  en  iyi  güvenlik  danışmanları  ile  çalışın  yine  de  tamamen  savunmasızsınız!!!  

•  INSAN  Güvenliğin  En  Zayıf  Halkası  

•  Kullanıcılar  Yoksa  Herşey  Yolunda  •  Kullanıcı  Yöne8mi  ve  Güvenlik  •  Duygusal  Zeka  Faktörü  –  Onları  Anlamaya  Çalışın  

•  Kullanıcı  Bilinçlendirme  Eği8mleri  •  Herşey  Tanımla!!!  Ama  Anlayabilecekleri  Bir  Dilde  •  Eğer  Bilinçlenirlerse  Güvenilir  Olurlar  •  Kullanıcı  Alışkanlıkları  =  Kurumsal  Verimlilik  

Kullanıcılar  

Dünyada  Marm  •  WIKIPEDIA  – Marmlar  büyük  kuşlardır,  genellikle  gri  veya  beyaz  renkte  çoğunlukla  başlarında  siyah  işaretler  bulunur.  Cesurdurlar,  uzunca  bir  gagası  ve  perdeli  ayakları  vardır.  İri  hantal  gövdeli  kuşlardır.  Boyları  25-­‐80  cm'dir.  Kanat  desenlerinin  yanı  sıra  bacak  ve  gaga  renklerine  bakılarak  tür  ayrımı  yapılabilir.  

– Besinlerini  çoğunlukla  yumuşakçalar,  yengeçler  ve  küçük  balıklar  oluşturur  

Türkiye’de  Marm  •  Türk  halkının  iyiliksever  yaklaşımları  ile  simit,  poğaça,  ekmek  gibi  hamur  işi  ürünlerine  alışmrılıp  doğası  altüst  edilmiş  bir  kuş  türüdür.  

 

ALIŞKANLIKLAR  DEĞİŞTİRİLEBİLİR  J  

Kullanıcılar  •  Alışkanlıkları  Değiş8rilebilir.  •  Ama  Biraz  Yardım  Hiçte  Fena  Olmaz  –  IK  Departmanları  İle  İle8şim  – Departman  Bazında  Bilgisayar  Bilgisi  Tanımlama  – Departman  Bazında  Güvenlik  İlkeleri  Tanımlama  – Riskin  Almnı  Çizebilmek  – Policies  &  Procedures  – Pentest  

Kullanıcıların  Taşıdığı  RİSKLER  •  Bilgiye  Başkasının  Erişmesi  •  Bilgiye  Bir  Daha  Erişememek  •  Maillere  Sahipleri  Dışında  Erişim  •  Tüm  Dosyaların  Şifrelenmesi  (CryptoLocker)  •  Everyone  •  Ortak  Portallar  •  Ortalıkta  Dolaşan  Şifreler  •  Açık  Bırakılan  PC  ler  

İçeriye  Girmek  •  Şirket  Güvenlik  Görevlileri  •  PDKS  •  Yeni  İşe  Başlayanlar  •  Asistanlar  •  Akıllı  Telefon  –  Tablet  ve  Kişisel  Bilgisayarlar  •  Uzak  Kullanıcılar  ve  LOCAL  ADMIN  •  Çöpe  Axklarınıza  Dikkat!!!  •  Bana  Güvenirseniz  İçerideyim  

İle8şimde  Risk  Yöne8mi  •  3.  Göz  –  Mutlaka  Danışmanlık  Alın  •  Öğrenin  ve  Danışmanı  Denetleyin  •  Yöne8m  Kurulunu  Bilgilendirin  •  Kontrol  Dışı  İle8şim  Araçları  &  Policy  •  Kullanıcı  Bilgi  Güvenliği  Bilinçlendirme  Eği8mi  

Yöne8m  Kurulunu  Yöne8n  •  Anlayacakları  Dilde  Konuşmak…  •  Riskleri  Bilmeliler  •  En  Büyük  Destek  Şirke8n  Sahibinden  •  Sistemi  Kapatmak  Sizin  Yetkiniz  •  Olabildiğince  Rakamsal  Konuşmak  •  Manuel  Önlemler  Onların  Yetkisinde  •  Düzenli  Anlaşılır  Raporlar  Oluşturun  

HACK      

Bir  dokümanı  networkten  çalmak  mı  yoksa  yüksek  sesle  okumak  mı,  akıllı  telefon  ile  resmini  

çekmek  mi  HACK?  

Teşekkürler  •  www.corvues.com  •  www.facebook.com/corvuesbilisim  •  www.facebook.com/corvues  (Bireysel)