Mobil Güvenlik ve Denetim

Benzer belgeler
Sibergüvenlik Faaliyetleri

Bilgi Güvenliği Eğitim/Öğretimi

Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security)

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, Mart 2014 Yıldız Teknik Üniversitesi. Levend Abay?

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

Venatron Enterprise Security Services W: P: M:

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN

BİLGİ GÜVENLİĞİ BİLİNÇLENDİRME EĞİTİMİ

Bilişim Teknolojileri Temelleri Dijital Dünyada Yaşamak

TURKCELL SIR BAŞLIK ALANI. Çağatay AYNUR Turkcell Kurumsal Satış Direktörü

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

Bağlantılı Yaşamda Nasıl Güvende Olacağız? «IoT ve Yaşam» Cem Ergül ISACA Istanbul Chapter, Başkan Yardımcısı İşNet A.Ş. CAE, İç Denetim Grup Müdürü

1. AMAÇ Bu Prosedürün amacı, Aksaray Üniversitesi bünyesinde yürütülen bilgi işlem hizmetlerinin yürütülmesi ile ilgili esasları belirlemektir.

KABLOSUZ AĞ GÜVENLİĞİNE KURUMSAL BAKIŞ

Bilişim Teknolojileri Temelleri 2011

Ajanda. Siber Tehditler Etkiler Karşılaşılan Zorluklar Çözüm Kaynakları

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

IBM Güvenlik Sistemleri Yeni Nesil Güvenlik Bilgisi Toplama ve Olay Yönetimi

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Teknoloji Trendleri, Veri Merkezleri ve Uyum

Veri(Data), sayısal veya mantıksal her değer bir veridir. Bilgi(Information), verinin işlenmiş, anlamlı hale gelmişşekline bilgi denir.

RSA. Güvenlikte Büyük Veri Yaklaşımları, Teknolojiler ve Operasyon Modeli. Vedat Finz. Copyright 2012 EMC Corporation. All rights reserved.

Bilgisayar, elektronik bir cihazdır ve kendi belleğinde depolanan talimatları sırasıyla uygulayarak çalışır. İşler. Bilgi İşlem Çevrimi

Remote access? Tabi ki!

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

Kamu Sektörü İçin SAP Karar Destek Sistemleri Zirvesi. Gökhan NALBANTOĞLU / CEO, Ereteam 9 Aralık 2014, Salı

VII.BİLGİ TEKNOLOJİLERİ YÖNETİŞİM VE DENETİM KONFERANSI 3-4 MART 2016

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

Vodafone dan Office 365. Satış temsilcisi ismi Tarih

BİLGİ GÜVENLİĞİ. Bu bolümde;

: 36 milyon Euro çalan malware Eurograbber

KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Bilgi Güvenliği Yönetim Sistemi

BĠR E-ÖĞRENME UYGULAMASI: BĠLGĠ GÜVENLĠĞĠ BĠLĠNÇLENDĠRME Asım Gençer GÖKCE Uzman Araştırmacı

BioAffix Ones Technology nin tescilli markasıdır.

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

Bilgi güvenliği konusunda farkındalık yaratmak. Mobil cihazlardaki riskleri anlatmak. Mobil uygulamaların bilgi güvenliği açısından incelemek 2

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

BioAffix Ones Technology nin tescilli markasıdır.

Pardus Vizyonu. Prof. Dr. Abdullah ÇAVUŞOĞLU

ULUSAL GRID ÇALIŞTAYI 2005

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

İç Denetimin Gelişen Teknolojideki Rolü

İletişim Ağlarında Güvenlik

KASPERSKY LAB BUGÜNÜ KORUR, GELECEĞİ GÜVENCE ALTINA ALIR

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Dell EMC VDI Cloud Client Computing Uçtan Uca Çözümler. İsel Horada Dell EMC Forum İstanbul

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Bilgi Güvenliği Nedir? Bilgi Güvenliğinde Saldırı Kavramı. Bilgi Güvenliğinde Saldırı Örneği : SPAM Mail

windesk.com.tr BT Servis Masası Uygulaması İç ve dış paydaş / müşterilere sunulan Hizmetler için ITIL uyumlu iş sürekliliği artışı sağlanır.

