• Buradasın

    ISO 27001 Bilgi Güvenliği Yönetim Sistemi Eğitimi

    youtube.com/watch?v=9PwlXIzIf98

    Yapay zekadan makale özeti

    • Bu video, ODTÜ'de çalışan İbrahim Bey tarafından sunulan, COVID-19 sonrası online ortamda gerçekleştirilen bir eğitim sunumudur. Konuşmacı, üniversitenin ISO 27001 bilgi güvenliği yönetim sistemi sertifikasına sahip olduğunu ve bu sistemin nasıl uygulandığını anlatmaktadır.
    • Eğitim, siber güvenlik konusunu ele alarak günümüzdeki siber saldırıların nedenleri, türleri ve örnekleri hakkında bilgi vermektedir. Sunumda fidye yazılımları, oltalama saldırıları, DDoS saldırıları, SQL injection gibi yaygın saldırı türleri anlatılmakta ve Türkiye'de en çok karşılaşılan saldırı tipleri açıklanmaktadır. Ayrıca, KVKK çalışmaları, zafiyet taraması yazılımları, kaynak kod analizi yazılımları ve yetkili kullanıcıları izleme yazılımları gibi güvenlik önlemleri de ele alınmaktadır.
    • Eğitim içeriğinde parola güvenliği, güvenli cihaz kullanımı, güvenli protokoller, yazılım kullanımı, yedekleme ve kişisel verilerin korunması gibi konular detaylı olarak işlenmektedir. Video, sosyal ağlarla ilgili güvenlik önerileri ve soru-cevap bölümüyle sonlanmaktadır. Sunumun kaydedileceği, altyazılı ve PDF formatında paylaşılacağı bilgisi de verilmektedir.
    00:09ISO 27001 Bilgi Güvenliği Yönetim Sistemi
    • 2013 yılından beri ISO 27001 bilgi güvenliği yönetim sistemi standardı bilgi işlem alanında uygulanmaktadır.
    • Bu standardın gerekliliklerinden biri olan bilgi güvenliği her sene konferans veya web üzerinden düzenlenmektedir.
    • Bu eğitim, sağlık açısından tehlikeli olduğu için online ortamda gerçekleştirilecektir.
    01:09Siber Dünyada Güvenlik Önemi
    • Günümüzde her şey siber dünyada gerçekleşmekte ve COVID-19 sonrası bu alan giderek daha fazla önem kazanmaktadır.
    • Bankacılık, e-devlet ve alışveriş işlemlerinin çoğunun internet üzerinden yapılması, güvenlik tedbirlerine dikkat etmeyi daha da önemli kılmaktadır.
    • Saldırılar bilgi edinmek, çalmak, para kazanmak veya kurumların itibarını zedelemek için yapılmaktadır.
    02:20Saldırı Türleri
    • En çok karşılaşılan saldırı türleri kötü amaçlı yazılımlar (solucan, virüs, truva), oltalama saldırıları, DDoS saldırıları ve SQL injection gibi saldırılardır.
    • Ransomware (fidye yazılımı) saldırıları, bilgisayar dosyalarını şifreleyip fidye isteyen saldırılardır.
    • Dark Hotel saldırısı, ünlü kişilerin otellerini sızarak kablosuz ağ yayınlarını kötü niyetli kişilerin ağı üzerinden yayın yaparak internet faaliyetlerini izlemeyi amaçlayan saldırıdır.
    05:13Güncel Saldırılar
    • SolarWinds saldırısında Twitter'da ünlü kişilerin ve kurumsal hesapların ele geçirilmesi gerçekleşmiştir.
    • Düsseldorf Hastanesi'ndeki veriler ransomware saldırısı sonucu şifrelenmiş ve hastaların tedavi uygulanamaması sonucu bir hastanın hayatını kaybetmesi olmuştur.
