KURUMSAL GÜVENLİK POLİTİKASI OLUŞTURMAK NEXT GENERATION IPS PASSWORD SNIFFING KABLOSUZ AĞ GÜVENLİĞİNDE YENİ YAKLAŞIMLAR EN ETKİLİ GÜVENLİK YÖNTEMİ:

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "KURUMSAL GÜVENLİK POLİTİKASI OLUŞTURMAK NEXT GENERATION IPS PASSWORD SNIFFING KABLOSUZ AĞ GÜVENLİĞİNDE YENİ YAKLAŞIMLAR EN ETKİLİ GÜVENLİK YÖNTEMİ:"

Transkript

1 2012 KURUMSAL GÜVENLİK POLİTİKASI OLUŞTURMAK NEXT GENERATION IPS PASSWORD SNIFFING KABLOSUZ AĞ GÜVENLİĞİNDE YENİ YAKLAŞIMLAR EN ETKİLİ GÜVENLİK YÖNTEMİ: ŞİFRELEME PCI DSS UYUMLULUK YOLCULUĞU Mayıs 2012 beyazşapka 1

2 Değerli abonemiz, İçindekiler 03 >> PCI DSS Uyumluluk Yolculuğu Onur Arıkan 06 >> Kurumsal Güvenlik Politikası Oluşturmak Serkan Akcan 08 >> Kablosuz Ağ Güvenliğinde Yeni Yaklaşımlar Caner Dağlı 10 >> AirTight Lider Kablosuz Ağ Güvenliği Çözümü Erkan Şen 12 >> Next Generation IPS Birant Akarslan 2006 Yılının Şubat ayında yayına başlayan Beyaz Şapka 13 sayı yayınlandı ve adetin üzerinde dergi Türkiye nin dörtbir köşesine ücretsiz dağıtıldı. Dolu dolu kırk sayfaya ulaşan Beyaz Şapka birçok sponsorun desteğiyle yaşadı. Hem projenin hayalimizden daha çok büyümesi hem de sponsorluklarda yaşadığımız zorluklar nedeniyle Beyaz Şapka dergisi 2009 Şubat sayısıyla sona erdi ve hayatına internet portalı olarak devam etti. Beyaz Şapka sektörde çok büyük bir iz bıraktı. Her toplantımızda, her seminerimizde ve katıldığımız her konferansta sektör çalışanları Beyaz Şapka nın tekrar çıkmasını istediklerini binlerce defa söylediler. Ve sonuçta Beyaz Şapka tekrar hayat buldu. Yenilenen Beyaz Şapka da bazı küçük değişiklikler var. Beyaz Şapka hazırlayanları ve okuyucuları yormamak için artık kırk sayfa çıkmayacak ve sayfaları sektörün tamamına açık olmayacak. Öngördüğümüz sayfa sayısı arası. Bu sayfalar Nebula Bilişim in kendisine, Beyaz Şapka ya destek veren iş ortaklarına ve Nebula Bilişim müşterilerine açık olacak. Sektörde önemli gördüğümüz konuları uzmanların kaleminden aktarmaya da devam edeceğiz. 14 >> Password Sniffing İrfan Kotman 16 >> Geçmişten bugüne bilgilerinizin güvenliğini sağlayan en etkili yöntem ŞİFRELEME Mehmet Gülyurt 18 >> DLP Projesi Başarı Kriterleri Mustafa Çetin Beyaz Şapka artık binlerce kişiye dağıtılmayacak. Sadece Nebula Bilişim CRM sistemine kayıt edilmiş ve Beyaz Şapka abonesi olarak işaretlenmiş kişilere Beyaz Şapka gönderimi otomatik olarak yapılacak. Nebula ile bir ilişkisi olmayanlar için Beyaz Şapka nın PDF sürümü dağıtılacak. Beyaz Şapka nın kendine ait bir web sitesi de bulunmayacak. Nebula Bilişim kurumsal web sitesinin içinde bir bölüm olarak yayın yapılacak. Beyaz Şapka nın PDF sürümü ve çeşitli video sunumları bu sayfalardan izlenebilecek. Mevcut videoları hemen şimdi izleyebilirsiniz: Umarız ki Beyaz Şapka yeni dönemde beklentilerinize cevap verir. Lütfen Beyaz Şapka ya katkıda bulunmak ve fikirlerinizi iletmek için bize yazın. Beyaz Şapka Nebula Bilişim tarafından üç ayda bir yayınlanır ve Nebula Bilişim müşterilerine ücretsiz dağıtılan bir broşürdür. Beyaz Şapka Nebula Bilişim in tescilli markasıdır ve her hakkı saklıdır. Güvenli Günler! Beyaz Şapka Yönetimi 2 beyazşapka Mayıs 2012

3 Onur Arıkan Pci Dss Uyumluluk Süreci. Güvenlik İçin Zor Ama İmkansız Olmayan Bir Yolculuk Günümüzde bilgiyi artan tehditlere karşı korurken aynı zamanda yönetmeliklere uyum sağlayabilmek sizce mümkün mü? Günümüzde farklı bilgi güvenliği standartları arasında belki en teknik standartlardan birisi olan PCI DSS (Payment Card Industry Data Security Standard) in bilinirliği her geçen gün artıyor. Bu da kredi kartı ile yapılan e ticaret in çok hızlı geliştiği ülkemizde süpriz değil. PCI DSS tamamen kartlı ödeme sistemlerinin güvenliğine odaklanmış bir standart. Bugün özellikle standardı ana hatlarıyla incelemeye çalışırken şirketlerde karşılaştığımız bazı soruların yanıtlarını da sizinle paylaşmaya çalışacağız. Öncelikle PCI DSS i yayınlayan kuruluştan PCI SSC den bahsedelim. Bu konsey VISA, Mastercard, American Express, JCB ve Discover gibi çok uluslu kart markaları tarafından oluşturulmuş. Konseyin amacı kartlı ödeme standartları ile ilgili standartları oluşturmak, bu standartlara uygunluğu denetleyecek denetçi firmaları (ASV, QSA) belirlemek ve listesini duyurmak, ödeme uygulamalarından uyumlu olanları listelemek, eğitimler vermek ve sektördeki kuruluşlar arasındaki iletişimi sağlamak olarak özetlenebilir. Biz bugün PCI DSS den bahsediyor olsak da aslında konseyin duyurduğu tek standart bu değil. Konseyin sitesinde bulunabilecek standartlar : 1 PCI DSS Kart bilgisinin güvenliğini sağlamaya yönelik kurallar 2 PA DSS Ödeme uygulamalarının uyması gereken kurallar 3 PTS PIN bilgisinin güvenliğini sağlamaya yönelik kurallar PCI DSS güncel versiyonu olan 2.0 ile tek bir standartır. Bankalar, üye isyerleri ve servis sağlayıcılar için de aynı standart geçerlidir. Standart PCI SSC tarafindan yayınlanır. Kart markaları (VISA, Mastercard, AMEX,vb) bu standarda göre kendi uyumluluk programlarını, kuralları, cezaları, uyumluluğu ispatlama gereksinimlerini, olay yeri inceleme koşullarını belirler. Bu kurallar Amerika, Avrupa, Asya Pasifik için değişiklik gösterebilir. Türkiye Avrupa bölgesinde olarak değerlendirilir. Taraflar : PCI SSC PCI Konseyi Standardları oluşturur ve duyurur. Üye işlerine, servis sağlayıcılara ya da bankalara herhangi bir yaptırımda bulunmaz. Kart Markası : Kartların üzerinde logosu bulununan kart markası. Bankaların, servis sağlayıcıların ve üye işlerinin PCI DSS e uygunluklarını ispatlamaları için gerekli koşulları belirler. Uyumluluk konusunda üye işyeri ile doğrudan teması olmaz. Bu sorumluluğu Üye İş Yeri Bankası na verir. Cezaları ve yaptırımları belirler. Kart bilgisinin yetkisiz kişilerin eline geçmesi durumunda yapılacakları belirler Üye İşyeri Bankası Acquirer Üye işyerlerine POS ve Sanal POS kullandıran, otorizasyonun kendi üzerinden geçerek kart sahibi bankasına iletilmesini sağlayan banka. Kart Sahibi Bankası Issuer Alış veriş yapan kişinin kredi ya da banka kartını veren banka Servis Sağlayıcı Kartlı ödeme sürecinde kredi kartının güvenliğini etkileyebilecek hizmetler sağlayan herhangi bir 3. Taraf firma. Bankalara ya da üye işyerlerine hizmet sağlayabilirler. QSA Qualified Security Assessor Yerinde denetim hizmeti sağlayan ve PCI konseyi tarafından yetkilendirilmiş firmalar. ASV Approved Scanning Vendor Internet üzerinden her 3 ayda bir yapılması gereken açıklık tarama hizmetini sağlayan ve PCI konseyi tarafından yetkilendirilmiş firmalar. Kim kime karşı sorumlu? Buradaki sıralama kısaca şöyle özetlenebilir ; Kart markaları, kendi kartlarının kullanılabileceği POS/Sanal POS sistemleri ile ilgili olarak üyelerini ya da başka bir söylemle bankaları görevlendirir. Bankalardan POS ları kullanacak üye işyerlerindeki kart bilgisinin güvenliğini sağlamalarını ister. Banka da POS unu kullanacak üye işyerinden kredi kartı ile ilgili süreçlerinin güvenli olmasını bekler. Üye işyerleri bunun nasıl olacağını sorduklarında; yanıt PCI DSS e uymaları olacaktır. Bankalar (Üye işyeri bankası Acquirer) kart markalarına karşı sorumludur. Dolayısıyla üye işyerlerinin uyumluluk durumunu takip etmek, bunu kart markalarına raporlamak, üye isyerlerini uyumlu duruma getirmek bankanın sorumluluğundadır. Banka isterse POS u açar isterse kapatır. Kimi zaman da kart markasının bankalara uyguladıkları cezai yaptırımları üye işyerine yansıtır. Kapsam PCI DSS kapsamına hangi kurumlar girer? Bir örnek vermek gerekirse kredi kartı tahsilatı ile sosisli sandviç satan firma da internet üzerinden satış yapan bir e ticaret firması da Mayıs 2012 beyazşapka 3

4 aynı standarta (PCI DSS v2.0) uymak zorundadır. Bir kurumun PCI DSS kapsamına girip girmediğini anlaması için şu soruları kendisine sorması gerekir. 1 Ben kartsahiplerinin kredi/banka kartı bilgisini saklıyor muyum? (store) 2 Ben kredi/banka kartını işliyor muyum? (process) 3 Ben kredi/banka kartını iletiyor muyum? (transmit) Bunlardan herhangi birisine evet yanıtı veriliyorsa PCI DSS e uygun hareket edilmesi gerekmektedir. İsterseniz bu aşamada bir soru ile kapsamı iyice netleştirelim : Aşağıdakilerden hangisi PCI DSS kapsamına girmez? 1 E ticaret firmasi olan bir üye isyerinin backup tape lerini saklayan 3. parti bir firma 2 E Ticaret sunucularımızın bulunduğu Web hosting firması 3 Sadece ses kayıtlarını saklayan, telefonla kredi kartı talimatlarını alan bir çağrı merkezi 4 Yalnız 5 şubesi olan ama üye işlerine POS kullandıran bir banka 5 Sadece araba yıkayan ve fiziksel POS kullanan bir yıkama yağlama dükkanı 6 Sadece faks ile gonderilen kredi kartı talimatlarını alan bir firma 7 Kart bilgilerinin ilk 4 son 4 rakamını saklayan bir üye işyeri 8 Kredi kartıyla işlem yapan ama işlemlerinde 3DSecure kullanan bir üye işyeri 9 Kart bilgisini saklamak zorunda kalan ve her ay rutin tahsilat yapan sigorta şirketleri 10 Benzin istasyonları 11 Kamu kurumları (ör. vergi tahsilati yapan Gelir İdaresi Başkanlığı) Yukarıdaki tüm örneklerde kapsam için sormamız gereken soruları sorduğumuzda hepsinin PCI DSS e uyması gerektiğini görebiliriz. Üye işyeri seviyeleri ve servis sağlayıcı seviyeleri Kart markaları tarafından belirlenir. Bunun temel amacı üye işyerleri ve servis saglayıcıların standara uygunluğunu ne şekilde ispatlayacağını detaylandırmaktır. Kimi zaman üye işyerinin beyanı SAQ (Self Assessment Questionaire) yeterlidir. Kimi zaman ise QSA tarafından yapılması gereken yerinde denetim (on site audit). Her kredi kartı markası kendisine göre seviyeler belirler. Ancak VISA ve Mastercard ın seviyeleri hemen hemen aynıdır. Mastercard üye işyeri seviyeleri Servis sağlayıcı seviyeleri üye işyerleri seviyelerinden farklıdır. Örnegin seviye sayısı 4 yerine 2 dir. retailers/payment_ security/service_providers.aspx PCI DSS standardı 6 başlıkta 12 ana gereksinimden oluşur. Her gereksinimin altında da alt maddeler bulunmaktadır. Güvenli Ağ Oluşturma ve Yönetim 1. Kart sahibi bilgilerinin korunması için güvenlik duvarı kurulumu ve yönetimi. 2. Üretici firmaların sağladığı sistem şifreleri ve diğer güvenlik parametreleri gibi öntanımlı parametrelerin kullanılmaması. Kart Sahibi Bilgilerinin Korunması 3. Saklanan kart sahibi bilgisinin korunması. 4. Açık genel ağlar üzerinden kart sahibi bilgisi iletiminin şifrelenmesi. Zafiyet Yönetim Programının Sürdürülmesi 5. Düzenli güncellenen anti virus yazılımlarının kullanılması. 6. Güvenli sistemlerin ve uygulamaların oluşturulması ve sürdürülmesi. Güçlü Erişim Kontrol Önlemlerinin Uygulanması 7. Kart sahibi bilgilerine erişimin iş ihtiyaçlarına göre sınırlandırılması. 8. Bilgisayar kullanıcısı her kişiye tekil kullanıcı hesabı oluşturulması. 9. Kart sahibi bilgilerine fiziksel erişimin sınırlanması. Düzenli Olarak Ağların İzlenmesi ve Test Edilmesi 10. Ağ kaynaklarına ve kart sahibi bilgisine yapılan tüm erişimlerin izlenmesi ve kaydedilmesi. 11. Güvenlik sistemlerinin ve işlemlerinin düzenli test edilmesi Bilgi Güvenliği Politikalarının Sürdürülmesi 12. Bilgi güvenliğini adresleyen politikanın sürdürülmesi. Sonuç : PCI DSS risk değerlendirmesini yaptığı kredi/banka kartının korunmasını hedefleyen zor ama son derece mantıklı, teknik bir standarttır. Kurallar nettir. Maddelere uygun olup olmadığınızı net bir şekilde ölçebilir. Bu yüzden de çok fazla bir esneklik söz konusu değildir. Bugüne kadar kart bilgisinin çalınması ile ilgili incelemelerde hemen hemen tüm olaylarda PCI DSS e uyumsuz bir durum raporlanmıştır. Bu standartla ilgili en güzel taraf ise önerilen güvenlik çerçevesini temel alarak şirketler kartlı ödeme sistemleri dışındaki diğer bilgilerini de koruyacak bir altyapı kurabilirler. 4 beyazşapka Mayıs 2012

