bga sunumu - 15 kasım 2012

Üniversitelerde Bilgi Güvenliğinin Önemi

15 Kasım 2012Hacı OĞUZ

Abdullah Gül Üniversitesi Bilgi İşlem Daire Başkanlığı

30 Ocak 13 Çarşamba

- Bilgi Nedir?- Bilgi Güvenliği Nedir?- Neden Bilgi Güvenliği?- AGÜ’de Bilgi Güvenliği- Güvenlik Problemi ve Çözüm Yaklaşımı- Nasıl Bir Yol İzlenebilir?- İdari Önlemler- Teknolojik Önlemler- Eğitim- Üniversitelerde Uygulama- Sonuç

İçerik


Bilgi, işlenmiş “veri”Bilgi Nedir?

Veri bir ham (işlenmemiş) gerçek ya da bilgi parçacı


http://tr.wikipedia.org/wiki/Enformasyon




123






125002741350




Bilgi Güvenliği Nedir?


Bilgilerin izinsiz erişimi, kullanımı, ifşası, yok edilmesi, değiştirilmesi veya hasar verilmesinden koruma



Bilgilerin izinsiz erişimi, kullanımı, ifşası, yok edilmesi, değiştirilmesi veya hasar verilmesinden koruma


Gizlilik: Bilgilerin yetkisiz erişime karşı korunmasıBütünlük: Bilgilerin eksiksiz, tam, tutarlı ve doğru olmasıKullanılabilirlik: Bilgilere yetkili kişiler tarafından ihtiyaç duyulduğunda erişilebilir olması (TS ISO/IEC 27001:2005 Bilgi Güvenliği Yönetim Sistemi Standardı)


Neden Bilgi Güvenliği?


Bilgi bir kurumun en değerli varlıklarından biridir.



Bilgi bir kurumun en değerli varlıklarından biridir.


Kurumsal itibarİş sürekliliğiBilgi kaynaklarına güvenli erişimFarkındalıkKötü amaçlı kullanımın engellenmesiDenetlenebilirlikBilinçsiz ve dikkatsiz kullanımdan kaynaklı arıza ve problemler


Üniversiteler İçin Bilgi Güvenliği Gerektiren Servisler


Üniversiteler İçin Bilgi Güvenliği Gerektiren ServislerKullanıcı Doğrulama ve Yetkilendirme Bilgi SistemiKurum tarafından sağlanan hizmetlerin erişim ve yetkilendirme için gerekli olan verilerin tutulduğu merkezi bilgi sistemiÖğrenci Bilgi SistemiÖğrenci ile ilgili tutulan özlük, akademik, disiplin, burs v.b. Personel ve Maaş Bilgi SistemiPersonel özlük, kariyer ve ödeme (maaş, ek ödeme, ek ders) v.b. Akademik Bilgi SistemiAkademik çalışma, araştırma ve proje v.b.Elektronik Posta Kişilere özel ve sadece kişilerin erişmesi gereken verilerin güvenliğiKimlik Paylaşım Sistemiİçişleri Bakanlığı ile Kurum arasında yapılan protokol gereği erişim güvenliğiWeb HizmetleriKurum Web Sayfası, Birimlerin Web Sayfaları, Kişisel Web Sayfaları, FTP


Çözüm yaklaşımıGüvenlik Problemi

Kullanım hatalarıKötüye kullanımSosyal mühendislikBilişim suçları

Dış Saldırılar (%20-30)Çalışanların Sorumlu Olduğu Olaylar (%70-80)





Aksayan işleyişYanlış sonuçlarMaddi/manevi kayıplar






İstek






İstek Bilgi Birikimi






İstek Bilgi Birikimi Yetenek


Nasıl Bir Yol İzlenebilir?


İdari önlemler, teknolojik önlemler, eğitim Nasıl Bir Yol İzlenebilir?