MOBĐL UYGULAMALARDA GÜVENLĐK

Bilgi Güvenliği Farkındalık Eğitimi

Kaspersky Open Space Security: Release 2. İşletmeniz için birinci sınıf bir BT güvenliği çözümü

anka Siber Güvenlik Analiz Sistemleri Geleceğe Güven Tesis Eder

IBM Servis Yönetimi Stratejisi. Çağlar Uluğbay Ürün Yöneticisi Tivoli IBM Türk Limited Şirketi

Bilgi Teknolojileri Yönetişim ve Denetim Konferansı BTYD 2010

COMODO LABORATUVARLARINDAN: Tüm Dünyada Kimlik Avına Yönelik Yeni Bir E-Posta Dolandırıcılık Hareketi Apple Kimliklerini Hedefliyor

Windows 10 ve Yenilikçi Mobil Cihazlar

Nagios XI Günümüzün talep gören kurumsal gereksinimleri için en güçlü BT altyapısı gözetim ve uyarı çözümüdür.

Kişisel Verilerin Korunması Kanunu (KVKK) için BT Altyapınızı Nasıl Hazırlayabilirsiniz?

Dijital Dönüşümde Bulut Şirket!

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

Merkezi Yönetim & Merkezi Yedekleme

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

Sertan Kolat

TÜPRAŞ'ta Siber Güvenlik ve Proses Emniyeti Eylül 2018

«Günümüzün Siber Saldırıları, Veri Sızıntıları ve Çözüm Yolları...»

2000 li yıllardan itibaren teknolojinin hızlı gelişiminden belki de en büyük payı alan akıllı telefon ve tabletler gibi kablosuz iletişim olanağı

1. Bölüm: Ağı Keşfetme

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

HÜR VE KABUL EDİLMİŞ MASONLAR DERNEĞİ GİZLİLİK POLİTİKASI

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

BİLGİ TEKNOLOJİLERİ VE UYGULAMALARI

Siber Savunma. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

WINDESKPORTA. sıgnum. Müşteri Hizmetleri İletişim Merkezi. Uygulama Çözümü. windesk.com.tr

Bankacılıkta Mobil Uygulamaların Geleceği ve Beraberindeki Riskler

Artı. Kurumsal e-posta. Dosya Paylaşımı. Her Yerden Erişim. Teknik Destek. Finansal olarak yedekli SLA. Basit BT Yönetimi. HD Video Konferans

BioAffix Ones Technology nin tescilli markasıdır.

Firewall un En Kolay Hali berqnet le Tanışın!

Servet Gözel, CISA Direktör, Bilgi Sistemleri Risk Yönetimi Ocak 2019

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

YENİ NESİL SİBER GÜVENLİK OPERASYON MERKEZİ (SGOM) Koruma, Tespit, Müdahale ve Tahmin. BARİKAT BİLİŞİM GÜVENLİĞİ Murat Hüseyin Candan Genel Müdür

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

BİLGİSAYAR VE AĞ GÜVENLİĞİ

Transkript:

Mobil Güvenlik ve Denetim IV. Bilgi Teknolojileri Denetim ve Yönetişim Konferansı Ümit Şen, Ernst & Young 14 Mart 2013

Gündem Mobil veri üretimi ve kullanımına ilişkin sayısal bilgiler Mobil cihazlara güncel tehditler Mobil cihazlarda güvenlik Mobil cihazlarda denetim Sayfa 1

Mobil veri üretimi, ne kadar çok? Dünyada üretilen verinin 90% ı son 2 yılda üretilmiştir Sayfa 2

Mobil, Büyük Veri, Internet of Things? ve en iyimser tahminlere göre 2020 yılına kadar katına çıkacağı öngörülmektedir.. Sayfa 3

Mobil, Büyük Veri, Internet of Things? Her dakika: 571 yeni web sitesi 695.000 Facebook status update 204.166.667 e-mail 2.000.000 arama sorgusu 2012: Internet üzerinde 9 milyar cihaz 2020: Internet üzerinde (tahmini) 50 milyar cihaz Sayfa 4

Büyük veri: Ne kadar büyük??? 6 milyar mobil kullanıcı Mobil veri, her yıl 78% büyüme oranı 2016 da her ay 10,8 Exabytes 1 Exabyte = 1.000.000 Terabyte Sayfa 5

Mobil cihazlar kuruma özgü ve/veya kişisel hassas bilgiler ihtiva etmektedir Kişisel bilgiler Foto, GPS yer imleri, kontak listesi, vb. Hassas / korunması gereken bilgiler E-posta, ofis belgeleri, vb. Kritik kurum verileri VPN bağlantıları, kimlik bilgileri, kişisel veriler, gizli bilgiler, vb. Sayfa 6

ve bir çok tehdide maruz durumdalar! Web ve ağ üzerinden saldırılar Web siteleri üzerinden cihazlar üzerine yüklenen zararlı yazılımlar ya da kişisel bilgilerin çalınması Zararlı yazılım Virüsler, solucanlar ya da Truva Atları PC den bir farkı yok... Sosyal mühendislik saldırıları Kritik/hassas bilgi çalmak ya da cihaza zararlı yazılım yüklemek amacı ile Phishing başta olmak üzere sosyal mühendislik saldırıları Hizmet kesintileri Spamve hizmet dışı bırakma saldırıları Veri/bilgi hırsızlığı Çalışanların ya da saldırganların kritik bilgileri cihaz dışına çıkarması bilerek ya da bilmeyerek! Veri bütünlüğüne saldırılar Cihaz üzerinde tutulan verilerin, operasyonu duraklatmak ya da kazanç (ör: finansal) sağlamak üzere bütünlüğünün bozulması amacıyla saldırılar Sayfa 7

Hal böyleyken, mobil dünyada son zamanlarda yaşanan olaylar. Olay: X cihazı kullanıcılarına malware/spywaretehdidi, 2011 Olay: X markası telefon modellerinde yer (location) izleme, 2011 Olay: X firmasının mobil yazılımlarının cihaz üzerindeki bilgileri kaydetmesi, 2011-2012 Kaynak: Symantec Olay: X sitesinin mobil uygulamasında güvenlik açığı kişisel bilgilere erişim imkanı, 2012 Olay: X operatörünün müşterilerine ait bilgileri paylaşması, 2012 Sayfa 8

ve yanlış sosyal medya kullanımı!!! Twit i yazan CFO, işten çıkarıldı!!! Sayfa 9

Mobil cihazlarda güvenlik kavramı Hedef: Kaybolduğunda erişimi engelle Hedef: Kaybolduğunda veriyi koru Ekran kilidi Olay müdahale Karmaşık şifre/parola Cihaz üzerinde güvenli silme (wipe) uygulaması Şifreleme (encryption) Politika ve prosedürler Yama yönetimi Güvenlik farkındalığı İki-faktörlü kimlik doğrulama ve VPN çözümleri Şifreleme (encryption) Güvenlik farkındalığı Yedekleme Risk değerlendirme Tehdit modellemesi Mobil güvenlik kavramları Mobil cihazlara yüklenen veri ve uygulamaların sınırlanması Risk değerlendirme Tehdit modellemesi Yama yönetimi Ağ izleme ve log yönetimi Olay müdahale Politika ve prosedürler Uygulama izleme Güvenlik değerlendirmeleri ve sızma testleri Zafiyet yönetimi BT operasyonları için güvenlik farkındalığı Hedef: Yeni zafiyetlerin etkisini sınırla Hedef: Olay ve tehditleri etkin yönet Sayfa 10

Dünyada önlemler? Tablet bilgisayar kullanımı 2011 den 2012 ye iki (2) misli artmış durumda! Organizasyonların %44 ü kurumsal ya da kişisel tablet kullanımına izin vermektedir. Önlemler nedir? BYOD? Kaynak: Ernst & Young, 2012 Küresel Bilgi Güvenliği Anketi Sayfa 11

Peki ya harcamalar? Daha fazla Aynı Daha az Kaynak: Ernst & Young, 2012 Küresel Bilgi Güvenliği Anketi Sayfa 12

Mobil - Top 10 güvenlik önerileri (1/2) 1 Mobil güvenlik konusunu güvenlik farkındalığı programına eklemek 2 Cihaz kullanımını düzenleyen politikalar yaratmak ve devreye almak 3 Mobil ortama adapte edilen uygulamalardan kaynaklanacak tehditleri modellemek 4 Mobil uygulama geliştiricileri güvenli uygulama geliştirme konusunda eğitmek 5 Mobil cihazlara aktarılan verileri kısıtlamak mümkün mertebe salt okunur/read only erişim vermek Sayfa 13

Mobil - Top 10 güvenlik önerileri (1/2) 6 Mobil cihaz yönetim sistemleri/araçları kullanarak parola, encryption ve cihaz tarafında uygulanacak teknik önlemleri uygulamak 7 Cihazlar ve bunları destekleyen altyapı üzerinde cihaz üzerindeki verilere odaklanarak teknik güvenlik değerlendirmeleri yapmak 8 Mobil ortamdaki yeni ve güncel tehditlerin sürekli izlenmesini sağlayan bir program oluşturmak 9 Mobil cihaz bağlantı noktalarında izleme kontrolleri tesis etmek 10 Web tabanlı uygulamalara ve altyapıya karşı klasik tehditlerin değerlendirmesini yapmak Sayfa 14

Ya denetim? ISACA ne diyor? Konu başlığı Politika Risk yönetimi Cihaz yönetimi Erişim yönetimi Denetleme alanları Güvenlik politikası Veri sınıflandırma Mobil cihaz tipleri (akıllı telefonlar, tablet, notebook, PDA, USB depolama, RFID destekli cihazlar) Onaylı / güvenilen uygulama listesi Kimlik doğrulama yöntemi ve şifreli depolama / iletim Cihaz üzerinde tutulan veri Cihaz tipleri için risk değerlendirmeleri Cihaz izleme ve yer tespit mekanizmaları Çalıntı / kayıp cihazlar için uzaktan güvenli veri silme (remote wipe) BYOD ya da üçüncü kişilerin cihazlarında kurum verisi tutulması, cihazların kurum mobil ağına eklenme koşul ve şartları Cihaz ekleme/çıkarma süreçleri Cihaz tipleri için erişim doğrulama mekanizmaları Erişim kontrol listeleri ve hakları Cihazların merkezi yönetimi ya da etkin dışı bırakılması Yüklenebilecek uygulama ve veri listesi Sayfa 15

Ya denetim? ISACA ne diyor? Konu başlığı Depolananveri Zararlı yazılım Güvenli iletim Farkındalık Denetleme alanları Şifreleme Şifreleme anahtarlarının yönetimi Veri transferi kuralları ve izleme Veri saklama koşulları, süresi ve imhası Zararlı yazılıma karşı koruma Zararlı yazılıma karşı kuralların düzenli güncellenmesi VPN, IPSec, vb. Eğitim ve bilinçlendirme Yeni teknolojiler, tehditler, önlemler Sayfa 16

Diğer denetim teknikleri Mobil cihaz konfigürasyon incelemesi Mobil cihaz platformu ve ilgili altyapı için risklerin tespit edilmesi Her cihaz tipi için uygulama modelleri ve konfigürasyon gözden geçirmeleri Uygulama odaklı Mobil uyumlu web uygulama değerlendirmesi Mobil cihazlar için tasarlanmış web sitelerine sızma testleri Destekleyici altyapı ve sunucuların değerlendirilmesi Mobil uygulama değerlendirmesi Mobil cihazlarda yüklü uygulamalara sızma testleri Ağ bağlantıları ve veri yönetimine ekstra önem Mobil kod gray box değerlendirme Mobil cihazlar üzerinde yüklü uygulamalara kaynak kod incelemesi ile birlikte sızma testleri Sayfa 17

Teşekkürler

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim