Bir sistem, yazılımı ihtiyaçlarınız ve beklentileriniz doğrultusunda çalışıyorsa güvenlidir
Güvenlik, bulunurluk, kararlılık, erişim denetimi, veri bütünlüğü ve doğrulamadır.
Güvenlik ve İnsan
Güvenlik, teknoloji kadar insan ve o insanların teknolojiyi nasıl kullandığı ile ilgilidir.
Güvenlik sadece doğru teknolojinin kullanılmasından daha ileride bir hedeftir.
Doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılmasıdır.
Teknoloji Tek Başına Yeterli mi ?
Eğer teknolojinin tek başına güvenlik probleminizi çözülebileceğini düşünüyorsanız, güvenlik probleminiz ve güvenlik teknolojileri tam anlaşılmamış demektir.” Bruce Schneier – Şifreleme Uzmanı
Güvenlik Yönetimi
Gizlilik, Bütünlük, Erişilebilirlik
Gizlilik
Kuruma özel ve gizliliği olan bilgilere, sadece yetkisi olan kişilerin sahip olması
Bütünlük
Kurumsal bilgilerin yetkisiz değişim veya bozulmalara karşı korunması
Erişilebilirlik
Kurumsal bilgi ve kaynakların ihtiyaç duyan kişilerce sürekli erişilebilir durumda olması
Risk Değerlendirmesi
Kurumsal işleyişi etkileyebilecek olan risklerin belirlenmesi ve değerlendirilmesi sürecidir.
Bir risk değerlendirmesi yapılmadan, kurumsal işleyişin politika, prosedür ve uygulamalarıyla ne kadar korunduğu belirlenemez.
Risk yönetimi konusunda yetkililere -tercihen üst yönetim- ihtiyaç duyulmaktadır.
Üst yönetimin onayı ile sürecin önemi ve verimi artacak, çalışanlar politika ve prosedürlere daha fazla önem verecektir.
Risk Yönetimi
Kurumun karşı karşıya olduğu risklerin belirlenmesi,
Varlıkların zaafiyetlerinin ve karşı karşıya oldukları tehditlerin belirlenmesi,
Ortaya çıkan riskin nasıl yönetileceği ve nasıl hareket edileceğinin planlanması sürecidir
Risk Yönetimi
Aşamalar
Risk yönetim ekibi kurma
Tehdit ve zaafiyetleri doğrulama
Organizasyon varlıklarının değerlerini belirleme
Riske karşı yapılacak hareketleri belirleme
Kavramlar
Tehdit
Zaafiyet
Kontroller
Risk Yönetimi Kavramları
Tehdit
Organizasyonu olumsuz etkileyebilecek olan insan yapımı veya doğal olaylar
Zaafiyet
Varlıkların sahip olduğu ve istismar edilmesi durumunda güvenlik önlemlerinin aşılmasına neden olan eksiklikler
Kontroller
Zaafiyetlerin boyutunu azaltıcı, koruyucu veya etkilerini azaltıcı önlemler
Caydırıcı Kontroller
Saptayıcı Kontroller
Önleyici Kontroller
Düzeltici Kontroller
Risk Yönetim Kontrolleri
Risk Yönetim Takımı
Tek başına yapılabilecek bir iş değildir, yardımcılar ve diğer önemli departmanlardan çalışanlar ile yapılmalıdır. Böylece riski görmek ve kavramak daha kolay olacaktır.
Potansiyel Gruplar ;
Bilişim Sistemleri Güvenliği
Bilişim Teknolojileri ve Operasyon Yönetimi
Sistem Yöneticileri
İnsan Kaynakları
İç Denetim
Fiziksel Güvenlik
İş Devamlılığı Yönetimi
Bilgi Varlıklarının Sahipleri
Tehditleri Belirleme
Doğal Olaylar
Deprem, Sel, Kasırga
İnsan Yapımı Olaylar
Dış Kaynaklı Olaylar
Virüs, Web Sayfası Değişimi, Dağıtık Servis Engelleme
İç Kaynaklı Olaylar
Çalışanlar
E-Posta Okuma, Kaynaklara Yetkisiz Erişim, Bilgi Hırsızlığı
Eski Çalışanlar
Önceki Hakların Kullanımı, Bilgi Hırsızlığı, Gizli Bilgilerin İfşası
Zaafiyet, Tehdit ve Risk
Tehdit Tipi
Tehdit
Zaafiyet/İstismar
Oluşan Risk
İç Kaynaklı İnsan Yapımı
Çalışan
Kötü yetkilendirme ve izleme sistemi olmayışı
Veri değişimi veya yok edilmesi
Dış Kaynaklı İnsan Yapımı
Saldırgan
Hatalı güvenlik duvarı yapılandırması
Kredi kartı bilgilerinin çalınması
Doğal
Yangın
Kötü yangın söndürme sistemi
İnsan hayatı kaybı
Dış Kaynaklı İnsan Yapımı
Virüs
Güncellenmemiş anti-virüs sistemi
İş devamlılığının aksaması
Teknik İç Tehdit
Sabit Disk Bozulması
Veri yedeği alınmaması
Veri kaybı, çok miktarda iş kaybı
Varlıkların Değerlerini Belirleme
Gerçek risk yönetimi için hangi varlığın kurum için daha değerli olduğu doğru biçimde belirlenmelidir.
Sayısal/Nicel Risk Değerlendirmesi yapılacak ise varlıklara para birimi cinsinden değer atanmalıdır.
Eğer Sayılamayan/Nitel Risk Değerlendirmesi yapılacak ise varlıkların önceliklerinin belirlenmesi yeterlidir; ancak çıkacak sonuçların sayısal olmayacağı da ön görülmelidir.
