HALKBANK BİLGİ GÜVENLİĞİ EĞİTİMİ TASLAĞI

Transkript

1 HALKBANK BİLGİ GÜVENLİĞİ EĞİTİMİ TASLAĞI HALKBANK BİLGİ GÜVENLİĞİ EĞİTİMİ TASLAĞI 1 ELEKTRONİK HABERLEŞME GÜVENLİĞİ EĞİTİMİ 2 ŞİFRE GÜVENLİĞİ EĞİTİMİ 3 TAŞINABİLİR MEDYA (USB /CD/DVD) KULLANIMI EĞİTİMİ 7 INTERNET KULLANIMI GÜVENLİĞİ EĞİTİMİ 9 FİZİKSEL GÜVENLİK EĞİTİMİ 12 TAŞINABİLİR BİLGİSAYAR GÜVENLİĞİ EĞİTİMİ 15 ACİL OLAY DURUMUNDA KARŞILIK VERME EĞİTİMİ 18 VERİ GÜVENLİĞİ EĞİTİMİ 19 SOSYAL MÜHENDİSLİK EĞİTİMİ 21 GENEL TEMSİLLER EĞİTİMİ 26 Versiyon: 0,0 Son güncelleme: AIYDB SNGYB adına H.Tercan

2 ELEKTRONİK HABERLEŞME GÜVENLİĞİ EĞİTİMİ Bankamızda Elektronik Haberleşme ile Kastedilen Nedir? Elektronik haberleşme, bilgi sistemleri ortamında e posta (e mail) ve anında mesajlaşma (chat) programları kullanılarak yapılan haberleşmedir. Bankamızda dikkat edilmesi gereken elektronik haberleşme güvenliği kurallarının çoğu özel hayatımızda da dikkat edilmesi gereken konulardır. Personelimizin elektronik haberleşme güvenliği konusunda dikkat etmesi gereken konular: Banka elektronik iletişim sistemleri genel olarak sadece iş faaliyetleri için kullanılmalıdır. İş dışı kullanım çalışanın verimliliğini kesintiye uğratmayacak şekilde olmalıdır. Yasadışı veya kişisel tartışmalar içeren iletişim içinde görülen bankamız e posta adresleri hakkında ilgili kurumlarca bilgi istenebilmektedir. Bankamız hassas bilgileri, önceden yönetici pozisyondaki idari amirin izni alınmaksızın Banka dışındaki hiçbir tarafa iletilmemelidir. e posta mesajları, birkaç karşılıklı yazışma sonrasında farklı kişilere de gönderilebileceği için, mesaj içine, şifre, gizli bilgi, kişisel bilgi yazılamamalıdır. Eğer orijinal mesajda bu tür bilgiler varsa mesaj cevaplanırken gizli bilgiler silinmelidir. Şans getireceğini iddia eden, yardım isteğinde bulunan, önemli bir firmada çalışan komşumun oğlu duşmuş yakında filanca olay olacakmış, cep telefonunda aynı anda şu tuşlara basınca görüşmeler bedava oluyormuş tarzındaki zincir mailler iletilmemelidir. Bu tarz e postalar kişilerin mail adreslerini toplanmak için kullanılmaktadır. Toplanan adresler kötü amaçlı kullanım için satılmaktadır. Banka dışına toplu bir listeye gönderim yapmak gerekirse gönderilenlerin adresleri, diğer alıcılar tarafından görülmemesi için kime (to) alanına değil Gizli (Bcc) alanına yazılmalıdır. Diğer şifrelerde olduğu gibi e posta giriş şifreleri kimseye verilmemelidir. Özellikle yahoo, Hotmail, gmail gibi web üzerinden servis veren firmaların kontrol için şifre istediği yönünde mesajlar gelebilmektedir. Bu mesajlara cevap verilmemelidir. E posta sistemlerinin zafiyetlerinden dolayı bankamız dışındaki sistemlerde başkasının adını kullanarak e posta göndermek mümkündür. (Bankamızda buna karşı önlemler alınmıştır.) Özellikle bilgisayar virüsleri, bulaştıkları bilgisayarda adres defterindeki kişilere, bilgisayarın sahibinde geliyormuş gibi dikkat çekici konularla virüs içeren eklentilere sahip mesajlar atmaktadır. Bu yüzden tanıdığınız kişilerden dahi gelse, e posta ekindeki mesajlar açılırken dikkatli olunmalıdır. Mesaj ekinde gelen programlar çalıştırılmamalıdır. Bankanızdan, kullanılmayan hesaplarınızın kapatılacağı, eğer kullanmak istiyorsanız ekteki linke bağlanarak şifrenizi girmenizi isteyen mesajlar gelirse bu tür mesajlara itibar edilmemelidir. Bu mesajlar olta ( phishing) mesajları olarak bilinirler ve kişilerin internet şube şifrelerini çalmak üzere hazırlanmış postalardır. Verilen link ile gidilen siteler gerçek banka sitesinin birebir kopyası görüntüsündeki sahte sitelerdir. Şifreyi aldıktan sonra şu anda işleminize devam edemiyoruz gibi mesajlar vererek şifreleri çalarlar. SPAM Mail nedir? İnternet üzerinden toplanan e posta adreslerine reklam amaçlı toplu mesaj atılması bir iş kolu haline gelmiştir. Ucuz saat, ilaç gibi ürünlerin reklamı yapılmaktadır. Çoğu zaman okumak ve silmek için vakit kaybından öteye gitmeyen bu mesajlar çok sayıda kişiye atıldığı için içlerinden yüzde biri bile ilgili siteye gitse karlı hale gelmektedir. Bankamızda elektronik haberleşme güvenliği konusunda yapılanlar:

3 Türkiye Halk Bankası A.Ş. elektronik posta sunucularına kurum dışından gelen ve bu sunucular aracılığı ile kurum dışına giden her türlü e posta birkaç farklı virüs taramasından geçirilmektedir. Kurum dışına giden elektronik postalar üzerinde elektronik posta kullanım amaçlarını içeren Banka ya ait bir elektronik posta son eki (disclaimer) bulunmaktadır. ŞİFRE GÜVENLİĞİ EĞİTİMİ Şifre nedir? Şifreler, bilgi sistemlerinde kullanıcıların kaynaklarına erişimleri için kullandıkları ve sadece kendilerinin bilmesi gereken elektronik ortamda kimlik doğrulamasının yapılabildiği anahtarlardır. Şifre kullanımı ile pek çok yerde karşılaşırsınız. Bilgisayarınızda oturum açmak, şirket ağına girebilmek, web sunucularına, gizli dokümanlara erişim, maillerinize erişim, bankacılık uygulamalarına erişim için şifreler kullanırlar. Şifrelerin yanlış ve kötü amaçlı kullanımları güvenlik sorunlarına yol açabileceğinden güvenlik politikalarında önemli bir yeri vardır. Şifre yaşlandırma nedir, neden gereklidir? Şifreler, sistemlerde kimlik doğrulamasında kullanılan anahtarlar olmaları nedeniyle önemlidirler. Kullanıcıların uzun süre aynı şifreyi kullanmaları, herhangi bir şekilde şifrelerini ele geçirebilecek kötü niyetli kişilerin sisteme erişim sağlayarak, kullanıcıların sistemdeki verilerinize zarar vermek,sizin adınıza işlem yapmak vb. imkan tanıyacağı için şifrelerin periyodik olarak değiştirilmesi gerekmektedir. Bilgi Sistemlerinde şifrelerin periyodik olarak değiştirilmesini sağlamak için Şifre Yaşlandırma (Password Aging) uygulanmaktadır. Bu uygulama ile kullanıcıların şifreleri, en fazla tanımlanan yaşlanma süresi kadar aynı kalabilir. Bu sürenin sonunda yaşlanan şifreler çalışmaz duruma gelir ve şifrenin değiştirilmesi gerekmektedir. Şifre Yaşlandırma sisteminin sağlıklı sonuç vermesi için değiştirilen şifrenin, eski şifrelerinizle aynı veya benzer olmaması gibi yaptırımlar bilgi sistemlerinde kullanılan en temel özellikler arasındadır. Bankamız için şifre geçerlilik süresi (yaşlanma süresi) ne kadardır? Bankamız kullanıcılarının, şifrelerini değiştirmeleri için tanımlanan yaşlanma süresi 30 gün(1 ay) dır. Bu sürenin son dönemlerinde, Banka içinde kullanılan her türlü bilgi sistemi kullanıcılara şifrelerinin yaşlanmakta olduğunu ve değiştirmeleri gerektiğini hatırlatır. Bilgisayarlarınıza bağlanıldığınızda, şifrenin yaşlanmasına 2 hafta kalmasından itibaren kullanıcı uyarı mesajları ile karşılaşır. Güçlü şifre nedir? Şifreleriniz bilgisayarınızda ve çevrimiçi hesaplarınızda depolanan kişisel bilgilerinize erişmek için kullandığınız anahtarlardır. Dolandırıcılar veya diğer kötü amaçlı kullanıcılar bu bilgileri çalmayı başarırsa çevrimiçi işlemlerde bilgisayarınızda oturum açabilir, dosyalarınıza erişim sağlayabilir, adınıza mail atabilir, adınıza bankacılık işlemleri yapabilir. Çoğu durumda, çok geç oluncaya kadar bu saldırıları fark etmezsiniz. Ancak, güçlü şifreler oluşturarak bu bilgilerin korunmasını sağlayabilirsiniz Aşağıdaki ölçütler şifrelerinizin güçlü olmasını sağlayabilir: Uzun bir şifre belirleyin. Parolanıza eklediğiniz her karakter, sağlanan koruma düzeyini önemli ölçüde artırır. Parolalarınız 8 veya daha fazla karakterden oluşmalıdır; en uygunu, 14 karakter ve fazlasıdır.

4 Çoğu sistem şifrelerinde boşluk çubuğunun kullanılmasını da destekler, böylece birden çok sözcükten oluşan bir cümle ("geçiş cümlesi") oluşturabilirsiniz. Geçiş cümlesi, basit bir şifre ile karşılaştırıldığında daha kolay anımsanabilir, daha uzundur ve tahmin edilmesi daha zordur. Harfler, sayılar ve simgelerin bir birleşimini kullanın. Şifreniz ne kadar farklı türde karakter olursa, şifrenin tahmin edilmesi o kadar zorlaşır. Diğer önemli özellikler şunlardır: Şifrenizde ne kadar az türde karakter olursa, şifre o kadar uzun olmalıdır. Rasgele harf ve sayılardan oluşan 15 karakter uzunluğundaki bir şifre, klavyede bulunan herhangi 8 karakterden oluşan bir paroladan kat daha güçlüdür. Simgeler içeren bir şifre oluşturamazsanız, aynı koruma düzeyini elde etmek için çok daha uzun bir parola oluşturmalısınız. İdeal bir şifre, yeterince uzun olmalı ve farklı simge türleri içermelidir. Klavyenin tamamını kullanın, yalnızca genel karakterleri değil. "ÜstKrkt" tuşu basılı tutularak yazılan simgeler ve sayılar, şifrelerde sık görülen öğelerdir. Klavyenin üst satırında bulunmayan noktalama işaretleri ve dilinize özgü simgeler de dahil klavyedeki tüm simgeler arasından seçim yaparsanız şifreniz çok daha güçlü olacaktır. Sizin anımsamanız kolay, ancak başkalarının tahmin etmesi zor olan sözcük ve deyimler kullanın. Şifrelerinizi ve geçiş cümlelerinizi anımsamanın en kolay yolu onları yazmaktır. Şifrelerinizin güvenli ve etkin kalabilmeleri için iyi korunmaları gerekir. Şifre olarak aile üyelerinin evcil hayvanların ve hatta kendi isminizin doğum günlerinin ve diğer istatistiklerin kullanılması teşvik edici olmasına karşın bu kolay hatırlanabilir verileri kullanmak bilgisayarımızdaki ve ağ üzerindeki bilgileri riske atmaktadır çünkü bu tip kullanıcıyı çok az tanıyan birisi tarafından kolayca tahmin edilebilir. Kullanıcı hakkında bilgisi olmayan birisi bile ki bunlar hacker da olabilir çeşitli sosyal mühendislik taktikleri ile kişisel bilgileri elde edebilir ve bu bilgileri kişinin şifresini tahmin etmek için kullanabilirler. Kolay tahmin edilebilir bir şifre şifrenizi paylaşmakla eşdeğerdir. Birkaç adımda güçlü ve kolay anımsanabilen bir parola oluşturun Bir güçlü parola oluşturmak için şu adımları kullanın: 1. Kolay anımsayabileceğiniz bir cümle bulun. Bu cümle, parolanızın veya geçiş cümlenizin temelini oluşturur. "Her sabah 6 da uyanıyorum" gibi akılda kalacak bir cümle kullanın. 2. Bilgisayarın veya çevrimiçi sistemin geçiş sistemini doğrudan destekleyip desteklemediğine bakın. Bilgisayarınızda veya çevrimiçi sistemde bir geçiş cümlesi (karakterler arasında boşluk ile) kullanabiliyorsanız bunu yapın. 3. Bilgisayar veya çevrimiçi sistem geçiş cümlelerini desteklemezse, şifreye dönüştürün. Oluşturduğunuz cümledeki her sözcüğün ilk harfini alarak anlamlı olmayan yeni bir sözcük oluşturun. Yukarıdaki örneği kullanırsanız "Her sabah saat 6 da uyanıyorum", şu sözcüğü oluşturursunuz: "Hss6du". 4. Büyük ve küçük harfler ve sayılar kullanarak, bu dizeyi daha karmaşık hale getirin. Harflerin yerini değiştirebilir veya bilerek yazım hatası yapabilirsiniz. Yukarıdaki örneği kullanırsanız "Her sabah saat 6 da uyanıyorum", şu sözcüğü oluşturursunuz: "HsS6dU". 5. Son olarak, bazı özel karakterler kullanın. Şifrenizi daha karmaşık hale getirmek üzere harflere benzeyen simgeler kullanabilir, sözcükleri birleştirebilir (boşluk karakterini kaldırabilir) ve başka teknikler kullanabilirsiniz. Yukarıdaki örneği kullanırsanız "Her sabah saat 6 da uyanıyorum", üç harf arasına + koyarak şu sözcüğü oluşturursunuz: "Hss+6du". Aşağıdaki tablo, tüm bu özellikleri içeren şifrenin kırılmasının ne kadar zorlaştığını gösteriyor.

