SİBER ŞANTAJ ISO İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ STANDARDI UNDERGROUND ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) İLE BİLGİ GÜVENLİĞİ

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "SİBER ŞANTAJ ISO 22301 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ STANDARDI UNDERGROUND ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) İLE BİLGİ GÜVENLİĞİ"

Transkript

1 2013 SİBER ŞANTAJ ISO İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ STANDARDI UNDERGROUND ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES (AD RMS) İLE BİLGİ GÜVENLİĞİ WATCHGUARD HIZ VE YÜKSEK ERİŞİLEBİLİRLİK VERİ DEPOLAMA SİSTEMLERİ (2) Ağustos 2013 beyazşapka 1

2 Seminerlerimizden Kareler 2 beyazşapka Ağustos 2013

3 Değerli abonemiz, İçindekiler 04 >> Siber Şantaj Serkan Akcan 06 >> ISO İş Sürekliliği Yönetim Sistemi Standardı Ali Dinçkan 10 >> Underground İrfan Kotman 12 >> Active Directory Rights Management Services (AD RMS) ile Bilgi Güvenliği Muammer Benzeş 16 >> WatchGuard Hız ve Yüksek Erişilebilirlik Ozan Özkara 20 >> Veri Depolama Sistemleri (2) Tarkan Çiçek 2012 Sonunda yeni yıl için bilgi güvenliği konusunda yürüttüğümüz faaliyetleri genişleteceğimizi söylemiştik ve sözümüzü tuttuk. Kısaca 2013 yılı içerisinde bugüne kadar yaptığımız etkinlikleri hatırlatmak istiyoruz. 21 Mart Perşembe günü sponsoru olduğumuz IDC IT Security Roadshow İstanbul konferansına katıldık. Standımızda katılımcılara yeni nesil SIEM, IPS, Anomaly Detection ve Database Security çözümlerini detaylıca tanıtma imkânı bulduk. 7 9 Nisan tarihleri arasında ise sponsoru olduğumuz IDC CIO Summit 2013 konferansı için Antalya da Rixos Sungate Beldibi otelindeydik. IDC CIO Summit konferansında CIO ların dikkatini bilgi güvenliği konusuna çekmek için bir anket düzenledik ve sonuçlarını konferans sırasında katılımcılara dağıttık. İlginizi çekeceğini düşündüğümüz anket sonuçları ile ilgili yazıyı Mayıs sayımızdaki Serkan Akcan ın yazısında bulabilirsiniz. 25 Nisan Perşembe günü seminerlerimizin daimi mekânı Point Hotel de McAfee Enterprise Security Manager (SIEM) seminerimizi gerçekleştirdik. Seminerimize katılan yaklaşık 30 misafirimiz canlı sistemler üzerinde yeni nesil SIEM çözümlerimizi inceleme imkânı buldu. Mayıs ayında faaliyetlerimiz devam etti. 16 Mayıs Perşembe günü Ortaköy Feriye Lokantasında yapılan IDC Bulut Bilişim ve Veri Merkezi Konferansına sponsor olarak katılım gösterdik. 21 Mayıs Salı günü Point Hotel de McAfee Network Security Platform seminerimizde müşterilerimize Network IPS pazarında yaşanan devrimi sunduk. 29 Mayıs Çarşamba günü yine Point Hotel de büyük sistemler ve büyük verinin yedekleme işlemlerini kolaylaştıran Actifio ürün seminerimizde müşterilerimizi konuk ettik ve yaz dönemi sebebiyle faaliyetlerimizi sonlandırdık. Müşterilerimiz için faaliyetlerimiz sonlansa da Nebula için koşturma devam etti Haziran arasında İspanya Marbella da McAfee EMEA Partner Summit 13 konferansına katıldık. EMEA (Avrupa, Ortadoğu, Africa) bölgesindeki yaklaşık 90 McAfee iş ortağının katıldığı iki günün ardından sadece 10 özel iş ortağının katıldığı yuvarlak masa toplantılarına katıldık ve müşterilerimizin beklentilerini üst düzey yöneticilere ilettik. Bu kadar yoğun bir çalışma temposu, Ramazan ayı ve bayramın yaklaşıyor olması nedeniyle Beyaz Şapka Ağustos sayısını tamamlayıp bastırmamız ve dağıtmamız biraz gecikti. Gecikme için özür diler ve gösterdiğiniz anlayış için teşekkür ederiz Sonuna doğru faaliyetlerimizin kalitesini arttırarak devam ettirmeye çalışacağız. Güzel ve büyük sürprizler için hazırlanıyoruz. Bizi web sitemizden ve sosyal medya araçlarımızdan takip etmenizi öneririz. Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanan ve Nebula Bilişim müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim in tescilli markasıdır ve her hakkı saklıdır. Güvenli Günler! Beyaz Şapka Ekibi Ağustos 2013 beyazşapka 3

4 Serkan AKCAN Siber Şantaj DDoS atakları artık Türkiye de de bir şantaj aracı olarak kullanılmaya başlandı. Bu yazıyı okuyun ve önleminizi alın. 8 Temmuz 2013 Pazartesi günün sabahında bir eposta aldık. Beyaz Şapka abonelerimizden biri olan Şirket A nın bilgi işlem yöneticisi, DDoS ataklarının önlenmesi içerikli bir toplantı talep ettiğini bildiriyordu. Hemen telefonla kendilerine ulaştığımızda durumun acil olduğunu anladık ve öğleden sonra da Şirket A ya toplantıya gittik. Toplantı sırasında Şirket A nın sistemine yaklaşık 12Gbit boyutunda bir DDoS atağının geldiğini öğrendik. Finans piyasasında faaliyet gösteren Şirket A nın çok büyük bir sistemi yoktu ve 12 Gbit çok büyük sistemlerde bile sıkıntı yaşatabilecek bir boyuttu. Bilgi işlem yöneticisi, DDoS atağı başlamadan önce Satıcı Z şirketiyle üst yönetimden birinin yönlendirmesi ile bir toplantı düzenlediklerini söyledi. Satıcı Z şirketi Avrupa ülkelerinin birinde DDoS ataklarına karşı dirençli ve büyük bir sisteme sahip olduklarını, müşterilerinin trafiklerini bu büyük sisteme yönlendirerek DDoS ataklarından koruduklarını iddia etmiş ve bu hizmetlerini kullanmalarını önermiş. İstedikleri rakam ise yıllık Yanlış okumadınız, tam olarak yıllık yedi yüz bin avro. Bilgi işlem yöneticisi bunun bir tesadüf olamayacağını ve atakların bu şirket tarafından yapıldığını düşündüğünü söyledi. Kendisine geçmişte Türkiye de faaliyet gösteren bazı bilgi güvenliği satıcı ve dağıtıcı şirketlerinin de kendi müşterilerini ziyaret etmeden önce güvenlik taramasına tabi tutup toplantıya bir rapor götürdüğünden bahsettim. Geçmişte bu metodun ne kadar etik dışı olduğu bilinmiyordu ancak şuan herkes bu metodun etik dışı olduğunun farkında dedim. Hatta Türk Ceza Kanununun 224. maddesine göre bir bilişim sisteminin işleyişini engellemenin suç olduğunu, bir ila beş yıl arasında hapis cezasının öngörüldüğünü söyledim. Dolayısı ile Satıcı Z nin DDoS koruma hizmetlerini tanıtmasının hemen ardından büyük çaplı bir DDoS atağı yemesinin büyük bir ihtimalle tesadüf olabileceğini düşündüğümü söyledim. Sonra da bir DDoS atağından hangi yöntemlerle korunabileceğini uzun uzun anlattım ve müşteriden ayrıldım. Sadece iki gün sonra, 10 Temmuz 2013 Çarşamba günü Şirket B ile başka bir toplantı yaptım. Şirket B finans sektöründe faaliyet gösteren, Şirket A ya göre daha büyük bir sisteme sahip ve daha tanınmış bir şirketti. Şirket B aynı zamanda bizden satın aldığı iki bilgi güvenliği ürününü kullanıyordu. Bir DDoS atağı yediklerinden bahsettiler ve DDoS ataklarına karşı neler yapılması gerektiğini sordular. DDoS atağının yarattığı trafik boyutu 12Gbit in biraz üzerindeydi. DDoS ataklarının türlerini, yöntemlerini ve nasıl engellenebileceğini anlatırken aklıma Şirket A nın hikâyesi geldi ve dönüp kendilerine DDoS atağından hemen önce veya hemen sonra Satıcı Z adlı bir şirketin gelip gelmediğini sordum. Toplantıdaki kişiler şaşkınlıkla bana bakıyordu. Hikâye aynıydı! Satıcı Z üst yönetimden birinin aracılığı ile bilgi işlem ekibiyle bir toplantı ayarlamış ve DDoS koruma hizmetlerinden bahsetmişti. Şirket B konuya çok ilgi göstermediği için Satıcı Z herhangi bir fiyat telaffuz etmemişti. Toplantının hemen ardından da ataklar başlamıştı. Şirket B personeline Şirket A nın adını vermeden hikâyesini anlattım. Bunun bir tesadüf olamayacağını söyleyip savcılığa başvurmalarını önerdim, DDoS konusunda nelerin yapılması gerektiğini anlattım ve müşteri ofisinden ayrıldım. Hikâye bitmedi. Bir gün sonra Şirket B personeli beni aradı ve yarım saat önce tekrar DDoS atağı yemeye başladıklarını bildirdi. Benden Şirket A yı arayarak onlara da bugün içerisinde bir atak yapılıp yapılmadığını öğrenmemi rica ettiler. Sorabileceğimi ve hatta izin verirlerse kontak bilgilerini Şirket A nın personeline iletebileceğimi söyledim ve gerekli izni aldım. Şirket A yı aradığımda sabah saatlerinde atağın başladığını ve yaklaşık bir saat önce durduğunu öğrendim. Ne büyük tesadüf! Şirket A nın da onayı ile karşılıklı kontak bilgilerini dayanışma göstermeleri için paylaştım ve her iki şirkete de konuyu savcılığa veya kolluk kuvvetlerine iletmelerini önerdim. Olayları analiz ettiğimizde durumun sadece bir tesadüften ibaret olduğunu düşünmek pek mümkün değil. Aslında benzer şantaj hikâyeleri gördüm. Web sitesi üzerinden zayıflama(!) ürünleri satan birçok şirket var. Bu ürünlerin çoğu tamamen yalandan ibaret olduğu için kar marjları çok yüksek. Bu şirketler pazar paylarını korumak için birbirlerinin web sitelerine DDoS atakları düzenliyorlar. Üstelik DDoS atağı yapanlar kimliklerini gizlemiyor ve açıkça ilgili ürünler satıştan kaldırılana kadar ataklara devam edeceklerini söylüyorlardı. Bu açık tehdide karşı koyamayanlar ürünleri satıştan kaldırıyorlardı. Bu gibi web sitelerine hosting hizmeti veren birkaç bilişim şirketi bizi arayarak aynı hikâyeleri anlatıp duruyorlardı. DDoS temelli olmayan şantajlar da gördük. Bir marketler zincirinin SQL Database ini hack edip tamamını şifreleyen internet korsanları avro karşılığında şifreyi açabileceklerini söylemişler. Veri tabanının yedeği olmadığından bilgi işlem müdürünün eli kolu bağlanmış. İnternetten bilgi güvenliği şirketleri yazarak arama yapan market sahibi bizi bulmuş ve aramıştı. Para göndermeyin ve hukuk yollarına başvurun dedik ancak daha sonra avro parayı gönderdiklerini ve beklediğimiz üzere veri tabanlarını geri alamadıklarını öğrendik. Şantaj tehdidine boyun eğmeyin Sonuç itibarı ile yurtdışında örneklerini sıkça duyduğumuz şantaj hikâyelerini artık ülkemizde de görmeye başladık. Artık şirketlerin bilgisayar sistemleri şantaj ve çıkar amaçlı saldırılara maruz kalıyor. Bazıları direk para talep ediyor, bazıları bunu bir hizmetmiş gibi sunuyor. 4 beyazşapka Ağustos 2013