    • Spotify kullanıcılarının şifreleri kaybedilmiş ve Finlandiya'da bir psikiyatri enstitüsüne yapılan saldırıda hasta kayıtları çalınmıştır.
    06:51Türkiye'de Karşılaşılan Saldırılar
    • Türkiye'de en çok karşılaşılan saldırılar fidye yazılımları ve oltalama saldırılarıdır.
    • Oltalama saldırılarında bilgisayar kamerasının açılması ve görüntülerin paylaşılması tehdidiyle para istenmektedir.
    • Fidye yazılımlarında bilgisayara indirilen yazılım sayesinde tüm dosyaların şifrelenmesi ve şifreyi vermek için para istenmesi söz konusudur.
    08:10Saldırı Hedefleri ve Önlemler
    • Saldırılar genellikle kamu kurumlarına, firmalara ve üniversitelere yönelik olmakla birlikte kişilere yönelik de olabilmektedir.
    • Ankara Üniversitesi'nin Twitter hesabı kırılmış ve ODTÜ'de DDoS saldırısı yaşanmıştır.
    • Türkiye'de siber olaylarla ilgili Ulusal Siber Olaylara Müdahale Merkezi liderlik yapmakta ve 56-51 sayılı kanun hala yürürlüktedir.
    • Son 2-3 senede yürürlüğe giren 66-98 sayılı Kişisel Verileri Koruma Kanunu, siber olaylarla ilgili güvenlik önlemleri ve kişilerin hakları konusunda bilgi içermektedir.
    12:06Bilgi Güvenliği Yönetim Sistemi
    • Kurum, bilgi güvenliği yönetim sistemi sertifikası kapsamında yeni bir yazılım geliştirmiş ve dört birim için risk haritası oluşturabilmektedir.
    • Siber olayları müdahale ekibi bulunmakta ve her sene güvenlik yatırımları artmaktadır.
    • Zafiyet taraması, kaynak kod analizi ve yetkili kullanıcıları izleme yazılımları alınmıştır.
    13:05KVKK Çalışmaları
    • 2020 yılında KVKK (Kişisel Verileri Koruma Kanunu) çalışmaları en önemli çalışma olmuştur.
    • Aydınlatma metinleri oluşturulmuş, açık rızalar ortaya çıkmış ve kişisel veri envanteri derlenmiştir.
    • Kurum, Kişisel Verileri Koruma Kurumu'na kaydını yapmıştır.
    13:42Güvenlik Etkinlikleri
    • Rutin olarak 7/24 sistemler izlenmekte, periyodik güvenlik taramaları yapılmakta ve bilinçlendirme etkinlikleri düzenlenmektedir.
    • Sosyal mühendislik testleri yapılmakta ve aldatma e-postaları gönderilmektedir.
    • Videolar hazırlanmakta ve bu sene geliştirilmesi planlanmaktadır.
    14:12ISO 27001 Bilgi Güvenliği Yönetim Sistemi
    • ISO 27001, bilgi işlem, kütüphane dokümantasyon, personel ve öğrenci işleri daire başkanlıkları tarafından uygulanmaktadır.
    • Bu sistem bir risk yönetim sistemidir ve üst yönetimden gelen istekle uygulanmalıdır.
    • Süreç tabanlı ve risk tabanlıdır, teknoloji veya marka önermez ve bilişim kurumlarına özgü değildir.
    15:37ISO 27001 Sisteminin Çalışma Prensibi
    • Sistemde süreç ve sorumlular belirlenir, varlıklar ortaya çıkarılır ve varlık sorumluları belirlenir.
    • Varlık sorumluları ile yapılan görüşmeler sonucunda tehditler ortaya çıkar ve risklerin etkileri belirlenir.
    • Risk çözümleri için sorunlar tanınır ve üst yönetimin onayı ile uygulanmaya başlanır.
    16:25KVKK Komisyonu
    • 66,98 sayılı Kişisel Verileri Koruma Kanunu ile ilgili bir komisyon oluşturulmuştur.