İdari önlemler;1. Risk yönetimi2. Güvenlik politikaları3. Standartlar, yönergeler ve prosedürler4. Güvenlik denetimleri




Teknolojik önlemler;1. Fiziksel güvenlik 2. Kriptoloji 3. Firewall4. Yedekleme5. Saldırı tespit sistemleri




Teknolojik önlemler;1. Fiziksel güvenlik 2. Kriptoloji 3. Firewall4. Yedekleme5. Saldırı tespit sistemleri

Eğitim;FarkındalıkEğitim şart


İdari Önlemler


İdari ÖnlemlerRisk Yönetimi


İdari ÖnlemlerRisk Yönetimi

Temel amaçlar;- Risklerin belirlenmesi - Tehditlerin potansiyel etkisinin belirlenmesi - Riskin gerçekleşmesi durumunda getireceği zararla, bu riskten korunmak için seçilecek tedbir arasında ekonomik bir denge kurulması


İdari Önlemler


Güvenlik Politikasıİdari Önlemler



Politika “Bir kurumun değerli bilgilerinin yönetimini,korunmasını, dağıtımını ve önemli işlevlerininkorunmasını düzenleyen kurallar ve uygulamalarbütünüdür.”



“Politikası olmayan kurum, nereye gideceğinibilmeyen insana benzer.” [Branstad, 1997]

Politika “Bir kurumun değerli bilgilerinin yönetimini,korunmasını, dağıtımını ve önemli işlevlerininkorunmasını düzenleyen kurallar ve uygulamalarbütünüdür.”


İdari Önlemler


Güvenlik Politikası Kısımlarıİdari Önlemler


Güvenlik Politikası Kısımlarıİdari Önlemler

Genel AçıklamaPolitikayla ilgili gerekçeler ve buna bağlı risklerin tanımı

AmaçNeden bçyle bir politika

KapsamUyması gerekenler (ilgili grup ve/veya kurum) ve bilgi varlıklarının tanımı

PolitikaUygulanması ve uyulması gereken kural ve politikalar

Cezai Yaptırımlarİhlal durumlarında uygulanacak yaptırımlar

TarihçeHangi tarihte neden değişiklik yapıldı


Bilgi Güvenlik Politikası Çeşitleri


Bilgi Güvenlik Politikası Çeşitleriİdari Önlemler


Gizlilik politikasıBütünlük politikasıKullanılabilirlik politikasıTicari güvenlik politikası

Bilgi Güvenlik Politikası Çeşitleriİdari Önlemler


İdari Önlemler


Standartlar, Yönergeler ve Prosedürlerİdari Önlemler


Standartlar, Yönergeler ve Prosedürlerİdari Önlemler

Standartlar,bilgi güvenliği standartları kullanılmalıdırYönergeler,standartlarda yeterince açık olmayan "gri alanlar" açıklığa kavuşturulur

• kanunların karşısında olmamalıdır,

• kurum özellikleri dikkate alınarak geliştirilmelidir,

• ilişkilendirilip bir bütün haline getirilmelidir,

• zaman içinde değişiklik gerektirir,

• uygulatılabilirse başarılı olur

Prosedürler, belli bir işi gerçekleştirmeye yardımcı olmak amacıyla hazırlanmış olan ve atılacak


İdari Önlemler


Güvenlik Denetimleriİdari Önlemler


Güvenlik Denetimleriİdari Önlemler

Sürekli devam eden etkin güvenlik politikalarının tanımlanması ve korunması

- Şifreleri kırmak zor mu? - Denetleme günlükleri var mı? - Her bir sistem için bütün gereksiz uygulamalar ve bilgisayar hizmetleri elimine edildi mi?