5 Kurumlar açısından üzücü olan güvenlik duvarı, atak engelleme sistemi ve hatta web uygulama güvenlik duvarı gibi önemli teknolojilere yatırım yapılmış olmasına rağmen atakları engelleyememek. Hata Nerede? Hata yok, eksik var. En kötü IPS ürününü satın almak hiç IPS almamaktan daha iyidir. Ancak en iyi IPS ürününü alıp ince ayarlarını yapmadan ve test etmeden çalıştırmak hiç IPS kullanmamaktan çok da farklı değil. Bilgi güvenliği tuhaf ve anlatması çok zor bir alandır. Bu işi tutkuyla yaptığımız için konuyu abarttığımızı düşünmenizi istemem. O yüzden net olarak anlatmaya çalışacağım. Bilgi güvenliği tamamıyla ayrıntılardan ibarettir. Ürünleri ve teknolojileri çok çok iyi bilmeyi gerektirir. Ürün ve teknolojilerle birlikte atak türlerini ve yöntemlerini de iyi bilmeyi gerektirir. Bilgi güvenliği birkaç saat veya birkaç gün çalışmayla sağlanabilen ve sonra oluruna bırakılan bir konu değildir. Bilgi güvenliği hiçbir zaman olgunlaşmayacak bir meyve gibidir. Asla aylarca yıllarca uğraştık ama sonunda bilgi güvenliğini sağladık diyemeyiz. Hiçbir zaman %100 güvenlik yoktur ve asla olmayacaktır. Bilgi güvenliği bir risk yönetimi işidir. Bilgi güvenliğine konu olan ürün ve teknolojiler bir eşgüdüm halinde yürütülmelidir. Basit ataklara maruz kalan sistemlerin karakteristik özelliği bilgi güvenliği felsefesine sahip olmayan, sadece ticareten bu işi yapan bilişim şirketlerinden satın aldıkları bir dolu ürüne sahip olmaları. Harcanan büyük paralar ve nerdeyse sıfır sonuç. Şantaj amaçlı ataklar karşısında ne yapmalıyız? Kesinlikle hiç kimseye para ödemeyin. Ödeyeceğiniz paraları asla geri alamayacaksınız. Üstelik şantaj yapanlar para kazanmaya devam ettikçe kendilerine başka kurbanlar seçeceklerdir. Dolaylı olarak şantajcıları desteklemiş olmayın. Çalıştığınız bilgi güvenliği firmasından yardım alın ve konuyu savcılığa veya kolluk kuvvetlerine taşıyın. Bu kişilerin bir kez polis merkezine çağrılmaları bile şantajdan vazgeçmelerine neden olabilir. Zaman kaybetmeden bilgi güvenliği iyileştirme sürecinizi başlatın. Size hazır bir reçete sunayım. Bilgi güvenliği iyileştirme süreci 1. Bir iş ortağı seçin Şüphesiz kurum personelinizin oldukça iyi bir bilgi birikimi ve tecrübesi var. Ancak personelin iyi bir bilgi birikimine sahip olması yeterli değil. Sürekli gelişmeyi sağlamak için bilgi güvenliği konusunda bir felsefesi olan iş ortağı seçin. Bu iş ortaklığını halkla ilişkiler konusunda çalıştığınız ajanslar veya muhasebe denetimi için çalıştığınız mali müşavirler gibi düşünün. Uzun soluklu kurumsal ilişkiler hem bilgi güvenliği şirketini hem müşterisini sürekli besler. Ülkemizde maalesef çok sayıda bilgi güvenliği felsefesine sahip bilişim şirketi bulunmuyor ama yine de bir elin parmakları kadar şirket sayılabilir. Gururla söyleyebilirim ki Nebula bu konuda her zaman bir adım öndedir. 2. Kurumsal bir güvenlik politikasına sahip olun En azından ISO Bilgi Güvenliği Yönetim Sistemi (BGYS) standardını uygulayın. Seçtiğiniz bilgi güvenliği iş ortağınız bu konuda size yardımcı olacaktır. BGYS kurumsal güvenlik çıtanızı yükseltir ve bilgi güvenliğinin yönetim seviyesinde ciddileşmesini sağlar. Ancak asla yeterli değildir. Daha kapsamlı bir fikir sahibi olmak için Beyaz Şapka nın 2012 Mayıs sayısında yer alan yazımı inceleyebilirsiniz. 3. İş ortağınızın tercihlerini önemseyin Bilgi güvenliği ürün ve hizmet sağlayıcınız olan iş ortağınız çeşitli kanallardan beslenir. Nebula yı örnek vererek açıklamaya çalışayım. Nebula nın arkasında 20 yıla yakın bir bilişim tecrübesi bulunuyor. Bunun 10 yıldan fazlası sadece bilgi güvenliği alanında. Bu süre boyunca sayısız müşteri, hack hikâyesi, penetrasyon testi ve teknoloji ile karşılaşan ekibin önemli derecede bir birikimi var. Bu birikim ürün seçimine de yansıyor ve üreticinin vizyonu ve tecrübesi Nebula ya yansıyor. Bizim ürün seçimlerimiz ticari amaçlardan uzak tamamen teknik nedenlerden seçilmiş ürünlerdir. Olabildiğince iş ortağınızın önerdiği ve desteklediği teknolojileri kullanın. 4. Entegre çözümlere odaklanın İş ortağınız çözüm portföyünü büyük ihtimalle mantıksal olarak birbirlerini destekleyen ürün ve teknolojilerden oluşturmuştur. Bilgi güvenliğine tek tek ürün olarak bakmak yerine biz çözüm zinciri olarak bakın. Teknolojik entegrasyonlar toplam kaliteyi inanılmaz biçimde arttırır. Bundan asla mahrum kalmamamız gerekir. 5. Rutin gözde geçirme çalışmaları düzenleyin Tanımlanmış periyotlarda güvenlik sisteminizi ve sunduğunuz servisleri gözden geçirme çalışmalarına tabi tutun. Bu çalışmalarda eksikler ortaya çıkartılacak ve problemler büyümeden önlenecektir. Nebula olarak haftada bir, iki haftada bir veya ayda bir gibi çeşitli periyotlarda bu çalışmaları 8 yıldır çeşitli müşterilerimizde yürütüyoruz ve bilgi güvenliği konusundaki katkısını her gün görüyor ve yaşıyoruz. 6. Penetrasyon testlerini önemseyin Kapsamlı penetrasyon testi yılda bir kez yaptırılmalıdır. Bu konu hemen hemen her regülasyonda zorunlu tutulmuştur. Bizim önerimiz bir yıl seçtiğiniz bilgi güvenliği iş ortağınız ile bu testi yapmanızdır. İş ortağınız sisteminizi daha iyi tanıdığı için daha iyi bir test süreci üretme şansına sahiptir. Ancak ikinci yıl başka bir penetrasyon testi ekibiyle çalışın. Bu strateji iş ortağınızın yaptığı işin kalitesini test etmek için ve motivasyonunu yüksek tutmak için şarttır. 7. Test ve tatbikatlar düzenleyin Penetrasyon testleri çok önemlidir ancak asla yeterli değildir. Yılda sadece bir kez yapılan testin çok büyük katkılar üretmesi beklenemez. Ayda bir düzenlenecek test ve tatbikatlar bilgi güvenliği çıtasını sürekli yükseltecektir. Ayda bir veya iki günü bu işe ayırmak yeterli. Örneğin iş ortağınızla hemen bu ay DoS/DDoS üzerine çalışın. Testleri yapın ve sonuçlara göre mevcut ürünlerinizdeki ince ayarları düzenleyin. Ancak bu sayede DoS/DDoS ataklarına olan direncinizi görebilir ve güçlendirebilirsiniz. Bir sonraki ay veri tabanı güvenliğine ve bir sonraki ay kablosuz ağ güvenliğine odaklanın. Her ay bir konuyu seçin ve üzerinde bir veya iki günlük çalışmalar yapın. Emin olun sadece birkaç ay sonra ve mevcut yatırımlarınızla çok daha güvenli bir sisteme sahip olacaksınız. Ağustos 2013 beyazşapka 5

6 Ali Dinçkan ISO İş Sürekliliği Yönetim Sistemi Standardı Yaşamak için oksijen, su ve besin yeterli; ya işletmeler için? Acil durumlarda yaşamımızı sürdürebilmek için vücudumuza oksijen, su ve besin almamız yeterlidir. Bu temel ihtiyaçları gidermemiz bizim ayakta ve hayatta kalmamızı sağlar. İşletmeniz için oksijen, su ve besin nedir? Bu sorunun yanıtını iş sürekliliği yönetim sistemi çalışmaları içerisinde gerçekleştirilen iş etki analizi vermektedir. İş Sürekliliği Yönetim Sistemi (İSYS), kurumun kritik ürün ve hizmetlerinin devamı amacıyla benimsenen sistematik bir yaklaşımdır. Bu sistemin temel amacı işletmenin olağan üstü bir durum karşısında gerekecek müdahale kapasitesini oluşturmaktır. Bu sistem çalışanları, iş süreçlerini ve bilgi teknolojileri (BT) sistemlerini kapsamaktadır. İSYS nin belgelendirmesi için ISO 22301:2012 Sosyal Güvenlik İş Sürekliliği Yönetim Sistemleri Gereksinimler standardı kullanılmaktadır. Bu standart, dokümante edilmiş bir İSYS yi kurumun tüm iş riskleri bağlamında kurmak, gerçekleştirmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için gereksinimleri kapsamaktadır. ISO22301 ve ISO22313 standartları İSYS konusunda en temel başvuru kaynaklarıdır. Bu iki standart da doğrudan İş Sürekliliği İş Sürekliliği yönetimi konusunda en yaygın olarak kullanılan standart, ISO 22313:2012 İş Sürekliliği Yönetimi İçin Uygulama Prensipleri standardıdır. Bu standart, işletmeler içerisinde iş sürekliliği yönetimini başlatmak, gerçekleştirmek, sürdürmek ve iyileştirmek için genel prensipleri ve yönlendirici bilgileri ortaya koyar. ISO 22313:2012 rehber edinilerek kurulan konusunu ele alırlar. Teknik ve teknoloji bağımlı standartlar değildirler. Belli bir ürün veya bilgi teknolojisi ile ilgilenmezler. Kurumlar uygulayacağı yöntem ve teknolojileri seçmekte serbesttirler. Teknik tarafta ise ITIL, ISO 27031, BS25777 gibi standartlar ISO in uygulamasında kullanılmaktadır. 6 beyazşapka Ağustos 2013

7 Üst Seviye ISO Uygulama Adımları Üst Yönetime Farkındalığı İSYS nin ihtiyaca yanıt verir biçimde kurulması ve devam ettirilebilmesi için üst yönetim desteği çok büyük önem arz etmektedir. Bu sebeple iş sürekliliği konusunda üst yönetimin farkındalığının arttırılması için bir bilgilendirme sunumu gerçekleştirilmelidir. Bu sunuma iş sürekliliğinden sorumlu yönetim kurulu üyesi, İSYS projesinin sponsoru, iş sürekliliği yönetişim komitesinin üyeleri, birim yöneticileri ve birim yöneticilerinin raporladıkları yönetim kademelerinden temsilciler katılmalıdır. İSYS Kapsamının Belirlenmesi İSYS nin kapsamı kurumun belli bir kısmı olabileceği gibi, kurumun bütünü de olabilir. Ancak, her iki durumda da, kurumun İSYS kapsamını ve sınırlarını eksiksiz ve doğru bir biçimde tanımlaması gerekmektedir. İSYS kapsamı, üst yönetimin niyeti, ilgili tarafların ihtiyaçları ve kurumun iş sürekliliği hedefleri dikkate alınarak belirlenir. ISO ve ISO standartlarının bu konuda belli bir yönlendirmesi veya zorlaması söz konusu değildir. Kapsam belirlenirken İSYS dışında bırakılan süreçler ve diğer kurumlarla olan etkileşimleri de dikkate almak gereklidir. Kapsam dışında bırakılanların hangi sebeplerle dışarıda bırakıldıklarını kurumun sağlam gerekçelerle açıklayabilmesi gerekmektedir. İSYS Politikası Bu politika, hedefleri ortaya koyan, kuruma yön veren ve harekete geçiren, hangi ürün ve servislerin değerlendirmeye alınacağına ilişkin yönetim kapsamını ve kriterini belirleyen bir çerçeve sunar. İSYS politikasının amacını bulması için yönetim politika içeriğindeki maddelerin uygulamaya geçirileceğine ilişkin kararlılığını çalışanlara hissettirmelidir. Roller ve Sorumluluklar İş sürekliliği yönetim sisteminin olay öncesi hazırlıklarının eksiksiz yerine getirilebilmesi ve olay sırasında beklenen seviyede müdahale gerçekleştirilerek ön görülen sürelerde kurtarma sağlanabilmesi için görev alan herkesin yönetim sistemini sahiplenmesi gereklidir. Bu kapsamda İSYS rol ve sorumlulukları tanımlanmalı ve dokümante edilmelidir. Rollerin sahiplenilmesi için performans göstergelerinin hazırlanması, eğitim programları vb. çalışmalar İSYS nin bir parçası olarak hazırlanmalı ve işletilmelidir. Mayıs 2013 beyazşapka 7