5 Category Criteria Requirements Compliance Date Level 1 Any merchant that has suffered a hack or an attack that resulted in an account data compromise Any merchant having more than six million total combined MasterCard and Maestro transactions annually Any merchant meeting the Level 1 criteria of Visa Any merchant that MasterCard, in its sole discretion, determines should meet the Level 1 merchant requirements to minimize risk to the system Annual Onsite Assessment 1 Quarterly Network Scan conducted by an ASV 2 30 June Level 2 Any merchant with more than one million but less than or equal to six million total combined Master- Card and Maestro transactions annually Any merchant meeting the Level 2 criteria of Visa Annual Self-Assessment 4 Onsite Assessment at Merchant 30 June Discretion 4 Quarterly Network Scan conducted by an ASV 2 Level 3 Any merchant with more than 20,000 combined MasterCard and Maestro e-commerce transactions annually but less than or equal to one million total combined MasterCard and Maestro e-commerce transactions annually Any merchant meeting the Level 3 criteria of Visa Annual Self Assessment Quarterly Network Scan conducted by an ASV 2 30 June 2005 Level 4 All other merchants 5 Annual Self-Assessment Consult Acquirer Quarterly Network Scan conducted by an ASV 2 1. Effective 30 June 2012, Level 1 merchants that choose to conduct an annual onsite assessment using an internal auditor must ensure that primary internal auditor staff engaged in validating PCI DSS compliance attend PCI SSC ISA Training and pass the associated accreditation program annually in order to continue to use internal auditors. 2. Quarterly network scans must be conducted by a PCI SSC Approved Scanning Vendor (ASV). 3. Initial compliance date of June, 2005 for Level 1 merchants has now passed. The 30 June 2012 deadline is for PCI SSC ISA training and certification only and is for those merchants that choose to conduct an annual onsite assessment using an internal auditor. 4. Effective 30 June 2012, Level 2 merchants that choose to complete an annual self assessment questionnaire must ensure that staff engaged in the self assessment attend PCI SSC ISA Training and pass the associated accreditation program annually in order to continue the option of self assessment for compliance validation. Alternatively, Level 2 merchants may, at their own discretion, complete an annual onsite assessment conducted by a PCI SSC approved Qualified Security Assessor (QSA) rather than complete an annual self assessment questionnaire. 5. Level 4 merchants are required to comply with the PCI DSS. Level 4 merchants should consult their acquirer to determine if compliance validation is also required. Mayıs 2012 beyazşapka 5

6 Serkan AKCAN Kurumsal Güvenlik Politikası Oluşturmak Bu yazıyı okuyun ve Amerika yı yeniden keşfetmeden kurumsal bilgi güvenliği politikanızı oluşturun. Bankalar, Amerikan borsalarında işlem gören şirketler, telekom operatörleri ve kredi kartı ile işlem yapan şirketler çok şanslı. BDDK bankalara COBIT i, Amerikan devleti Amerikan borsalarında işlem gören şirketlere Sarbanes-Oxley (SoX) standardını, BTK telekom operatörlerine ISO i, PCI SSC ise kredi kartı ile işlem yapan şirketlere PCI DSS i zorunlu tutuyor. Bu kurumlar zorunluluklar sayesinde en azından bir güvenlik politikasına sahip oluyor. ITIL, HIPAA ve Fisma gibi uluslararası diğer standartları hiç saymıyorum. Bu zorunluluklara sahip olmayan diğer şirketler ise zor durumda. Standartlar zorunlu tutulmadığı sürece şirketlerin belirli standartlara kavuşması ancak ileri düzeyde kurumsallaşan şirketlerde mümkün olabiliyor. Üstelik herhangi bir zorunluluğa sahip olmayan Türk şirketleri sayılamayacak kadar fazla. Aşağı yukarı her Türk şirketin genel problemi ise bir BT ve bilgi güvenliği politikasına sahip olmaması. Bu şirketlerde görev yapan BT yöneticilerinin, bilgi güvenliği yöneticilerinin, orta ve üst düzey yöneticilerinin ortak kaygısı bilgi güvenliği politikası oluşturamayacaklarını ve yürütemeyeceklerini düşünmeleri. Yöneticilerin bu karamsar kanıya varmalarının iki temel sebebi olduğunu düşünüyorum. Birincisi ve en önemlisi bugüne kadar hiçbir politikaya sahip olmadan sistemin kontrolsüz biçimde yaygınlaşmış olması. Bu sebebin haklı bir sebep olduğunu kabul etmeliyiz. Politikasız büyümüş sistemler genellikle arap saçına dönmüş ve birkaç parlak personelin kişisel marifetiyle yürür. Karamsarlığın sebebi haklı olsa da mücadele etmemeyi gerektirmez. Bugün politika yaratılmazsa sistem kontrolsüz büyümeye devam edecek ve ileride kontrol altına almak çok daha zorlaşacaktır. İkinci sebep ise yöneticilerin bilgi güvenliği yönetim sistemi, risk analizi, BT yönetim politikaları ve bilişim hukuku gibi konularda kendilerini yetersiz görmeleri. Çoğu yönetici kurumuna bir bilgi güvenliği yönetim sistemi ve politikası kazandırmaya nereden başlaması ve nasıl bir yol haritası ile çalışmayı sürdürmesi gerektiğini kestiremiyor. Bu durum nasıl sonuçlanıyor dersiniz? Virus saldırıları, bozulan ve yedeklerden dönülemeyen önemli bilgiler, hacker atakları, kaybolan ve daha kötüsü nereye gittiği bilinmeyen kritik veriler. 6 beyazşapka Mayıs 2012

7 Son dönemde herhangi bir regülasyona tabi olmayan Türk şirketleri ile bilgi güvenliği üzerine yaptığımız toplantılarda gördüğümüz genel durum bu. Herkes bir bilgi güvenliği politikasına sahip olmanın şart olduğunu biliyor ancak süreci başlatmak için adım atmakta sıkıntı yaşanıyor. Amerika yı yeniden keşfetmeden kurumsal bilgi güvenliği politikasına sahip olmanın yolu ISO ve PCI DSS standartlarından geçiyor. ISO Bilgi Güvenliği Yönetim Sistemi (BGYS) Diğer ISO standartlarında olduğu gibi ISO BGYS standardı da her kuruma uygulanabilecek şekilde geliştirilmiştir. Böyle olduğu için bilgi güvenliği teknolojileri ile çok iç içe değildir. ISO süreci başlatan kurumlar genellikle hangi güvenlik teknolojilerini kullanmalarını gerektiğini kestirmekte zorlanır. ISO teknik bir yaklaşımdan ziyade yönetimsel bir yaklaşıma sahiptir. Standart kurum yetkililerinden varlıklarını kontrol etmelerini, değerlendirmelerini, risk analizlerini yapmalarını, rutin kontrol ve prosedürlerin hazırlanmasını ve yürütülmesini bekler. İyi analiz edilmiş, prosedürler, geliştirilmiş ve dokümante edilmiş sistemlerin sağlığı parlak personelin kişisel marifetinden alınıp kurumsal bir standarda teslim edilmiş olur. Konuyu çok lafa boğmadan klasik bir ISO BGYS kurulumunun görev listesini yazayım. 1. BGYS İç eğitim 2. Genel gereksinimler 3. Dokümantasyon gereksinimlerin belirlenmesi 4. Fiziksel ve çevresel güvenlik sağlanması 5. BGYS Politikasının oluşturulması 6. BGYS Takımının Atanması 7. Varlık listesinin hazırlanması 8. Güvenlik politikalarının hazırlanması 9. BGYS Dokümantasyon gerekliliklerinin sağlanması, zorunlu prosedürlerin adaptasyonu 10. Risklerin tanımlaması 11. Risk değerlendirme 12. BGYS Takım görev tanımlarının oluşturulması 13. Kontrol prosedürlerin hazırlanması 14. Uygulanabilirlik Bildirgesi hazırlama 15. BGYS uygulanması ve izlenmesi 16. BGYS iç denetimleri 17. BGYS yi yönetimin gözden geçirmesi 18. İyileştirme fırsatlarının belirlenmesi (düzeltici /önleyici faaliyetler) Farkedebileceğiniz gibi ISO BGYS görev listesinde hiçbir bilgi güvenliği teknolojisinden bahsedilmiyor. Hangi bilginin hangi teknoloji ile korunması gerektiğine standart mı karar verir yönetici mi? ISO BGYS teknoloji cevabı veremediği için kılavuzumuz PCI DSS olmalı. PCI DSS PCI SSC tarafından yayınlanan PCI DSS standardı kredi kartı bilgilerini korumaya yönelik geliştirilmiş teknik içeriğe sahip bir standarttır. İşte size Amerika yı tekrar keşfetmeden hangi bilgi güvenliği teknolojilerine yatırım yapacağınızı ve nasıl yöneteceğinizi bildiren standart. PCI DSS kablosuz ağ güvenliğinden şifrelemeye, şifre yönetiminden penetrasyon testine, statik kod analizinden integrity control sistemlerine kadar günümüz dünyasında bilgi güvenliği için şart olan bir çok teknolojinin nerede ve nasıl kullanılması gerektiğini açıkça belirtir. Beyaz Şapka nın bu sayısında PCI DSS ile ilgili bir makale bulunduğu için teknik detaya fazla girmiyorum. Standardı uygulama yükümlülüğü bulunmayan kurumlara basit bir sorum var. Şirketinizin kredi kartı kadar önemi olan ve korunması gereken bir verisi yok mu? Eminimki kurumların birçok bilgisi kredi kartı numalarından bile daha önemlidir. Öyleyse PCI DSS standardını alın ve kendinize uygulayın. Uygulama Bilgi güvenliği politikarını oluşturduktan sonra varlık yönetimini yapmaya başlamış, sürekli risk analizlerini yapan ve önlemleri alan, acil bir durumda nasıl bir aksiyon alınacağı önceden belirlenmiş, doğru bir iş sürekliliği ve veriye erişim mimarisine sahip bir sistem ortaya çıkacaktır. Bu sistem hem dış müşterileri hem iç müşterileri memnun edecek ve hizmet devamlılığı bir kurumsal refleks olacaktır. Daha önce bahsettiğim gibi Türk şirketlerinin önemli bir bölümü (özellikle KOBİ ler) ISO BGYS ve PCI DSS gibi standartları kendi başlarına uygulamakta zorluk çekerler. Bilgi güvenliği jargonu bilgi güvenliği ile sürekli yaşamayan BT çalışanları ve şirket yöneticileri için çoğu zaman anlaşılmazdır. Bilgi güvenliği politikasını oluşturmak, ISO BGYS kurulumunu yapmak ve PCI DSS ışığında kurum bilgilerinizi korumak için yapacağınız uygulama çalışmalarını bilgi güvenliği konusuna hakim şirketler ve danışmanları ile birlikte yürütmenizi öneririm. Ne kadar şanslısınız ki size tavsiye edebileceğim çok iyi bir bilgi güvenliği şirketi biliyorum. «Mayıs 2012 beyazşapka 7