Teknolojik Önlemler


Teknolojik ÖnlemlerDonanımsal, yazılımsal çözümler


Teknolojik ÖnlemlerDonanımsal, yazılımsal çözümler

Fiziksel Güvenliksistem odası, ağ aktif cihazlarının istenmeyen ve/veya kontrolsüz erişimlere karşı fiziki güvenliği, Kriptoloji, Şifrelemehaberleşen iki veya daha fazla tarafın bilgi alışverişinin güvenli olarak gerçekleşmesini sağlayan tekniklerin ve uygulamalarFirewall (Güvenlik Duvarı),Internet, güvensiz bir ağdır. Bir güvenlik duvarı ağ ile Internet gibi herkesin kullanımına açık ağ arasında güvenlik sağlar. Yedekleme,veri/bilgilerin geri dönülemez biçiminde kaybolmasını engellemek amacıyla birden fazla kopya halinde bulundurulmasıSaldırı Tespit Sistemleri saldırgan profilleri ve saldırı çeşitleri tespiti


Eğitim


Eğitim

Eğitim şart- İnsan faktörü,bilgi güvenliği bilinci ve farkındalığı olmayan insanlar bu güvenlik sürecini aksatacaktır.- Dış saldırı %20-30 çalışan hatası %70-80 bilgi güvenliği ihlali olayları genellikle kurum çalışanları tarafından yapılmıştır


Üniversitelerde Uygulama


Üniversitelerde UygulamaNeler yapmalı?



- Bilinçlendirme Etkinlikleri- Sürekli Eğitim- Politika Temelli Yönetim- Güvenlik Çalışmaları

Neler yapmalı?


Politika Geliştirme EkibiÜniversitelerde Uygulama


Politika Geliştirme EkibiÜniversitelerde Uygulama

- Üst Yönetimden (Rektör Yardımcısı)- İnsan İlişkilerinde Tecrübeli Akademik Kişi- Yönetmelikler Konusunda Tecrübeli İdari Kişi- Güvenlik Alanında Uzman Bir Kişi


Politika Geliştirme YöntemiÜniversitelerde Uygulama


Politika Geliştirme YöntemiÜniversitelerde Uygulama

- Prensiplerden yola çıkmalı- Diğer üniversitelerin tecrübelerindan yararlanılmalı- Geri beslemeye açık politika temelli yönetim (öğrenebilen sistemler)- Uygulanabilir ve uygulatılabilir bir politika


AGÜ’de Bilgi Güvenliği


Yeni yapılanan bir üniversite olarakAGÜ’de Bilgi Güvenliği


Yeni yapılanan bir üniversite olarakAGÜ’de Bilgi Güvenliği

Neler yaptık?İnceleme ve Araştırma: Yurtiçi ve yurtdışı üniversite ziyaretleri

Neler yapılmalı?Problem tespiti: Güvenlik ProblemiÇözüm yaklaşımı: Bilgi Güvenliği Politikaları


Sonuç


Sonuç- Bilgi güvenliği dinamik bir süreç, mutlaka olmalı- Sadece teknoloji ile sağlanamaz- Eğitim şart- Uluslarası standartlara uygunluk- Uygulanabilir ve denetlenebilirlik- En zayıf halka kadar güvende olabiliriz...


Teşekkürler


Teşekkürler

Kaynakça - ÖDTÜ, Bilgi Güvenliği (http://security.metu.edu.tr/Documents/Bilgi%20Guvenligi.html)- Stanford ITS, UC Berkeley IST - ISO 27001 Standardı Çerçevesinde Kurumsal Bilgi Güvenliği- Wikipedia- BİLGEM- İYTE, Yrd. Doç. Dr. Tuğkan Tuğlular


http://security.metu.edu.tr/Documents/Bilgi%20Guvenligi.html




Teşekkürler

Kaynakça - ÖDTÜ, Bilgi Güvenliği (http://security.metu.edu.tr/Documents/Bilgi%20Guvenligi.html)- Stanford ITS, UC Berkeley IST - ISO 27001 Standardı Çerçevesinde Kurumsal Bilgi Güvenliği- Wikipedia- BİLGEM- İYTE, Yrd. Doç. Dr. Tuğkan Tuğlular

İletişimHacı OĞUZ

Bilgi İşlem Daire BaşkanıAbdullah Gül Üniversitesi

[email protected]/hacioguz

linkedin.com/in/hacioguz






mailto:[email protected]

mailto:[email protected]

bga sunumu - 15 kasım 2012

Technology