5 Her tahmin bir saniye sürer Altı Karakter Örnek Kombinasyon Gün Hepsi Rakam ,000, Hepsi Harf abcdef 309,000,000 3,576 Rakam ve Harf 1a2b3c 2,180,000,000 25,231 Rakam,Harf ve Özel Karakter 1a#2b% 3,520,000,000 40,740 Büyük ve Küçük Harf ABcDeF 19,600,000, ,851 Büyük, küçük harf ve Rakam AB1dE2 56,800,000, ,407 Büyük,küçük Harf,rakam ve özel karakter AB1#cD 590,000,000,000 6,828,703 Uzak durulması gereken parola stratejileri Parola oluştururken kullanılan bazı genel yöntemler, dolandırıcılar tarafından kolayca tahmin edilebilir. Zayıf ve kolay tahmin edilebilen parolalardan kaçınmak için: Ardışık veya yinelenen karakterlerden kaçının. " ," "222222," "abcdefg", klavyede yan yana duran harfler güçlü parola oluşturulamaz. Harflere görünüm olarak benzeyen sayı veya simgeler kullanmaktan kaçının. Şifrenizi ele geçirmeye çalışacak kadar bilgili olan dolandırıcılar ve diğer kötü amaçlı kişiler, 'i' veya '1' veya 'a' yerine kullanılması ya da gibi) değişikliklerini kolayca tahmin edebilir. Ancak bu değişiklikler, yeterince uzun şifreler oluşturmak, bilerek yazım hataları yapmak veya harf büyüklükleriyle oynamak gibi önlemlerle bir arada kullanıldığında şifrelerinizin daha güçlü olmasını sağlayacaktır. Oturum açma adınızı kullanmaktan kaçının. Şifrenizin içinde adınız, doğum tarihiniz, sosyal güvenlik numaranız veya yakınlarınızla ilgili benzer bilgiler kullanılırsa iyi bir parola oluşturulamaz. Şifrenizi ele geçirmek isteyenler ilk olarak bu bilgileri deneyecektir. Herhangi bir dil için sözlüklerde bulunan sözcükleri kullanmaktan kaçının. Çeşitli sözlüklerde yer alan sözcükleri, bu sözcüklerin tersten veya yanlış yazılışlarını kullanarak şifrelerinizi hızla tahmin edebilen gelişmiş araçlar kullanır. Her türlü hakaret ve argo söz de buna dahildir. Birden fazla şifre kullanın. Şifrenin kullanıldığı bilgisayar veya çevrimiçi sistemlerden biri ele geçirilirse, bu şifreyle korunan tüm diğer bilgileriniz de ele geçirilmiş olacaktır. Farklı sistemler için farklı şifreler kullanılması oldukça önemlidir. Çevrimiçi depolama araçları kullanmaktan kaçının. Kötü amaçlı kullanıcılar bu şifrelerinizi çevrimiçi olarak veya ağa bağlı bir bilgisayarda depolandığını belirlerse, tüm bilgilerinize erişebilirler. " Boş şifre" seçeneği Hesabınız için boş şifre (hiç şifre kullanılmaması), "1234" gibi zayıf bir şifreye göre çok daha güvenlidir. Windows XP çalışan bilgisayarlarda bir hesaba şifre olmadan ağ veya Internet aracılığıyla erişilemez Boş şifre kullanılması hiçbir zaman iyi bir fikir değildir. Örneğin, yanınızda taşıdığınız bir dizüstü bilgisayar büyük bir olasılıkla fiziksel olarak güvenli bir konumda olmayacağı için bir güçlü şifre kullanmalısınız. Şifrenize erişme ve onları değiştirme: Çevrimiçi hesaplar Web üzerindeki uygulamalarda, hesabınıza nasıl eriştiğinizi ve şifrenizi nasıl değiştirdiğinizi

