Bilgi Güvenliği Farkındalık Eğitimi

Transkript

1 NECMETTİN ERBAKAN Ü N İ V E R S İ T E S İ Meram Tıp Fakültesi Hastanesi Bilgi Güvenliği Farkındalık Eğitimi Ali ALAN Necmettin Erbakan Üniversitesi Meram Tıp Fakültesi Hastanesi Bilgi İşlem Merkezi Bölgenin Saglık Güvencesi

2 Günümüzde verimliliğin artırılması, iş akışlarının hızlandırılması, çalışanlar ve diğer kurumlarla daha hızlı iletişim kurulabilmesi, günlük yaşantımızı kolaylaştırması gibi birçok sebepten dolayı bilişim sistemleri hızla yaygınlaşmaktadır. Bilişim teknolojilerindeki gelişmeler sonucunda, merkezi yapılar yerlerini, dağıtık mimarilere, internet ve ağlar üzerinden erişilebilen elektronik uygulamalara bırakmıştır. Web uygulamaları, uzaktan erişimler, çevrimiçi sistemler, bilgisayar ağları, internet gibi elektronik bilgi altyapılarının kullanımının artması sonucunda e-kavramlar (e-ticaret, e-öğrenme, e-rezervasyon, e-sınav, e-okul, e-banka, e-devlet vb.) günlük yaşantımızın bir parçası haline gelmiştir.

3

4

5 1200 Yatak 2300 Personel Meram Tıp Fakültesi Hastanesi 14 Blok Bina 650 Doktor POLİKLİNİK HASTA SAYISI

6 BİLGİ GÜVENLİĞİ NEDİR? NEDEN ÖNEMLİDİR? KURUMSAL BİLGİ: Bilgi bir kurumun iş yapabilmesi için sahip olduğu önemli varlıkların en başında gelir. Kurum sahip olduğu bilgiyi derler, üretir, işler, saklar, satar, diğer kişi ve kurumlarla paylaşır. Bilgi; Basılı halde kağıtlarda Elektronik dosyalarda Veritabanlarında Telefon konuşmalarında Faks mesajlarında Masalarda, dolaplarda, İletim hatlarında, En önemlisi de kurum çalışanlarının akıllarında bulunur. **Bilgi hangi ortamda olursa olsun gerektiği şekilde korunmalıdır.

7 BiLGi GÜVENLiĞi NEDiR? Bilgi güvenliği bilginin tehditlere karşı uygun şekilde korunması demektir. Bilginin korunması; Gizliliğinin gözetilmesi, Bütünlüğünün garanti altında tutulması ve lazım olduğunda erişilebilir durumda olması anlamına gelir.

8 BiLGiNiN GiZLiLiĞi Bilgi gizliliğinin gözetilmesi Bilginin sadece yetkili kişiler tarafından erişilebilir durumda olması, Yetkisiz kişilerin erişiminin engellenmesidir. Bilginin bütünlüğü; İçeriğinin doğru, BİLGİNİN BÜTÜNLÜĞÜ Güncel ve geçerli olduğu, Yetkisiz kişiler tarafından değiştirilmediği anlamına gelir.

9 Kullanıcı Yetkilendirme Formu

10 BİLGİNİN ERİŞİLEBİLİRLİĞİ Bilginin erişilebilirliği; (Otomasyon Yetkileri) Bilginin olması gereken yerde ve gerektiğinde kullanıma hazır olduğunun güvence altında tutulmasıdır. BİLGİ GÜVENLİĞİ NEDEN ÖNEMLİDİR? Bilgi uygun şekilde korunmazsa; Gizli bilgiler açığa çıkabilir (Hasta Bilgileri) Bilginin içeriğinde yetkisiz kişiler tarafından değişiklik yapılabilir Bilgiye erişim mümkün olmayabilir. Kullanıcı hataları veya kötü niyetli girişimler bu sonuçları doğurabilir. Bu olayların izlenebilirliği de önemli bir konudur.

11 BİLGİ GÜVENLİĞİ NEDEN ÖNEMLİDİR? Bilgi uygun şekilde korunmazsa; Kuruma ait gizli ve hassas bilgiler Kurum işlerliğini sağlayan bilgi ve süreçler Kurumun ismi, güvenilirliği, itibarı Üçüncü şahıslar tarafından emanet edilen bilgiler Ticari, teknolojik, adli bilgiler İş sürekliliği zarar görebilir.

12 NE TÜR TEHDİTLER VAR? Servis dışı bırakma saldırıları Kimlik bilgilerinizin ele geçirilerek kötü amaçla kullanılması Virus, kurtcuk, trojan saldırıları Bilgisayarınızın başkası tarafından ele geçirilerek suç işlenmesi Bilgisayarınızın kurum ağına giriş kapısı olarak kullanılması Web sayfası içeriğini değiştirme İzinsiz kaynak kullanımı Kuruma ait bilgisayardan dışarıya yapılabilecek saldırılar

13 EN KOLAY GİRİŞ PRENSİBİ Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu deneyecektir. En kolay yol demek, en belirgin, en çok beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir.

14 Siber Saldırı Türleri Program manüplasyonu, Sahtekarlık ve taklit, Erişim araçlarının çalınması, Kimlik çalma, Ticari bilgi çalma, Takip ve gözetleme, Hack leme, Virüsler, Kurtçuklar (worms), Truva atları (Slammer, MsBlaster, Sobig), Ajan yazılım (spyware), Spam Hizmeti durduran saldırılar.

15 KURUMSAL BİLGİ GÜVENLİĞİ NASIL SAĞLANIR? Kurum çapında bilgi güvenliği farkındalığının yaratılması Uygun kullanım, politikalar, prosedürler... Kurum organizasyonu; kişiler, roller, uygun atamalar ve iş dağılımı, Güvenlik yazılım ve donanımları Bilgi güvenliği, kurum gereksinimleriyle örtüşecek şekilde ve sistematik bir yaklaşımla ele alınmalıdır.

16 BİLGİ GÜVENLİĞİ YÖNETİMİ NEDİR? Kurumsal iş süreçlerindeki bilgi güvenliği risklerinin tespit edilmesi ve uygun önlemlerle indirgenmesi çalışmasıdır. Bilgi güvenliği yönetimi sistematik ve döngüsel bir yaklaşımla gerçekleştirilir.

17 Kullanıcı Bilincinin Önemi Bilgi güvenliğinin en önemli parçası kullanıcı güvenlik bilincidir. Oluşan güvenlik açıklıklarının büyük kısmı kullanıcı hatasından kaynaklanmaktadır. Saldırganlar (Hacker) çoğunlukla kullanıcı hatalarını kullanmaktadır. Sosyal mühendislik içerikli bilgi edinme girişimleri yaşanmaktadır.

18 Bir kullanıcının güvenlik ihlali tüm sistemi etkileyebilir. Teknik önlemler kullanıcı hatalarını önlemede yetersiz kalmaktadır.(kısıtlar) Kullanıcılar tarafından dikkat edilebilecek bazı kurallar sistemlerin güvenliğinin sağlanmasında kritik bir öneme sahiptir.

19 Şifreler Güvenli Muhafaza Edilmeli

20 Şifre Güvenliği- 1 En önemli kişisel bilgi şifrenizdir. Hiç kimseyle herhangi bir şekilde paylaşılmamalıdır. Mümkünse bir yere yazılmamalıdır. Yazılması gerekiyorsa güvenli bir yerde muhafaza edilmelidir. Güvenli olmadığını düşündüğünüz mekanlarda kurumsal şifrelerinizi kullanmanızı gerektirecek uygulamaları kullanmayınız.

21 Şifre Güvenliği-2 En az sekiz karakterli olmalıdır. Rakam ve özel karakterler vs) içermelidir. Büyük ve küçük harf karakteri kullanılmalıdır. Kişisel bilgilerle ilişkili olmamalıdır (çocuğunuzun ismi, evlenme yıldönümü vs) Örnek: Güçlü bir şifre: AG685kt?!

22 Yazılım Yükleme - Güncelleme Kurum tarafından belirlenmiş yazılımların dışında bilgisayarlarda program bulunmamalıdır. Her bir programın açıklık oluşturma ihtimali vardır. Güvenilir olmayan sitelerden yazılımlar indirilmemeli ve kullanılmamalıdır. İnternet Bankacılığı arayüzleri, Windows, Apple Store, Android Market (Google Play)

23 Bir USB bellek, 1 milyon adet kağıtta yer alan bilgi kadar veri içerebilir.

24 E-posta Güvenliği Virüslerin en fazla yayıldığı ortam e-postalardır. Kaynağı tanınmayan e-postalar kesinlikle açılmamalıdır. Güvenilmeyen eklentiler açılmamalıdır. Gizli bilgi şifrelenmedikçe e-postalarla gönderilmemelidir. Spam e-postalara cevap verilmemelidir. E-posta adres bilgisi güvenilir kaynaklara verilmelidir.

25 E-postalar Spamdan nasıl korunur? Bilmediğiniz haber ve e-posta gruplarına üye olmayınız. Kişisel dosyaları fıkra, karikatür, ses dosyası vs. kurumun size tahsis ettiği posta adresinizden yollamayınız.

26 BİLGİ GÜVENLİĞİ POLİTİKASI Bir bilgi güvenliği politika dokümanı, yönetim tarafından onaylanmalı, yayınlanmalı ve tüm çalışanlar ve ilgili taraflara bildirilmelidir. Bilgi güvenliği politikası, belirli aralıklarla veya önemli değişiklikler ortaya çıktığında sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirilmelidir.

27 Hastane bilgi işlem elemanlarına yapılan farkındalık anket sonucu Şifre Belirleme Yöntemleri şifremi en az altı karakterden oluşturuyorum unutmamak için bütün şifrelerimi aynı akılda kalan kolay bir şifre belirliyorum ilk belirlenen ve bana verilen şifreyi 6,50% 30,90% 28,40% 43,50%

28 Son Kullanıcıdan Beklentimiz

29 Teşekkürler Bölgenin Saglık Güvencesi