8 İSYS standartları kapsamında İSYS nin kurulumu, gerçeklenmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve tekrar gözden geçirilmesi için PUKÖ (Planla Uygula Kontrol et Önlem al) modeli kullanılmaktadır. PUKÖ modeli İş Sürekliliği gereksinimlerini ve ilgili tarafların beklentilerini girdi olarak alır ve gerekli eylem ve prosesler aracılığıyla, bu gereksinimleri ve beklentileri karşılayacak İş Sürekliliği sonuçlarını üretir. İlerleyen bölümlerde İş Sürekliliği Yönetim Sistemini ISO standardına göre kurmak isteyen kurumlar için örnek bir çalışma programı ve açıklamaları sunulmuştur. İş Etki Analizi ve Risk Değerlendirmesi İş etki analizi ve risk değerlendirmesi kurulacak iş sürekliliği yönetim sisteminin temelini teşkil etmektedir. İş etki analizi ve Risk değerlendirme çalışması, işletmenizin kritik iş süreçlerinde kesintiye neden olabilecek risklerin tespit edilmesi, seviyelendirilmesi ve raporlamasından oluşur. İş kesintisine sebep olabilecek riskler birimler ile yapılacak toplantılarda ele alınır. Katılımcılar geçmişte yaşanan kesintileri ve bunların sebeplerini düşünerek risk çalışmasına girdi sağlarlar. Bu bilgilere ek olarak çalışanların güvenliği için tehditlerin belirlenmesi ve binaların fiziksel güvenliği, yangın, deprem ve diğer fiziksel durumları ile ilgili raporlar, iş güvenliği ve sağlığı ile ilgili çalışmalar, iç denetim bulguları, dış denetim bulguları, bilgi güvenliği riskleri, veri merkezi değerlendirme raporları vb. risk kaynaklarından faydalanılarak iş sürekliliği riskleri belirlenir. İş Sürekliliği Stratejilerinin Belirlenmesi İş sürekliliği stratejilerini belirleme çalışması, iş etki analizinde belirlenen ve yönetim tarafından onaylanmış süreklilik ihtiyaçlarının işletmenizde nasıl uygulanacağının belirlenmesini içermektedir. İş etki analizinde belirlenmiş hedeflenen kurtarma sürelerinin tutturulabilmesi için amaca uygun, önceden tanımlı ve dokümante edilmiş olay tepki yapısına ihtiyaç vardır. risk değerlendirilmesinde kullanılacak metodolojiler iyi sektör uygulamaları incelenerek kuruma özel olarak hazırlanmalıdır. Metodolojiler yönetim tarafından onaylandıktan sonra analiz çalışmalarına başlanmalıdır. Analiz çalışmaları birimlerin iş sürekliliği koordinatörleri ile süreç sahipleri tarafından birlikte yapılmalıdır. İş etki analizi çalışması, işletmenizin anahtar ürün ve hizmetlerin paydaşlara sunulmasını sağlayan iş süreçlerinin belirlenmesi ile başlar. İlgili iş süreçlerine ait genel bilgiler, hangi anahtar ürün ve hizmeti desteklediği, olası kesintinin yasal, operasyonel, finansal ve itibar etkileri ile sürecin devam ettirilebilmesi için gerekli kaynaklar (insan kaynakları, teknoloji kaynakları, bilgi kaynakları ve tesisler) belirlenir. Tespit edilen etki değerlerine dayanılarak her süreç için hedeflenen kurtarma zamanı (RTO) ve maksimum tolerans gösterilebilir kesinti süresi (MTPD) belirlenir. Belirlenen süreler kurtarma önceliği çalışması sırasında kullanılır. Her bir kritik iş sürecinin hedeflenen kurtarma süresi içerisinde nasıl ayağa kaldırılacağı detaylı olarak incelenir, alınması gereken aksiyonlar çıkarılır ve olay tepki yapısı dokümante edilir. Belirlenmiş iş sürekliliği stratejileri üst yönetime sunulur ve yönetim onayı sonrasında iş sürekliliği planlarının geliştirilmesine başlanır. İş Sürekliliği ve Acil Durum Planları İş sürekliliği stratejilerinin belirlenmesinin ardından iş sürekliliği ve olay tepki planları hazırlanır. Planların oluşturulmasından önce planda referans verilecek prosedürler ve alt planlar 8 beyazşapka Mayıs 2013

9 belirlenerek ilgili çalışanların gerekli dokümantasyonu geliştirilir. Bu aşamada aynı zamanda kurtarma organizasyonu belirlenir ve iş sürekliliği planlarının içinde belirtilir. İş sürekliliği planlarında en az aşağıdaki bilgiler bulunmalıdır. kapsamında senelik tatbikat programı hazırlama zorunluluğu bulunmaktadır. a) İş sürekliliği planın kapsamı ve amacı b) İş sürekliliği organizasyonu c) Kritik süreçler, İEA çalışmaları ve servisler e) Planın hangi şartlarda ve nasıl aktive edileceği f) Detaylı kurtarma prosedürlerine referanslar g) Plan tatbikatına dair hususlar h) Kriz durumu haberleşme ihtiyaçlarının tespit edilmesi ve plana dâhil edilmesi i) Acil durumların nasıl yönetileceği ve acil durum bildirimin nasıl yapılacağı j) İş sürekliliği planın bakım ve güncellenmesinin nasıl gerçekleştirileceği Eğitim ve Farkındalık İş sürekliliği kültürünün benimsenmesi, yönetim sistemi kapsamında görev alan personelin kendi görevlerini öğrenmesi, acil durumlarda nasıl hareket edileceğinin çalışanların tamamı tarafından öğrenilmesi temel amaçtır. Senelik eğitim programı hazırlanmalı ve eğitim programı üst yönetim, acil durum yönetim ekibi, kurtarma takımları ve son kullanıcıları içermelidir. Eğitimler sınıf eğitimi olabileceği gibi e öğrenme tekniği ile de verilebilir. Tatbikatlar ve Testler Bu adımın amacı iş sürekliliği yönetim sistemi kapsamında hazırlanmış planların etkinliğini ölçmek ve işletmenizin gerçek felaket durumları için hazırlıklı olmasını sağlamaktır. Yapılan çalışmaların hedeflenen kurtarma zamanlarını karşılaması hedeflenmektedir. Tatbikatlar için işletmenize özel tatbikat yönetim süreci hazırlanmalıdır. Tatbikat yönetim süreci İç denetim İş sürekliliği yönetim sisteminin hayata geçirilmesinin bir parçası olarak iç denetim faaliyeti gerçekleştirilmelidir. Bu amaçla denetim prosedürü, iç denetim programı ve planı, iç denetim kontrol listesi hazırlanır. İç denetimde çıkan bulguların kapatılması için düzeltici faaliyet açılmalıdır. Bulgular için kök sebep analizi, düzeltici faaliyet planlama çalışmaları gerçekleştirilmelidir. Yönetimin Gözden Geçirmesi ISO22301 gereğince üst yönetim kurulan İş Sürekliliği Yönetim Sistemi ni periyodik olarak gözden geçirmelidir. Gözden geçirme faaliyeti yönetimin bulunduğu bir toplantı ile gerçekleştirilmektedir. Toplantının girdileri ve muhtemel çıktıları ISO22301 standardında belirtilmektedir. Belgelendirme Denetimi Belgelendirme denetimi ISO denetimini gerçekleştirebilen bir belgelendirme firmasından alınmalıdır. Belgelendirme denetimi iki aşamalı olarak gerçekleştirilir. İlk aşamada hazırlanan dokümanların ISO standardına uygun olup olmadığı incelenir. İkinci aşamada ise saha denetimi gerçekleştirilir. Saha denetiminde yönetimin sisteminin gerçek anlamda işlediğine dair kanıtlar aranır. İkinci aşamayı başarı ile geçen kuruluşlar ISO belgesini almaya hak kazanır. Ağustos 2013 beyazşapka 9

10 İrfan Kotman Underground Herhangi bir hacking bilgisine sahip olmadan bir Web sayfasını hackleyebilir misiniz? Yukarıdaki sorunun cevabının normal şartlarda Hayır dır. Fakat bu sayımızda başkası tarafından ele geçirilen (hacklenen) bir sayfanın küçük bir araç yardımı ile nasıl istenildiği gibi düzenlenebileceğinden bahsedeceğiz. İnternet Milyonlarca Web Sitesine Sahip Bir Dünya Bilişim dünyasında ki birçok konuya benzer şekilde Web Siteleri de baş döndürücü bir hızda gelişti ve yaygınlaştı. Günümüzde kendine ait bir Web site olmayan bir kurumdan bahsetmek neredeyse imkânsız hale geldi. Kurumlar dışında, milyonlarca kişi blog siteleri sayesinde kişisel Web sitesine sahip oldu. Bu gelişmelere paralel olarak, siyasi olaylar, husumetler, kişisel güç gösterileri gibi birçok sebepten dolayı bu sitelerin ele geçirilmesi ve ele geçirilen siteler üzerinden mesajlar yayınlanması da popüler hale geldi. Bu popülarite ile beraber, küçük yaştaki internet kullanıcıları bile, site ele geçirmek ile ilgilenmeye başladı ve gün geçtikçe yayınlanan araçlar yardımı ile de git gide daha kolay yapılabilir hale geldi. Başka bir kurum ya da kişiye ait bir Web sitesinde, bilgisi olmadan istemediği bir içerik en kolay nasıl yayınlanır? Yazımızın başında belirttiğimiz gibi herhangi atak yapma (hacking) bilgisine sahip olmayan bir kişinin, bir Web sitesinde sayfanız X tarafından hacklendi gibi bir içeriği nasıl yayınlayabileceğinden, bir nevi hazıra konarak siyah şapkacılık oynayabileceğinden bahsedeceğiz. Aşağıda kullanacağımız küçük bir araç yardımı ile daha önce atak yapılan bir Web sayfası üzerinde, istenilen içeriğin nasıl yayınlanabileceğini göstereceğiz. Adımlarımız Kullanacağımız 70 KB lık program, tasarımcısı tarafından belirlenen açıklar kullanılarak, sayfa içeriğinin istenildiği gibi değiştirmesi amacı ile oluşturulmuştur. Programımızı çalıştırıyoruz. Bu tip programları hazırlayan kişilerin arka planda her türlü faaliyeti gerçekleştirebileceği göz önüne alınarak bu tip programlar kesinlikle sistemlerinizden izole edilmiş makineler üzerinde çalıştırılmalıdır. Sayfa üzerinde kullanacağımız araç ismini taşıyan siteleri tarıyoruz ve güncel web sitelerini listeliyoruz. Domain kısmının altında görebileceğiniz bu siteler daha önce bu araç yardımı ile hacklenen sitelerdir. Siteyi belirledikten sonra, programımız üzerinden WebDav menüsünü seçiyoruz. Menüye girdikten sonra, ilk olarak Add site üzerinden atak yapılacak siteyi belirtiyoruz. Load From File menüsü üzerinden, sayfa üzerine yerleştirilmek istenen kodlar, txt, xml gibi formatlarda programa eklenebilmektedir. Öncelikle atak yapılacak sayfamızı belirlememiz gerekmektedir. Bunun için çeşitli siyah şapkalı kişiler (hackerlar) tarafından ele geçirilen siteleri yayınlanan bir Web sitesini kullanacağız. Bu site üzerinden kullanabilecek, güncel onlarca Web sayfası görülmesi mümkün. 10 beyazşapka Ağustos 2013

11 Bunun yanında kullanıcı programa herhangi bir kod ekleyerek kullanmak zorunda değildir. Program üzerindeki setting sekmesini kullanarak, belirleyeceği bir yazıyı sayfa içerisine eklenebilmektedir. Biz kendi belirlediğimiz basit içeriği eklemeyi düşündüğümüz için txt formatında küçük bir html kodu programa ekliyoruz. Eğer herhangi bir arama motorunda inurl:/eventdetails. php?*= ararsanız, inurl:/eventdetails.php uzantılı bütün siteleri görebilirsiniz. Bu tip araçlar bu site listesini çıkararak site üzerinde, belirlenen açıkların olup olmadığı kontrol etmektedir. Kötü niyetli kişiler, eğer uygun açığa sahip bir sayfaya ulaşabilir ise, sayfaya belirlenen açık üzerinden atak yapmayı ve ele geçirmeyi denemektedir. Bu adım sonrasında program çalıştırılarak açık üzerinden sayfaya erişilebilir ve istediğiniz içeriği sayfa üzerinden yayınlayabilirsiniz. Yasalar sebebi ile herhangi bir sayfaya atak yapma ihtimalimiz olmadığından, sadece göstermek istediğimiz içerik ile ilgili küçük bir ekran görüntüsünü yazımıza ekledik. Ve bu adımlar sonrasında artık sayfa içerisinde istediğiniz içerik internet kullanıcıları tarafından görülebilir. Peki gerçek hayatta, bu tip programları yazan ya da kullanan kişiler uygun siteleri nasıl belirliyor? Genel olarak, belirlenmiş bir hedefe atak yapmayan kötü niyetli kişiler, dork adı verilen yöntem ile hedeflerini belirlemektedir. Dork, açıklara sahip siteleri bulmamıza yarayan kodlara verilen genel isim olarak tanımlanabilir. Dorklar genellikle arama motorları üzerinden özel araçlar yardımı ile ya da elle taranır. İnternette araştırdığınız zaman genel olarak sql injection açıklarına yönelik hazırlanmış Dork araçlarını görebilirsiniz. SQL açıklarına yönelik bir örnek bir Dork aracına göz atar isek, Yukarıdaki ekran görüntüsünde görebileceğiniz gibi Dork olarak inurl:/eventdetails.php?*= seçtik ve taramamızı başlattık. Sitelerde SQL açığının olup olmadığı kontrol ettiği için araç tarafından işlemin uzun süreceği bilgisi verilmektedir. Web siteleri üzerindeki bir açık sebebi ile en kısıtlı bilgiye sahip internet kullanıcıları bile mesajlarını yayınlayabilmektedir. Web sayfanız üzerindeki herhangi bir açık sebebi, bu tip basit araçlar kullanan kullanıcılar tarafından bile sayfanızın ele geçirilmesi riski ile karşı karşıya olduğunuz göz ardı edilmemelidir. Web Sitesi Güvenliği Aşağıda Web Sitesi güvenliğinin geliştirilmesi ile ilgili birkaç küçük yöntemi görebilirsiniz. Bulut üzerinde tutulan Web sayfalarınızı kesinlikle gelişmiş, bulut tabanlı açık saptama ve yönetim teknolojisi sağlayan hizmetler ile denetlenmelidir. Internet üzerinden çalışan ve tarama yapan bu teknolojilerin oluşturduğu raporlar ile güncel açıklar rahatlıkla görülebilmektedir. Bünyeniz dâhilindeki Web sunucularınız, Web Zafiyeti Denetleme Araçları ile belirli zaman aralıkları denetlenmeli ve raporlanmalıdır. Web sunucularınız önünde mümkün ise WAF (Web Application Firewall) konumlandırmalıdır. Web sunucularınız üzerine uygulama ve bütünlük kontrolü yazılımları kullanılmalı, hakkı olmayan kullanıcıların değişiklik yapılması engellenmelidir. Web Sunucular ile veri tabanları birbirinden izole edilmeli web sunucu üzerinden veri tabanına direkt erişim olmamalıdır. Ağustos 2013 beyazşapka 11

12 Muammer Benzeş a Active Directory Rights Management Services (AD RMS) ile Bilgi Güvenliği Her büyüklükteki organizasyon; yanlış, dikkatsiz ve kötü niyetli kullanıma karşı değerli bilgilerini korumak zorunda kalmaktadır. Bilgi hırsızlıkları ve verileri korumak için oluşturulan yeni yasal düzenlemeler dijital içeriğin korunması ihtiyacını en önemli konulardan biri haline getirmektedir. Bilgi güvenliğini sağlamak için var olan altyapı ile entegre çözümler kullanabilir miyiz? Bilgisayar kullanımının gelişen teknoloji ve ihtiyaçlar doğrultusunda hızlı bir şekilde artması paralelinde gerek kişisel gerekse kurumsal bilgilerin dijitalleşmesini beraberinde getirmiştir. Bilgilerin dijitalleşmesi ile hemen her gün bilgisayar başında yeni kurumsal bilgiler oluşturulmakta; bu bilgiler gerektiğinde yorumlanarak, eklemeler ve birleştirmeler ile farklı biçimlere de çevrilmektedir. Böylece kuruma özel ve gizli birçok bilgi metinler, raporlar, sunumlar gibi birçok farklı biçimde ortaya çıkmaktadır. Oluşan bu bilgi; kurumdaki diğer varlıklar gibi bazen hayati önem taşımakta ve kurum için en iyi şekilde korunması gereken bir varlık haline gelmektedir. Bilginin korunması; teknolojinin gelişmesi, bilgiye ulaşma ve paylaşma yöntemlerinin gelişmesi, bilerek veya bilmeyerek bilginin dışarıya çıkabilmesi gibi nedenlerle önemini giderek artırmaktadır. Bilginin kurum dışına çıkması; kurumun itibarına ve marka imajına zarar verebilmekte, önemli ve gizli stratejilerin istenmeyen kişilere ulaşmasına sebep olmakta, ayrıca gelir kayıplarının yaşanmasına veya hukuki problemler ile uğraşılmasını da beraberinde getirebilmektedir. Bu nedenle birçok sektörde bilginin korunması için çeşitli yasal düzenlemeler ve kurallar zorunlu hale getirilmektedir. Bilginin korunması için bilgi güvenliği olarak isimlendirilen yöntemler de geliştirilmektedir. Bilgi güvenliği; kurumdaki iş sürekliliğinin sağlanması, aksaklıkların azaltılması, yanlışlıkla veya kötü niyetle bilgi sızmalarının önlenmesi gibi birçok farklı tehditten korunmayı sağlamayı amaçlamaktadır. Bu amaç için güvenlik politikalarının belirlenmesi ve uygulanması amacıyla Bilgi Güvenliği Yönetim Sistemi (ISO 27001) gibi standartlarda oluşturulmaktadır. Günümüzde, bilgi güvenliği ve bilginin dışarı çıkmasının engellenmesi için çalışmanın yanında bir çözüm olarak bilginin dışarıya çıksa bile korunması ve erişiminin kısıtlanması için de yöntemler geliştirilmektedir. Microsoft ve Bilgi Güvenliği Kurum içerisinde oluşan farklı biçimlerdeki bilginin korunması ve kötü niyetli kişilerin eline geçmesinin engellemesi için ortaya çıkan çözümlere paralel olarak Microsoft ta çözümler sunmaktadır. Bunların içerisinde en çok kullanılanı da Rights Management Services (Hak Yönetimi Servisleri) veya kısaca RMS olarak isimlendirilen çözüm olmaktadır. RMS; ilk olarak Rights Management Server adıyla Windows Server 2003 ile ortaya çıkmış, Windows XP ve Windows 2000 işletim sistemlerinde kullanılabilmiştir. Windows Vista ve sonrasında çıkan tüm işletim sistemleri içerisinde de varsayılan olarak yer alarak konfigürasyonu ve kullanımı çok daha kolay bir hale getirilmiştir. Windows Server 2008 ile birlikte Active Directory Rights Management Services (AD RMS) adını almış ve Active Directory ile entegrasyonu artırılmış, diğer Microsoft ürün ve çözümleriyle de kullanılabilmesi sağlanmıştır. 12 beyazşapka Ağustos 2013

13 oluşturulan içerik üzerinde hangi hakların olduğu bilgisi yayınlanmaktadır. Bu yayın ile içeriğe kim in (belirli kullanıcı veya gruplar gibi) erişebileceği ve ne yapabileceği (okuma, düzenleme, yazdırma vb.) tanımlanmaktadır. Bu tanımlamalar ile kullanıcının kimliği tanımlanmakta ve hakları belirlenmektedir. Örneğin, bir Word dosyasını kurum içerisindeki herkesin sadece okuyabilmesi, bununla birlikte Yöneticiler grubuna dâhil olan kullanıcıların yazıcıdan çıktısını alabilmesi veya bir Excel dosyasında sadece kurum içerisindeki kullanıcılar tarafından açılabilmesi, kurum dışına herhangi bir şekilde çıkmış olsa bile açılamaması sağlanabilmektedir. AD RMS ile yetkisiz kullanıcıların içeriğe ulaşması engellenebilmekte veya yetkisiz kullanımlar raporlanabilmektedir. Ayrıca AD RMS ile zaman zaman yetkisiz kullanımın engellenmesinden çok daha önemli olabilen bilginin ne zaman ve nereden, kimin tarafından sızdırıldığı, kimlere ulaştığı gibi bilgileri almak da mümkün olabilmektedir. RMS Nasıl Çalışıyor? RMS, içerik oluşturuculara bu içeriğe nasıl ulaşılacağını kontrol imkânı sunmaktadır. RMS ile özel bilgiler yani Yapılan bu tanımlar doğrultusunda, bir kullanıcı dosyayı açmak istediğinde öncelikle kimliği tespit edilmekte, doğru kullanıcı ise tanımlanan haklar doğrultusunda izinler ilgili uygulama tarafından belirlenerek erişimine izin verilmektedir. RMS in çalışabilmesi için öncelikle bir Active Directory ortamının bulunması ve bu ortam üzerinde RMS hizmetinin çalışacağı bir sunucunun konfigüre edilmesi gerekmektedir. Bu sunucu üzerinde her kullanıcının tek tek tanım yaparak zaman kaybetmemesi ve standartların oluşturulması için çeşitli şablonlar (template) oluşturulabilir. Böylece tüm kurum içerisinde benzer kurallar kolayca uygulanabilir. RMS kuralları dosya içerisine belgeyi oluşturan kişi tarafından uygulandıktan sonra bu kurallar ancak yine aynı kişi tarafından kaldırılabilmektedir. Mayıs 2013 beyazşapka 13

14 RMS ile bir dosyaya aşağıdaki gibi izinler veya kısıtlamalar tanımlanabilmektedir : Okuma Düzenleme (değiştirme) İçeriği kopyalama İletme Yazdırma Programatik olarak ulaşma İçeriğe belirli bir tarihe kadar erişebilme RMS ile programatik olarak dokümanları korumak Yukarıda listelediğimiz uygulamalar ve bazı üçüncü parti uygulamalar ile dokümanlarda güvenlik sağlamak mümkün. Ancak gerek kurum içinde geliştirilen uygulamalar ile gerekse farklı kaynaklar aracılığıyla oluşturulan dosyalar/ raporlar için her seferinde tek tek RMS ile bilgi güvenliği sağlamaya çalışmak yerine Microsoft un sunduğu AD RMS SDK (Yazılım Geliştirme Kiti) ile uygulamaların içerisine otomatik RMS uygulama özelliği eklenebilir. RMS hangi uygulamalar ile çalışmaktadır? Aşağıdaki listede yer alan uygulamalar RMS desteklemektedir. Bu uygulamalar ile oluşturulan dosyalara istenirse ayrı ayrı tanımlama yapılabilmekte veya şablonlar kullanılabilmektedir. Office 2003 Office 2007 Office 2010 Office 2013 Office for Mac 2011 Sharepoint Server 2003 Sharepoint Server 2007 Sharepoint Server 2010 Sharepoint Server 2013 Exchange Server 2007 Exchange Server 2010 Exchange Server 2013 XPS dokümanları PDF dokümanları (üçüncü parti çözümler ile) Yeni AD RMS SDK 3.0 ile artık mobil uygulamalar (Windows 8, Windows Phone, ios ve Android) için RMS uygulamak da mümkün. Dosya Sunucusu, RMS ve File Classification Infrastructure (FCI) Çeşitli kaynaklar vasıtasıyla oluşturduğumuz dosyaları genellikle dosya sunucularında saklıyoruz. Peki bu dosyalar üzerinde otomatik olarak kurallar oluşturmak ve korumak mümkün mü? Dosya sunucunuz Windows Server 2008 R2 ve üzeri ise evet. Windows Server 2008 R2 ile birlikte dosya sunucusu özellikleri arasına File Classification Infrastructure (FCI) [Dosya Sınıflandırma Altyapısı] eklendi. FCI ile dosya sunucusu üzerindeki paylaşımlar, dosya türleri veya içeriklere göre dosyalarda sınıflandırma yapmak ve bu dosyalara kurallar uygulamak mümkün. FCI, sistem yöneticilerine iş kritik veriler üzerinde manuel olarak yapmak zorunda kaldıkları tanımları önceden tanımlanmış kurallar ile otomatikleştirme imkânı sunmaktadır. Örneğin bir organizasyonda iş kritik olmayan ve 3 yıldan eski olan dosyaların geçerliliğini yitirmesi ve kullanılamaması gibi bir 14 beyazşapka Mayıs 2013