6 belirleyen çeşitli ilkeler kullanılır. Sitenin giriş sayfasında, şifre ve hesap yönetimine olanak tanıyan özel bir alanda bulunmaktadır. Bilgisayar Şifreleri: Şifre korumalı kullanıcı hesaplarını oluşturma, değiştirme ve bu hesaplara erişme ve bilgisayarınız başlatılırken şifre istenmesi hakkında bilgileri, genelde bilgisayarınızdaki işletim sisteminin Yardım dosyaları sağlar. Şifrelerinizi kimseye söylemeyin Şifrelerinizin ve geçiş cümlelerinizin korunmasına, korudukları bilgiler kadar özen gösterin. Başkalarıyla paylaşmayın. Şifreleriniz, arkadaşlarınız ve aile üyeleri (özellikle çocuklarınız) gibi, daha sonra güvenilir olmayan kişilere söyleyebilecek yakınlarınıza söylemeyin. Tek özel durum, eşinizle ortak kullanabileceğiniz çevrimiçi banka hesabı şifresi gibi paylaşmanız gereken şifrelerdir. Kayıtlı şifrelerinizi koruyun. Kaydettiğiniz veya not aldığınız şifrelerinizi saklarken dikkatli olun. Bu kayıtlı şifrelerin saklanmasına, korudukları bilgilerin saklanması kadar özen gösterin. Şifrenizi hiçbir zaman e posta üzerinden veya e postayla yapılan bir isteğe yanıt olarak göndermeyin. Şifrenizi veya şifreyi doğrulamak üzere bir Web sitesine gitmenizi isteyen e postaların neredeyse tümü sahtedir. Güvenilen bir şirket veya şahıstan gelen istekler de buna dahildir. E postalar iletim sırasında ele geçirilebilir ve kişisel bilgilerinizin istendiği e postalar gerçekten o kişi tarafından gönderilmemiş olabilir. Internet "kimlik avı" dolandırıcıları, kullanıcı adlarınızı ve şifrelerinizi açıklamaya ikna etmek, kimlik bilgilerinizi çalmak ve başka amaçlarla sahte e posta gönderir. Şifrelerinizi düzenli olarak değiştirin. Kötü amaçlı kullanıcıların güncel parola bilgilerinizi bilmesini engeller. Şifreniz ne kadar güçlü olursa o kadar uzun zaman boyunca güvenle kullanılabilir. Şifrelerinizi, denetiminizde olmayan bilgisayarlara yazmayın. Internet kafeler, bilgisayar laboratuarları, paylaşılan sistemler, ortak kullanıma açık sistemler, konferanslar ve havaalanı bekleme salonları, adsız olarak Internet'e gözatma dışındaki kişisel kullanımlar için güvenli olarak nitelendirilmemelidir. Çevrimiçi olarak e postalarınızı, sohbet odalarını, banka hesaplarını, iş e posta adresini veya kullanıcı adı ve şifre gerektiren diğer hesapları denetlemek için bu bilgisayarları kullanmayın. Dolandırıcılar oldukça düşük maliyetlerle tuş vuruşlarını kaydeden aygıtlar satın alıp birkaç dakika içinde bunları yükleyebilir. Bu aygıtlar, kötü amaçlı kullanıcıların bir bilgisayarda yazılan tüm bilgileri Internet üzerinden kaydetmelerine olanak tanır şifreleriniz ve geçiş cümleleriniz, korudukları bilgiler kadar değerlidir. P arolanız çalınırsa ne yapmalı? Aylık mali hesaplarınız, kredi raporlarınız ve çevrimiçi alışveriş hesaplarınız gibi parolayla koruduğunuz tüm bilgileri düzenli olarak izleyin. Güçlü ve kolay anımsanabilen parolalar, sahtekarlığa ve kimlik hırsızlığına karşı korunmanıza yardımcı olabilir, ancak garanti değildir. Parolalarınız ne kadar güçlü olursa olsun, sisteminize erişmeyi başaran bir kişi parolanızı da ele geçirebilir. Bilgilerinize erişildiğine işaret edebilecek şüpheli herhangi bir etkinlik fark ederseniz, yetkilileri olabildiğince çabuk bilgilerin. Kimliğinizin çalındığını gibi şifrelerinizin ele geçirildiğini düşünüyorsanız ilgili birimleri haberdar edin. Bankamızın Şifre P olitikası Portal/Mistral ve PC açılış/e posta için belirlenecek şifreler En az bir büyük harf içermelidir. En az bir küçük harf içermelidir. En az bir sayı içermelidir.

7 Kullanıcı Kodu veya İsim Soy ad bilgilerini içermemelidir. Kullanılan son iki şifreden farklı olmalıdır. Şifre en az 6, en fazla 7 karakter olacak şekilde oluşturulmalıdır. Ç, Ğ, I, İ, Ö, Ş, Ü, ç, ğ, ı, i, ö, ş, ü karakterleri kesinlikle kullanılmamalıdır. Şifrelerin sistemlerdeki kullanım süresi 30 gün olacaktır. PC Açılış/E posta şifreleri beş hatalı girişte kendisini kilitleyecek şekilde ayarlanmıştır. Banka personelinin sistem erişimi için kullanılan şifrelerinin, sistem üzerinde kullanıcının imzası yerine geçmesi ve kullanım sorumluluğunun şifre sahibine ait olması nedeniyle, gizlilik içinde saklanması, başkalarına verilmemesi, başkaları tarafından görülmeyecek ve bilinmeyecek şekilde kullanılması gerekmektedir. Şifre sahiplerinin, şifreleri ile yapılan işlemlerden doğabilecek sorunlarda kişisel sorumluluk altında kalacaklarını önemle hatırlatırız. İ yi bir şifre yönetiminin 3 basit kuralı: Kural 1: Şifrenizi asla paylaşmayın. Şifre bir yere yazılmamalı, herhangi bir yere iliştirilmemeli açık metin halinde saklanmamalı veya başkaları tarafından bilinir kılınmamalı. İşle ilgili geçerli bir sebebi olsa bile şifre kimseyle paylaşılmamalıdır. Kural 2: Tahmin edilmesi zor şifre kullanın En az altı karakter uzunluğunda olan ve içinde semboller numaralar ve büyük ve küçük harfler içerenlerdir. Kural 3: Şifrenizi düzenli aralıklarla değiştirin. Şifrelerinizi değiştirmeyi alışkanlık haline getirmelisiniz.en az 25 günde bir değiştirin. Her kullanıcı hesabınız için farklı şifreler kullanın, ortak tek şifre kullanmayın. Web siteleri arttıkça pek çok şifre ile uğraşmanız gerekmektedir. İşyerinizde ağa girmek için, kredi kartınız için, cep telefonunuz için ve hesabınızın olduğu her bir web sitesi için şifrelerinizin olması gerekmekte. Bütün kullanıcı hesaplarınız için aynı şifreyi kullanma isteğinizi dizginlemeye çalışın. Bazı tip hesaplar diğerlerinden daha az güvenli olabilir. Şifre bilgileri web siteleri tarafından korunuyor olsa bile bazı web siteleri zannedildiği kadar güvenli yönetilmiyor olabilir. TAŞINABİLİR MEDYA (USB /CD/DVD) KULLANIMI EĞİTİMİ Günümüzde kullanılan veri depolama sistemleri, tüm teknolojik ürünler gibi, hızla gelişirken, veri depolama miktarları, depoladıkları veriyi transfer etme hızları da devamlı artıyor. Bugün artık çok da hatırlanmayan 5.25 inç boyundaki, esnek disketler, yaklaşık 1.2 MB veri depolayabiliyorken, bu veriyi disketten sabit diske kaydetmek için yaklaşık 40 saniye beklemek gerekebiliyordu. Ardından geliştirilen, daha küçük ve daha sağlam olan 3.5 inç disketler, Japon bilim adamlarının disketlerin gömlek cebine sığdırılması misyonu ile geliştirdikleri, önceleri sadece 700 KB ama bugün 1.44 MB veri depolayabilen cihazlardı. Sabit diskler veri depolamak konusunda kullanıcıların her zaman ilk tercihi olsalar da, iş veriyi bir bilgisayardan diğerine taşımaya gelince, bugün saklama boyutları 100 GB larla ölçülen taşınabilir disklerdeki bilgiyi saklamak; üretmek veya işlemek kadar önemlidir! Belgelerimizin taşıma yöntemlerini incelersek; 1.Cd Dvd En basit ve ucuz yöntemlerden biridir. Çok güvenilir bir yöntem değildir. Yazdırma işleminden yada cd nin çizilmesinden dolayı bilgisayarın okuyamama riski vardır. 2.Flas Bellek Birçok kişinin artık flash belleği var gb lik mini, taşıması kolay bellekler biz öğretmenler için ideal. Birçok kişinin sürekli yanında taşıdığı bu bellekler gerçekten de çok pratik ve kullanışlı.. Sık kullandığımız ve yazılabilir olduğu için virüs bulaşma riski çok yüksektir. Çok önemli belgelerimizi flash bellek üzerinde taşımamalıyız. Sık ve değişik bilgisayarlarda kullanılması flash bellek üzerindeki zararlı yazılımların bir bilgisayardan diğerine çok hızlı yayılmasını sağlar.