8 Caner Dağlı Kablosuz Ağ Güvenliğinde Yeni Yaklaşımlar Kablosuz ağlar hiç olmadığı kadar hayatımızın içindeler. Cep telefonları, tabletler, taşınabilir bilgisayarlar ve hatta evimizdeki, arabalarımızdaki yardımcı cihazlara kadar bir çok teknoloji çevresi ve internet ile kablosuz olarak konuşuyor. Buna bağlı olarak da kablosuz ağ kullanımı her geçen gün artıyor. Peki, kablosuz ağlar ne kadar güvenli? Kablosuz Ağlar Her Yerde Kablosuz ağlar etrafımızdaki neredeyse tüm teknolojik aletler tarafından kullanılan bir bağlantı yöntemi haline geldi. Bunda şüphesiz mobil akıllı cihazların sağladığı hareketlilik ve internette hızla yayılan çoklu ortam kullanımının etkisi yadsınamaz. Artık video kliplerden tutunda sunucunuz üzerinde yapacağınız bir ayara kadar herşeyin bir videosu var. Makaleler yerine sesli ve görüntülü anlatım yeni moda ve yeni neslin daha çok tercih etttiği bir şey. İnternet kafeler tarih olmak üzere. Zira artık hemen herkesin bir akıllı cihazı var ve oturduğunuz bir kafeden tutun da en lüks lokantaya kadar her yer size kablosuz ağ bağlantısı sağlıyor. Bunların kimi şifre ile korunuyor, kimi ise müşterilere -belki de kötü kişilere kolaylık olsun diye şifresiz ve açık bir şekilde yayın yapıyor. Bireysel Açıdan Kablosuz Ağlar Bireyler açısından bakıldığında kablosuz ağ güvenliği kişisel çözümler ve biraz dikkat ile sağlanabilir. Şifrelenmemiş ya da zayıf şifreleme kullanan (WEP gibi) ağlara bağlanmamak, kafe ya da misafir ağlarından şifre kullanımı gerektirecek (bankacılık, finans ve hatta sosyal medya, eposta v.b.) sistemlere bağlanmamak en basit çözümler olarak uygulanabilir. Komuşunuzun şifresiz ya da zayıf şifreli ağına bağlanmak da sandığınız kadar kârlı bir iş olmayabilir. Kurumsal Ağlarda Kabolsuz Ağ Politikaları Ancak işin kurumsal ayağında durum çok daha farklı. Geçmişte bir olgu için bir politika sahibi olmanın ön koşulu o sisteme sahip olmaktı. Örneğin, kablosuz ağa sahip değilseniz ona ait kullanım ya da güvenlik politikalarına ihtiyacınız olmadığı düşünülürdü. Ancak gerek günümüz şartlarının farklılaşması gerekse bu mantığın yanlışlığı artık fark edilmeye başlandı. Eğer kablosuz ağ kullanmamak yönünde bir tercihiniz varsa dahi artık buna ait bir politikanız olmak zorunda. Şirketinizde izin verilmeyen uygulamaların olup olmadığı düzenli olarak denetlenmek ve kurum politikalarına aykırı girişimler engellenmek durumunda. Aynı internet erişiminde uygulanan politikalar gibi kablosuz ağlar için de kurum politikalarına sahip olmamız ve uygulamamız gerekiyor. Kendi Cihazını Getir Kurumsal firmalarda yeni bir yönelim de çalışanların kendilerine ait cihazlar ile şirket ağından ve dışarıdan şirket verilerine erişip, çalışabilmeleri. En basit örneği ile bir çok şirket çalışanlarının kurumsal eposta hesaplarına kendi akıllı telefonları üzerinden eişimine izin verir durumda. Bu da yanında yeni riskleri getiriyor. Öyleki; bir çalışan dışarıdan şirket verilerine akıllı cihazı vasıtasıyla erişirken sanal bir tehdit ile karşılaştığında şirket güvenliğini de sekteye uğratıyor. Kurumsal Ağlarda Karşılaşılabilecek Kablosuz Ağ Tehditleri Kurumsal ağlarda rastlanabilecek tehditler sadece yukarıdakilerle de sınırlı kalmıyor. Kötü niyetli çalışanlar, sanal korsanlar, iyi niyetli ama bilgisiz kullanıcılar ve diğer bazı etkenler de kablosuz ağ politikalarının uygulanması, yönetilmesi ve güveliğinin sağlanmasında farklı yaklaşımlar gerektiriyor. Kablosuz Ağ Tehditleri Kablosuz ağ tehditlerinin bazıları şekildeki gibidir. Bunlar kısaca şu şekilde açıklanabilir: 1. Yerel ağınızda istenmeyen kablosuz ağ erişim noktaları (Rouge Access Points) bulunabilir. Kötü niyetli ya da yanlışlıkla yerleştirilmiş olabilirler. 2. Yanlış ayarlanmış kablosuz ağ erişim noktaları bulunabilir. Ağ yöneticinizin ya da bir kullanıcının kurum politikasına uygun olmayan kablosuz ağ erişim noktasını yerel ağınızda çalıştırması sonucu ortaya çıkabilir. 3. Kullanıcıların (Taşınabilir bilgisayar, akıllı cep telefonu, tablet v.b.) kurumsal ağ dışındaki kablosuz ağ cihazlarına bağlanması şirket politikasını delebilir. 8 beyazşapka Mayıs 2012

9 4. Yetkisiz istemcilerin kurumsal kabolsuz ağlara bağlanabilmeleri. 5. Cihazlar arasında izin verilmemiş bire bir (Ad Hoc) bağlantılar yapılabilir. 6. Kablosuz ağınız taklit edilerek kullanıcıların dışarıdaki bir erişim noktasına bağlanmaları sonucu kablosuz ağ politikaları delinebilir. ( HoneyPot uygulaması) 7. Donanım adresi bilgilerinin taklit edilmesi. 8. Kablosuz ağınızı durdurmaya/işlemez hale getirmeye yönelik ataklar yapılabilir. 9. WEP şifrelemesi: Eğer hala kullanıyorsanız en uzun haliyle kurumsal kablosuz ağ şifreleriniz beş dakika içinde kırılabilir. (WEP günümüzde şifrelenmemiş ağdan pek de farklı değildir.) 10.Yetkili istemcilerinizin istemli ya da istem dışı olarak dışarıdaki bir kablosuz ağ ile bağlanarak yerel ağınızı tehlikeyi düşürmesi şeklinde özetlenebilir. Kurumsal bir ağda yukarıdaki gibi güvenlik riski taşıyan her bir senaryo için politikamızda kurumsal kablosuz ağımızı koruyacak bir önleminiz olması gerekir. Sizin de görebileceğiniz gibi bu tehditlerden bazılarının ağınızda bulunması için kurumsal bir kablosuz ağ yapınızın olması gerekmez. Neden Kablosuz Ağ Atak Engelleme Sistemleri Önemlidir? Yukarıda belirttiğimiz gibi kablosuz ağların birçok zaafiyetleri bulunmaktadır ve bu zaafiyetlerden yararlanmanın birçok yöntemi vardır; peki kablosuz atak engelleme sistemlerinin faydaları nelerdir? Öncelikle kendi cihazını getir kültürü ortaya çıktığından bu yana kablosuz ağ atak engelleme sistemlerinin önemi daha da artmıştır. Birçok akıllı telefon günümüzde kablosuz erişim noktası olarak konumlandırılabilmekte ve istenmeyen kablosuz ağlar olarak karşımıza çıkmaktadır. Şirket politikalarına uygun olarak bağlantı profilleri oluşturulabilen kablosuz ağ atak engelleme sistemleri ile şirket çalışanlarının istenmeyen kablosuz ağ bağlantılarına erişimleri sınırlandırılabilmekte, güçlü kimlik doğrulama yöntemleri uygulanabilmekte ve daha güçlü güvenlik mekanizmaları işletilebilmektedir. «Mayıs 2012 beyazşapka 9

10 Erkan Şen AirTight Lider Kablosuz Ağ Güvenliği Çözümü Günümüzde kablosuz ağ alt yapılarına yapılan ataklar hem tespit edilmesi zor hem de çok etkili ataklar. Üstelik bu sadece kurumsal kablosuz ağ alt yapılarının problemi de değil. Aynı zamanda kişisel erişim noktası gibi kullanılabilen akıllı cihazlarlar, tabletler ve benzeri cihazlar da kurumsal ağları tehdit eder durumda. Mobil uygulamaların artması, kurumsal ağlara bağlanabilen cihazların gün geçtikçe küçülmesi ve taşınabilirliklerin artması ile kablosuz ağ kullanımı da bunun paralelinde artmaya başladı. Kurumlarda kendi cihazlarıyla çalışan personelin artışı da bağlanabilirlik açısından büyük kolaylıklar sağlayan kablosuz ağ kullanımını körüklüyor. Kablosuz ağ kullanımının artmasıyla birlikte bu ağların yönetimi ve güvenliğinin sağlanması gerekliliği de önem kazanıyor. Kablosuz Ağ Ataklarından Korunmak Kurum sınırları içindeki kablosuz ağları yönetmek ve korumak kurum bilgi güvenliği politikalarında çok önemli bir yer tutuyor. Kablosuz ağ atakları özellikle fiziksel erişim gerektirmemesi nedeniyle tespit edilmesi, durdurulması ve haklarında kanıt toplaması oldukça zor ataklar. Ayrıca yapılan ayar hataları, açık unutulan aktif cihazlar ve kötü niyetli kişilerin kurumsal ağlara bağlayacağı kablosuz ağ erişim cihazları da tehlikenin boyutunu artıtırıyor. AirTight Kullanarak Tehditlerin Tespit Edilmesi AirTight patentli teknolojileri vasıtasıyla yukarıda bahsi geçen birçok tehdidi tespit edip engelleyebilir. Özellikle patentli Marker Packet tekniği sayesinde AirTight ağdaki istenmeyen kablosuz ağ cihazlarını hatasız bir şekilde tespit eder. Diğer bir çok çözümde komşularınızın kablosuz ağ cihazlarını da yönetmek zorunda olduğunuz gerçeğinin yanında AirTight patentli teknolojilerinin de yardımıyla sizi bu zorluktan kurtarır. niyetli erişim denemeleri gibi birçok atağı daha havadayken tespit edebilir, engelleyebilir ve anında görüp raporlayabilirsiniz. Başarılı Konum Tespiti AirTight kablosuz ağ altyapınıza yapılabilecek birçok atağı daha havadayken tespit edip gerçekleşmesini engelleyebilir. Sadece engellemekle kalmaz aynı zamanda çok iyi bir şekilde tehdidin konumunu da belirleyebilir. AirTight isterseniz konum planı üzerinde, isterseniz tehditi tespit eden sistemlere uzaklığı ile konumlandırma yapabilir. AirTight çözümü ile sadece yerel ağınızda bulunabilecek kablosuz ağ cihazları ile etikili olabilecek saldırılardan korunmakla kalmazsınız. Aynı zamanda kablosuz ağ ortamında gerçekleşecek servis durdurma atakları (DoS), erişim noktası ya da istemci taklidi, kablosuz ağ istemcilerinin şirket kablosuz ağlarından başka ağlara bağlanmaları sorunu, yetkisiz ve kötü AirTight kablosuz ağınızın sizin belirttiğiniz standartlarla çalışmasını denetler. Buna aykırı hareketleri tespit eder ve otomatik koruma mekanızmaları ile erişimleri engeller. Örneğin 10 beyazşapka Mayıs 2012

11 kullanıcılarınızın izin verilmemiş akıllı cihazlarının kurumsal kablosuz ağ şifrelerini bilseler dahi siz izin vermedikçe ağa bağlanmalarını engelleyebilir. Otomatik Cihaz Sınıflandırması AirTight otomatik cihaz sınıflandırması sayesinde şirket cihazları ile komşu cihazları başarılı bir şekilde birbirinden ayırır. Bu işlemler hem istemciler hem de erişim noktaları için ayrı ayrı otomatize edilebilir. Konum Bazlı Politikalar AirTight kullanarak çok noktaya dağılmış kurumsal organizasyonlarda konum bazlı politikalar oluşturulabilir ve her yeni eklenen sistemin ilgili politikalara tabii olarak çalışıp çalışmadığı denetlenebilir. planlanabilir. Ayrıca bu politikalar yukarıdan aşağıya doğru iletilecek şekilde de Entegrasyon ve İletişim Kabileyetleri AirTight SpectraGuard yönetim konsolu ArcSight, CheckPoint, McAfee epo ve Qualys ile bilgi paylaşımı yapabilir. SNMP ve Syslog kullanarak bunlar dışındaki yazılımlarla da iletişimde olabilir. McAfee epo konsolu sayesinde bütünleşik bir bilgi güvenliği politikası için tek merkezden izleme ve raporlama olanakları sunar. Standartlar ve Uyumluluk Raporları AirTight bazıları ülkemizde de önemli olan PCI DSS, Sarbanes- Oxley (SOX), HIPAA, Gramm- Leach-Bliley (GLBA), and DoD Directive gibi standartlar için hızlıca raporlar üretebilir. Ayrıca bazı standartlarda bulunan gereksinimleri de hızlı ve kolay bir çözüm olarak sağlayabilir. Kablosuz Ağ Performans Ölçümleri AirTight aynı zamanda kablosuz ağ alt yapınızın performansının ölçülmesi ve problemlerinin tespit edilmesi ve giderilmesinde de yardımcı olur. AirTight Kullanmanın Faydaları Kablosuz ağlar için tüm standart frekans aralıklarında tarama işlemi otomatik olarak yapılır. Marker Packet teknolojisi ile tam doğrulukla istenmeyen erişim noktalarını tespit eder. 50 adet sanal yerel ağa (VLAN) kadar izleme yapabilir. Gerçekleşen ataklara karşı otomatik önleme ve yer tespiti işlemi yapabilir. Yerel aktif cihazlardan bağımsız olarak çalışabilir. Sanal yerel ağlar (VLAN) için politika atamaları yapılabilir. AirTight ın Yönetimsel Faydaları Bulut tabanlı yönetim avantajı Kolay kurulum Tek merkezden yönetim Konum bazlı hiyerarşik yönetim Yerel yetkilendirme Kablosuz ağ güvenliği günümüzde en ihmal edilen noktaların başında geliyor. Ancak kablosuz ağlar için atak engelleme sitemlerine (WIPS) gereken önem verilmiyor. AirTight ise bu açığı kolay ve hızlı bir şekilde kapatmayı öneriyor. Daha detaylı bilgiler için bizimle iletişime geçebilirsiniz. Güvenli günler. «Mayıs 2012 beyazşapka 11