15 kural olduğunu düşünelim. Bu kural FCI ile bir görev olarak organizasyon içerisindeki dosya sunucularında otomatik uygulanabilir. Yeni klasör eklenmesi gibi durumlar bu görevin çalışmasını değiştirmeyecek, dosyalar eklendikçe kurallar otomatik olarak uygulanacaktır. FCI ile otomatik uygulanabilecek kuralları aşağıdaki gibi özetleyebiliriz : Line of Business (LOB) uygulamalarından gelen (ör: IK uygulaması tarafından oluşturulan dosyalar) Dosyaların bulunduğu klasör Dosya sahibi Dosya içeriği Diğer (dosya büyüklüğü, dosya tipi vs.) sistem yöneticileri, sınıflandırma etiketleri ile uygun yetki yönetim politikalarını ilişkilendirebilirler. Bu politikalar, MS Office belge ve Outlook e postalarının, görüntülenmesi, kopyalanması ya da dağıtımını sadece bu bilgilere erişim hakkı olan kişilerle sınırlandırabilir. Bu ürünlerin birlikte kullanımı, kurumların bir yanda bilgilerini sınıflandırırken, diğer yanda sürekli korumalarına da olanak sağlar. Kurumların hem sınıflandırma hem de sürekli içerik koruma gereksinimlerini karşılamak için TITUS, sınıflandırma çözümleri ailesini, Microsoft AD RMS ile Microsoft Outlook ve Microsoft Office ile entegre çalışacak şekilde sunmaktadır. Microsoft Outlook, Word, Excel ve PowerPoint için Titus Mesaj ve Belge Sınıflandırma Çözümleri, AD RMS i devreye almada kurumlar için ideal ilk kademe çözümü sağlamaktadır. Ayrıca Titus Desktop Sınıflandırma çözümü ile, Microsoft Office formatı dışındaki dosya tiplerinde de (dvg, jpeg, mp4, mp3, avi, pdf vb.) sınıflandırma ile AD RMS uygulanmasını sağlar. TITUS: Bilgi Koruma için Kurumsal Bir Çözüm Titus; istem dışı kritik bir hata yaparak veri sızıntılarına neden olmadan önce kullanıcıları uyarır ve kurumların e posta ve belgelerini daha iyi yönetmelerine ve kontrol etmelerine olanak verir. Titus un geliştirmiş olduğu çözümler, bilgisayar ortamında GENEL, HİZMETE ÖZEL ve GİZLİ gibi hassasiyet derecelerini belirlemenin yanı sıra; doküman, dosya veya e postanın hangi departmana, hangi yetki seviyesine, hangi proje grubuna ait olduğu ya da erişim yetkisinin ne olduğu yönünde sınıflandırma ve etiketleme yapabilme yeteneğine sahiptir. Güvenlik çözümlerinin ne olduğundan bağımsız olarak Titus çözümleri; GİZLİ olan bilginin sızmasını önlemeye yönelik ürünler ile uyum içerisinde çalışır ve bu çözümlerin daha etkin çalışmasına destek verir. TITUS Sınıflandırma ile RMS Uygulanması Titus Classification (Sınıflandırma) yazılımları, AD RMS platformunun yayılım ve kullanımını kolaylaştırır. Titus un sınıflandırma çözümleri ile AD RMS kullanan müşterilerin Titus Sınıflandırma ve AD RMS entegrasyonu, güvenliği daha hassas seviyelere çekme yeteneğine sahiptir. Titus Sınıflandırma, dinamik politika uygulamaları ile Active Directory Departman gruplarının ya da Active Directory Proje gruplarının kullanımıyla oluşturulan sınıflandırma şeması kapsamında departmanlara ait gizli bilgilerin diğer departmanlarda ya da proje gruplarına ait gizli bilgilerin diğer proje gruplarında erişimini entegre ve paralel AD RMS yapılandırması kullanımıyla engeller ya da kısıtlar. Sonuç AD RMS, düzgün yapılandırıldığı ve kullanıldığında birçok organizasyona verileri üzerinde erişim kontrolü ve güvenliği sağlayacaktır. Böylece bilgi güvenliği sadece bir hayal olmaktan çıkıp gerçeğe dönüştürülebilecektir. AD RMS, farklı üçüncü parti uygulamalar ile entegrasyonlar da kullanılarak standart dosya tiplerinin dışındaki dosyaların da korunması sağlanabilir. Ayrıca Exchange sunucuları ile birlikte kullanılarak e posta yoluyla da verilerin dışarıya çıkmasının ve kötü niyetli kişilerin eline geçmesi engellenebilir. AD RMS SDK ile de benzer şekilde programatik olarak bilgi güvenliği sağlanabilir. Ağustos 2013 beyazşapka 15

16 Ozan Özkara WatchGuard Hız ve Yüksek Erişilebilirlik Haziran ayında bağımsız ürün test laboratuvarı Miercom tarafından UTM kategorisindeki önemli ürünler için test raporu hazırlandı. UTM pazarının bu kadar hareketli ve rekabetin kızıştığı ortamda bu verilerin kritik olduğunu düşünüyorum. Layer 4 UDP ve HTTP Firewall performans kriterleri göz önünde alınarak UTM fonksiyonlarına yönelik yapılan çalışmanın sonuçları oldukça önemli. Distribütörlüğünü yaptığımız Watchguard ın XTM (Extensible Threat Management) 850 ürünü kendi kategorisindeki en hızlı firewall unvanını aldı. İlgili testler standart UTM özellikleri altında yapılandırıldı. Tüm özelliklerin açık olduğu anda Layer 4 performans, uygulama seviyesi denetim, tarama, web ve IPS gibi kriterlere göre testler yapıldı. XTM bu alanda Proxy based bidirectional DPI (Deep Packet Inspection) teknolojisi ile diğer üreticilere göre önemli bir performans verisi elde etmeyi başardı. XTM 6 ayrı kategori seviyesinde yapılan testlerde en yakın rakibine göre 3.5 kat performansı ile dikkat çekti. Bu veriler kâğıt üzerindeki birçok üreticinin performans verisini çürüterek iki yönlü çalışan (bi directional) DPI Proxy mimarisinin önemini bir kez daha düşünmemizi sağladığı için önemlidir. Test sonuçlarında Watchguard ortalama 8 Gbps net firewall performansı ve UTM özellikleri açık olduğunda (web, Proxy, IPS, AV vb.) 4.2 gbps DPI performansı ile çok önemli bir performansa imza attı diyebiliriz. 14 GBe interface eşzamanlı trafik basıldığında bu değer layer 4 tarafında 8.14 Gbps olarak görülmektedir. Bu testler sırasında herhangi bir frame ve squance kaybı yaşanmadı. 16 beyazşapka Ağustos 2013

17 Watchguard XTM 850 tüm alanlarda oransal performans değerlerinde en iyi sonucu yakaladı Kaynak: Miercom Günümüz güvenlik ihtiyaçları bir firewalldan fazladır. APT, botnet ve çeşitli gelişmiş zararlı kod yapıları büyük kurumsal şirketleri etkilediği kadar KOBI boyutundaki şirketlere de zarar vermektedir. Dolayısıyla kurumların iş yapısından bağımsız olarak Gateway seviyesinde IPS ve Antivirus gibi teknolojilerin kullanılması zorunluluktur. UTM üreticileri arasında bu alandaki verilerin zayıf olması, özellikle içerik taraması ve güvenliği sınıfında bazı üreticilerin hem performans hem de false positive/ negative kriterlerinde sınıfta kalmasına zaman zaman neden olabilmektedir. Performans verilerinden çok ödün vermeden uygun güvenlik seviyesini sağlayan XTM 850 bu konuda çıtayı yükselttiğini söyleyebiliriz. göre %30 daha iyi false nagative/positive verisi elde edilmektedir. Dinamik Yönlendirme, WAN Failover, LACP desteği ve UTM alanlarına bakıldığında bu konuda lider olmuş üreticilerle (Broadcom, Websense, AVG vb.) yapılan iş birliktelikleri önemli olmaktadır. Yeni XTM teknolojisi DPI alanında %40, AV performansında %190, IPS performansı %220 ve toplamda %150 iyileştirme gerçekleştirmiştir. Watchguard FireCluster Erişilebilirlik günümüz IT ihtiyaçlarının vazgeçilmez parçası. Konu firewall olunca daha da kritik hale gelebiliyor. Firewall yüksek erişilebilirliği iki adet firewall cihazının failover konfigürasyonundan oluşmaktadır. Bu sayede güvenlik ve ağ komponentlerinin kritik yapısı olan firewall sistemlerinin yüksek güvenlik ve yedekliliği sağlanmaktadır. Genel olarak cluster mimarisi iki cihazın tek bir mantıksal cihaz gibi çalışması fikrine dayanır. Watchguard FireCluster Active/Active ya da Active/Passive yapıda kolayca çalışabilmektedir. Salt yedeklilik mimarisi için Active/Passive, bu durumda yedekteki firewall stand by modunda bekleyecek ve failover durumunda devreye girecektir. Yapının toplam kapasitesi tek firewall kadar olacaktır. Watchguard XTM 850 tüm alanlarda(gbps) oransal performans değerlerinde en iyi sonucu yakaladı Kaynak: Miercom Intel Quick Assist ve Freescale işlemci teknolojilerinin bir arada kullanılması, tüm UTM motorlarının güvenlik ve hız kriterleri altında optimize edilmiş olması nedeniyle aslında çok şaşırtıcı değildir. MultiCore donanım mimarisi ile tüm fonksiyonların eş zamanlı çalışmasıyla elde edilen Layer 4 performansında kullanılan çift yönlü DPI mimarisi ile bu değerleri kolayca yakalayabilmek mümkün hale geliyor. UTM verimliliği noktasında diğer üreticilere Active/Active mimarisinde üzerinden geçen ağ trafiği paylaşılacaktır. Ağ yolu açısından bir firewall üzerinden gelen trafik diğer firewall tarafında işlenerek geriye yollanabilir yapıda olabilmektedir. Watchguard A/A mimaride iki tekli cihaza yazılım lisanslaması açısından ihtiyaç duyarken A/P mimaride bir cihaz stand by olarak durduğu için tek lisans üzerinden cluster mimarisi oluşturulabilmektedir. FireCluster içerisinde bir cihaz master olurken diğer cihaz backup olarak çalışır. Master firewall üzerindeki cluster Mayıs 2013 beyazşapka 17

18 interface üzerinden firewall üzerindeki session bilgileri backup cihaz ile anlık olarak paylaşılmaktadır. Master firewall üzerindeki cluster interface down olduğunda diğer cihaz üzerindeki backup cluster interface üzerinden sistem çalışmaya devam eder. Bu durumda backup cihaz master olarak bu görevi üstlenecektir, diğer cihaz fonksiyonu yeniden sağlandığında sistem eski haline döner. FireCluster üç durumda cluster için yapılandırılabilir; Monitoring interface down olduğunda Master cluster üzerindeki; Bu durumda failover başlar master trafiği gönderemez ya da alamaz. FireCluster arabirimi üzerinden tüm cluster cihazlar ve port durumları görülebilir durumdadır. Manager üzerinden diğer cluster hakkında bilgiler görülebilmektedir. Bu durumda backup peer master olur ve failover başlar. 18 beyazşapka Mayıs 2013

19 Cluster master fonksiyonel çalışmadığında; Failover yine start olur, yazılımsal ya da hardware seviyesinde bir tespit olursa cluster master in yükü diğer eşine geçer. Cluster failover master komutu aldığında Sistem yöneticilerinin yazılım yenilemesi, güncellemeler ya da bakım işleri için bu komutu kullanması önerilir. Bu durumda eşi operasyonel olarak çalışmaya devam edecektir. Bakım söz konusu ise cluster yeniden devreye alındıktan sonra aynı işlem eşi işin yapılabilir durumda olacaktır. Tüm yapılar üzerinde master tarafta bir sıkıntı olduğunda ya da bakım yapıldığında backup olan eşi üzerindeki state ve flow bilgileri ile birlikte master pozisyona geçer. Sonrasında master olan eşi uygun olduğunda yeniden kendini backup mode a alacak ve diğer cihaz master cluster a olarak çalışmayaca devam edecektir. Bu durumda tüm firewall fonksiyonları; IPSEC VPN, MultiWAN,VLAN, PPTP, SSL, Kullanıcı Session ları yapısı ve routing görevleri dahil olmak üzere herhangi bir sıkıntı yaşanmadan çalışmaya devam edilebilir. Cluster için teknik ihtiyaçlar; Active/Active Cluster Konfigürasyonu Cluster üzerindeki interface lerin Multicast Mac address yapılandırmasına izin verecek yapıda olmalıdır. Cluster konfigürasyonundan önce ağ üzerinde multicast mac yapısı oluşturulmuş olmalıdır, ilgili network cihazları multicast mac packetlerini route edebilir yapıda olması zorunluluktur. Active/Passive Cluster Konfigürasyonu Bu yapıda multicast Mac yapısına gerek yoktur. Çünkü bir cihaz sürekli stand by durumdadır. A/A durumunda asenkron trafik olması durumunda (Birinci firewall dan geliş, ikinci firewall dan gidiş trafiğinin akması) bir adet mac adresi route edileceği için multicast routing e gerek yoktur. Watchguard XTM ürün ailesi iyi tasarlanmış sistemi, kolay kullanımı, hız ve yüksek erişilebilirlik seçenekleri ile UTM ve üst segmenteki pazar için oldukça iyi bir seçenek haline gelmektedir. Konu hakkındaki sorularınızı direk bana yazabilirsiniz. Bir başka yazıda görüşmek üzere. Konfigürasyon FireCluster kullanabilmek için öncelikle XTM cihazları üzerinde aynı yazılım sürümünün çalışıyor olması gerekir. Daha sonra cluster wizard ile cluster yapısı A/A veya A/P olarak yapılandırılır. Sistem yöneticileri cluster yapısını trusted inteface üzerinden kolayca yönetebilir. Cluster peer üzerindeki tüm interface ve cluster yapısı firecluster yönetim arabirimi üzerinden görülebilmektedir. Cluster yapısında mantık iki firewall un tek bir logical cihaz haline dönüşmesidir. Ağustos 2013 beyazşapka 19

20 Tarkan Çiçek Veri Depolama Sistemleri (2) Genel kavramlar ve ürünler üzerine bilgilendirme ve inceleme. Disk Kontrol Kartları: Disk kontrol kartları işlemci ile disk arasındaki iletişimi sağlayan birimlerdir. İlk zamanlarda disk kontrol kartları ayrıca alınıp takılan ürünlerdi fakat günümüzde neredeyse tüm bilgisayarlarda ana kart üzerinde standart olarak disk kontrol kartları gelmektedir. Kartın tipine uygun olarak disk kullanmak gerekir. Genellikle bu kartlar üzerinde herhangi bir hızlandırıcı veya güvenlik arttırıcı (Raid) özellik bulunmaz. Bu tür işlemler gerekirse işletim sistemi tarafından gerçekleştirilebilir. Günümüz kullanıcı bilgisayarlarında SATA standart hale gelmiş olduğundan en çok kullanılan tip budur. Sunucu sistemlerinde standart hale gelen SAS kontrol kartları ise en az Raid-0 ve Raid-1 özelliklerini sunabilir olarak gelmektedir. Geçmişte birçok farklı disk kontrol kartları kullanılsa da (Ör: MFM, RLL, IDE, SCSI, vb.) günümüzde yaygın olarak SAS ve SATA kullanılmaktadır. Bu iki standart hakkında daha önce Arabirimler başlığı altında bilgi vermiştik (Bkz. Mayıs Sayımız) Raid Kontrol Kartları: Üreticiye göre değişmekle beraber temelde sunuculara takılan Raid kartları ile Depolama ürünlerinde bulunan Raid kartları aynı şekilde çalışır (Ana karta 20 beyazşapka Ağustos 2013

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ Ali Dinçkan, BTYÖN Danışmanlık İş sürekliliği, kurumun kritik süreçlerinin belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

HAKKIMIZDA. Misyonumuz; Vizyonumuz; HAKKIMIZDA SOFTKEY kurumsal teknoloji hizmetlerinde, müşteri odaklı yaklaşımı, rekabetçi fiyatları ve eksiksiz destek hizmeti sunmak amacıyla kurulmuştur. Sektörün önde gelen teknoloji firmaları ile iş

Detaylı

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67

ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ. Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 ĠSYS KURULUMU ve KRĠTĠK BAġARI FAKTÖRLERĠ Ali DĠNÇKAN,CISA, Tübitak UEKAE dinckan@uekae.tubitak.gov.tr Tel: 0 262 648 15 67 SUNU PLANI Giriş İş Sürekliliği İş Sürekliliğinin Tarihi Gelişimi Dünyadaki ve

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

Çalışanları ihtiyaç duyduğu bilgiye en hızlı ulaştıran araç. www.innova.com.tr

Çalışanları ihtiyaç duyduğu bilgiye en hızlı ulaştıran araç. www.innova.com.tr Çalışanları ihtiyaç duyduğu bilgiye en hızlı ulaştıran araç - Önceki müşteri tekliflerine nasıl ulaşabilirim? - Servisim kaçta nereden kalkıyor? - Bilgisayarım bozuldu kim onarabilir? - Bu dosyanın çıktısını

Detaylı

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

SEÇKİN ONUR. Doküman No: Rev.Tarihi 01.11.2014. Yayın Tarihi 23.10.2013 Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI Tanım: Bilgi güvenliği, kurumdaki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve yatırımlardan gelecek faydanın artırılması için bilginin geniş çaplı tehditlerden

Detaylı

Hızlı Başlangıç Kılavuzu

Hızlı Başlangıç Kılavuzu Hızlı Başlangıç Kılavuzu 1. Adım Windows Server 2012'yi Yükleme Bilgisayarınız Windows Server 2012 yüklenmiş olarak teslim edildiyse, 1. Adım'ı atlayabilirsiniz. Yükleme Yönergeleri Yükleme yönergeleri,

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü Kaspersky Open Space Security: Release 2 İşletmeniz için birinci sınıf bir BT güvenliği çözümü Güncellenmiş uygulamalar Updated applications Release 2 uygulamaları: Kaspersky Anti-virus for Windows Workstations

Detaylı

TÜRK AKREDİTASYON KURUMU R20.08

TÜRK AKREDİTASYON KURUMU R20.08 R20.08 LABORATUVARLARDA YÖNETİMİN GÖZDEN GEÇİRME FAALİYETİ Rev.00 03-2002 1. GİRİŞ 1.1 TS EN ISO/IEC 17025 (2000) Deney ve Kalibrasyon Laboratuvarlarının Yeterliliği için Genel Şartlar standardında bir

Detaylı

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ Sayfa No: 1/7 A. AMAÇ Bu politika, nin deprem, yangın, fırtına, sel gibi doğal afetler ile sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintileri gibi önceden tahmin edilebilen

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ 1.AMAÇ: Kurumun otomasyon üzerindeki tüm bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. KAPSAM: Bu talimat,

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 5.0 Yayın Tarihi: 14.07.2014 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

Compiere Açık kodlu ERP + CRM yazılımı. Hüseyin Ergün Önsel Armağan Serkan Demir

Compiere Açık kodlu ERP + CRM yazılımı. Hüseyin Ergün Önsel Armağan Serkan Demir Compiere Açık kodlu ERP + CRM yazılımı Hüseyin Ergün Önsel Armağan Serkan Demir ERP Nedir? ERP = Kurumsal Kaynak Planlama Organizasyonların farklı fonksiyonlarının ve departmanlarının kullandığı enformasyonu

Detaylı

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım

Kısaca. Müşteri İlişkileri Yönetimi. Nedir? İçerik. Elde tutma. Doğru müşteri 01.06.2011. Genel Tanıtım Kısaca Müşteri İlişkileri Yönetimi Genel Tanıtım Başar Öztayşi Öğr. Gör. Dr. oztaysib@itu.edu.tr 1 MİY Genel Tanıtım 2 MİY Genel Tanıtım İçerik Müşteri İlişkileri Yönetimi Nedir? Neden? Tipleri Nelerdir?

Detaylı

noktadata ŞİRKET PROFİLİ AKILLI YAZILIML AR Version 1.0.1 - (c) 2016 - Tüm Hakları Saklıdır

noktadata ŞİRKET PROFİLİ AKILLI YAZILIML AR Version 1.0.1 - (c) 2016 - Tüm Hakları Saklıdır noktadata AKILLI YAZILIML AR w w w. n o k t a d a t a. c o m ŞİRKET PROFİLİ Version 1.0.1 - (c) 2016 - Tüm Hakları Saklıdır Noktadata :: Hakkımızda Uzun zamandır sektörde bitirdiği başarılı projeler ile

Detaylı

Hazırlayan: Ahmet Alper ÇALIŞKAN Probiz Yazılım Proje Mühendisi

Hazırlayan: Ahmet Alper ÇALIŞKAN Probiz Yazılım Proje Mühendisi İŞLETMELERDE İŞ SÜREÇ YÖNETİMİ (BPM) UYGULAMASI Hazırlayan: Ahmet Alper ÇALIŞKAN Probiz Yazılım Proje Mühendisi Ajanda 1) İş Süreç Yönetimi Nedir? 2) İş Süreç Yönetim Yazılımı 3) Neden İş Süreç Yönetim

Detaylı

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri

MerSis. Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri MerSis Bilgi Teknolojileri Yönetimi Danışmanlık Hizmetleri Bilgi Teknolojileri risklerinize karşı aldığınız önlemler yeterli mi? Bilgi Teknolojileri Yönetimi danışmanlık hizmetlerimiz, Kuruluşunuzun Bilgi

Detaylı

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği Zeki Yazar, Siemens Sanayi ve Ticaret A.Ş. Sayfa 1 Bir uygulama örneği olarak Siemens İş Sürekliliği Yönetimi İşe Etki Analizi Sayfa

Detaylı

TITUS VERİ SINIFLANDIRMA ÇÖZÜMÜ

TITUS VERİ SINIFLANDIRMA ÇÖZÜMÜ TITUS VERİ SINIFLANDIRMA ÇÖZÜMÜ Yapılandırılmamış Verilerinizi Kontrol Edin TITUS.com /DETECH.com.tr TITUS Veri Sınıflandırma Çözümünün Yararları Yapılandırılmamış Verileri Tanımlayın E-posta ve dokümanların

Detaylı

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 KASPERSKY ENDPOINT SECURITY FOR BUSINESS Kurumsal unsurlar ve BT üzerindeki etkileri ÇEVİKLİK Hızlı hareket edin, çevik ve esnek olun İşletme sahiplerinin %66'sı kurumsal çevikliğin öncelik olduğunu

Detaylı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. 13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme

Detaylı

Orta ölçekli şirketler için uçtan uca işbirliği sunuyoruz.