8 3.Hard Disk Harici hard disk, ( GB gibi değişik boyutluları bulunmaktadır) Şu an en sağlıklı veri saklama yöntemi olarak görülüyor. Bunları kullanırken virüslere karşı çok dikkatli olmalıyız. Virüslü olduğundan şüphe ettiğimiz dosyaları harici diskimize atıp risk almamalıyız. 4.Msn Bildiğiniz ürere msn5 GB büyüklüğünde saklama kapasitesine sahip. Şifrenin çalınma riski olduğu için gizli olabilecek bilgilerimizi kesinlikle burada saklamamalıyız. Taşınabilir bilginin en önemli güvenlik sorunu kaybedilmesinin çok kolay olmasıdır.her bilgisayara takılabildiği için kullanıcıların sürekli yanında taşıdığı flash bellek, CD, DVD, external diskler (sabit disk) unutulabilir, kaybolabilir. Kurumsal ve önemli bilgilerin yabancı kişilerin eline geçmesi sık karşılaşılmaktadır. Dosyanın taşınmasıyla dosya paylaşımda beraberinde önemli güvenlik riskleri getirmektedir. Bunların en başında geleni ve deneyimli kullanıcıların da aşina oldukları durum, paylaşılan dosyalar vasıtasıyla yayılan virüsler ve diğer zararlı kodlardır. Eğer bir dosya paylaşım yazılımı kullanıyorsanız bilgisayarınızın bu zararlılara karşı mutlaka iyi bir korumaya sahip olması gerekir. Antivirüs, antispyware, antitrojan gibi birden fazla çözümü içinde barındıran bir güvenlik paketi bu tehlikeyi bertaraf etmek için idealdir. Dosya paylaşım araçları ile beraber gelen diğer bir güvenlik sorunu ise indirdiğiniz veya paylaşıma sunduğunuz dosyaların telif haklarının bilerek veya bilmeyerek ihlal edilmesidir. Bu durum ise başınızı yasalar ile ciddi derecede derde sokabilir. Bir çok ülke artık daha önce burada da bildirildiği gibi korsan paylaşımı özel yazılımlar ile takip ederek çeşitli yaptırımlar uygulamayı gündeme getirmektedirler. Oysa ister yazılım ve hatta ister müzik veya film olsun bu tür dosyaları edinmek için yasal olarak kullanabileceğiniz kaynaklar da vardır. 5 Dosya paylaşım yazılımlarının kişisel bilgilerinizi çalmak için kullanılabileceği gerçeği: Dosya paylaşım yazılımları internetteki diğer kullanıcıların bilgisayarlarına nasıl kolaylıkla erişebilmenizi sağlıyor ise aynı şekilde başka kullanıcıların da sizin bilgisayarınıza kolaylıkla

9 erişebilmesini sağlamaktadırlar. Genelde erişim, yazılım tarafından varsayılan olarak shared folders veya paylaşılan klasörler adı altında oluşturulan bir klasör ile sınırlı olsa da kötü niyetli bir kişinin bu yolla bilgisayarınızın altını üstüne getirmesi hiç de zor değildir. Burada dikkat edilmesi gereken husus özel bilgi ve belgelerinizi öncelikle asla bu paylaşıma açık klasörlerin içine koymamanızdır. Amerika Birleşik Devletlerin Seattle şehrinde bir kişiye dosya paylaşım yazılımı kullanarak kimlik hırsızlığı yaptığı gerekçesiyle 4 yıl hapis cezası istemiyle dava açılmıştır. Her ne kadar dosya paylaşım yazılımları vasıtası ile korsan müzik, film veya yazılım paylaşımına karşı açılmış birçok dava bulunsa da dosya paylaşım yazılımı ile kimlik hırsızlığı alanında açılan ilk dava budur. Özel bilgi ve belgelerinizi bulundurduğunuz dosyalara parola koymak veya disklerinizi şifrelemek size önemli ölçüde koruma sağlayacaktır. Kişisel bilgilerinizi, dosya paylaşım yazılımı kullandığınız veya herhangi bir başka şekilde internet ortamında başka kullanıcılara erişim imkanı sağladığınız bir bilgisayarda tutmamanız gerekir. INTERNET KULLANIMI GÜVENLİĞİ EĞİTİMİ Günümüzde son kullanıcıya korsan ve zararlı yazılımların bulaşması için en kolay yol güvensiz internet kullanımıdır. Kullanıcılar iş yerlerinden ve iş haricinde kendi internet güvenliklerini sağlamak için şu konulara dikkat etmelidirler. Çalıştığınız bilgisayar üzerinde güncellemelerin yapıldığına emin olun. Çalıştığınız bilgisayar üzerinde antivirüs yazılımı olduğunu ve güncellendiğini kontrol edin Bilgisayarınızda çalışırken internet güvenliğinizi tehdit eden yazılımlar uzak durmak için antivirüs kullanın.

10 Virüsler/Solucan Truva Atları Spyware Bilgilerinize zarar Bilgisayarınızın uzaktan yaptığınız işlemleri takip Verir kontrol edilmesini sağlar edilmesini ve sizinle ilgili Kişisel bilgileriniz Kişisel bilgileriniz, bilgi toplanmasını sağlar. zarar görür şifreleriniz çalınabilir Bankamız içerisinde kullanılan antivirüs yazılımı otomatik olarak güncellenmektedir. Bu yazılım güncellenmesinde yada çalışmasında sorun görürseniz Yardım Masasına başvurabilirsiniz.evde kullandığınız bilgisayarınız üzerinde mutlaka güncel ve çalışan bir antivirüs kullanın. Çalıştığınız bilgisayar üzerinde Firewall (Güvenlik duvarı) yazılımının çalıştırın.

11 Browser uyarılarına dikkat edin Güncellenmiş tarayıcılar kullanın. Şu an en çok kullanılan tarayıcılar IE.7.0 ve Firefox 3.0 dır. Şüpheli olabilecek ya da e postal ile gelen linklerde ki siteleri açarken dikkatli olun. Tanımadığınız kişilerden gelen SPAM mesajları açmayın yada linklere tıklamayın. Yedek alın. Sizin için önemli olan bilgileri başka klasörlere ya da başak sunucularda sizin için ayrılan yerlere yedekleyin. Bir linke tıklamadan önce düşünün, zararlı bir site olabilir. Farkında olmadan bir virüs,truva atı indirebilir ve hem kendi bilgisayar güvenliğinizi hem de çalıştığınız yerin güvenliğini tehlikeye atabilirsiniz. Sadece güvendiğiniz sitelerden dosya indirin.

12 Pop up ları kapatırken daima sağ üst köşedeki çarpı işaretinden kapatın. FİZİKSEL GÜVENLİK EĞİTİMİ Bir binayı, bir kaynağı yada bir medya üzerinde saklı bilgileri saldırganların erişiminden korumak ve gerektiğinde erişilebilir olarak saklamaya fiziksel güvenlik denir. Güvenlik önlemleri korunacak bilgi yada değerin kritikliğine göre gerektiğinde basit bir kapı kilidinden silahlı personele kadar farklı olabilir. Bankamız adına korunması gereken bilgi sistemleri parçaları şunlardır. Çalıştığınız PC, Şube sunucu serverı, taşınabilir notebook, taşınabilir medya (usb bellek, CD/DVD, disket, yazdırılmış dokuman) Çalıştığınız PC yada içerisinde bulunan hard disk çalınırsa içerisinde bulunan kişisel yada bankaya ait bilgileriniz de çalınmış demektir. Bilgisayarınızın fiziksel güvenliğine dikkat etmelisiniz. Tanımadığınız kişilerden yada misafirlerden aldığınız usb bellekler, CD/DVD içerisinde zararlı yazılımlar olabilir. Bunlar farkında olmadan bilgisayarınıza kurulabilir. Tanımadığınız kişiler bilgisayarınızın arkasına küçük bir parça ekleyerek klavyeden yazdığınız bilgileri kaydedip şifrelerinize çalabilir.

13 Kötü niyetli bir misafir açık olan bir network ucuna bankanın ağ güvenliğini bypass eden bir arka yol cihazı yerleştirebilir. Bu tür kişilere karşı uyanık olunmalıdır. Bilgisayarınızı siz kullanmıyorken kilitli (lock) durumda bırakın, bilginiz olmadan sizin adınıza mail atılabilir yada bilgisayarınızdaki verilere çalınabilir. Bunun için kısa yol Windows Tuşu +L tuşuna basabilirsiniz. Şube sunucusu üzerinde bankaya ait hizmete özel bilgiler bulunmaktadır. Bu sebeple şubede tanımadığınız yada yetkili olmayan kişilerin şube sunucuna yaklaşmasını engellemelisiniz. Şubede yer alan şube sunusu kilitli bir dolap yada oda içerisinde olmalıdır. İzinli ve yetkili personel haricinde bu kabinete ya da odaya giriş engellenmelidir. Bu odanın anahtarı açıkta tutulmalı hizmet ile ilgili bir kasa yada çekmecede saklanmalıdır. Sunucunu bulunduğu odada bu tür gariplikler görüldüğünde yardım masasına bilgi verilmelidir

14 Taşınabildiği için günümüze çalınmaya en çok maruz kalınan bilgisayar türüdür. Bu tür bilgisayarları arabanızda yada görünecek yerlerde tutmayınız, yanınızda taşıyınız Örnek olarak arabalarda bagaja dahi konsa çalınmaları mümkün olmaktadır. İçerisinde mümkün olduğunda bankaya özel bilgi tutmamaya çalışınız, bilgilerinize banka içerisinde size özel ayrılmış dosya sunucuları üzerinde saklayınız. USB, CD/DVD, cihazları üzerindeki verilerin fiziksel olarak çalınması yada kaybolması durumlarında istenmeyen durumlar ortaya çıkmaktadır. Bu durumları minimize etmek için bu tür medyaları kullanmanız gerekliyse içerisinde veriyi şifreli tutanlarını yada parmak iziyle çalışanlarını tercih ediniz. Bu şekilde kaybolsa yada çalınsa dahi kullanılamaz durumda olacaktır. Ayrıca güvenliğinden emin olmadığınız USB, CD/DVD cihazlarını bulsanız dahi bilgisayarlarınızda kullanmamaya özen gösterin. Yapılan bir araştırmada bir kurum içerisine bırakılan virüslü USB belleklerin %70 nin kullanıcılar tarafından kullanıldığı ve bu bilgisayarlara virüs bulaştığı tespit edilmiştir. Yazdırılan dokümanlar genelde göz ardı edilen fakat çokça açıklara neden olabilecek bir durumdur. Yazdırılan dokümanlar için gönderdiğiniz dokümanları printer üzerinde unutmayınız. Size yada bankaya özel bilgiler istenmeyen kişilerin eline geçebilir. Eğer bir dokümanı çöpe atacaksanız bu dokümanın mümkünse kağıt yok etme cihazından geçirin yada olabildiğince çok parçaya yırtarak okunamaz hale getirin.

