Upload
emrah-guercan
View
735
Download
5
Embed Size (px)
Citation preview
Bilgi Sistemleri ve Güvenliği
Hafta 2
İçerik
• CISO• GRC kavramı– Governance/Risk Management/Compliance– Kontrol/Risk Yönetimi/Uyum
• Bir organizasyon için bilgi güvencesi planı (Information Assurance Plan; NIST)
• Tradeoff / RMMM
Kısa bir değerlendirme
• Kaç kişi herhangi bir hırsızlık problemi yaşadı• Kaç kişi kredi kartı ile alakalı bir problem
yaşadı• Kaç kişinin şifresi çalındı• Kaç kişi istenmeyen e-posta aldı
Önemli üç devrim
Özellik Tarım Çağı Endüstri Çağı Bilgi Çağı
Zenginlik Toprak Sermaye Bilgi
İlerleme Fetih İcat Paradigmayı değiştirme
Zaman Gün/mevsim Fabrika çalışma zamanı
Time zone
Çalışma Alanı Tarla Sermaye araçları
Network
Organizasyon Yapısı
Aile Kurum İş birlikleri
Araçlar Saban, kürek Makinalar Bilgisayarlar
Bilgi Genelleşmiş Özelleşmiş Disiplinler arası
Öğrenme Bireysel Sınıfta On-line
Güvenlik ve Gizlilik
Bilgi Sistemleri Güvenliğinin Gelişimi
Kale Savunması
Teknik Güvenlik
• Amaçlarınızı gerçekleştirmek için neleri uygulamanız gerektiğini sorgulayın
• Tüm amaçlarınızın hepsini gerçekleştirdiğinizi kontrol ediniz
• Uygulamaların doğru çalıştığından emin olun• Yüklemelerin ve denetlemelerin doğru
çalıştığından emin olun
Bireysel Stratejiler
• Tehlikelerin farkında olmak• Çok katmanlı bir savunma mekanizması oluşturmak
– Çoklu araçlar– Yama programları– Güncellemeler
• Sosyal medyada gizlilik seçeneklerini iyi değerlendirmek
• Verilerinizin nerede olduğundan emin olun• Kötü çocuk gibi düşünün• Çocukların erişilebilirliğinin sınırlayın
Tanımlar
• Confidentiality – Gizlilik– Bilgi ne anlama geliyor
• Integrity – Bütünlük– Değişim olmadığı doğrulanabiliyor mu?
• Availability – Geçerlilik– İhtiyaç duyulduğunda bilgiye erişilebiliyor mu ?
Ek özellikler• Non-repudiation – İnkar edememe• Authentication -Yetkilendirme
Tanımlar Araçlar Bağımlılıklar
Confidentiality Bilgi veya kaynağın gizlenmesi
• Şifreleme• Erişim kontrolü
• Sisteme olan güven
• Varsayımlar
Integrity • Yetkilendirme• Veri bütünlüğü
• Önleme• Tespit etme
• Kaynak hakkında varsayımlar
• Kaynağın güvenilirliği
Availability • Bilginin kullanılabilirliği
• Sistem tasarımı• Kullanıcının
istatistiksel modelleri
• İstatistiksel modelin doğruluğu
• ID anormallikleri
CIA Kontrol
Sorular ???