12 Birant Akarslan Yeni Nesil Atak Önleme Sistemleri Tehditler, artık eskisi gibi zamana ya da belirli bir IP aralığına yönelik gerçekleşmiyor. Artık sektörel, kamusal ve günlük hayatımızı doğrudan etkileyecek gelişmiş sürekli tehditler mevcut. Peki güvenlik sistemlerimiz bu tip atakları karşılamak için yeterince gelişmiş mi? Yeni Nesil Atak Önleme Sistemleri Tehditler, artık eskisi gibi zamana ya da belirli bir IP aralığına yönelik gerçekleşmiyor. Artık sektörel, kamusal ve günlük hayatımızı doğrudan etkileyecek gelişmiş sürekli tehditler mevcut. Peki güvenlik sistemlerimiz bu tip atakları karşılamak için yeterince gelişmiş mi? Gelişmiş Sürekli Tehdit nedir? Gelişmiş Sürekli Tehditler geleneksel ataklar ile aynı tekniklerden faydalanmalarına rağmen botnetlerden ve kötü niyetli yazılımlardan farklıdırlar çünkü hedefleri stratejik kullanıcılar üzerinden kurumların sahip oldukları önemli varlıklara doğru tespit edilemeyen erişimler elde etmektir. Gelişmiş Sürekli Tehditler, kurum saldırıya uğradığının farkına varana kadar kuruma sinsice zarar verebilir. Tipik Gelişmiş Sürekli Tehdit atak adımlarını aşağıdaki gibi özetleyebiliriz: Yeni Nesil Atak Önleme Sistemi Nedir? I. Sosyal Mühendislik Teknikleri belirli bireyleri hedefler Oltalama atakları genel olarak kullanılan bir teknik olup kullanıcıların başlangıç seviyesi kötü niyetli bir yazılımı indirmelerini cazip hale getirir. II. Gözcü sisteminin tesisi Kötü niyetli yazılım kodu icra eder ve kötü niyetli sistem ile bağlantıya geçer. III. Süzme Amaca yönelik kötü niyetli ve özelleştirilmiş yazılımlar sisteme gönderilir. Saldırganın niyeti doğrultusunda uzak komutlar çalıştırılır. IV. Süreklilik Saldırganlar atak için uygun anı kollarlar. Tespitin önlenmesi amacıyla run komutları arasında sıkılıkla sleep komutları çalıştırılır. V. Amaçların Gerçekleştirilmesi (Örn. veri toplama, sabotaj, vb.) Verinin elde edilmesi için uzak komutlar çalıştırılır, uygulamalar değiştirilir ve sistemler sabote edilir. Atak Önleme Sistemleri 2000 li yılların başında selefleri olan Atak Tespit Sistemleri nin ataklara karşı tek başına herhangi bir koruma sağlayamamasından dolayı geliştirilmişti. Her ne kadar Atak Tespit Sistemleri, diğer bazı güvenlik sistemleri (aktif cihazlar, güvenli ağ geçitleri, vb.) ile bütünleşik olarak çalışıp atak amaçlı bağlantıyı belirli bir süre bloklayabilse de mimari anlamda bünyelerinde belirli eksiklikler barındırmaktalardı. Akla ilk gelen sorunlar paket kaçırma, sadece TCP bazlı bağlantıları Reset paketleri ile bloklayabilme olarak sıralanabilir. Atak Önleme Sistemleri ise tüm ağ trafiğini kendi üzerlerine alarak kurumlara hem koruma amaçlı ek bir güvenlik seviyesi getirdiler hem de performans anlamında ağ altyapılarına ciddi katkıda bulundular. Son yıllarda gelişen Web teknolojileri ve Web 2.0 tabanlı uygulamalar, giderek sayıları artan Gelişmiş Sürekli Tehditler, artan bantgenişlikleri, mevcut atak önleme sistemlerinin farklı özelliklere sahip olması gerekliliğini ortaya koymakta. Bu bağlamda bilişim konusunda faaliyet gösteren üretici firmaların ve analistlerin buluştuğu ortak nokta, ağ tabanlı atak önleme sistemlerinin artık ağdan çok kullanıcı tarafına yönelik korumalar sağlaması yönünde. Burada amaç makine bazlı atak önleme sistemlerinin (Host IPS) yerine geçmekten ziyade istemcinin yapacağı uygulama bazlı etkinlikleri takip etmeye yönelik bütünleyici bir çözüm sağlamak yönünde. Yeni nesil bir atak önleme sisteminden beklentiler en az aşağıdaki gibi olmalıdır: 1. Ağ operasyonlarını etkilemeyecek biçimde hatta (in-line) çalışabilme özelliği 2. Temel atak önleme sistemi yeteneklerine sahip olma: Zaafiyet ve tehditlere karşı imza tabanlı koruma. Kablo hızında tespit ve bloklama. Tehditlere karşı atak imzalarının üretici tarafında en kısa zamanda yazılıp sistem üzerinde güncellenebilmesi. Mevcut sistemlerle bütünleşik çalışarak bloklama yapabilmesi. 3. Uygulama farkındalığı ve tüm seviyelerde görünürlük: Atak önleme sistemi uygulamaları tanımlayabilmeli, ağ güvenlik politikasını, port ve protokolden bağımsız olarak, sadece port, protokol, ve servisten çok uygulama seviyesinde icra edebilmelidir. Atakların bloklanabilmesi, kötü niyetli uygulamaları da tanıyarak bloklamayı içermelidir. 12 beyazşapka Mayıs 2012

13 4. Bağlam farkındalığı: Gelişmiş seviyede bloklama kararı verebilmek ve bloklama kural tablosunu anlık olarak değiştirebilmek için atak önleme sistemi dışındaki kaynaklardan bilgi alabilme. Kullanıcı kimliklerine ait bilgiler alıp kararlar verebilmek için kullanıcı dizin entegrasyonlarını desteklemeli, zaafiyet, yama durumu ve coğrafi bilgiler bazında (örneğin bağlantının kaynağı neresidir veya neresi olmalıdır) değerlendirme yaparak etkin bloklama kararları alabilmelidir. Ayrıca IP adres temelli beyaz liste ve kara liste gibi itibar bilgileri ile bütünleşik çalışabilmelidir. 5. İçerik farkındalığı: Kuruma doğru gelen bağlantılardaki icra edilebilir kodları, PDF ve Microsoft Office dosyaları gibi antivirüs taramasından geçmiş diğer benzer dosya tiplerini denetleyip sınıflandırabilmeli, aynı işlemleri kurumdan dışarı çıkan bağlantılar için de gerçekleştirebilmelidir. Gerçek zamana yakın bir anda izin verme, bloklama veya karantina altına alma kararlarını verebilmelidir. 6. Hızlı ve Esnek Atak Motoru: Gelecekteki tehditleri karşılayabilecek yeni bilgi besleme mekanizmalarını ve tekniklerini destekleyecek güncelleme yöntemlerine açık olmalıdır.(1) Yukarıda adreslenen minimum gereksinimlerin yanısıra ağ tabanlı atak önleme sistemleri ile ilgili diğer bir beklenti de operasyonel yükü önemli ölçüde hafifletmesidir. Aksi halde gizli ve çok katmanlı atakların araştırılması ve engellenmesi uzun zaman alacak bu da operasyonel yük ve maliyetlerin artmasına sebep olacaktır. Genel olarak yeni tehditlere karşı koyabilmek için gerekli olan insani tecrübe çoğu kurumdaki insan kaynağından fazladır. Yeni nesil atak önleme sistemleri, ağır iş yükünü üstlenebilmeli, ast kadroya doğru yönlendirmelerde bulunmalı ve böylece manuel vaka ilişkilendirmesi yerine politika ve ataklara cevap verilmesi yöntemleri üzerine odaklanılmasına önayak olmalıdır. Yeni nesil atak önleme sistemlerinin kritik yönetim yetenekleri ise aşağıdaki şekilde sıralanabilir: Güvenlik verimliliğini arttırmak için atak önleme politikalarına ince ayarlar yapma ihtiyacını ortadan kaldırma Manuel olay ilişkilendirme ve uyarı verme işlemlerini otomatik hale getirme Çoğul araç ve ekranlar kullanmadan uçtan uca atak görünürlüğü için olay girdilerini ilişkilendirebilme Sezgisel ve bilgilendirici ekranlar için yukarıda bahsi geçen şekilde bağlam farkındalığı ve entegrasyonu Kurumsal politikayı yansıtan uygulama merkezli, basit kontroller Doğal vaka araştırması ve çözümüne uygun iş akışları Şimdi de yeni nesil atak önleme sistemlerinin kurumumuzu hangi aşamada koruyacağından kısaca bahsedelim. Gelişmiş sürekli tehditlerin tespiti ve önlenmesi noktasında iki safha mevcuttur. Bunlardan birincisi olan erken safhada, henüz istismar gerçekleşmemiş olup kurum sessiz bir biçimde atak altındadır. Yeni nesil atak önleme sistemleri bu safhada şüpheli bağlantıların tespitinde önemli rol oynarlar. Ataklar genel itibariyle sıklıkla, kötü niyetli etkinlik göstermiş IP adresleri, web siteleri dosya ve eposta sunucuları kullandıklarından üzerinde ve bulutta anlık itibar bilgisi bulunduran sistemler, güvensiz kaynaklardan gelebilecek bağlantıları rahatlıkla engellerler. İkinci durum olan geç safhada ise güvenlik istismar edilmiş ve kurum zarar görmeye başlamıştır. Bu safhada, veri transferinin gideceği noktanın tespiti ve engellenmesi, yeni nesil atak önleme sistemleriyle mümkündür. Bu şekilde dışarıya doğru olan veriye itibar bilgisi tatbik edilerek şüpheli IP adreslerine doğru standart dışı portlardan kurulan bağlantıların tespiti ve bloklanması mümkün olur. Saygılarımla, Birant Akarslan Twitter: Facebook: (1) John Pescatore, Greg Young, Gartner, Defining Next-Generation Network Intrusion Prevention, «Mayıs 2012 beyazşapka 13

14 İrfan Kotman Password Sniffing Bilgisayarınızda Kullandığınız Şifrelerin Ne Kadar Güvende Olduğunu Düşünüyorsunuz? Son yıllarda gelişen teknoloji ile beraber şifreler hayatımızın değişmez bir parçası haline geldi. İş hayatından, bankacılık işlemlerine, cep telefonlarından, kuramsal ya da kişisel bilgisayarlarımıza kadar hayatımızın birçok noktasında şifreler kullanmak zorunluluğu doğdu. Peki bilgisayarımızda kullandığımız şifrelerin, kötü niyetli kişiler tarafından kolaylıkla çalınabileceği aklımıza geliyor mu? İnternetin gelişmesi ile birlikte kullanıcılar şifre ele geçirme programlarına kolaylıkla ulaşabilmektedir. Artık arama motoruna yazılan birkaç anahtar kelime ile bu tür programlar kolaylıkla indirilebilmekte, kullanımı ile ilgili detaylara ulaşılabilmektedir. Bu sayımızda örnek bir şifre ele geçirme yazılıma ne kadar kolay ulaşılabileceğini ve kullanıcı şifresinin nasıl kolaylıkla ele geçirilebileceğini küçük bir örnek üzerinden anlatmaya çalışacağız. Anahtar Kelimenin Belirlenmesi Şifre ele geçirme programlarına ulaşmak için internet kullanıcıları genelde password hacking, password stealer, password cracking gibi anahtar kelimeler kullanmaktadır. Her aramada olduğu gibi bu tür programların aranması sırasında kelimeler özelleştirildikçe şifre ele geçirme programlarına ulaşmak daha da kolaylaşmaktadır. Bizde örneğimizde kullandığımız kelimeleri biraz daha özelleştirerek 4 anahtar kelime yardımı ile aramamızı gerçekleştirdik. Password Sniffing Cracking Tool anahtar kelimelerini istediğimiz türde bir programa erişmek için seçtik ve aramamızı gerçekleştirdik. Arama sırasında çıkan sonuçlardan ilkini tıkladık ve Cane&Abel programına ulaştık. Programı bilgisayarımıza indirerek kısa sürede kurduk. Cane&Abel programı anti virüs yazılımımız tarafından kötü içerikli bir yazılım olarak görüldüğü ve silindiği için testler sırasında bilgisayarımızda anti virüs yazılımımızı devre dışı bıraktık. Anahtar kelimelerimiz olan Password Sniffing Cracking Tool ile yapılan arama sonucu karşımıza çıkan ilk link olan adresine giriyoruz ve Cain&Abel programını bilgisayarımıza indiriyoruz. Cain&Abel programını bilgisayarımıza saniyeler içinde kuruyoruz. Biz aramayı biraz daha özelleştirerek ağı dinlemesini gerçekleştireceğimiz yazılımı bulmak için, İndirdiğimiz Cane&Abel programını çalıştırıyoruz. Cain & Abel Microsoft işletim sistemleri için tasarlanmış bir programdır ve ağ üzerinden trafiği dinleyerek (sniffing) şifrelerin ele geçirilmesini sağlar. İsmini kutsal kitaplarda geçen Habil ile Kabil hikâyesinden almıştır. Cane&Abel programı yardımı ile FTP, POP3, SMTP, IMAP, HTTP, LDAP gibi birçok protokol üzerinde kullanılan kullanıcı adı ve şifreleri ele geçirme şansını yakalayabilirsiniz. Bunun yanında Cracker özelliği ile hash ler alabilir ve program üzerinde bulunan Rainbow tabloları ya da elinizdeki Rainbow tabloları yardımı ile hash leri çözümlemeye çalışabilirsiniz. Cane&Abel programı temelde ağ üzerinde Sniffing, Brute Force, Dictionary Attack gibi atak yöntemlerini kullanmak için tasarlanmıştır. Programın Kullanımı Cain&Abel programı üzerinde Sniffer menüsüne girerek Scan Mac Adresses i çalıştırıyoruz ve ağ üzerinde bulunan bütün makineleri belirliyoruz. (Elde edilen sonuçlar gözden geçirilerek şifre çalma işleminin gerçekleştirileceği bilgisayarlara rahatlıkla karar verilebilir.) Sniffer menüsünde bulunan APR sekmesini aktif hale 14 beyazşapka Mayıs 2012

15 arama ile indirilen küçük program ile ağ dinlenmesi (sniffing) yapılabilmekte ve programda yapılan birkaç küçük ayar ile kullanıcının kullanıcı adı ve şifre bilgileri ele geçirilebilmektedir. getiriyoruz ve hedef makinenin APR zehirlenmesine maruz kalması sağlıyoruz. (Bir IP adresine karşılık, sahte bir MAC adresi oluşturulmasına ARP zehirlenmesi adı verilir.) Zehirleme işlemi başlatıldıktan sonra kurban makine Bunun yanında USB bellekler üzerinde çalışan şifre çalıcı programlar, mobil cihaz şifrelerini çalmak için tasarlanmış yazılımlar gibi birçok şifre çalma aracına ulaşılabilmekte ve çeşitli şifre ele geçirme yöntemleri kullanıcılar tarafından kolayca uygulanabilmektedir. Şifre çalma işleminin zorlaştırılması için ilk tavsiye olan karmaşık ve uzun şifreler kullanmak, örneğimizde olduğu gibi ağ üzerinden geçen trafiğin clear text olduğu durumlarda etkili olmamaktadır. Kullanıcı tarafından verilen şifrenin basit ya da karmaşık olması şifrenin ele geçirilmesi işlemini hiçbir şekilde etkilememektedir. Alınabilecek Önlemler başlığı altında bahsedeceğimiz birkaç küçük önlem ile ağ üzerindeki yapılabilecek dinleme (sniffing) işlemlerinin önüne geçilebilmektedir. kullanıcısının yapacağı hatayı beklemeye koyuluyoruz. Aşağıdaki örnekte olduğu gibi kullanıcıların çok büyük bir çoğunluğu karşılarına çıkan uyarıları genelde EVET tuşuna tıklanayak geçmektedir. Kullanıcı tarafından sertifika uyarısının kabul edilmesi Alınabilecek Önlemler En etkili yöntem ağ üzerinde trafiğin şifrelenmesidir. (IPsec,SSH,TLS,SSL gibi) ; Şirket içi veya şirket dışı kullanıcıların bu tip zararlı yazılımları bilgisayarlara kurmasını engellenmek amacı ile uygulama kontrolü yapan yazılımları sistemdeki makineler üzerine kurularak şirket içi bilgisayarlardan yapılabilecek dinleme işlemlerinin önüne geçilebilir. Bunun yanında kullanıcıların makinelere program kurma haklarının kısıtlanması ile de geçici çözümler üretebilir. Şirket bünyesinde güvenlik seviyelerine göre VLAN lar oluşturabilir. Arp watch, Promiscan gibi anti sniffer araçları ile ağda bir dinleme işleminin yapılıp yapılmadığının tespit edilmesi sağlanabilir. sonucunda görebileceğiniz gibi kullanıcının Outlook üzerinde kullandığı kullanıcı adı ve şifresini kolaylıkla ele geçirebiliyoruz. Switch portları üzerindeki güvenlik sistemleri aktif hale getirilebilir ve izinli IP ler için ARP tabloları oluşturabilir. «Yazımızda verdiğimiz örnekte olduğu gibi internetten basit bir Mayıs 2012 beyazşapka 15