15 TAŞINABİLİR BİLGİSAYAR GÜVENLİĞİ EĞİTİMİ Banka personelinin veya ağa dahil olmak isteyen danışman, sağlayıcı, vb. 3. parti kurum çalışanların taşınabilir bilgisayarları, aşağıdaki güvenlik şartlarını sağlamalıdır: Banka tarafından personeline tahsis edilen taşınabilir bilgisayarlar Altyapı İşletim ve Yönetimi Daire Başkanlığı tarafından kurulmuş olan Banka MS dizin sistemi etki alanına (domain) dahil olmalıdır. Taşınabilir bilgisayarlar üzerinde yerel (local) kullanıcı kullanılmaz, tüm kullanıcılar Banka etki alanı (domain) kullanıcıları ile taşınabilir bilgisayar üzerinde çalışmalıdır. Yerel kullanıcı, kullanıcıların sisteme yerel giriş yapabilmeleri için oluşturulur. Sadece yerel kaynaklara ulaşabilir Domain kullanıcısı kullanılarak tek bir logon ile Domain içindeki tüm kaynaklara ulaşılabilir.

16 Ağa dahil olacak tüm dizüstü bilgisayarların üzerine güncel işletim sistemi ve gereken kritik yamalar kurulmuş olmalıdır. İşletim sistemi güncelleştirmeleri, bilgisayarınızın güncel kalmasına yardımcı olan yeni yazılımlar içerir. Güncelleştirmelere örnek olarak hizmet paketleri, sürüm yükseltmeleri, güvenlik güncelleştirmeleri, sürücüler veya diğer güncelleştirme türleri gösterilebilir. Banka tarafından personeline tahsis edilen taşınabilir bilgisayarların kullanıcıları bilgisayarın administrator şifrelerini bilmemelidirler.administrator yerel bir kullanıcı olup bilgisayar üzerinde tüm yetkileri sahiptir. Taşınabilir bilgisayarda sabit disk dışındaki medyalardan (CD, disket, vb.) açılması (boot) seçeneği kapatılmalı ve BIOS a şifre koruması getirilmelidir. "Basic Input/Output System" (Temel Giriş/Çıkış Sistemi) kelimelerinin baş harflerinin birleşmesinden meydana gelen BIOS, PC'nizin çalışması için gereken temel yapı olarak özetlenebilir. Sadece okunabilir bellek (ROM) üzerine yazılmış bir yazılım olan BIOS, ana kartınızın özelliklerini yönetebilmeniz/ kullanabilmeniz, diğer donanımlar arasında bir bağ kurması için görev yapar. Sadece Okunabilir Bellek" üzerinde olmasından dolayı, burada kalıcıdır. Taşınabilir bilgisayar üzerinde güncel antivirüs programı ve istemci antivirüsle bütünleşmiş çalışan güvenlik duvarı programı kurulu olmalıdır. Antivirüs yazılımı, virüsler ve solucanlar gibi kötü amaçlı yazılım programlarını algılayan, engelleyen ve etkisiz hale getirilmesi ya da temizlenmesi için işlem Gerçekleştiren bir bilgisayar programıdır. Bilgisayar virüsleri, bilgisayarın çalışmasını engelleyecek, verileri kaydedecek, bozacak veya silecek ya da kendilerini Internet üzerinden diğer bilgisayarlara yayacak şekilde tasarlanmış yazılım programlarıdır. En güncel virüslerin engellenmesine yardımcı olmak için, virüsten koruma yazılımınızı düzenli olarak güncelleştirmek gereklidir. Çoğu virüsten koruma yazılımını otomatik olarak güncelleştirilecek biçimde ayarlanır. Güvenlik duvarı, Internet üzerinden bilgisayarınıza erişmeye çalışan bilgisayar korsanlarını, virüsleri ve solucanları engellemeye yardımcı olan iç ve dış ağlar arası ağ trafiği tanımlanan kurallara göre denetleyen bir yazılım programı veya donanım parçasıdır.

17 Banka personeli kablosuz veya yerel ağ bağlantısı ile banka dışında internete giriş yapabilir. Banka içerisinde ise Banka Proxy sunucusunu kullanmak zorundadır. Proxy (vekil sunucu), internete erişim sırasında kullanılan bir ara sunucudur. Bu durumda, örneğin bir web sayfasına erişim sırasında direkt bağlantı yerine; tarayıcı vekil sunucuya bağlanır ve hangi sayfayı istediğini söyler, vekil sunucu gerekiyorsa o sayfaya bağlanır ve içeriği alır, vekil sunucu tarayıcıya içeriği gönderir. 3. parti kurum çalışanlarının kendi taşınabilir bilgisayarlarında çalışırken Banka ağından hizmet alma talebi söz konusu ise, birlikte çalıştıkları birim Daire Başkanı ya da eşdeğer pozisyondaki yöneticinin bilgisi dahilinde Banka Talep Yönetimi Sistemi üzerinden yazılı talep iletmelidir. Taleplerinin internet hizmeti almayı da içermesi halinde Internet Kullanımı Güvenliği Politikasına uygun davranmalıdırlar.

18 ACİL OLAY DURUMUNDA KARŞILIK VERME EĞİTİMİ Acil durum planlamasından amaç; Felaketlerin engellenmesi: risklerin tespit edilerek, risklerin oluşmasını engelleyici önlem alınması, Organize cevap verme: hazırlıklı ve eğitimli olarak felakete hızlı ve doğru karşılık verme, Varlıkların ve nakit akışının korunması: seçenekler ve alternatif prosedürlerin belirlenmesi, Altyapının düzeltilmesi : normal operasyonlara dönüş olarak belirlenmelidir. Bilgi sistemleri ortamlarından bilgi çalınması, bilginin değiştirilmesi, sunucuların ya da istemcilerin yetkisiz kullanıcıların eline geçmesi, virüs atağına uğranması, bilgi sistemlerinde bir anda oluşan beklenmeyen genel sorun oluşması durumlarında yapılması gerekenler kısaca şunlardır: Bilgi Çalınması Durumu: Bilgi çalınan sistem üzerinde adli analiz yöntemi ile sisteme sızan kişiye ait bilgilere(bilgisayar ismi, kullanıcı kodu, gibi) ulaşılmaya çalışılır. Bunun yanında güvenlik duvarı, saldırı tespit ve önleme sistemleri, sunucular, yönlendiriciler, lokal ağ anahtarları üzerindeki işlem izi kayıtlarından da faydalanılır. Bilgi çalınması olayı ve ele geçirilen kanıtlar Teftiş Kurulu BT Denetim Birimi ne aktarılır. Bilgi Değiştirilmesi Durumu: İçerisindeki verileri bozulmuş olan sistemler ve bunlarla ilişkili olan sistemler belirlenir. Verinin bozulma miktarı belirlenir. Buna göre uygun en son yedekten dönülmesi ya da elle düzeltmeye ilgili Yazılım Geliştirme ve Altyapı İşletim ve

19 Yönetimi Daire Başkanlığı Orta Boy Sistemler birimleri ile karar verilir. Bilginin çalınması durumunda uygulanan adli analiz yöntemleri uygulanır. Elde edilen kanıtlar Teftiş Kurulu BT Denetim Birimi ile paylaşılır. Sunucu ve Sistemlerin Yetkisiz Ellere Geçmesi: Bu sunucunun internete açık olması durumunda acil olarak bu sunucunun internet bağlantısı kesilir. Sunucu üzerindeki zafiyete sebep olan durum BT Güvenliği Birimi tarafından incelenir ve raporlanır. Rapora göre zafiyete sebep olan yapılandırma, yama gereksinimleri ya da uygulama değişiklikleri yapılır. Eğer sunucunu tamamını internete kapatmak iş süreçleri açısından sakıncalıysa zafiyete sebep olan yazılım parçaları kapatılmalıdır. Soruna sebep olan yapılandırma, yama eksikliği, ortaya çıkan sorunun oluşturduğu kayıplar BT Güvenliği Birimi tarafından raporlanır ve tekrarlanmaması için gerekli önlemler alınır. İstemci ve Sunucularda Yoğun Virüs ve solucan (Worm) Atağı Olması Durumu: Bu durumda atağı sınırlandırmak için kullandığı virüsün zarar verme şekli belirlenir. Bilgi Sistemleri Güvelik Ekibince belirlenmiş aksiyonlar alınır. Beklenmeyen Genel Sorun Durumu: Bilgi sistemleri altyapısında bir anda ortaya çıkan kaynağı belirsiz, dosya silinmesi, işletim sistemlerinin çökmesi, vb. durumlarda sorun netleştirilmeye ve yeri belirlenmeye çalışılır. İlgili sistemden sorumlu kişilere haber verilir. Yönetime ve bankaya gerekli bilgilendirme yapılır. Sorun giderici prosedür hazırlanır. Test edilir. Sorun giderme prosedürü uygulayacak ekiplere teslim edilir. VERİ GÜVENLİĞİ EĞİTİMİ Veri Nedir? İngilizce karşılığı olarak kullanılan data, Latince datum kelimesinden ( çoğul hali data ve vermeye cesaret etmek fiilinin geçmiş zamanı dolayısıyla verilen şey ) gelmektedir. Bilişim teknolojisi açısından veri, bir durum hakkında, birbiriyle bağlantısı henüz kurulmamış bilinenler veya kısaca, sayısal ortamlarda bulunan ve taşınan sinyaller ve/veya bit dizeleri olarak tanımlanabilir. Bilgi,Verinin anlam ifade edecek şekilde düzenlenmiş halidir. Bilgi ve Bilgisayar Güvenliği Bilgi güveliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden korunması için, güvenli bir bilgi işleme platformu oluşturma çabalarının tümüdür. Bilgi güvenliği, bilginin bir varlık olarak hasarlardan korunması,doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak tanımlanabilir.bilgisayar teknolojilerinde güvenliğin amacı ise kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır. Veri Güvenliği Unsurları Veri güvenliği unsurlarını 5 ana madde ve 4 destekleyici madde olarak tanımlayabiliriz. Gizlilik ( confidentiality ), bütünlük ( integrity ), kullanabilirlik ( availability ), kimlik kanıtlama ( authentication ) ve inkar edememe ( non repudiation ) 5 temel unsurdur. Sorumluluk ( accountability), erişim denetimi(access control), güvenilirlik (reliability) ve emniyet (safety) destekleyici etmenlerdir.

20 Şekilde de görüldüğü gibi Veri güvenliği, bütün unsurlar bir araya geldiğinde tamamlanmış oluyorlar.bu unsurları sırayla tanımlayacak olursak; Gizlilik: Bilgiye, sadece erişim hakkı olması gerekenlerin erişmesini sağlayarak, bilginin gereksiz kişilere ulaşmasının önlenmesidir. Bütünlük : Bilgi ve bilgi işleme yöntemleri ile veri içeriğinin değişmediğinin doğrulanmasıdır. Kullanılabilirlik : Yetkili kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişim hakkının olmasının temini. Kimlik Kanıtlama : Geçerli kullanıcı ve işlemlerin tanınması ve doğrulanması ile bir kullanıcının veya prosesin hangi sistem kaynaklarına erişme hakkının olduğunun belirlenme sürecidir. İnkar Edememe : Bir bilgiyi alan veya gönderen tarafların, o bilgiyi aldığını veya gönderdiğini inkar edememesini sağlama işlemidir. Sorumluluk : Belirli bir eylemin yapılmasından, kimin veya neyin sorumlu olduğunu belirleme yeteneğidir. Genelde kayıt tutma ve bu kayıtları araştırma işlemlerine gerek duyar. Erişim Denetimi : Bir kaynağa erişmek için izinlerin verilmesi veya alınması olarak tanımlanabilir. Güvenilirlik : Bir bilgisayarın, bir bilginin veya iletişim sisteminin şartnamesine, tasarım gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu güvenli bir şekilde yapabilmesidir. Emniyet : Bir bilgisayar siteminin veya yazılımın bulunduğu ortama, yada kendisine istenmeyen olayları oluşturacak tehlikeli etkinlikleri önleme tedbirleridir. Yukarıdaki katmanlar göz önünde bulundurularak, bilginin paylaşılmasında Neden, Ne Zaman, Kim, Niçin sorularına cevap verilerek işlem adımları oluşturulmalıdır. Her zaman konu ile ilgili kurallara uyun.şirketinizin hazırladığı güvenlik politikaları, her zaman sizin iyiliğiniz içindir.