KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ"

Basak Memiş
10 yıl önce
İzleme sayısı:

1 KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

2 SİBER GÜVENLİK FARKINDALIĞI Koray ATSAN

3 Derneğimiz hakkında Kamu Siber Güvenlik Derneği 2013 yılında kuruldu. Temel Amaç : Ülkemizde Siber Güvenlik alanında yapılan çalışmalara katkıda bulunmak W : E : [email protected]

4 SİBER GÜVENLİK FARKINDALIĞI Farkındalık : Bir konu ile ilgili temel seviyede bilgi sahibi olma ve güncelden haberdar olma Siber güvenlik alanında farkındalık eşiği diğer alışılagelmiş konulara göre daha yüksek Dezavantaj : Siber güvenlik farkındalığı için temel-orta seviyede bilgi sahibi olunması gerekmesi. Avantaj : İlgi çekici bir konu olması

alışılagelmiş konulara göre daha yüksek Dezavantaj : Siber güvenlik farkındalığı için

SİBER GÜVENLİK FARKINDALIĞI Geniş bir yüzey (Kategorizasyon yapılabilir) Temel Farkındalık Konuları Kurumsal Politika ve Prosedürler (Parola, e-posta ve flash disk kullanımı vb.

Ekranını ve masanı temiz tut, sürekli sil, telefonla konuşurken ve çay sohbetlerinde paranoyak ol vb.

5 SİBER GÜVENLİK FARKINDALIĞI Geniş bir yüzey (Kategorizasyon yapılabilir) Temel Farkındalık Konuları Kurumsal Politika ve Prosedürler (Parola, e-posta ve flash disk kullanımı vb.) E-posta Kaynaklı tehditler (Çöp Posta, Olta Atağı, pdf vb.) Sosyal Mühendislik konuları (Parolanı paylaşma, omuzunun arkasında sörf yapan var mı kontrol et. Çöpe dalan var mı kontrol et. Ekranını ve masanı temiz tut, sürekli sil, telefonla konuşurken ve çay sohbetlerinde paranoyak ol vb.) Elektronik Sertifika Kontrolü (Şu Sol üst köşedeki sarı kilit de neyin nesi, bi tıklıyayım) İleri Düzey Farkındalık Konuları Ben Zombie mi oldum? Bir kontrol edeyim.(botnet) Elektronik Sertifika Yönetimi. (Bilgisayarıma inmeye çalışan bu yazılım imzalı mı? İmza otoritesi kim?) - Anti-malware yazılım kurma, konfigüre etme ve güncelleme. - Vb.

6 Farkındalık Tarafları Üst Yönetim (Yönetimin Desteği, Doğru yapılanma) Ara Yönetim (Yönetimin Desteği) Proje Yöneticileri (Proje Gizliliği) Yazılım Geliştiriciler (Güvenli Kod Geliştirme) Ağ ve Sistem Yöneticileri (Güvenli konfigürasyon ve işletim) Tedarikçiler (Dış Hizmet Güvenliği) Tüm Personel (Güvenli çalışma) AĞ VE SİSTEM YÖNETİCİLERİ ARA YÖNETİM ÜST YÖNETİM YAZILIM GELİŞTİRİCİLER TÜM PERSONEL PROJE YÖNETİCİLERİ TEDARİKÇİLER

(Güvenli konfigürasyon ve işletim) Tedarikçiler (Dış Hizmet Güvenliği) Tüm Personel (Güvenli çalışma) AĞ VE

7 FARKINDALIK İSTATİSTİKLERİ * 2012 de veri sızıntılarının %64 ü insan hatası ve sistem problemlerinden kaynaklandı de ele geçirilen bir kayıt bazında ortalama maliyet $136 Sağlık, Finans ve ilaç endüstrisi gibi yoğun yasal düzenlemelerin olduğu sektörlerde diğer sektörlere göre maliyet %70 oranında daha yüksek. En yüksek maliyeti üçüncü taraf hataları getiriyor. ($19) Bir Bilgi Güvenliği Yöneticisi ve bir siber olaylara müdahale planı olan kuruluşlarda maliyetler önemli ölçüde azaltılabiliyor. * 2013 Cost of a Data Breach Study Symantec ve Ponemon Enstitüsü

sektörlerde diğer sektörlere göre maliyet %70 oranında daha yüksek. En yüksek maliyeti üçüncü taraf hataları getiriyor.

8 TEMEL ZAFİYET, TEHDİT ve RİSKLER Temel Zafiyet : Yetersiz veya etkisiz farkındalık eğitimleri veya çalışmalarından kaynaklı eğitimsiz çalışanlar Tehditler : Zombie olma Malware yayma (Usb, Botnet) DDOS Yapma (Botnet) Kullanıcı bilgisayarının çalışmaması, Kullanıcı bilgisayarından kurumsal veya kişisel bilgilerin sızdırılması (Teklifler, sözleşmeler, şifreler vb.) Riskler : Genel Sistem çökmesi, Hizmet Aksaması Mali kayıplar, Prestij kaybı (Kişisel veya kurumsal) Kurumsal ve kişisel bazda yaşanabilecek yasal sıkıntılar İşgücü kaybı (çift taraflı olarak)

bilgisayarından kurumsal veya kişisel bilgilerin sızdırılması (Teklifler, sözleşmeler, şifreler vb.

9 KLASİK FARKINDALIK ANLAYIŞI Standart çalışanlara yönelik : Farkındalık eğitimleri düzenleme (sıklıkla) Afiş, broşür vb. hazırlama (nadiren) El Kitabı hazırlama (nadiren) vb. Genelde eğitimlerde klasik anlayışın pek faydalı olmadığı göze çarpmaktadır.

hazırlama (nadiren) El Kitabı hazırlama (nadiren) vb.

10 YETERLİ Mİ? Bunlar gerekli ama yeterli değil. Neden? Interaktif ve yoğun değil. Durum tespiti : Mevcut durumda özellikle Kamuda olması gerekenin çok gerisindeyiz. FARKINDALIK DÜZEYİNİ ARTTIRMAK GEREKİYOR.

11 YAPILMASI GEREKEN Farkındalık konusunu detaylandırmak ve uygulamalarla somutlaştırmak. Farkındalık Programları Eğitimler ve Sınavlar Kurum kültürü ile bütünleştirme İç organizasyon yapısı ile bütünleştirme Projelerle bütünleştirme İlgili teknolojilerin kullanılması (DLP, şifreleme, güçlü kimlik doğrulama) İşe alımlarda kriter haline getirme

organizasyon yapısı ile bütünleştirme Projelerle bütünleştirme İlgili teknolojilerin

12 Kamu Siber Güvenlik Derneği Eylem Planında Farkındalık ile ilgili maddeler

13 FARKINDALIK PROGRAMLARI

14 FARKINDALIK PROGRAMLARI

15 FARKINDALIK PROGRAMLARI

16 FARKINDALIK PROGRAMLARI

17 FARKINDALIK PROGRAMLARI

18 FARKINDALIK PROGRAMLARI

19 EĞİTİM VE SINAVLAR Kurumsal olarak düzenli aralıklarla tematik eğitimler düzenleyerek bunların sınavlarını yapmak. Bir başarı düzeyi istenebilir. Tematik eğitim programları (Uygulamalı) Temel seviye https ve SSL sertifika yönetimi ve kontrolü eğitimi Temel seviye kimlik doğrulama eğitimi (Parola, Token, biyometrik vb.) Temel seviye Sosyal mühendisliğe karşı koyma eğitimi Temel seviye Botnet ve zombie tespit eğitimi Temel seviye işletim sistemi güvenliği ve kötücül yazılım eğitimi

Tematik eğitim programları (Uygulamalı) Temel seviye https ve SSL sertifika yönetimi ve kontrolü eğitimi Temel seviye

20 EĞİTİM VE SINAVLAR

21 Örnek bir Farkındalık Eğitimi Çalışması

22 KURUM KÜLTÜRÜ ile BÜTÜNLEŞTİRME Sistem tarafında IT altyapısı seviyesinde Firewall, IDS/IPS, Anti-virus, spam filter vb. Kullanıcı tarafında Genellikle OS (domain) seviyesinde (Domain kısıtlamaları ) Enterprise wide güvenlik sistemleri DLP? Şifreleme? (Kullanılması zor (Anahtar yönetimi vb.)) E-imza yaygın kullanımda

23 KURUM KÜLTÜRÜ İLE BÜTÜNLEŞTİRME Projelerde güvenlik ayağı Proje yönetim süreci ile güvenliği bütünleştirme Proje takımına güvenlik uzmanı ve/veya denetçisi ilave etme Ürünlerin tasarımı aşamasında Ürünlerin geliştirme aşamasında Ürünlerin test aşamasında

24 Farkındalık Performansı Standart kullanıcılarda %100 farkındalık sağlamak mümkün değil. % 80 ve üzere iyi bir seviye olabilir Geriye kalan %20 risk teşkil ediyor. İşe alımlarda Siber güvenlik farkındalığı da bir etken faktör olabilir.

25 FARKINDALIKDA İLERİ SEVİYE KONULAR (İYİLEŞTİRME) Farkındalık Ölçümü, Performans Metriklerinin belirlenmesi Kullanıcılardan kaynaklı ihlal olay sayısı oranı Eğitim sınavlarında başarı oranı Sosyal Mühendislik testleri başarı oranı Ölçüm Sonuçlarına göre : Hangi saldırı daha etkili? Phishing İyileştirme döngüsüne girdi olarak verilir.

26 FARKINDALIKDA NEDEN GERİDEYİZ? 1. Klasik organizasyon yapısı uygun değil 2. IT nin kurum kültürü ile bütünleştirilmesi gerekmekte

27 NEDEN SORUSUNUN CEVABI IT Governance anlayışı henüz yerleşmemiş olduğu için Kamuda Bilgi Güvenliğine yönelik üst düzey bir birim yok. Siber Güvenlik Eylem Planında yok. Kamuda hiç CIO ve CISO duydunuz mu? CHO da nedir? Merkezi bir koordinasyon mevcut değildi şimdiye kadar. Eylem planına göre bu konuda şu ana kadar neler yapıldı ve yapılıyor? Bilgilendirme yapılması faydalı olabilir.

28 IT GOVERNANCE A GEÇİŞ IT Departmanı anlayışından IT Governance modeline geçiş IT Strategy Committee IT Steering Committee Kamuda ve Özel sektörde IT temelinde yeniden yapılanma ihtiyacı

30 İHLAL OLAYLARI Kötü Niyetli Kasıtsız Kontroller - Farkındalık

31 Kötü! Niyetli İhlal Olayları Örnekleri

32 KAYIP MALİYETLERİNİ DÜŞÜRMEK İÇİN 1. Çalışanları gizli bilgileri nasıl ele almaları gerektiği konusunda eğitin. 2. Hassas bilgileri bulmak ve kuruluşun dışına çıkmasını engellemek için Veri kaybı engelleme teknolojisi kullanın. 3. Şifreleme ve güçlü kimlik doğrulama çözümleri kullanın. 4. Doğru müşteri bilgilendirme adımlarını da kapsayacak bir ihlal olaylarına müdahale planı hazırlayın.

33 Teşekkürler.

Benzer belgeler

Venatron Enterprise Security Services W: P: M:

VENATRON Enterprise Security Services Ltd. Şti. Danger is a click away. (Tehlike bir tık ötede ) sloganı ile 2011 de Siber Güvenlik sektöründe yerini alan Venatron Security güvenlik ihlallerini önlemek