16 Mehmet Gülyurt Geçmişten Bugüne Bilgilerinizin Güvenliğini Sağlayan En Etkili Yöntem: ŞİFRELEME Günümüzde bilgiyi artan tehditlere karşı korurken aynı zamanda yönetmeliklere uyum sağlayabilmek sizce mümkün mü? Evet, mümkün. Çözüm önerimiz yıllardır kullanılan bir yöntem ŞİFRELEME Günümüz dünyasında bilgi teknolojilerinin hızlı bir şekilde yayılması artık bilgilerin sahiplerini, verilerin başka kuruluşlara emanet etme zorunluluğunu da beraberinde getirmiştir. Çoğumuzun sahip olduğu kimlik bilgileri, telefon ya da özel iletişim bilgileri birçok hackerin iştahını kabartmış, özel bilgilerimiz ideolojik ya da ticari amaçlarla saldırganların hedefleri haline gelmiştir. Bilgi değerinin artması, beraberinde riskler getirmiş, bilginin korunması ise belirli standartlar çerçevesinde oluşan proaktif politikalar doğrultusunda gerçekleşebildiği görülmüştür. Sunulan çözüm ne olursa olsun amacımız her zaman riskleri azaltmaya yönelik olmalıdır. Bu alanda önerilebilecek en yaygın ve eski teknoloji ise şifrelemedir. Şifreleme teknikleri M.Ö 700 lü yıllardan bu yana kullanılmış ve günümüze kadar askeri, sivil pek çok alanda başarı ile bilgiyi koruyarak görevini yerine getirmiş bir yöntemdir. Sultanların ve kralların yüzüklerinde taşıdıkları mühürler tartışmasız bu alanda kullanımın ilk kanıtıdır. Bugün tek kullanımlık şifreler, dijital imzalar ve diğer kimlik doğrulama yöntemleri için güçlü şifreleme algoritmaları kullanılıyor. Geçmişte devlet kurumlarının yaşanacak bilgi kayıplarını önlemek için yapmış olduğu düzenlemeler, bugünün küreselleşen dünyasında yerini PCI DSS, ISO gibi uluslararası bilgi güvenliği yönetmeliklerine bıraktı. Geçmişte yapılan başarılı uygulamaların yanı sıra, bu alanda bazı başarısız uygulamalar da olmuştur. Örneğin Enigma. İster savaş anında iletişim için ister ticaret amaçlı bir kullanım için kripto anahtarlarının korumasız ya da bilginiz dışında silinebiliyor olması verilerinizin korumasız olduğu manasına gelir. Dolayısıyla şifreleme yapılan sistemlerde güvenliğiniz için kripto algoritmalarının ve anahtarların merkezi ve güvenli bir platformda yönetimi bir güvencedir ve esastır. Merkezi Anahtar Yönetimi Kriptoloji bazı sistem yöneticilerinin korkulu rüyası olsa da, kaygıların büyük bir sebebinin tanım ve bilgi eksikliğinden kaynaklandığı bir gerçek. Şifreleme tekniklerini en efektif bir şekilde kullanmanın yolu anahtarların merkezi bir şekilde yönetilmesinden geçmektedir. Şifrelemede kullandığınız tüm anahtarları güvenli bir platformda toplamanız sizlere; kullanılan anahtarların ne tipte olduğu, hangi uygulamalar tarafından kullanıldığını, ne zaman yenilenmesi gerektiği gibi bilgilerin tutulmasında yardımcı olacaktır. Dağıtık sistemlerde yer alan anahtarların gerektiğinde kolaylıkla daha yeni ve güncel bir algoritmaya çevrilebilmesi hem zor hem de risklidir. Bu sebep ile anahtarlar güvenliği ispatlanmış, kriptografik fonksiyonları çalıştırmaya uygun güvenli donanım modülleri üzerinde saklanmalıdır. Anahtarların güvenli bir şekilde yönetilmesinde her kurumun kendine ait kripto anahtarları yönetimi prosedürü bulunmalıdır. Anahtar yönetiminde kullanmış olduğunuz sistem bir anahtarın yaşam döngüsünde (oluşturma, iletme, kullandırma ve imha etme) yer alan tüm adımları işletmenize yardımcı olmalıdır. Uyumluluk ve Uygulanabilirlik Yönetmeliklere uyumluluğun sağlanması risklerinizi en aza indirmekte faydalı olacak bir takım bilgiler içereceği için iyi uygulanmalı ve takip edilmelidir. Sisteminizde bulunan yapısal ya da yapısal olmayan bilgileriniz, örneğin veri tabanları ya da raporlanmış bir dokümanının kritik şirket bilgilerini içermesi bu bilgilerin korunması gerektiği manasına geliyor. Bu alanda yer alan güvenlik standartlarından PCI DSS her ne kadar kredi kartı ile ilgili işlem yapan firmaları kapsıyor olsa da her türlü bilginin korunmasında izlenmesi gereken gereklilikler içeriyor. Örneğin PCI DSS 2.0 versiyonu 3. maddesinde kredi kartı bilgilerinin korunmasına yönelik olarak, bilgilerin korunmasında efektif bir rol oynayan kripto anahtarlarının yetkisiz erişimler tarafından korunmasını, anahtarların güvenli bir şekilde saklanmasını, 3.6 ise güvenli bir şekilde anahtarların oluşturulup kullanılması gibi önemli yönergeler içeriyor. Bütün bu korumalar sağlanırken kolay bir şekilde entegrasyon ve yönetim imkanı sağlayan SafeNet Datasecure platformu, bu alandaki ihtiyaçlarını karşılamaya yönelik bir çok özelliğe sahip. 16 beyazşapka Mayıs 2012

17 bulunan bilgilerinizi şifrelerken yine diğer çözümlerin aksine kullanmış olduğunuz kripto anahtarı sunucunun üzerinde değil özel bir kripto cihazı olan Datasecure platformu üzerinde saklanmaktadır. Bu ise güvenlik ve performans noktalarında engellere takılmanızı önler. SafeNet Datasecure çözümü Oracle, MS SQL, Teradata ve DB2 gibi birçok veri tabanını sürümlerinden bağımsız bir şekilde destekler. Sütun ve tablo tabanlı bilgilerinizi şifreleme imkânı sunar.. Bilgilerinizin korumaya alınmasında ihtiyacınız olan tüm anahtar yönetim prosedürlerini PCI DSS 2.0 uyumluluğu kapsamında kolay bir şekilde yönetiminize imkan sağlarken, sahip olduğu eklentiler sayesinde uygulamanız ile kolaylıkla entegre edilebiliyor. Datasecure platformu geleneksel HSM lerden farklı olarak bir kullanıcı arabirimine sahiptir. GUI üzerinden anahtar yönetim işlemlerini kolaylıkla gerçekleştirebilirsiniz. Ayrıca ilerleyen zamanlarda farklı platformların (örn: veri yedekleme) sahip olacağı, geleceğin kripto yönetim protokolü olan OASIS KMIP in yönetimini Datasecure ile rahatlıkla yapabilirsiniz. Ayrıca Datasecure platformu ile yalnızca veri tabanı şifreleme işlemlerini değil, kripto anahtarlarınızın yönetimi, dosya şifreleme, uygulama seviyesinde şifreleme gibi bir çok kripto işlem ihtiyacınızı karşılayabilirsiniz. Uygulamanızda yapacağınız çok basit kod değişiklikleri ile.net, Java, C gibi platformlarda direkt olarak şifreleme fonksiyonlarını kolaylıkla çalıştırabilir, hızlı ve efektif bir şifreleme sistemine geçiş yapabilirsiniz. SafeNet Datasecure ile Veritabanı Güvenliği SafeNet Datasecure çözümü ile veri tabanı uygulamanız için Advanced Security lisansına sahip olmadan tablo ve sütun tabanlı Transparent Database Encryption yapabilmeniz mümkündür. Geleneksel çözümlerin aksine 8i den 11g R2 versiyonuna kadar veri tabanında Sonuç Şifreleme teknolojileri günümüzde bilgi korumaya yönelik kullanılabilecek en etkili yöntemlerin başında gelmektedir. Fakat şifreleme işlemlerinin güvenliği ve sağlamlığı anahtarların iyi bir şekilde yönetilmesine bağlıdır. Yapacağınız yatırım sizlere şifrelemeyi kolaylaştıran, yönetmeliklere uygun ve farklı yapılardaki mimarilere uyum sağlayabilecek altyapıya sahip olmalıdır. Çünkü şifreleme yapılmamış bir güvenlik altyapısını düşünmek mümkün değildir. Aynı zamanda bu teknoloji dün olduğu gibi çeşitli yenilikleri de içerisine katarak bugün ve yarın da bilgilerimizi başarılı bir şekilde korumaya devam edecek. «Mayıs 2012 beyazşapka 17

18 Mustafa Çetin DLP Projesi Başarı Kriterleri Bilgi kayıplarını önleme (Data Loss Prevention) ne DLP ürünü ile başlayan ne de biten bir iş. Daha çok bir süreç tasarımı. İlk değil ama en önemli adımlarından birisi ürün seçme aşaması. Peki ürün seçerken hangi kriterleri göz önünde bulundurmalıyız? Data Loss Prevention Ürünü Seçim Kriterleri Raporlama Ürün, hem iş birimlerinin hem de IT uzmanlarının gereksinimleri karşılayacak düzeyde bir raporlama çözümü sunmalıdır. Arayüz, rapor inceleme ve oluşturma ekranları kullanıcı dostu, açık ve anlaşılır olmalıdır. Aynı zamanda detaylara kolaylıkla erişilebilmelidir. Rapor üretim performansı da önemlidir. Ürünün sunduğu yönetimsel, trend ve karşılaştırma raporları, olay yönetimi, mevcut politikalar ve politika değişimleri raporları ve kalitesi DLP sürecinin işleyişi açısından anahtar özelliğe sahiptir. Forensic Verileri Forensic verilerin yeterli detay içermesi, farklı bölüm, birim ve kişilerin forensic veriler içerindeki farklı detayları görebilmesi, verilerin şifreli bir şekilde tutulması ve şifreli bir kanal üzerinden gönderilmesi göz önüne alınabilecek bazı önemli kriterlerdir. İyi yönetilmeyen ve yeterli güvenliği sağlanmayan forensic veriler başlı başına bilgi kayıplarına neden olabilir. Olay Yönetimi DLP ürününün, bilgi kayıplarına ilişkin oluşturulan prosedürleri desteklemesi ve şekillendirmesi gerekmektedir. Olayların bilgi sahipliğine göre atanabilmesi Eskalasyon imkanları Olay yönetimine katılacak katılımcıların olaylar ile ilgili farklı seviyede detay görebilmesi Son kullanıcıların olaylarla ilgili savunma (justification) veya geribildirim sunabilmesi 3. parti bir olay yönetim ürünü ile entegre edilebilmesi Politika Yönetimi DLP ürünü, sektöre ve uyumluluk gereksinimlerine göre hazır politika, politika şablonları ve kurallar içermelidir. Politika şablonunun kalitesi DLP projesinin başlangıçta yaygınlaştırmasını kolaylaştıracaktır. Farklı içerik analizi ve tespit metotları (keyword, regular expression, partial document matching, fingerprinting, data identifier, dictionary) birlikte kullanılarak farklı iş birimleri, bilgi tipleri, kanal ve lokasyon bilgilerine göre politika oluşturulabilmelidir. Aktif dizin kullanıcı ve kullanıcı grupları, makine, cihaz tipi (taşınabilir cihazlar), lokasyon ve IP adresi gibi kriterler için yeterince detaylı istisna (exception) kuralları tanımlanabilmelidir. Politikalarda türkçe desteği ve Türkiye ye özel bilgilere ait (TC kimlik no, vergi numarası) veri tanımlayıcı (data identifier) olması önemlidir. False positive oranını düşürmek ve olayları seviyelendirmek konusunda esnek bir yapı sunması gerekmektedir. Ürün üzerinde oluşturulan politikaların farklı kanallar (endpoint, network, discovery) üzerinde ortak olması politika yönetiminin kullanılabilirliği açısından olmazsa olmaz bir şarttır. Discovery Discovery modülü DLP projesinin olmazsa olmaz bir parçasıdır. Bilginin nerede beklediğini ve nerelerde kullanıldığını keşfetmek, iş süreçlerinizi keşfetmenizde, bilgi kaybı risklerinizi belirlemenizde ve bilgi sınıflandırması konusunda anahtar rol oynayacaktır. Desteklenen discovery kanalları (veritabanı, dosya sistemi, web siteleri, shareportal), bu kanallar üzerinde ne kadar etkin keşif yapılabilediği ve sonuçta hangi detayların raporlanabildiği göz önünde bulundurulması gereken önemli konulardır. Bilginin kaynağı, içeriğin sahibi, oluşturulma ve değiştirilme zamanları raporlanabilmelidir. Ayrıca farklı zamanlarda yapılan içerik taramalarında içeriklerin takip edilebilmesi ve farkların raporlanabilmesi önemlidir. Endpoint Çözümü Ürünün, endpoint ajanlarının uzaktan yönetimi, dağıtımı, 18 beyazşapka Mayıs 2012

19 versiyon yönetimi, sağlık kontrollerinin yapılması konusunda sunduğu çözümler Performans değerleri Son kullanıcı makinelerinde takip edilebilen kanallar Taşınabilir diskler konusunda ürünün sunduğu çözümler (şifreleme, seri numarasına göre istisna tanımlanabilmesi) Remote bypass özelliği Platform ve işletim sistemi desteği (Linux ve MAC desteği) Şifre korumalı ajan kurulumu Network Çözümü Desteklenen protokol ve kanallar İzleme (monitor) ve bloklama (protect) modları için sunulan çözümler Web ve trafiği konusunda entegrasyon seçenekleri Network trafiği izleme ve bloklama seçenekleri performans değerleri Konumlandırma Seçenekleri Desteklenen işletim sistemi ve platformlar (Windows veya linux, sunucu veya appliance, sanal desteği) Sunucu ve donanım gereksinimleri Ölçeklendirilebilirlik, esneklik ve kapasite arttırımı seçenekleri Uzak ofisler için sunulan çözümler 3. Parti Ürünlerle Entegrasyonu Enterprise Digital Rights Management EDRM çözümleri, uygulanması ve yönetimi zor, prosedür ve akışları iyi oluşturulduğunda, DLP ile entegre bir şekilde üst düzey bir güvenlik sağlayan bir çözümdür. DLP ve EDRM entegrasyon ile farklı yönden düşünülebilir: Data at Rest: DLP ürününün keşfettiği önemli bilgilere EDRM çözümü üzerinden ilgili politikaların uygulanması Data in Motion: DLP üzerinde hereket halinde verilere uygulanacak politikalarda ve aksiyonlarda içerik üzerine uygulanmış EDRM politikalarının kontrol edilmesi Bilginin ilk oluşturulması aşamasında sınıflandırılmasının bir 3. parti uygulama ile (Titus) yapılması ve EDRM ve DLP politikalarının bu sınıflandırılmaya göre şekillendirilmesi işleri epey kolaylaştıracaktır. Security Information Event Management (SIEM) DLP çözümü ile SIEM çözümleri entegre bir şekilde çalıştığında birbirlerinin eksiklerini tamamlayan çözümlerdir. SIEM çözümü bilginin akışı ile ilgili tüm denetim izlerine sahiptir. Ancak içerikten habersizdir. DLP ürünü üzerinde tespit edilen olaylar ile SIEM ürünü beslenirse bilgi akışının tamamı net olarak görülebilir. Ayrıca DLP ürününün politika değişimleri ve erişimler gibi denetim izleri SIEM ürünü üzerine aktarılarak raporlanabilir. ve USB Şifreleme DLP ürününün, iş süreçleri dahilinde taşınabilir dosyalara atılması ve olarak gönderilmesi gereken önemli bilgilerin şifreleme ihtiyaçlarına yönelik çözüm sunması önemlidir. Dosya Erişim Denetim Sistemi Dosya sistemi üzerinde keşfedilen önemli içeriklere ait erişim bilgileri, içeriklerin sahipliği ve kullanımına ait detayların tespit edilebilmesi açısından önemlidir. İçeriklerin sahipliği ve kullanımı, iş süreçlerinin tespiti ve içeriğe uygulanacak aksiyonların belirlenmesi açısından önem arzetmektedir. Mobil Güvenlik Mobilite, artık iş süreçlerinin bir parçası haline gelmiştir ve buna paralel olarak bilgi kaybına ait riskler hızla artmaktadır. DLP ürününün mobil güvenlik anlamında sunduğu çözümler (Mobile Device Management çözümü entegrasyonu) riskleri minimize etmek açısından önemlidir. Sonuç Amaç değerli olan bilgiyi korumak. DLP, ne DLP ürünü ile başlayan ne de biten bir iş. Sadece IT değil, iş birimleri, insan kaynakları ve denetim birimlerini de kapsayan bir süreç. Son kullanıcının bilinçlendirilmesi de bunun bir parçası, güvenlik politikaları da. Bilgi kayıplarına yönelik risk analizini yapmalısınız, bilgilerinizi sınıflandırmalısınız, bilgi kayıplarınızı önleme yönünde sorumlulukları ve bilgi sahiplerinizi belirlemelisiniz, iş akışlarınızı ve bilginin işlenişini ve süreçlerinizi keşfetmelisiniz. DLP ürünü tüm süreçlerin tam ortasında yer alan bu süreçleri destekleyen ve şekillendiren bir çözüm. Bu açıdan sizin beklentilerinizi en çok karşılayan ve yapınıza en uygun ürünü seçmek, projenin başarısı açısından kritik öneme sahip.«mayıs 2012 beyazşapka 19

20 Armağan Zalooğlu McAfee Ülke Müdürü Nebula ekibi ile tanışıklığımı Nebula nın kuruluşundan öncesine dayanıyor. On yıldan uzun süredir ortak projeler gerçekleştirme ve beraber çalışma şansına eriştiğim bu ekibin üyelerinin işlerine duydukları saygı ve harcadıkları yoğun emeğe çok kereler tanık oldum. Sunduğu teknolojileri eksiksiz öğrenmek icin gösterdiği kesintisiz çaba ve prensipli çalisma anlayışı ile müşteri memnuniyeti sağlamayı hedefleyen Nebula, yaptığı işin hakkını tam anlamıyla veren bir firma. Ek olarak Nebula nın Beyaz Şapka ve Nebula TV gibi insiyatiflerle bilişim ve güvenlik sektöründe bilgi paylaşımı için aracı olma görevini üstlenerek önemli bir eksikliği doldurduğunu da düşünüyorum. Cihan Yüceer Kuveyt Türk Katılım Bankası Bilgi Güvenlik Yönetmeni Nebula ve teknik ekibi ile 4 yıl öncesinden çalışmaya başladım. 4 yıldır birçok projeler gerçekleştirme imkanına sahip oldum. Sundukları servis hızı, kalitesi, müşteri memnuniyeti ve yaptıği işin hakkını tam anlamıyla veren bir firma olması Nebula`yı ön plana çıkaran en önemli özellikleridir. Yönettiğimiz sistemlerle ilgili yeni sürüm güncellemeleri çıktığında bizleri hızlı bir şekilde haberdar eden ve yönlendiren bir ekibe sahiptir. Yine en göze çarpan özellik olarak projeler bittikten sonra sistemleri rutin aralıklarla kontrol etmeleridir. Müşterinin istediğini hızlı bir şekilde analiz edip çeşitli çözüm yollarını sunabilen bir firma olması güvenlik dünyasında önemli bir başrol oyuncusu olmasını sağlamaktadır. SPONSORLARIMIZ Beyaz Şapka ya katk lar ndan dolay tüm sponsorlar m za ve yazarlar m za teşekkür ederiz. Yay nlanan yaz lar n ve görsellerin tüm sorumlulu u yazarlar na aittir. Lütfen her konuda fikrinizi yaz n.

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi KURUMLAR İÇİN SİBER GÜVENLİK ÖNLEMLERİNİ ÖLÇME TESTİ DOKÜMANI Kurumlar İçin Siber Güvenlik Önlemlerini Ölçme Testi Dokümanı, kamu kurum ve kuruluşları ile özel sektör temsilcilerinin siber güvenlik adına

Detaylı

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R 3.6.2015. BARİKAT 2015 - II : Güvenliğin Temelleri

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R 3.6.2015. BARİKAT 2015 - II : Güvenliğin Temelleri SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R 3.6.2015 1 Siber Olaylara Müdahale Ekibi Ulusal Siber Olaylara Müdahale Merkezinin (USOM/TRCERT) koordinasyonunda güvenlik

Detaylı

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ Battal ÖZDEMİR Uzman Araştırmacı 15 Mart 2007, İstanbul Sunum İçeriği Kablosuz Ağlar Tehditler Riskler Kurumsal Yaklaşım 2 Neden Kablosuz Esneklik Mobil Veri Erişimi

Detaylı

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu Mart, 2010 İçerik Veri Kaçağı Önleme Nedir? Dünyada ve Türkiye de Veri Kaçağı Teknoloji Ne Durumda?

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ TS ISO/IEC 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 25.10.2014 Türk Standardları Enstitüsü 1 Güvenlik;

Detaylı

EKLER EK 12UY0106-5/A4-1:

EKLER EK 12UY0106-5/A4-1: Yayın Tarihi: 26/12/2012 Rev. :01 EKLER EK 12UY0106-5/A4-1: nin Kazandırılması için Tavsiye Edilen Eğitime İlişkin Bilgiler Bu birimin kazandırılması için aşağıda tanımlanan içeriğe sahip bir eğitim programının

Detaylı

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı. devrim@gunduz.org

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı. devrim@gunduz.org Devrim GÜNDÜZ TR.NET Sistem Destek Uzmanı devrim@gunduz.org http://seminer.linux.org.tr http://belgeler.linux.org.tr http://lkd.belgeler.org http://www.linux.org.tr/belgeler.php http://www.gunduz.org/belgeler.php

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ BT Strateji Yönetimi BT Hizmet Yönetim Politikası Sürüm No: 6.0 Yayın Tarihi: 26.02.2015 444 0 545 2012 Kamu İhale Kurumu Tüm hakları

Detaylı

(... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...)

(... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...) (... GÜÇLÜ KORUMA, DÜŞÜK SİSTEM KAYNAĞI KULLANIMI...) Programın Özellikleri; En son online tehditlere karşı korunun Endişelenmeden e-posta alıp gönderin, sohbet edin ve web'de gezinin - Norton İtibar Hizmeti:

Detaylı

SYS Version 1.0.1 Satış Yönetim Sistemi

SYS Version 1.0.1 Satış Yönetim Sistemi SYS Version 1.0.1 Satış Yönetim Sistemi 1. Genel Bakış Değişen rekabet ortamı ve farklılaşan müşteri beklentileri, bayi ağlarının kompleks ve yönetiminin zor olması satış süreçlerini oldukça farklı bir

Detaylı

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 KASPERSKY ENDPOINT SECURITY FOR BUSINESS Kurumsal unsurlar ve BT üzerindeki etkileri ÇEVİKLİK Hızlı hareket edin, çevik ve esnek olun İşletme sahiplerinin %66'sı kurumsal çevikliğin öncelik olduğunu

Detaylı

Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.2.0'dan v3.2.1'e)

Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.2.0'dan v3.2.1'e) Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.2.0'dan v3.2.1'e) Bu belge, Webmaster düzeyindeki kullanıcıların kurulu olan Proticaret Exclusive portalının versiyon v3.2.0'dan versiyon 3.2.1'e yükseltirken

Detaylı

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ SİBER GÜVENLİK FARKINDALIĞI 01.11.2013 Koray ATSAN korayatsan@kamusgd.org.tr Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde

Detaylı

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri o MerSis Danışmanlık Hizmetleri Çalışanlarınız, tesisleriniz, üretim araçlarınız koruma altında! Bilgileriniz? danışmanlık hizmetlerimiz, en değerli varlıklarınız arasında yer alan bilgilerinizin gizliliğini,

Detaylı

Özgür Yazılımlar ile Kablosuz Ağ Denetimi

Özgür Yazılımlar ile Kablosuz Ağ Denetimi Özgür Yazılımlar ile Kablosuz Ağ Denetimi Fatih Özavcı fatih.ozavci@gamasec.net Afşin Taşkıran afsin.taskiran@avea.com.tr Konular Kablosuz Ağ Güvenliği Kablosuz Ağ Güvenlik Denetim Süreci Denetim Kapsamının

Detaylı

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür. Nagios Enterprises, kurumsal ölçekte, BT altyapı gözetiminde endüstri standardı olan Nagios için resmi ürünler, hizmetler ve çözümler sunuyor. Dünya çapında yüz binlerce kullanıcıyla Nagios bilgi teknolojileri

Detaylı

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ 1.AMAÇ: Kurumun otomasyon üzerindeki tüm bilgilerinin yönetimini, korunmasını, dağıtımını ve önemli işlevlerinin korunmasını düzenleyen kuralları ve uygulamaları belirlemeyi amaçlar. 2. KAPSAM: Bu talimat,

Detaylı

Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.0'dan v3.1.0'a)

Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.0'dan v3.1.0'a) Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.0'dan v3.1.0'a) Bu belge, Webmaster düzeyindeki kullanıcıların kurulu olan Proticaret Exclusive portalının versiyon v3.0'dan versiyon 3.1.0'a yükseltirken

Detaylı

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü Kaspersky Open Space Security: Release 2 İşletmeniz için birinci sınıf bir BT güvenliği çözümü Güncellenmiş uygulamalar Updated applications Release 2 uygulamaları: Kaspersky Anti-virus for Windows Workstations

Detaylı

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın! 2 Securitas ile Bir adım Önde Olun Bir kurumda çalışanlarla ilgili kişisel bilgilerin internette yayınlanması, interaktif bankacılık sistemi kullanıcısının

Detaylı

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5

UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 UE.18 Rev.Tar/No:09.05.2011/03 SAYFA 1 / 5 1. AMAÇ Türksat İnternet ve İnteraktif Hizmetler Direktörlüğü nün bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında

Detaylı

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011

ANET Bilgi Güvenliği Yönetimi ve ISO 27001. Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ANET Bilgi Güvenliği Yönetimi ve ISO 27001 2011 Ertuğrul AKBAS [ANET YAZILIM] 09.04.2011 ISO 27001 AŞAMA 1 BGYS Organizasyonu BGYS kapsamının belirlenmesi Bilgi güvenliği politikasının oluşturulması BGYS

Detaylı

Yeni Nesil Ağ Güvenliği

Yeni Nesil Ağ Güvenliği Yeni Nesil Ağ Güvenliği Ders 6 Mehmet Demirci 1 Bugün Taşıma katmanı güvenliği (TLS, SSL) İnternet katmanı güvenliği (IPSec) Kablosuz bağlantı güvenliği Güvenlik duvarları 2 SSL/TLS SSL ilk olarak Netscape

Detaylı

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL

POL.01 Rev.Tar/No:22.02.2012/1.0 HĠZMETE ÖZEL SAYFA 1 / 6 1. AMAÇ TÜRKSAT ın bilgi güvenliğini yönetmekteki amacı; bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek içeriden ve/veya dışarıdan gelebilecek, kasıtlı veya kazayla

Detaylı

Orta ölçekli şirketler için uçtan uca işbirliği sunuyoruz.

Orta ölçekli şirketler için uçtan uca işbirliği sunuyoruz. Orta ölçekli şirketler için uçtan uca işbirliği sunuyoruz. İletişiminiz ne kadar iyi? Bu, günümüzün mobil ve sanal iş alanı ortamında çalışanları iş ortakları ve müşterileri arasında kesintisiz iletişim

Detaylı

Bilgi Güvenliği Eğitim/Öğretimi

Bilgi Güvenliği Eğitim/Öğretimi Bilgi Güvenliği Eğitim/Öğretimi İbrahim SOĞUKPINAR Gebze Yüksek Teknoloji Enstitüsü İçerik Bilgi Güvenliği Eğitim/Öğretimi Dünyadaki Örnekler Türkiye deki Örnekler GYTE de Bilgi Güvenliği Dersi Sonuç ve

Detaylı

AĞ ve SİSTEM GÜVENLİĞİ

AĞ ve SİSTEM GÜVENLİĞİ AĞ ve SİSTEM GÜVENLİĞİ Burak DAYIOĞLU ve Burç YILDIRIM {bd,by}@dikey8.com Bilişim Güvenliği ve Sorunlar Bilişim sistemlerine bağımlılığımız artıyor Güvenlik ihlalleri her yıl en azından ikiye katlanıyor

Detaylı

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER Dr. Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 11 Mart 2010 Gündem Bulut Hesaplama Sistemleri ve Bilgi Güvenliği Güvenli Yazılım Geliştirme Hayat Döngüsü

Detaylı

SİBER SUÇLARA KARŞI SİBER ZEKA

SİBER SUÇLARA KARŞI SİBER ZEKA SİBER SUÇLARA KARŞI SİBER ZEKA Aytuğ Çelikbaş Sistem Mühendisi Copyright 2013 EMC Corporation. All rights reserved. 1 2 Ajanda Günümüz Tehditleri Güvenlikte Büyük Veri Yaklaşımları Siber İstihbarat Atak

Detaylı

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği

KALİTE YÖNETİM SİSTEMİ İş Sürekliliği T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ İş Sürekliliği İş Sürekliliği Yönetim Sistemi Politikası Sürüm No: 5.0 Yayın Tarihi: 11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. ? NEDEN BİYOMETRİK DOĞRULAMA SUNUCU TABANLI BİYOMETRİK MICROSOFT WINDOWS OTURUM AÇMA UYGULAMASI Biyometrik veri taklit edilemez, şifre gibi unutulamaz!

Detaylı

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri 5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall 5651 Sayılı Kanun Kanunun Tanımı : İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen

Detaylı

Misafirlerinize internet hizmeti sunmanın en güvenli yolu!

Misafirlerinize internet hizmeti sunmanın en güvenli yolu! Misafirlerinize internet hizmeti sunmanın en güvenli yolu! Firmanıza özel karşılama ekranı oluşturabilir, farklı kimlik doğrulama yöntemlerini kolaylıkla belirleyebilirsiniz. İnternet erişimlerini kayıt

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 20 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy

Detaylı

WINDESKPORTA. sıgnum. Müşteri Hizmetleri İletişim Merkezi. Uygulama Çözümü. windesk.com.tr

WINDESKPORTA. sıgnum. Müşteri Hizmetleri İletişim Merkezi. Uygulama Çözümü. windesk.com.tr windesk.com.tr WINDESKPORTA Müşteri Hizmetleri İletişim Merkezi Uygulama Çözümü Kurum içinde veya dışında faaliyet gösteren Çağrı Merkezi ve Müşteri Hizmetleri İletişim Merkezi uygulama alanında, tek bir

Detaylı

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Sisteminiz Artık Daha Güvenli ve Sorunsuz... Sisteminiz Artık Daha Güvenli ve Sorunsuz... Asistek Firewall kullanmanın pek çok yararı vardır: Asistek Firewall, tamamen web tabanlı ve esnek yapıya sahip Güvenlik Duvarı servislerini barındırarak çeşitli

Detaylı

S.O.S Günışığı Lojistik Saha Operasyon Sistemi

S.O.S Günışığı Lojistik Saha Operasyon Sistemi S.O.S Günışığı Lojistik Saha Operasyon Sistemi 2013 Sayın Yetkili; Sunduğumuz danışmanlık hizmeti ve geliştirmiş olduğumuz yazılım çözümleriyle müşterilerimizin Bilgi Teknolojileri alanında sektörel rekabet

Detaylı

www.innoverabt.com 01 Şirket Profili

www.innoverabt.com 01 Şirket Profili EĞİTİM HİZMETLERİ www.innoverabt.com 01 Şirket Profili İşiniz Bilgi Teknolojilerine bağlıdır. BT, sizin için değerli olan müşteri veritabanı, ERP, CRM, e-ticaret gibi işinizin can damarı olan pek çok

Detaylı

RPMNET WOLVOX REPORTER

RPMNET WOLVOX REPORTER RPMNET WOLVOX REPORTER TANITIM : EFAR YAZILIM LTD.STI Tarafından Geliştirilen EFAR Wolvox Reporter AKINSOFT Wolvox Kullanıcılarının Android İşletim Sistemi Yüklü Cep Telefonlarından Online Olarak Kullandıkları

Detaylı

Compiere Açık kodlu ERP + CRM yazılımı. Hüseyin Ergün Önsel Armağan Serkan Demir

Compiere Açık kodlu ERP + CRM yazılımı. Hüseyin Ergün Önsel Armağan Serkan Demir Compiere Açık kodlu ERP + CRM yazılımı Hüseyin Ergün Önsel Armağan Serkan Demir ERP Nedir? ERP = Kurumsal Kaynak Planlama Organizasyonların farklı fonksiyonlarının ve departmanlarının kullandığı enformasyonu

Detaylı

Akademik Bilişim 2009 LOSTAR Bilgi Güvenliği A.Ş. Teknoloji: Kontrol Kimde?

Akademik Bilişim 2009 LOSTAR Bilgi Güvenliği A.Ş. Teknoloji: Kontrol Kimde? Akademik Bilişim 2009 LOSTAR Bilgi Güvenliği A.Ş. Teknoloji: Kontrol Kimde? İçerik Kötü Amaçlı Yazılımlar Kötü Niyetli Davranışlar Kötü Amaçlı Donanımlar Bilgisayar Kullanıcıları için 11 Altın Kural guvenlik.info

Detaylı

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA BÖLÜM 8 Bilişim Sistemleri Güvenliği Doç. Dr. Serkan ADA Bilişim Sistemleri Güvenlik Açıkları Güvenlik bilişim sistemlerine yönelik yetkisiz erişimi, değiştirmeyi, hırsızlığı veya fiziksel hasarları engellemek

Detaylı

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014

Uyum Risk Yönetimi. KPMG İstanbul. Ekim 2014 Uyum Risk Yönetimi KPMG İstanbul Ekim 2014 Uyum Yönetimi Uyum Yönetimi, bir kurumun tüm paydaşları (müşteriler, tedarikçiler, kamu kurumları, çalışan ve hissedarlar) tarafından talep edilen ve her geçen

Detaylı

www.airties.com 7/24 destek hattı 444 0 239 Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV07062011

www.airties.com 7/24 destek hattı 444 0 239 Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV07062011 www.airties.com Kolay kurulum CD si Üç yıl garanti 7/24 destek hattı 444 0 239 7/24 destek hattı 444 0 239 Üç yıl garanti YM.WR.5341.UM.TR.D01REV07062011 Kablosuz yaşam Hızlı kurulum kılavuzu Kablosuz

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzman Yardımcısı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 11 Temmuz 2013 Yayın Taslak Hazırlayan Ersun Ersoy Doküman

Detaylı

------------------------------------------------- [SUB-TITLE 1] Özellikler

------------------------------------------------- [SUB-TITLE 1] Özellikler [TITLE] CitiDirect CitiDirect Online Bankacılık sistemi birçok alanda ödül almış, çok uluslu şirketlere ve finansal kuruluşlara sorunsuz, verimli ve web-tabanlı global bankacılık hizmetlerine güvenli erişim

Detaylı

Bilgi Güvenliği Farkındalık Eğitimi

Bilgi Güvenliği Farkındalık Eğitimi NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi 444

Detaylı

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi BİLGİ GÜVENLİĞİ İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi 2015 20.10.2012 tarihli Resmi Gazete de yayımlanan Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi

Detaylı

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA Osman PAMUK Ġçerik Giriş Örnek Zararlı Yazılımlar Conficker Stuxnet Önemli zararlı yazılım sızma noktaları ve korunma yöntemleri Taşınabilir

Detaylı

MAYIS 2010 ÖZGÜR DOĞAN İŞ GELİŞTİRME YÖNETİCİSİ KAMU SEKTÖRÜ

MAYIS 2010 ÖZGÜR DOĞAN İŞ GELİŞTİRME YÖNETİCİSİ KAMU SEKTÖRÜ MAYIS 2010 ÖZGÜR DOĞAN İŞ GELİŞTİRME YÖNETİCİSİ KAMU SEKTÖRÜ TANIMLAR KURUMSAL HAFIZA: Bilgiyi gelecekte kullanmak amacıyla insanlarda ve/veya teknolojilerde gerektiğinde geri çağrılabilir şekilde depolamak

Detaylı

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

HAKKIMIZDA. Misyonumuz; Vizyonumuz; HAKKIMIZDA SOFTKEY kurumsal teknoloji hizmetlerinde, müşteri odaklı yaklaşımı, rekabetçi fiyatları ve eksiksiz destek hizmeti sunmak amacıyla kurulmuştur. Sektörün önde gelen teknoloji firmaları ile iş

Detaylı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı Formal Doküman Detayları Hazırlanma Tarihi 17 Eylül 2012 Yayın Taslak Hazırlayan Ersun Ersoy Doküman Numarası

Detaylı

Powered by www.etgigrup.com. www.vedubox.com

Powered by www.etgigrup.com. www.vedubox.com Powered by www.etgigrup.com www.vedubox.com Entegre E-Eğitim Sistemi Uzaktan Eğitim Sisteminiz 1DK da Hazır! Kolay Basit İnovatif Esnek Entegre Entegre Eğitim Platformu Uzaktan Eğitim, e-eğitim, Online

Detaylı

SİSTEM ÖZELLİKLERİ IPPBX ALTYAPISI

SİSTEM ÖZELLİKLERİ IPPBX ALTYAPISI ICONTAX NEDİR? IP tabanlı güçlü iletişim altyapısına sahip yeni jenerasyon iletişim çözümümüz olan icontax, katma değerli hizmetleri tek bir sunucu içerisinde verebilen ve açık mimari yapısı ile üçüncü

Detaylı

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ T. C. TÜRK STANDARDLARI ENSTİTÜSÜ BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ, TS ISO/IEC 20000-1 BT HİZMET YÖNETİM SİSTEMİ Sunucu: Gürol GÖKÇİMEN 1 Bilgi Güvenliği Yönetim Sistemi Bilgi : anlamlı veri, (bir kurumun

Detaylı

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR. 13.07.2014 tarih ve 29059 sayılı resmi gazete ile yürürlüğe giren Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) elektronik haberleşme

Detaylı

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz

www.pwc.com.tr/siberguvenlik Dijital geleceğinizi güven altına almak için Bilgi Güvenliği ve Siber Güvenlik Hizmetlerimiz www.pwc.com.tr/sibergunlik Dijital geleceğinizi gün altına almak için Bilgi Günliği Siber Günlik Hizmetlerimiz Günli bir gelecek için Herşeyi günli hale getirmek mümkün değil. Kurumsal Öncelikleriniz kurumunuz

Detaylı

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI ENTEGRE YÖNETİM SİSTEMİ YAZILIMI QSA ENTEGRE YÖNETİM SİSTEMİ YAZILIMI Entegre Yönetim Sistemi; yönetim sistemlerinin tek çatı altında toplandığı ve gereklerin aynı anda karşılandığı bütünsel uygulanan

Detaylı

Safetica kurumsal ağa kolayca entegre edilebilen kapsamlı ve çok bileşenli bir DLP programıdır.

Safetica kurumsal ağa kolayca entegre edilebilen kapsamlı ve çok bileşenli bir DLP programıdır. Neden Safetica! Çünkü insanlar hata yapar Safetica kurumsal ağa kolayca entegre edilebilen kapsamlı ve çok bileşenli bir DLP programıdır. Gelişmiş özellikleriyle hassas kurumsal verilerinizin korunmasına

Detaylı

Yazılım-donanım destek birimi bulunmalıdır.

Yazılım-donanım destek birimi bulunmalıdır. BİLGİ YÖNETİMİ Yazılım-donanım destek birimi bulunmalıdır. o Yazılım-donanım destek birimi 24 saat kesintisiz hizmet sunmalı, o Yazılım-donanım destek birimi çalışanlarının güncel iletişim bilgileri santralde

Detaylı

Asansör firmaları için özel olarak geliştirilen takip yazılımı: Asansör Otomasyon tanıtım sunumu ve kullanım açıklamaları. / 25

Asansör firmaları için özel olarak geliştirilen takip yazılımı: Asansör Otomasyon tanıtım sunumu ve kullanım açıklamaları. / 25 Asansör firmaları için özel olarak geliştirilen takip yazılımı: Asansör Otomasyon tanıtım sunumu ve kullanım açıklamaları. 2 Bakım yerleri Android uygulama Ödemeler Raporlama Arızalar Faturalar Aylık bakım

Detaylı

Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, 8211013. Mart 2014 Yıldız Teknik Üniversitesi. Levend Abay?

Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, 8211013. Mart 2014 Yıldız Teknik Üniversitesi. Levend Abay? Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, 8211013 Mart 2014 Yıldız Teknik Üniversitesi Levend Abay? Eğitim : 1986 - Yıldız Teknik Uni./ Bilgisayar Bilimleri ve Mühendisliği

Detaylı

Servis olarak Altyapı

Servis olarak Altyapı Servis olarak Altyapı Servis olarak Altyapı (Infrastructure as a Servis, IaaS) fiziksel makineler, sanal makineler ve sanal depolama gibi temel kaynaklara erişebilmeyi sağlar. Bu kaynaklardan başka IaaS

Detaylı

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler Gündem Bilgi Sistemlerine İlişkin Yasal Düzenlemeler & COBIT AB Seminer 2009 Bankacılıkta Bilgi Sistemlerine İlişkin Düzenlemeler Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Detaylı

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU

T.C. İSTANBUL ÜNİVERSİTESİ REKTÖRLÜĞÜ Bilgi İşlem Daire Başkanlığı 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU 2012 YILI STRATEJİK PLANI DEĞERLENDİRME RAPORU Stratejik Gösterge 1 (Stratejik Hedef 2.2.1.) : Yerel Ağ hizmetlerinin son kullanıcılara ulaştırılmasında 2012 yılı sonu itibarıyla %99 oranlarında erişilebilirlik

Detaylı

Web Uygulama Güvenliği Kontrol Listesi 2010

Web Uygulama Güvenliği Kontrol Listesi 2010 Web Uygulama Güvenliği Kontrol Listesi 2010 1 www.webguvenligi.org Web uygulama güvenliği kontrol listesi 2010, OWASP-Türkiye ve Web Güvenliği Topluluğu tarafından güvenli web uygulamalarında aktif olması

Detaylı

AHİ EVRAN ÜNİVERSİTESİ BİLGİSAYAR ARAŞTIRMA VE UYGULAMA MERKEZİ GÖREV, YETKİ VE SORUMLULUKLARI

AHİ EVRAN ÜNİVERSİTESİ BİLGİSAYAR ARAŞTIRMA VE UYGULAMA MERKEZİ GÖREV, YETKİ VE SORUMLULUKLARI AHİ EVRAN ÜNİVERSİTESİ BİLGİSAYAR ARAŞTIRMA VE UYGULAMA MERKEZİ GÖREV, YETKİ VE SORUMLULUKLARI BİRİNCİ BÖLÜM Merkez Teşkilatı ve Görevleri 1) Merkez Teşkilatı Merkez teşkilatı aşağıda belirtilen kişi ve

Detaylı

OpenScape 4000 V7. Kurumsal Çözümler Her Zaman Fark Yaratır Ocak 2014

OpenScape 4000 V7. Kurumsal Çözümler Her Zaman Fark Yaratır Ocak 2014 OpenScape 4000 V7 Kurumsal Çözümler Her Zaman Fark Yaratır Ocak 2014 OpenScape 4000 V7 Hibrit Dağıtık Yapı Örneği OpenScape 4000 V7 SoftGate IPDA AP 3700 OpenScape Access 3 OpenScape 4000 V7 Sanal Dağıtık

Detaylı

Google Cloud Print Kılavuzu

Google Cloud Print Kılavuzu Google Cloud Print Kılavuzu Sürüm 0 TUR ların açıklamaları Bu kullanıcı kılavuzunda aşağıdaki simgeyi kullanıyoruz: lar ortaya çıkabilecek durumu nasıl çözmeniz gerektiğini size bildirir veya işlemin diğer

Detaylı

18.8.2014 ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM

18.8.2014 ANET YAZILIM LOG YÖNETİMİ. Karşılaştırma Tablosu ANET YAZILIM 18.8.2014 ANET YAZILIM LOG YÖNETİMİ Karşılaştırma Tablosu ANET YAZILIM ANET LOG COLLECTOR SAFELOG CSL SureLog SureLog(Korelasyonlu) SureSec Agent Gereksinimi Yok Yok Yok Yok Yok Yok Anlık Hash ve Zaman

Detaylı

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI Doküman No: EBG-GPOL-01 Revizyon No: 01 Tarih:01.08.2011 Sayfa No: 1/5 Amaç: Bu Politikanın amacı E-TUĞRA EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. nin ve hizmet sunduğu birimlerin sahip olduğu bilgi

Detaylı

Hakkımızda. Vizyon & Misyon

Hakkımızda. Vizyon & Misyon 25 USD + KDV Hakkımızda Vizyon & Misyon Firmamız 5188 sayılı yasa kapsamındadır ve ALARM SİSTEMİ KURMA YETERLİLİK BELGESİ ALARM MERKEZİ KURMA VE İZLEME İZİN BELGESİ ne sahiptir. Verdiğimiz hizmet ve firmamızın

Detaylı

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri

ARP (Address Resolution Protocol) Poisoning -Ağın Korunma Yöntemleri Mehtap ERDİL Ayşenur ERDİL Alice in Wonderland Man in the Middle ARP (Address Resolution Protocol) Poisoning ARP (Adres Çözümleme Protokolü) Zehirlemesi Sponge Bob ARP (Address Resolution Protocol) Poisoning

Detaylı

LOUPE, IP Data ağlarında çalışan katma değerli servislerinizi kolaylıkla izlemenizi sağlar. www.netas.com.tr

LOUPE, IP Data ağlarında çalışan katma değerli servislerinizi kolaylıkla izlemenizi sağlar. www.netas.com.tr LOUPE, IP Data ağlarında çalışan katma değerli servislerinizi kolaylıkla izlemenizi sağlar. www.netas.com.tr IP Tabanlı Servis Oturumlarınızı İzlemenin Kolay Yolu Loupe, Katma Değerli Servislerinizi IP

Detaylı

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ ÖZEL ENTEGRASYON YÖNTEMİ NEDİR? Elektronik faturalamada uzmanlaşmış bir kurumun, başka mükelleflerin faturalarını göndermek ve almak amacıyla kendi sistemini

Detaylı

ISO/IEC 27001 Özdeğerlendirme Soru Listesi

ISO/IEC 27001 Özdeğerlendirme Soru Listesi ISO/IEC 27001 Özdeğerlendirme Soru Listesi Bu soru listesindeki sorular, kurduğunuz/kuracağınız yönetim sistemdeki belirli alanlara daha fazla ışık tutmak, tekrar değerlendirerek gözden geçirmek ve denetime

Detaylı

WINDESKCONCENTO. sıgnum. Kurumsal İş Süreçleri Uygulamaları. windesk.com.tr

WINDESKCONCENTO. sıgnum. Kurumsal İş Süreçleri Uygulamaları. windesk.com.tr windesk.com.tr WINDESKCONCENTO Kurumsal İş Süreçleri Uygulamaları Kurumsal İş & Operasyonel süreçlerin performans tabanlı otomasyonu ile hizmet verimliliği ve kalitesinde artış sağlanır. sıgnum WINDESK

Detaylı

Süha Makina - BayiPos Kullanım Klavuzu

Süha Makina - BayiPos Kullanım Klavuzu 2014 Süha Makina - BayiPos Kullanım Klavuzu Süha Makina BayiPos Sistemi BayiPos, Süha Makina'nın bayilerine ve Süha Makina bayilerinin kendi müşterilerine yapacakları ürün ve hizmet satışlarını kredi kartı

Detaylı

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR ozan.ucar@bga.com.tr

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR ozan.ucar@bga.com.tr İstemci Tabanlı Saldırı Türleri Ozan UÇAR ozan.ucar@bga.com.tr Kayseri 2012 Konuşmacı Hakkında Kıdemli Bilgi Güvenliği Danışmanı ve Eğitmen Bilgi Güvenliği AKADEMİSİ () PenetraPon Tester Blog Yazarı blog.bga.com.tr

Detaylı

TITUS VERİ SINIFLANDIRMA ÇÖZÜMÜ

TITUS VERİ SINIFLANDIRMA ÇÖZÜMÜ TITUS VERİ SINIFLANDIRMA ÇÖZÜMÜ Yapılandırılmamış Verilerinizi Kontrol Edin TITUS.com /DETECH.com.tr TITUS Veri Sınıflandırma Çözümünün Yararları Yapılandırılmamış Verileri Tanımlayın E-posta ve dokümanların

Detaylı

Seymen Isı - BayiPos Kullanım Klavuzu

Seymen Isı - BayiPos Kullanım Klavuzu 2014 Seymen Isı - BayiPos Kullanım Klavuzu SEYMEN ISI SİSTEMLERİ BayiPos Sistemi BayiPos, Seymen Isı Sistemlerinin bayilerine ve Seymen Isı Sistemleri bayilerinin kendi müşterilerine yapacakları ürün ve

Detaylı

Selective Framebusting

Selective Framebusting Selective Framebusting Seçiçi Çerçeveleme Engelleme Sema Arık, TurkcellTeknoloji, sema.arik@turkcellteknoloji.com.tr Bedirhan Urgun, Web Güvenlik Topluluğu, urgunb@hotmail.com Giriş PCI DSS Requirements

Detaylı

TURKCELL SIR BAŞLIK ALANI. Çağatay AYNUR Turkcell Kurumsal Satış Direktörü

TURKCELL SIR BAŞLIK ALANI. Çağatay AYNUR Turkcell Kurumsal Satış Direktörü BAŞLIK ALANI Çağatay AYNUR Turkcell Kurumsal Satış Direktörü Her Yerden Ulaşılabilir Servislerle Yeni Bir Dünya TARIM Mobil Cihazlar Başrolde (Milyon Adet) 1.500 1.000 500 Akıllı Telefonlar Tabletler Bilgisayar

Detaylı

www.labristeknoloji.com

www.labristeknoloji.com www.labristeknoloji.com İçerik Üretici Profili Bilişim Güvenlik Sektörü Hakkında Ürünler ve Hizmetler Rekabet Avantajları Şirket Performansı Hedeflerimiz 02.09.2009 www.labristeknoloji.com 2 İçerik Üretici

Detaylı

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI Hayrettin Bahşi bahsi@uekae.tubitak.gov.tr 6 HAZİRAN 2008 Gündem Ulusal Bilgi Sistemleri Güvenlik Programı nedir? Programın ana hedefleri Programın alt

Detaylı

GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR

GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR 24/08/2011 tarihli ve 2011/DK-14/461 sayılı Kurul Kararı ile GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR Amaç MADDE 1 - (1) Bu Usul ve Esasların amacı, tercihe dayalı Güvenli İnternet Hizmetine

Detaylı

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi 6 Aralık 2012 1 2012 IBM Corporation Gündem 2 Günümüzde BT güvenliği gereksinimi IBM güvenlik çerçevesi QRadar: Yeni Nesil Güvenlik Bilgisi Toplama

Detaylı

Remote access? Tabi ki!

Remote access? Tabi ki! Çözümlerin çözümü. saytrust ACCESS Remote access? Tabi ki! saytrust karşılaştırma Geleneksel VPN: IPSEC veya SSL VPN Client-Lisans saytrust ACCESS Internet CRM-Tüneli PowerPoint-Tüneli Excel-Tüneli Engellenen

Detaylı

T. C. KAMU İHALE KURUMU

T. C. KAMU İHALE KURUMU T. C. KAMU İHALE KURUMU Elektronik İhale Dairesi KALİTE YÖNETİM SİSTEMİ Bilgi Güvenliği Bilgi Güvenliği Yönetim Sistemi Politikası Sürüm No: 4.0 Yayın Tarihi:11.05.2014 444 0 545 2012 Kamu İhale Kurumu

Detaylı

Kullanım ve Yardım Kılavuzu

Kullanım ve Yardım Kılavuzu Kullanım ve Yardım Kılavuzu 2007 Genel Bakış TradeMaster International, uluslar arası piyasalardaki Hisse Senedi ve Futures işlemlerini kolay ve hızlı bir şekilde yapmanıza olanak sağlayan bir uygulamadır.

Detaylı

ÖZ DEĞERLENDİRME SORU LİSTESİ

ÖZ DEĞERLENDİRME SORU LİSTESİ T.C TÜRKİYE KAMU HASTANELERİ KURUMU BURSA İLİ KAMU HASTANELERİ BİRLİĞİ GENEL SEKRETERLİĞİ ORHANELİ İLÇE DEVLET HASTANESİ VE RAPORU BİLGİ YÖNETİMİ ÖZDEĞERLENDİRME SORU LİSTESİ TARİH: Doküman Kodu Yayın

Detaylı

BioAffix Ones Technology nin tescilli markasıdır.

BioAffix Ones Technology nin tescilli markasıdır. BioAffix Ones Technology nin tescilli markasıdır. NEDEN BİYOMETRİK?DOĞRULAMA Biyometrik veri taklit edilemez, şifre gibi unutulamaz! Şifre olmadığı için, casus yazılımlara karşı güvenlidir! Biyometrik

Detaylı

DESTEK DOKÜMANI. Ürün : Tiger Enterprise/ Tiger Plus/ Go Plus/Go Bölüm : Kurulum İşlemleri

DESTEK DOKÜMANI. Ürün : Tiger Enterprise/ Tiger Plus/ Go Plus/Go Bölüm : Kurulum İşlemleri LOGO PROGRAM KURULUMU VE AYARLARI Logo programlarının yüklemesi için kullanılacak,setup dosyaları ftp://download.logo.com.tr/ adresinden indirilerek yapılır. Örneğin Kobi ürünleri için; ftp://download.logo.com.tr/windows/kobi/guncel/go_plus/klasöründen

Detaylı

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI KOD BY. PO.01 YAY. TRH 16.12.2015 REV. TRH REV. NO SAYFA NO 1/7 1. Amaç BGYS politikası, T.C. Sağlık Bakanlığı, TKHK İstanbul Anadolu Kuzey Genel Sekreterliği bünyesinde yürütülen bilgi güvenliği yönetim

Detaylı

HSE RADAR. İş Sağlığı ve Güvenliği Yönetimi Uygulama, Denetim, Eğitim ve Takip HSE GLOBAL YAZILIM A.Ş. 11 Mart 2016

HSE RADAR. İş Sağlığı ve Güvenliği Yönetimi Uygulama, Denetim, Eğitim ve Takip HSE GLOBAL YAZILIM A.Ş. 11 Mart 2016 HSE RADAR İş Sağlığı ve Güvenliği Yönetimi Uygulama, Denetim, Eğitim ve Takip HSE GLOBAL YAZILIM A.Ş. 11 Mart 2016 Copyright 2016 İçerik 1. HSE RADAR NEDİR? 2. HSE RADAR IN UYGULAMA ALANLARI 3. HSE RADAR

Detaylı

Modüler Yangın Paneli 5000 Serisi Planlarınız kadar esnek

Modüler Yangın Paneli 5000 Serisi Planlarınız kadar esnek Modüler Yangın Paneli 5000 Serisi Planlarınız kadar esnek 2 Modüler Yangın Paneli 5000 Serisi ile endişelerinizden kurtulun Sistemi ihtiyaçlarınız belirler sadece size gereken için ödeme yaparsınız Uzak

Detaylı

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar.

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar. İnternet Nedir? Internet Nedir? Internet, bilgisayar ağlarını kapsayan uluslararası bir ağdır. Farklı büyüklükteki ve tipteki birbirinden bağımsız binlerce bilgisayar ağından oluşur. Bu ağların her birinde

Detaylı

1 Temel Kavramlar. Veritabanı 1

1 Temel Kavramlar. Veritabanı 1 1 Temel Kavramlar Veritabanı 1 Veri Saklama Gerekliliği Bilgisayarların ilk bulunduğu yıllardan itibaren veri saklama tüm kurum ve kuruluşlarda kullanılmaktadır. Veri saklamada kullanılan yöntemler; Geleneksel

Detaylı

Özgür Yazılım ve Linux Günleri 2011 Bilgi Üniversitesi / İstanbul 01.04.2011

Özgür Yazılım ve Linux Günleri 2011 Bilgi Üniversitesi / İstanbul 01.04.2011 Özgür Yazılım ve Linux Günleri 2011 Bilgi Üniversitesi / İstanbul 01.04.2011 İçerik Bilgi Sızıntısı Nedir? Bilgi Sızıntısı İstatistikleri Türkiye ve Kişisel Veriler MyDLP Nedir? MyDLP Bileşenleri ve Yapısı

Detaylı