    • Komisyonda 14 kişi bulunmakta, bunların 4'ü rektör yardımcısı ve danışmanıdır.
    • KVKK metro web sitesi hazırlanmış, aydınlatma metinleri bulunmakta ve KVKK ile ilgili sorular bu komisyon tarafından yanıtlanmaktadır.
    17:13Bilgi Güvenliği Gerçekleri
    • Her 2,5 saniyede bir zararlı yazılım ortaya çıkmaktadır.
    • Kurumlar güvenlik ihlallerinin sadece üçte birine kendileri fark edebilmekte, üçte ikisini ise bildirim olduğu zaman fark etmektedir.
    • Kurumlar güvenlik ihlallerini ortalama 229 günde fark etmekte ve 180 günde etkileri bertaraf edebilmektedir.
    18:01Saldırı İstatistikleri
    • Yaklaşık altı ayda saldırıların %76'sı istemci tarafından oluşmaktadır.
    • Saldırılarda genellikle birden fazla istemci kullanılmaktadır.
    • Bir kullanıcı bilgisayarı ele geçirdikten sonra diğer istemciler de ele geçirilip bir araya getirilerek saldırı için kullanılmaktadır.
    18:35Kişisel Güvenlik Önerileri
    • Fiziksel güvenlik için odanın kapısının kilitlenmesi, bilgisayarlarda parola ekran koruyucu olması gerekmektedir.
    • Gizli dökümanların kilitli ortamda olması, faks makineleri ve yazıcıların başının boş bırakılmaması önemlidir.
    • Hassas bilgi içeren belgelerin basıldıktan sonra hemen alınması, masaüstünde hassas bilgi içeren döküman olmaması ve ekranların sadece kullanıcı tarafından görülebilir olması önerilmektedir.
    20:40Parola Güvenliği
    • Parolaların stickerları yapıştırıp ekranın kenarına asılmaması gerekmektedir.
    • Ekranların mümkünse sadece kullanıcı tarafından görülebilir olması veya olabildiğince bedenle kapatılması önemlidir.
    • Kullanım ömrü dolan medyaların veya dökümanların güvenli şekilde imha edilmesi ve parolaların ortada bırakılmaması, başkasıyla paylaşılmaması, sık sık değiştirilmesi önerilmektedir.
    21:21Güvenli Parola Kullanımı
    • Yakın gelecekte ideal personel için parola değiştirme e-postası gönderilecek, yılda bir defa parolaların değiştirilmesi öneriliyor.
    • Güvenli parola büyük harf, küçük harf, rakam ve özel karakterlerden oluşmalı, kolay tahmin edilebilir olmamalı ve en az altı karakterden oluşmalı.
    • Parolaları ezberleyemeyenler için, aklında kalacak kelimeleri bozarak parola üretmek öneriliyor, örneğin "İzmir Karşıyaka" bilgisini bozarak güvenli bir parola oluşturulabilir.
    23:46Çoklu Hesaplar İçin Parola Yönetimi
    • Birden fazla hesapta parola kullanırken, her hesap için farklı bir algoritma belirlemek gerekiyor.
    • Örneğin "1979 İzmir" kalıp olarak alınarak, Gmail için sesli harfler, Spotify için ilk üç sesli harf gibi farklı hesaplar için farklı parolalar oluşturulabilir.
    • Herkesin bildiği algoritmaları kullanmak yerine, kendi algoritmanızı bulmanız öneriliyor.
    24:44Güvenli Cihaz ve Protokol Kullanımı
    • Güvenli cihaz kullanımı önemlidir, özellikle işle ilgili işlemler bildiğiniz güvenilir cihazlardan yapılmalıdır.
    • Zorunlu durumlarda internet kafesindeki bilgisayardan işlem yapıldığında, işlem tamamlandıktan sonra parolanın değiştirilmesi önerilir.
    • Güvenli protokoller kullanılmalı, e-postalar için IMAP yerine IMAP kullanılmalı ve HTTPS bilgisi olmayan web sitelerine kullanıcı adı ve parola girilmemelidir.
    25:58Güvenli Erişim Yöntemleri ve Yazılım Kullanımı
    • Starbucks gibi yerlerde bedava WiFi kullanırken dikkatli olunmalı, çünkü yetkili kişilerin WiFi yayınına bağlanıp zararlı web sitelerine veri girişinde bulunulabilir.
    • Güvenli yazılım kullanılmalı, ODTÜ'de lisanslanan yazılımlar tercih edilmeli ve kırık yazılımlar indirilmemelidir çünkü içinde her zaman zararlı yazılım bulunur.
    • Yazılımların güncellenmesi önemlidir, özellikle flash yazılımı gibi artık güncellenmeyen yazılımlar bilgisayardan kaldırılmalıdır.
    27:40E-posta Güvenliği
    • E-postaların güvenilirliğini kontrol etmek için, e-postanın gerçek adresine dikkat edilmelidir.
    • E-postadaki linklerin üzerine mouse getirildiğinde, linkin yönlendirdiği adresin gerçek adresle aynı olup olmadığı kontrol edilmelidir.
    • ODTÜ'den gelen oltalama e-postalarında, ODTÜ'nün sizi yönlendirmeyeceği adresler bulunabilir.
    29:30Yedek Alma ve Kişisel Verilerin Güvenliği
    • Disk arızalanması veya zararlı yazılımlar tarafından şifrelenmesi durumunda verilerin kaybolması mümkündür, bu durumdan kurtulmanın tek yolu yedek almaktır.
    • Yedek alma planlı olmalı ve yedekler başka bir ortama alınmalıdır, sürekli takılı olan USB'ler yerine arada takılan USB'ler veya kurumun tanımladığı kişisel alanlar kullanılabilir.
    • Yedeklerin geri dönüşümü test edilmelidir, aksi takdirde yedeklerin içindeki veriler kaybolabilir.
    31:25Kişisel Verilerin İşlenmesi
    • Kişisel verilerin güvenliği iki taraftan oluşur: kişisel verilerin işlenmesi ve erişilen kişisel verilerin korunması.
    • Açık rıza metinlerini okumadan onaylamamak ve hizmetten faydalanabilmek için açık rıza vermek gerekir.
    • Kişisel verilerin işlenmesi ile ilgili bilgi istendiğinde, resmi yazıyla veya savcılık kanalıyla olmayan durumlarda veri verilmemelidir.
    34:04Sosyal Ağ Güvenliği Önerileri
    • Twitter ve Facebook gibi sosyal ağ hesaplarının kırılabilmesi, ilişkili uygulamaların kırılması sonucu gerçekleşebilir.
    • ODTÜ'nün Twitter hesabını yönetirken "login verification" özelliği kullanılıyor; paylaşım yapmak için SMS ile gelen pin kodu girmek gerekiyor.
    • Facebook'ta "facebook approvel" özelliği ve bildirim giriş bildirimlerine giriş yapılan yerleri gösteren özellikler bulunuyor.
    35:42Paylaşım ve Kaynak Bilgileri
    • Kimlerle paylaşım yapıldığına dikkat edilmeli, özel gruplar oluşturulabilir.
    • Sunumda kullanılan kaynaklar ilgi çekici olanlar için okunabilir.
    • Bilgi güvenliği ile ilgili sorular için cct reset etme.tr adresine e-posta veya telefonla ulaşılabilir.
    36:56Sunum Kayıt ve Kapanış
    • Sunum altyazılı olarak security.cc tr adresine kaydedilecek ve linki paylaşılacak.
    • Sunumun PDF versiyonu da aynı adrese eklenecek.
    • Konuşmacı, katılımcıların vakit ayırdıkları için teşekkür ediyor ve sağlıklı günler diliyor.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor