bilgi sistemleri ve güvenliği 2

Bilgi Sistemleri ve Güvenliği

Hafta 2

İçerik

• CISO• GRC kavramı– Governance/Risk Management/Compliance– Kontrol/Risk Yönetimi/Uyum

• Bir organizasyon için bilgi güvencesi planı (Information Assurance Plan; NIST)

• Tradeoff / RMMM

Kısa bir değerlendirme

• Kaç kişi herhangi bir hırsızlık problemi yaşadı• Kaç kişi kredi kartı ile alakalı bir problem

yaşadı• Kaç kişinin şifresi çalındı• Kaç kişi istenmeyen e-posta aldı

Önemli üç devrim

Özellik Tarım Çağı Endüstri Çağı Bilgi Çağı

Zenginlik Toprak Sermaye Bilgi

İlerleme Fetih İcat Paradigmayı değiştirme

Zaman Gün/mevsim Fabrika çalışma zamanı

Time zone

Çalışma Alanı Tarla Sermaye araçları

Network

Organizasyon Yapısı

Aile Kurum İş birlikleri

Araçlar Saban, kürek Makinalar Bilgisayarlar

Bilgi Genelleşmiş Özelleşmiş Disiplinler arası

Öğrenme Bireysel Sınıfta On-line

Güvenlik ve Gizlilik

Bilgi Sistemleri Güvenliğinin Gelişimi

Kale Savunması

Teknik Güvenlik

• Amaçlarınızı gerçekleştirmek için neleri uygulamanız gerektiğini sorgulayın

• Tüm amaçlarınızın hepsini gerçekleştirdiğinizi kontrol ediniz

• Uygulamaların doğru çalıştığından emin olun• Yüklemelerin ve denetlemelerin doğru

çalıştığından emin olun

Bireysel Stratejiler

• Tehlikelerin farkında olmak• Çok katmanlı bir savunma mekanizması oluşturmak

– Çoklu araçlar– Yama programları– Güncellemeler

• Sosyal medyada gizlilik seçeneklerini iyi değerlendirmek

• Verilerinizin nerede olduğundan emin olun• Kötü çocuk gibi düşünün• Çocukların erişilebilirliğinin sınırlayın

Tanımlar

• Confidentiality – Gizlilik– Bilgi ne anlama geliyor

• Integrity – Bütünlük– Değişim olmadığı doğrulanabiliyor mu?

• Availability – Geçerlilik– İhtiyaç duyulduğunda bilgiye erişilebiliyor mu ?

Ek özellikler• Non-repudiation – İnkar edememe• Authentication -Yetkilendirme

Tanımlar Araçlar Bağımlılıklar

Confidentiality Bilgi veya kaynağın gizlenmesi

• Şifreleme• Erişim kontrolü

• Sisteme olan güven

• Varsayımlar

Integrity • Yetkilendirme• Veri bütünlüğü

• Önleme• Tespit etme

• Kaynak hakkında varsayımlar

• Kaynağın güvenilirliği

Availability • Bilginin kullanılabilirliği

• Sistem tasarımı• Kullanıcının

istatistiksel modelleri

• İstatistiksel modelin doğruluğu

• ID anormallikleri

CIA Kontrol

Sorular ???