Nicel Risk Değerlendirmesi
Sayısal risk değerlendirme yöntemidir, sayılar ve para birimleri ile risk belirlenir.
Sürecin tüm elemanlarına sayısal değer verilmelidir.
Varlık, Etki Düzeyi, Korunma Verimliliği, Korunma Maliyeti vb.
Temel kavramlar ve formüller ile risk değerlendirmesi yapılır.
Tekil Kayıp Beklentisi (SLE)
Tekil Kayıp Beklentisi = Varlık Değeri x Etki Düzeyi
Yıllık Gerçekleşme İhtimali (ARO)
Tehditin bir yıl içinde gerçekleşme ihtimali
Yıllık Kayıp Beklentisi (ALE)
Yıllık Kayıp Beklentisi = Tekil Kayıp Beklentisi x Yıllık Gerçekleşme İhtimali
Nitel Risk Değerlendirmesi
Nicel tanımlama tüm varlıklara veya tehditlere kolayca uygulanamaz, Nitel tanımlama ise öncelik ve önem seviyelerine göre değerlendirmedir.
Değerlendirme çıktısı sayısal olmayacaktır, bu durum üst yönetim tarafından önceden bilinmelidir.
Soru/Cevap veya Öneriler ile öncelikler belirlenebilir
Örnek Önceliklendirme Değerleri : Düşük/Orta/Yüksek
Düşük : Kısa sürede telafi edilebilen durumlar için
Orta : Organizasyonda orta düzey maddi hasar oluşturan, giderilmesi için maddi harcamalar gereken durumlar için
Yüksek : Organizasyon sonlanması, müşteri kaybı veya yasal olarak önemli kayıp oluşturacak durumlar için *NIST 800-026
Riske Karşı Davranışı Belirleme
Riskin Azaltılması
Bir önlem uygulanarak veya kullanılarak riskin azaltılması
Riskin Aktarılması
Potansiyel hasar veya durumların sigorta ettirilmesi
Riskin Kabul Edilmesi
Riskin gerçekleşmesi durumunda oluşacak potansiyel kaybın kabul edilmesi
Riskin Reddedilmesi
Riskin inandırıcı bulunmaması ve gözardı edilmesi
Risk Hesaplaması
Riske karşı davranış belirlenmesinde varlık değeri, hasar boyutu, önlem ve sigorta maliyeti, alınan önlemlerin maliyet etkinliği dikkatle değerlendirilmelidir.
Arama motorlarında daha önce Arama yaptığınız kelime veya site isimleri nasıl silinir? Google Chrome ve Mozilla firefox tarayıcılarda, adres çubuğunda kayıtlı olan site isimlerini aşağıdaki işlemleri uygulayarak silebilirsiniz. İşlem için...
Seo Uygulamaları, YouTube dendiğinde aklınıza birçok şey gelebilir. Müzik, eğlence, spor, haber… Sayamayacağımız sayıda çok kategoride milyonlarca video izleniyor, milyonlarca kanal takip ediliyor ve milyonlarca kullanıcı, dünyanın dört bir yanından...
Responsive Web Tasarım Responsive, duyarlı / uyumlu web tasarım, yani mobil cihazlarda iyi bir deneyim sunan web siteleridir. Son yıllarda internet platformları masa üstü bilgisayar, dizüstü bilgisayar, tablet, akllı telefon...
Yasal Bildirim Hak İhlali; Tanıtım amaçlı, sunulan Tüm içerikler sitemiz, 5651 sayılı yasada belirlenen bir yer sağlayıcısıdır. İlgili yasaya göre; sitemizin yönetiminin hukuka aykırı içerikleri kontrol etme yükümlülüğü bulunmuyor. Bu amaçla sitemizde uyar ve içeriği kaldır prensibini benimsenmiştir. Sitemiz; hukuka, telif haklarına ve kişilik haklarına, yasalara saygılı olmayı ilke edinmiş ve her zaman bu yönde hizmetlerini sürdürmeye devam ediyor. Sitemiz, 5651 sayılı kanunun 2. Maddesi kapsamında, Bilgi bir yer sağlayıcı olarak hizmet veriyor.
5651 sayılı kanun kapsamında; Telif hakkına ait konularda yasal olmadığı düşünülen bir şekilde içeriklerin paylaşıldığını, yasal hakların çiğnendiğini düşünen hak sahipleri ya da aynı mesleği icra eden meslek birlikleri varsa, info@bulentkaraman.com site adresimizden yönetimimize ulaşabilir. Bize ulaşan tüm talep, şikayet ve görüşler büyük bir titizle incelenir ve yapılan şikayetin doğru olduğu kanaatine varılırsa, hak ihlali olduğu belirlenen içerikler, ivedi şekilde sitemizden kaldırılır. Dikkat! 5651 sayılı kanun; özel hayatın gizliliği açısından çeşitli düzenlemeler getirmiştir. İnternet üzerinde herhangi bir içerik sebebiyle, haklarının ihlal edildiğini düşünen kişiler, içeriğin yayından kaldırılmasını talep edebiliyor. Kişilik haklarının ihlali durumu söz konusu olduğunda, ilgili kişiler yer sağlayıcısına başvuru yaparak hak ihlali bildirimi yapıyor.
NOT:Tüm İçerikler Bilgi ve Tanıtım Amaçlıdır, Yasal Satın Alım Yapmanız Önerilir. Telif Hakkı veya DMCA Bildirimi İçin e-mail to iletişim: info@bulentkaraman.com