Orta ölçekli şirketler için uçtan uca işbirliği sunuyoruz. Orta ölçekli şirketler için uçtan uca işbirliği sunuyoruz. İletişiminiz ne kadar iyi? Bu, günümüzün mobil ve sanal iş alanı ortamında çalışanları iş ortakları ve müşterileri arasında kesintisiz iletişim

Detaylı

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR

2013/101 (Y) BTYK nın 25. Toplantısı. Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] KARAR 2013/101 (Y) Üstün Yetenekli Bireyler Stratejisi nin İzlenmesi [2013/101] BTYK nın 2009/102 no.lu kararı kapsamında hazırlanan ve 25. toplantısında onaylanan Üstün Yetenekli Bireyler Stratejisi nin koordinasyonunun

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA IP Sanallaştırma Nedir? Windows Server işletim sistemlerinde Remote Desktop Host Services (önceki ismi Terminal Services) teknolojisini kullanarak

Detaylı

CEO - Yönetim Raporlama Sistemi

CEO - Yönetim Raporlama Sistemi CEO - Yönetim Raporlama Sistemi Tanıtım ve Çalışma Şekli: %100 Türk Mühendisleri tarafından geliştirilen CEO-Yönetim Raporlama Sistemi yazılımı, Nokta Bilgisayar A.Ş.'nin tescilli bir markasıdır. Günümüz

Detaylı

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz www.pwc.com.tr/sibergunlik Dijital geleceğinizi gün altına almak için Bilgi Günliği Siber Günlik Hizmetlerimiz Günli bir gelecek için Herşeyi günli hale getirmek mümkün değil. Kurumsal Öncelikleriniz kurumunuz

Detaylı

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Mart, 2010 İçerik Veri Kaçağı Önleme Nedir? Dünyada ve Türkiye de Veri Kaçağı Teknoloji Ne Durumda?

Detaylı

Dijitalleşme Yolunda ERP Dönüşümü

Dijitalleşme Yolunda ERP Dönüşümü www.pwc.com Recep Alagöz İsmail Doğan Dijital dönüşümü anlamak Klasik ERP Yaklaşımı APO SD FI PLM MM CO HR PP QM R/3 Client / Server ABAP/4 PM TR AM PS SRM CRM WM CS BI GRC 2 Yeni Dönem Yıkıcı Etkiler

Detaylı

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015 Siber Güvenlik Basın Buluşması C.Müjdat Altay 15 Haziran 2015 Kısaca Netaş Ülkemizin her türlü bilgi ve iletişim teknolojisi ihtiyacını karşılamak için çalışıyoruz. Bugüne kadar gerçekleştirilen birçok

Detaylı

AHİ EVRAN ÜNİVERSİTESİ BİLGİSAYAR ARAŞTIRMA VE UYGULAMA MERKEZİ GÖREV, YETKİ VE SORUMLULUKLARI

AHİ EVRAN ÜNİVERSİTESİ BİLGİSAYAR ARAŞTIRMA VE UYGULAMA MERKEZİ GÖREV, YETKİ VE SORUMLULUKLARI AHİ EVRAN ÜNİVERSİTESİ BİLGİSAYAR ARAŞTIRMA VE UYGULAMA MERKEZİ GÖREV, YETKİ VE SORUMLULUKLARI BİRİNCİ BÖLÜM Merkez Teşkilatı ve Görevleri 1) Merkez Teşkilatı Merkez teşkilatı aşağıda belirtilen kişi ve

Detaylı

Siber Güvenlik Hizmetleri Kataloğu

Siber Güvenlik Hizmetleri Kataloğu Siber Güvenlik Hizmetleri Kataloğu Güvenli kurumlar, sistematik yapılar! Yetkinliklerimiz İhtiyacınız olan adımları planlayın! Bilgi Güvenliği Yönetim Sistemi Temel Eğitimi (ISO/IEC 27001:2013) Eğitim

Detaylı

Hakkımızda. Vizyon & Misyon

Hakkımızda. Vizyon & Misyon 25 USD + KDV Hakkımızda Vizyon & Misyon Firmamız 5188 sayılı yasa kapsamındadır ve ALARM SİSTEMİ KURMA YETERLİLİK BELGESİ ALARM MERKEZİ KURMA VE İZLEME İZİN BELGESİ ne sahiptir. Verdiğimiz hizmet ve firmamızın

Detaylı

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA Osman PAMUK Ġçerik Giriş Örnek Zararlı Yazılımlar Conficker Stuxnet Önemli zararlı yazılım sızma noktaları ve korunma yöntemleri Taşınabilir

Detaylı

Powered by www.etgigrup.com. www.vedubox.com

Powered by www.etgigrup.com. www.vedubox.com Powered by www.etgigrup.com www.vedubox.com Entegre E-Eğitim Sistemi Uzaktan Eğitim Sisteminiz 1DK da Hazır! Kolay Basit İnovatif Esnek Entegre Entegre Eğitim Platformu Uzaktan Eğitim, e-eğitim, Online

Detaylı

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı AirLink ES4X0, diğer bir router ile birlikte kullanıldığında birden fazla bilgisayar veya cihaz için esas bağlantı noktası ve internet üzerinden yedekleme

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

Verilerinizi koruyun

Verilerinizi koruyun Uygun fiyatlı, Entegre çözüm Verilerinizi koruyun İş Hacminizi artırın Entegre & Kapsamlı Küçük ölçekli firmalar için tasarlanmış ve ücretlendirilmiş Esnek ve ölçeklendirilebilir İş ihtiyaçlarınızı karşılayan

Detaylı

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır. PfSense, FreeBSD tabanlı bir dağıtım olarak, BSD sağlamlığını taşıyan, son zamanlarda adından sıkça söz ettiren oldukça gelişmiş ve yetenekli bir güvenlik duvarı dağıtımıdır. Psense kullanılmaya başlandığı

Detaylı

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİ Ohsas 18001 Endüstrinin değişik dallarında faaliyet gösteren kuruluşların, faaliyet konularını yerine getirirken, İş Sağlığı ve Güvenliği konusunda da, faaliyet

Detaylı

ESİS Projesi. Kaynaklar Bakanlığı

ESİS Projesi. Kaynaklar Bakanlığı ESİS Projesi Hem ulusal, hem de uluslararası platformda enerji, bir ülkenin politika üretmesi ve uygulaması gereken en önemli stratejik alanlardan birisidir. Ülkemiz de sahip olduğu kritik jeopolitik konumu

Detaylı

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi BİLGİ GÜVENLİĞİ İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi 2015 20.10.2012 tarihli Resmi Gazete de yayımlanan Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi

Detaylı

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE

KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE KURUMSAL RİSK YÖNETİMİ (KRY) EĞİTİMİ KURUMSAL RİSK YÖNETİMİ: KAVRAMSAL VE TEORİK ÇERÇEVE SUNUM PLANI 1. RİSK VE RİSK YÖNETİMİ: TANIMLAR 2. KURUMSAL RİSK YÖNETİMİ 3. KURUMSAL RİSK YÖNETİMİ DÖNÜŞÜM SÜRECİ

Detaylı

RotamNet Ticari Programı Kısa Tanıtım Dökümanı

RotamNet Ticari Programı Kısa Tanıtım Dökümanı RotamNet Ticari Programı Kısa Tanıtım Dökümanı RotamNet ; Kolay kurulumu ve kullanımıyla ön plana çıkan, teknolojik alt yapısıyla işletmelere pratik çözümler sunan ve büyük avantajlar sağlayan tam bir

Detaylı

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk 04.04.

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk 04.04. Güvenlik ve Virüsler ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk 04.04.2005 Bilgi güvenliği neden gerekli? Kişisel bilgi kaybı Üniversiteye ait bilgilerin kaybı Bilgiye izinsiz erişim ve kötüye

Detaylı

ANALİZ BİLİŞİM HAKKINDA

ANALİZ BİLİŞİM HAKKINDA ANALİZ BİLİŞİM HAKKINDA 1996 yılında bilişim dünyasına adım atmış olan Analiz Bilişim, kuruluşundan bu yana gelişim ve ilerlemeyi hedeflemiştir. Geliştirdiğimiz Jetra Raporlama Programı bu kurumsal çabanın

Detaylı

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa)

B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa) B2B E-Ticaret Siteleri ÖN ONAY KRİTERLERİ (6 sayfa) Site işleticisinin Sunucusunun herhangi bir şey satmadığı ve malların fiyatını belirlemediği, ancak alıcı ve satıcılar için ticari işlevselliği olan

Detaylı

EKLER EK 12UY0106-5/A4-1:

EKLER EK 12UY0106-5/A4-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A4-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür. Nagios Enterprises, kurumsal ölçekte, BT altyapı gözetiminde endüstri standardı olan Nagios için resmi ürünler, hizmetler ve çözümler sunuyor. Dünya çapında yüz binlerce kullanıcıyla Nagios bilgi teknolojileri

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. ? NEDEN BİYOMETRİK DOĞRULAMA SUNUCU TABANLI BİYOMETRİK MICROSOFT WINDOWS OTURUM AÇMA UYGULAMASI Biyometrik veri taklit edilemez, şifre gibi unutulamaz!

Detaylı

Yöneticiler için Bilgi Güvenliği

Yöneticiler için Bilgi Güvenliği Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR 11.2.2015 1 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

Detaylı

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri 5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall 5651 Sayılı Kanun Kanunun Tanımı : İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen

Detaylı

SAĞLIK HİZMETLERİNDE KALİTE YÖNETİM VE ORGANİZASYON YAPISI NASIL OLMALI? MPHG KALİTE YÖNETİM MODELİ

SAĞLIK HİZMETLERİNDE KALİTE YÖNETİM VE ORGANİZASYON YAPISI NASIL OLMALI? MPHG KALİTE YÖNETİM MODELİ SAĞLIK HİZMETLERİNDE KALİTE YÖNETİM VE ORGANİZASYON YAPISI NASIL OLMALI? MPHG KALİTE YÖNETİM MODELİ Nihal KAFALI ÜNLÜTÜRK MPHG Kalite Grup Müdürü 9. Uluslararası Sağlıkta Kalite, Akreditasyon ve Hasta

Detaylı

ANET YAZILIM. info@anetyazilim.com.tr

ANET YAZILIM. info@anetyazilim.com.tr ANET YAZILIM info@anetyazilim.com.tr NetXSight: Envanter Yönetimi Envanter Yönetimi :Ağ altyapısında kullanılan tüm Windows işletim sistemi kurulu aktif cihazlar belirlenerek güncel bir envanter oluşturulur.daha

Detaylı

Turquaz. Açık kodlu muhasebe yazılımı http://www.turquaz.com. Turquaz Proje Grubu

Turquaz. Açık kodlu muhasebe yazılımı http://www.turquaz.com. Turquaz Proje Grubu Turquaz Açık kodlu muhasebe yazılımı http://www.turquaz.com Turquaz Proje Grubu Konu Başlıkları 1. Turquaz Proje Grubu 2. Programın fikri 3. Geliştirme aşaması 4. Programın içeriği 5. Yapılacaklar 6. Dizayn

Detaylı

Türkiye İç Denetim Kongresi, 11 Kasım 2013. Sosyal Medya Riski ve Denetimi. Doğan Tanrıseven EY Danışmanlık Hizmetleri, Direktör

Türkiye İç Denetim Kongresi, 11 Kasım 2013. Sosyal Medya Riski ve Denetimi. Doğan Tanrıseven EY Danışmanlık Hizmetleri, Direktör Türkiye İç Denetim Kongresi, 11 Kasım 2013 Sosyal Medya Riski ve Denetimi Doğan Tanrıseven EY Danışmanlık Hizmetleri, Direktör Sosyal Medya Kavramı Anket Soruları Sayfa 2 Sosyal Medya Kavramı Geleneksel

Detaylı

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU

ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU ORDU ÜNİVERSİTESİ BİLGİ İŞLEM DAİRESİ BAŞKANLIĞI HİZMET ENVANTERİ TABLOSU HİZMETİ SUNMAKLA GÖREVLİ / YETKİLİ KURUMLARIN / BİRİMLERİN ADI HİZMETİN SUNUM SÜRECİNDE SIRA NO KURUM KODU STANDART DOSYA PLANI

Detaylı

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ www.bilgimikoruyorum.org.tr PROJE HAKKINDA Bilgimi Koruyorum e Öğrenme Projesi DPT tarafından desteklenmiş olan Ulusal Bilgi Sistemleri Programı kapsamında gerçekleştirilmiş

Detaylı

TEAMCENTER Rapid Start ile KOBİ lerin PLM e geçişi hızlanıyor (Sesli Anlatımlı Sunum Videomuz İçin Tıklayın)

TEAMCENTER Rapid Start ile KOBİ lerin PLM e geçişi hızlanıyor (Sesli Anlatımlı Sunum Videomuz İçin Tıklayın) TEAMCENTER Rapid Start ile KOBİ lerin PLM e geçişi hızlanıyor (Sesli Anlatımlı Sunum Videomuz İçin Tıklayın) PLM(Product Lifecycle Management) bir ürünün fikirden tasarıma, tasarımdan imalata, daha sonra

Detaylı

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ

KKTC MERKEZ BANKASI. BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ KKTC MERKEZ BANKASI BİLGİ GÜVENLİĞİ POLİTİKASI GENELGESİ (Genelge No: 2015/02) Mart-2015 BANKACILIK DÜZENLEME VE GÖZETİM MÜDÜRLÜĞÜ İçindekiler Giriş... 1 1 Amaç... 1 2 Bilgi Güvenliği Politikaları... 1

Detaylı

Kılavuz içerisinde TalksPBX kurulumu anlatılmakta olup, yapacağınız konfigürasyonlar satın aldığınız lisans ile sınırlıdır.

Kılavuz içerisinde TalksPBX kurulumu anlatılmakta olup, yapacağınız konfigürasyonlar satın aldığınız lisans ile sınırlıdır. HAKKIMIZDA Aktiftelecom, 1994 yılından bu yana deneyimli kadrosu ile telekomünikasyon sektöründe hizmet vermektedir. Satış sonrası hizmetler konusunda uzmanlaşmış teknik destek ekibi ve yurt çapında yayılmış

Detaylı

ELEKTRONİK NÜSHA. BASILMIŞ HALİ KONTROLSUZ KOPYADIR

ELEKTRONİK NÜSHA. BASILMIŞ HALİ KONTROLSUZ KOPYADIR Doküman Adı: GELİŞTİRME SÜREÇLERİ Doküman No.: P508 Revizyon No: 01 5 1 Web Sayfası Hazırlama Talimatı iptal edildiği için 5.2 maddesinden ilgili cümle çıkartıldı. 3 1 Web Sayfası Hazırlama Talimatı iptal

Detaylı

Windows Server 2012: Sanallaştırmanın ötesine geçin. Oğuz Pastırmacı IT Pro Teknolojileri Yöneticisi Microsoft Türkiye

Windows Server 2012: Sanallaştırmanın ötesine geçin. Oğuz Pastırmacı IT Pro Teknolojileri Yöneticisi Microsoft Türkiye Windows Server 2012: Sanallaştırmanın ötesine geçin Oğuz Pastırmacı IT Pro Teknolojileri Yöneticisi Microsoft Türkiye Endüstrideki trendler ve zorluklar Windows Server 2012: Sanallaştırmanın ötesinde Eksiksiz

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 17 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy Doküman Numarası

Detaylı

iş zekası business intelligence- harita- performans göstergeleri - balanced scorecard 7 boyut da görsel tasarım LOGOBI İş Zekası Platformu

iş zekası business intelligence- harita- performans göstergeleri - balanced scorecard 7 boyut da görsel tasarım LOGOBI İş Zekası Platformu iş zekası business intelligence- harita- performans göstergeleri - balanced scorecard 7 boyut da görsel tasarım LOGOBI İş Zekası Platformu LOGOBI LOGOBI İş Zekası Platformu İnternet veya intranet ortamlarda

Detaylı

ISO/IEC 27001 Özdeğerlendirme Soru Listesi

ISO/IEC 27001 Özdeğerlendirme Soru Listesi ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime

Detaylı

JetSMS Direct Çözümü

JetSMS Direct Çözümü JetSMS Direct Çözümü Çözümlerimizle İşinizde Değer Yaratalım JetSMS Direct Nedir? JetSMS Direct gelişkin özellikleri ile güvenilir ve stabil çözümler sağlar JetSMS Direct son derece kapsamlı bir SMS yönetim

Detaylı

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! 2 Securitas ile Bir adım Önde Olun Bir kurumda çalışanlarla ilgili kişisel bilgilerin internette yayınlanması, interaktif bankacılık sistemi kullanıcısının

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

Virtualization. VMware vcenter Server Yapılandırılması

Virtualization. VMware vcenter Server Yapılandırılması Virtualization VMware vcenter Server Yapılandırılması VMware vcenter Server sanallaştırılmış datacenter, kurumsal sunucular gibi yapıların yönetilmesini sağlayan ve maliyetleri aşağılara çeken bir yönetim

Detaylı

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir? WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir? Gereksiz yedek dosyaları Default ayarlarla gelen konfigürasyon dosyaları Yetkisi tam olarak verilmiş dosyalar ya da dosya izni kontrolü yapılmadan sunucuda

Detaylı

Birey Okulları Office 365

Birey Okulları Office 365 Birey Okulları Office 365 Birey Okulları Microsoft ile Office 365 Exchange Plan 1 anlaşması sağlamıştır. Peki Office 365 nedir? Birey Office 365, Microsoft tarafından sağlanan e-posta (adsoyad@bireyokullari.com)

Detaylı

Kurumsal İçerik ve Bilgi Yönetimi Kapsamında Web 2.0 Teknolojileri: Enterprise 2.0

Kurumsal İçerik ve Bilgi Yönetimi Kapsamında Web 2.0 Teknolojileri: Enterprise 2.0 Kurumsal İçerik ve Bilgi Yönetimi Kapsamında Web 2.0 Teknolojileri: Enterprise 2.0 Tolga ÇAKMAK Bilgi ve Belge Yönetimi Bölümü tcakmak@hacettepe.edu.tr On Dokuz Mayıs Üniversitesi Samsun, 2010 İçerik Kurumsal

Detaylı

Kurumsal Yönetim Sistemleri Sistemleri

Kurumsal Yönetim Sistemleri Sistemleri Yazılım Danışmanlık Ltd. Şti. Kurumsal Yönetim Sistemleri Sistemleri Yönetim Kurumsal Yönetim Sistemleri Kurumsal Yönetim Sistemleri Kurumsal Akosis, sektörel olarak farklılık gösteren dinamikler ve iş

Detaylı

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ

TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ TÜBİTAK ULAKBİM ELEKTRONİK İMZA ENTEGRASYONU HİZMET ALIMI TEKNİK ŞARTNAMESİ 1. YAPILACAK İŞİN KONUSU VE TANIMI 1.1. Yapılacak İşin Konusu TRABIS (.tr Ağ Bilgi Sistemi) kapsamında doğacak olan e-imza ile

Detaylı

Yazılım-donanım destek birimi bulunmalıdır.

Yazılım-donanım destek birimi bulunmalıdır. BİLGİ YÖNETİMİ Yazılım-donanım destek birimi bulunmalıdır. o Yazılım-donanım destek birimi 24 saat kesintisiz hizmet sunmalı, o Yazılım-donanım destek birimi çalışanlarının güncel iletişim bilgileri santralde

Detaylı

SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING)

SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING) SAMURAİ FRAMEWORK İLE HACKİNG-1 (FOOTPRINTING) Merhaba arkadaşlar. Samurai Framework ile Temel Hacking makale serisinin ikinci kısmını bu ve devamında ki makalelerimizde inceleyeceğiz. Bu makalemizde temel

Detaylı

GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR

GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR 24/08/2011 tarihli ve 2011/DK-14/461 sayılı Kurul Kararı ile GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR Amaç MADDE 1 - (1) Bu Usul ve Esasların amacı, tercihe dayalı Güvenli İnternet Hizmetine

Detaylı

Çağrı Merkezi Yöneticileri için Etkin Performans Yönetimi Platformu

Çağrı Merkezi Yöneticileri için Etkin Performans Yönetimi Platformu Çağrı Merkezi Yöneticileri için Etkin Performans Yönetimi Platformu Bizce Performans değerlendirme sistemi Organizasyonun hedeflerine ulaşması için, gerekli olan bireysel performans kriterlerinin belirlenmesi

Detaylı

ÇORUH ELEKTRİK DAĞITIM A. Ş. BİLGİ İŞLEM ALTYAPI ŞARTNAMESİ 2012

ÇORUH ELEKTRİK DAĞITIM A. Ş. BİLGİ İŞLEM ALTYAPI ŞARTNAMESİ 2012 ÇORUH ELEKTRİK DAĞITIM A. Ş. BİLGİ İŞLEM ALTYAPI ŞARTNAMESİ 2012 TARAFLAR : YÜKLENİCİ Bu şartnameye konu olan iş için sözleşme imzalayan gerçek veya tüzel kişiyi ifade eder. ÇORUH EDAŞ Bu şartnameye konu

Detaylı

ACTFAX SERVER (ELEKTRONİK FAKS SİSTEMİ) TEKNİK ŞARTNAMESİ

ACTFAX SERVER (ELEKTRONİK FAKS SİSTEMİ) TEKNİK ŞARTNAMESİ ACTFAX SERVER (ELEKTRONİK FAKS SİSTEMİ) TEKNİK ŞARTNAMESİ 1 İÇİNDEKİLER 1.0. KONU VE KAPSAM 2.0. KULLANIM AMACI 3.0. ÜRÜN ÖZELLİKLERİ 4.0. ÇALIŞMA ŞARTLARI 5.0. DONANIM DESTEĞİ 6.0. KURULUM VE EĞİTİM 7.0.

Detaylı

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600

Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Acil Durum Yönetim Sistemi ICS 785 - NFPA 1600 Başlarken Acil Durum Yönetim Sistemi Kendilerini acil durumlarda da çalışmaya hedeflemiş organizasyon ve kurumların komuta, kontrol ve koordinasyonunu sağlama

Detaylı

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası ISO-BGYS-PL-02 Bilgi Güvenliği Politikası İlk Yayın Tarihi : 08.10.2015 *Tüm şirket çalışanlarının görebileceği, şirket dışı kişilerin görmemesi gereken dokümanlar bu sınıfta yer alır. ISO-BGYS-PL-02 08.10.2015

Detaylı

BTK nın IPv6 ya İlişkin Çalışmaları

BTK nın IPv6 ya İlişkin Çalışmaları BTK nın IPv6 ya İlişkin Çalışmaları Sezen YEŞİL Bilişim Uzmanı Bilgi Teknolojileri ve İletişim Kurumu (BTK) IPv6 Konferansı Ankara, Türkiye 12 Ocak 2011 1 Gündem BTK nın Görevleri BTK nın Çalışmaları Başbakanlık

Detaylı

KALİTE EL KİTABI PERSONEL BELGELENDİRME

KALİTE EL KİTABI PERSONEL BELGELENDİRME Sayfa Sayısı 1/5 1. KAPSAM TS EN ISO/IEC 17024 Personel belgelendirme kuruluşları için geliştirme ve sürdürebilirlik programları da dahil belirli şartlara göre personeli belgelendiren kuruluşlar için genel

Detaylı

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA BÖLÜM 8 Bilişim Sistemleri Güvenliği Doç. Dr. Serkan ADA Bilişim Sistemleri Güvenlik Açıkları Güvenlik bilişim sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı veya fiziksel hasarları engellemek

Detaylı

UZAKTAN EĞİTİM MERKEZİ

UZAKTAN EĞİTİM MERKEZİ ÜNİTE 2 VERİ TABANI İÇİNDEKİLER Veri Tabanı Veri Tabanı İle İlgili Temel Kavramlar Tablo Alan Sorgu Veri Tabanı Yapısı BAYBURT ÜNİVERSİTESİ UZAKTAN EĞİTİM MERKEZİ BİLGİSAYAR II HEDEFLER Veri tabanı kavramını

Detaylı

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri MerSis Bağımsız Denetim Hizmetleri risklerinizin farkında mısınız? bağımsız denetim hizmetlerimiz, kuruluşların Bilgi Teknolojileri ile ilgili risk düzeylerini yansıtan raporların sunulması amacıyla geliştirilmiştir.

Detaylı