BilgiGüvenliği

Bilgi güvenliği politikası, bir kuruluşun bilgi varlıklarını yetkisiz erişimden, değiştirilmeden veya yok edilmeden korumak için oluşturduğu temel çerçevedir. Bu politika, aşağıdaki unsurları içerir: Amaç ve kapsam: Politikanın genel çerçevesini ve hangi varlıkları kapsadığını belirtir. Roller ve sorumluluklar: Çalışanların ve yönetimin bilgi güvenliği süreçlerindeki görevlerini tanımlar. Varlık yönetimi: Bilgi varlıklarının sınıflandırılması ve korunması yöntemlerini içerir. Erişim kontrolü: Kimlerin hangi bilgilere erişebileceği ve erişim yetkilendirme süreçlerini tanımlar. Kriptografi: Şifreleme teknikleri ve veri güvenliği uygulamalarını kapsar. Fiziksel ve çevresel güvenlik: Veri merkezleri ve ofis ortamlarında güvenliği sağlamak için alınacak önlemleri belirtir. İş sürekliliği: Kriz durumlarında bilgi güvenliğini nasıl sürdüreceğinizi açıklar. Uyum ve denetim: Yasal ve düzenleyici gereksinimlere uyumun nasıl sağlanacağını ve denetleneceğini belirler. Bilgi güvenliği politikası, çalışanların güvenlik bilincini artırmak için düzenli eğitim programları ve farkındalık kampanyaları ile desteklenmelidir.

Tetra Bilişim'in bilgi güvenliği hizmetleri, yenilikçi, dinamik ve proaktif çözümler sunarak verilerin yetkisiz erişim, kullanım, ifşa, bozulma, değişiklik ve yok edilme gibi tehditlere karşı korunmasını sağlar. Bu hizmetler kapsamında sunulan bazı çözümler şunlardır: - Danışmanlık: KVKK, ISO 27001, BİGR gibi konularda teknik ve idari projeler. - Güvenlik Çözümleri: Tehdit istihbaratı, veri kaybı önleme, olay yönetimi, uç nokta koruma, DNS güvenliği. - Sızma Testi: Web uygulama, DDOS, sosyal mühendislik, veri tabanı ve ağ testleri. Ayrıca, bilgi güvenliği genel olarak, hassas bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için alınan önlemlerin tümünü kapsayan bir disiplindir.

Bilgi güvenliği yönetim sistemi sınav soruları hazırlanırken aşağıdaki konular dikkate alınmalıdır: 1. Bilgi Güvenliği Politikası: Sınav soruları, bilgi güvenliği politikasının kapsamını, kurumsal hedefleri ve üst yönetimin yaklaşımını içermelidir. 2. Risk Yönetimi: Risk değerlendirme yöntemleri, kabul edilebilir risk düzeyi ve risk işleme seçenekleri gibi konular sorulabilir. 3. Varlık Yönetimi: Kritik bilgi sistemleri, güvenli alanlar, fiziksel güvenlik önlemleri ve tesis güvenliği ile ilgili sorular yer alabilir. 4. Farkındalık ve Eğitim: Temel bilgi güvenliği eğitimi, farkındalık sağlama ve düzenli eğitimler hakkında sorular sorulmalıdır. 5. Gözetim ve Ölçüm: Bilgi güvenliği ölçümleri, iç ve dış denetimler, teknik açıklıklar ve senaryo uygulamaları ile ilgili konular ele alınabilir. Sınav soruları, genellikle çoktan seçmeli formatta olup, soru sayısı eğitmenin tercihine göre 10 ile 50 arasında değişebilir.

Bilgi Güvenliği Uzmanı olmak için üniversitelerin dört yıllık eğitim veren Elektronik, Bilgisayar, Yazılım, Bilişim Sistemleri Mühendisliği bölümlerinden mezun olmak gerekmektedir.

MISF kısaltmasının farklı anlamları ve kullanım alanları bulunmaktadır: 1. Management Information Security Forum (Yönetim Bilgi Güvenliği Forumu): Bu, bilgi güvenliği ile ilgili bir forumdur. 2. Multiple Investment Sinking Fund (Birden Fazla Yatırım Tahvil Fonu): Bu, finansal rezervlerin yönetimi ve yatırım fırsatları için kullanılan bir yatırım aracıdır. 3. Minnesota Independent School Forum (Minnesota Bağımsız Okul Forumu): Eğitimle ilgili bir forumdur.

Şifreleme örnekleri arasında en yaygın olanlar şunlardır: 1. Simetrik Şifreleme: Aynı anahtarın hem şifreleme hem de şifre çözme işlemlerinde kullanıldığı yöntemdir. 2. Asimetrik Şifreleme: Farklı anahtarların kullanıldığı yöntemdir; genel anahtar verileri şifreler, özel anahtar ise şifrelenmiş verileri çözer. 3. Hibrit Şifreleme: Simetrik ve asimetrik şifreleme yöntemlerinin kombinasyonunu kullanır. 4. Blok Şifreleme: Verilerin belirli boyutlarda bloklar halinde işlendiği yöntemdir. 5. Akış Şifreleme: Verilerin bit bit şifrelendiği yöntemdir. 6. Kuantum Şifreleme: Kuantum mekaniğinin özelliklerini kullanarak güvenli iletişim sağlar.

Sızma Testi Uzmanı olabilmek için en az 6 ay bilgi güvenliği/bilişim alanında tecrübe gerekmektedir. Ayrıca, 5 günlük eğitim programları da sızma testi uzmanlığı için sunulmaktadır. Bu tür eğitimler, teorik ve pratik bilgileri kapsamaktadır.

Bilgi savut ifadesi, muhtemelen "bilgi güvenliği teknolojisi" anlamına gelmektedir. Bu alanda çalışanlar, aşağıdaki görevleri yerine getirirler: 1. Ağ Güvenliği: Bilgisayar ağlarını zararlı trafiğe karşı korur ve yetkisiz erişimi kontrol eder. 2. Siber Saldırı Önleme: Siber saldırıları tespit eder ve önler. 3. Veri Güvenliği: Verilerin şifrelenerek gizliliğinin korunmasını sağlar. 4. Güvenlik Politikaları: Kuruluşun bilgi güvenliği politikalarını belirler ve uygular. 5. Kullanıcı Eğitimi: Çalışanları bilgi güvenliği konusunda eğitir. Bu uzmanlar, bankacılık, sağlık, enerji gibi çeşitli sektörlerde ve ayrıca hükümet ve eğitim kurumlarında çalışabilirler.

Bilgi Güvenliği Yönetim Sistemi (BGYS) yönetim temsilcisi, ISO 27001 standardına göre şirket yönetimi tarafından atanan yetkili kişidir.

Sosyal mühendislik ve phishing arasındaki temel farklar şunlardır: 1. Kapsam ve Yöntem: Sosyal mühendislik, genel olarak insanları manipüle ederek bilgi veya erişim sağlama taktiklerini kapsayan geniş bir terimdir. 2. Hedef: Sosyal mühendislik, çeşitli hedeflere sahip olabilir; bunlar arasında sistemlere teknik olarak sızma, kimlik hırsızlığı veya karar alma süreçlerini etkileme yer alır. 3. Teknikler: Sosyal mühendislik, pretexting, baiting, tailgating gibi çeşitli teknikler kullanırken, phishing'de genellikle aldatıcı e-postalar, sahte web siteleri ve zararlı ekler kullanılır. 4. Risk Seviyesi: Her iki yöntem de ciddi riskler taşır, ancak phishing, güvenlik önlemlerini daha kolay aşabildiği için genellikle daha yüksek bir risk seviyesine sahiptir.

BGYS (Bilgi Güvenliği Yönetim Sistemi) yönetim temsilcisi aşağıdaki görevleri yerine getirir: 1. Planlama ve Risk Değerlendirmesi: BGYS'nin planlanması, risk seviyesinin belirlenmesi ve risk değerlendirme metodolojisinin belirlenmesi. 2. Kaynak Yönetimi: BGYS kurulumu için gerekli kaynakların sağlanması, kullanıcı yeteneklerinin iyileştirilmesi ve farkındalığın oluşturulması. 3. Dokümantasyon: BGYS uygulamalarının dokümantasyon gereksinimlerinin sağlanması. 4. Uygulama ve Yönetim: BGYS uygulamalarının yürütülmesi, değerlendirmelerin ve iyileştirmelerin sürekliliğinin sağlanması. 5. İç Denetim ve Yönetim Gözden Geçirme: İç denetimlerin yapılması, BGYS hedeflerinin ve yönetim gözden geçirme toplantılarının organize edilmesi. 6. Politika Güncellemesi: BGYS politika dokümanının güncellenmesi ve gözden geçirilmesi.

ISO 27001 ve KVKK aynı kavramlar değildir, ancak birbirleriyle ilişkilidirler. ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) standardıdır ve kuruluşların bilgi varlıklarını koruma ve yönetme amacını taşır. KVKK (Kişisel Verilerin Korunması Kanunu) ise kişisel verilerin işlenmesi, saklanması ve korunmasına ilişkin yasal düzenlemeleri içerir. Bu iki kavramın ortak noktaları arasında risk yönetimi, yasal uyumluluk ve denetim süreçleri yer alır.

BGY kısaltması, "Bilgi Güvenliği Yönetimi" (Information Security Management) anlamına gelir. BGY sıkı yönetim ifadesi, bu yönetimin uygulanması ve sürdürülmesi sürecini ifade edebilir. BGY süreci, bilgi güvenliğini sağlamak için aşağıdaki adımları içerir: 1. Politikaların ve prosedürlerin belirlenmesi: Bilgi güvenliği politikalarının ve prosedürlerinin oluşturulması ve dokümante edilmesi. 2. Risk yönetimi: Bilgi varlıklarının belirlenmesi, tehditlerin ve zafiyetlerin tespiti, risk değerlendirmesi ve gerekli önlemlerin alınması. 3. Eğitim ve farkındalık: Kullanıcılara bilgi güvenliği eğitimleri verilmesi ve süreç içerisinde farkındalık yaratma çalışmalarının yapılması. 4. Erişim kontrolü: Yetkisiz erişimi önlemek için erişim kontrol politikalarının oluşturulması. 5. İzleme ve inceleme: Bilgi güvenliği olaylarının izlenmesi ve kaydedilmesi, güvenlik ihlallerinin analiz edilmesi. Bu süreç, üst yönetim tarafından desteklenmeli ve sürekli iyileştirilmelidir.

Güvenlik Operasyon Merkezi (SOC) ekibinde genellikle aşağıdaki roller bulunur: 1. Güvenlik Analistleri: Ağları ve sistemleri izleyerek güvenlik tehditlerini tespit eder ve araştırırlar. 2. Olay Müdahale Uzmanları: Güvenlik olaylarına hızlı bir şekilde müdahale eder ve tehdidi hafifletmek veya ortadan kaldırmak için gerekli adımları atarlar. 3. Sistem Yöneticileri: Altyapının bakımını yaparak tüm sistemlerin sorunsuz ve güvenli çalışmasını sağlarlar. 4. Ağ Mühendisleri: Ağ altyapısını tasarlar, uygular ve troubleshoot ederler. 5. Tehdit Avcıları: Otomatik araçlar tarafından tespit edilemeyen gelişmiş tehditleri belirler ve bunlara yanıt verirler. 6. Adli Analistler: Saldırıların kök nedenlerini belirlemek için olay sonrası inceleme yaparlar. Ayrıca, SOC ekibinde yöneticiler ve uyum analistleri gibi diğer uzmanlık alanlarına sahip kişiler de yer alabilir.

Log kaydı, elektronik ortamda yapılan sözleşmelerin imzalanmasında delil başlangıcı olarak kabul edilebilir. Ayrıca, 5651 Sayılı Kanun ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı gibi düzenlemeler, log kaydı tutmayı zorunlu hale getirmiştir.

InfoSec (Bilgi Güvenliği), bilgi ve veri varlıklarını yetkisiz erişim, ifşa, kullanım, değişiklik veya yıkımdan koruma işiyle uğraşır. InfoSec profesyonellerinin bazı görevleri: Risk değerlendirmesi: Güvenlik açıklarını ve tehditleri belirlemek. Olay müdahalesi: Güvenlik ihlallerini tespit etmek, kontrol altına almak ve ortadan kaldırmak. Vulnerabilite yönetimi: Sistem ve süreçlerdeki zayıf noktaları belirlemek ve azaltmak. Uygulama güvenliği: Yazılım ve uygulamaları dış tehditlere karşı korumak. Fiziksel güvenlik: Tesislere, cihazlara ve kağıt kayıtlara yetkisiz erişimi engellemek. InfoSec, siber güvenlik ve altyapı güvenliği gibi alt kategorileri de içerir.

Aile ve Sosyal Hizmetler Bakanlığı'nın bilgi güvenliği politikası, elektronik ortamlardaki bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla belirlenmiştir. Bu politika kapsamında: Kullanıcı sorumlulukları tanımlanmıştır. Ağ ve sistem güvenliği önlemleri alınmıştır. Sosyal medya kullanımı için kurallar belirlenmiştir. Siber olaylara müdahale için Siber Olaylara Müdahale Ekibi (SOME) oluşturulmuştur. Bakanlık, bilgi güvenliği politikalarını uygulamak için Bilgi Teknolojileri Genel Müdürlüğü'ne yetki vermiştir.

CISA sınavı yılda iki kez yapılır: Haziran ve Aralık aylarında.

Phishing ve spear phishing arasındaki temel farklar şunlardır: 1. Hedef Kitle: - Phishing: Geniş bir kitleye genel olarak gönderilen, binlerce kişiye aynı e-postanın gönderildiği bir saldırı yöntemidir. - Spear Phishing: Belirli bireyleri veya kuruluşları hedef alır ve her bir e-posta, o kişiye özel olarak hazırlanır. 2. Kişiselleştirme: - Phishing: Genel selamlar kullanır, az kişiselleştirme içerir ve genellikle "Sayın Müşteri" gibi ifadeler bulunur. - Spear Phishing: Alıcının adını, iş unvanını veya şirket bilgilerini kullanarak e-postayı daha inandırıcı hale getirir. 3. Amaç: - Phishing: Genellikle şifreler, kredi kartı detayları gibi kişisel bilgileri çalmayı veya kötü amaçlı yazılım yaymayı hedefler. - Spear Phishing: Daha yüksek değerli hedeflere odaklanır, kurumsal sistemlere erişim, gizli iş verileri veya finansal dolandırıcılık gibi. 4. Karmaşıklık: - Phishing: Daha kolay tespit edilir, çünkü yazım hataları, gramer yanlışları ve şüpheli bağlantılar gibi belirgin özellikler içerir. - Spear Phishing: Daha sofistike sosyal mühendislik taktikleri kullanır ve tespit edilmesi daha zordur.

SSL ses kartı ifadesi, doğrudan bir anlam taşımaz. Ancak, "SSL" terimi genellikle Secure Sockets Layer (Güvenli Giriş Katmanı) ile ilişkilendirilir ve bu, veri iletiminin şifrelenmesi ve güvenliğinin sağlanması için kullanılan bir protokol anlamına gelir. SSL'nin ses kartlarıyla doğrudan bir işlevi yoktur. SSL, genellikle web siteleri ve sunucular arasındaki iletişimde güvenlik sağlamak için kullanılır ve bu, internet kullanıcılarının verilerinin güvende olduğunu bilmelerini sağlar.