SlideShare a Scribd company logo

Bilgi guvenligi acikliklarinin kok nedenleri

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Yöneticiler için bilgi güvenliği açıklıklarının kök nedenleri

Internet
1 of 13
YÖNETİCİLER İÇİN blog.btrisk.com @btrisk /btrisktv /btrisk BİLGİ GÜVENLİĞİ AÇIKLIKLARININ KÖK NEDENLERİ
BTRİSK HAKKINDA TANIŞMA Pentest & BT Denetimi ISO27001 Danışmanlık Hizmetleri BG Operasyon Hizmetleri
SUNUMUN AMACI Bu sunumu yöneticilerin; • Kurumlarının ve müşterilerinin bilgilerini çaldırdıklarında, • Bilgi sistemleri üzerinden para ve itibar kaybına uğratıldıklarında, • Verilerini kaybettiklerinde, • Hizmet kesintisine uğradıklarında ve bu nedenlerle işlerinden olmaya çok yaklaştıklarında bir 5 dk'larını ayırıp okumaları için hazırladık.
İKİ PROFİL – İKİ BAKIŞ AÇISI • Bellek taşma açıklıkları sayesinde hedef bilgisayarda istediğiniz kodu çalıştırma • Web uygulamaları SQLi, dosya yükleme, herhangi bir sistem dosyasına erişme açıklıkları ile sisteme erişim sağlama • Shell aldığınız (komut satırı erişimi sağladığınız) sistem üzerinde yetki yükseltme ve root / LocalSystem olma • Kaba kuvvet saldırılarıyla çevrimiçi parola kırma veya öntanımlı parolalarla sisteme erişim sağlama • Sosyal mühendislik, istemci taraflı açıklıklar ve trojan uygulamalar sayesinde istemci bilgisayarından shell alma • Web uygulamalarındaki mantık hatalarını kullanarak zarara uğratma veya çıkar sağlama • Kullanıcı tanılama yapmayan ağ ve web servisleri üzerinden hedef sistemi kesintiye uğratma, manipüle etme, bilgi sızdırma GÜVENLİK UZMANI İÇİN HEYECANLI HEYECANSIZ
İKİ PROFİL – İKİ BAKIŞ AÇISI • Uygulama projeleri için tehdit modelleme yapma • Sistem projeleri için risk analizi yapma • Değişiklik yönetimini uygulama • Sistem sıkılaştırma ve yama yönetimi • Güvenlik olaylarını izleme, olay kayıtlarını tutma, analiz etme • Güvenlik yetkinliklerini geliştirmek için eğitim alma, öğrenme GÜVENLİK UZMANI İÇİN HEYECANLI HEYECANSIZ
İKİ PROFİL – İKİ BAKIŞ AÇISI • Maliyet azaltıcı BT projeleri (saha otomasyonu, endüstriyel otomasyon, v.d.) • Gelir artırıcı BT projeleri (satış ekiplerini destekleyen yazılımlar, donanımlar, internet satış kanalları) • Hızlı raporlama araçları (veriambarı projeleri, esnek raporlama araçları) • Bilgiye her yerden ve kolay erişim • BT personel ve bütçesinin azaltılması KURUM YÖNETİCİLERİ İÇİN HEYECANLI HEYECANSIZ
İKİ PROFİL – İKİ BAKIŞ AÇISI • Kurumun BT süreç ve yetkinliklerini anlama • İş birimleri ve BT arasındaki etkin iletişim köprüsünü kurma • Her yeni BT altyapısının, imkanının belirli süreçler ve kontrol araçları ile desteklenme ihtiyacının anlaşılması • BT ve bilgi güvenliği altyapı yatırımları • BT ve bilgi güvenliği ihtiyaç ve performanslarını izleme KURUM YÖNETİCİLERİ İÇİN HEYECANLI HEYECANSIZ
KÖK NEDENLER HEYECANSIZ kısımlardaki faaliyetlerin yetersizliği veya mevcut olmaması güvenlik açıklıklarının kök nedenleridir.
PROBLEMİ ZORLAŞTIRICI FAKTÖRLER • Yöneticilerin heyecanlandığı alanlar tehdit yüzeyinin artmasına neden olmaktadır. • Güvenlik uzmanlarını heyecanlandıran alanlar Amerikalıların Computer Fallacy dedikleri farklı algıların hakim olduğu dünyalara kapı açmaktadır. Henüz sorumluluk duygusu gelişmemiş bir ergen internete açık bir SCADA erişimi bulduğunda bir bölgenin enerjisini kesmekten tarifsiz bir keyif alabilir. • Güvenlik uzmanları için heyecansız alanlar genellikle ya doğru dürüst uygulanmamakta ya da heyecanlı alanlarda yeterli yetkinliğe sahip olmayan kişilerin talip olduğu işler olmaktadır.
PEKİ NE OLACAK? • Yöneticiler akıllı insanlardır, olmasalardı yönetici olamazlardı :) • Akıllı insanlar değişime kayıtsız kalamazlar ve gerekli önlemleri alırlar. • Bir müddet sonra bilgi güvenliği bir hijyen faktörü olacaktır, yani şirket kültürlerinin olmazsa olmaz bir parçası olacaktır. • Bazı sektörler ihtiyaçlar ve regülasyon baskısı nedeniyle bu konuda öndedir, hatta finans sektöründe oldukça ileri olduğumuz söylenebilir.
PEKİ NE OLACAK? • Telekom sektörü karmaşıklık, hız, değişken organizasyon yapıları ve yoğun iş ortağı kullanımı nedeniyle daha fazla zorlanmakla birlikte güvenlik farkındalığının yüksek olduğu bir sektördür. • Kamu ve kritik altyapı sağlayıcı sektörlerde denetim baskısı nispeten düşük olduğundan gerekli seviyenin altında bulunulmaktadır. Bu sektörler malesef sıkıntı yaşamaktan kurtulamayacaktır.
PEKİ NE OLACAK? • Kobi'ler ve üretim sektörü de ekonomik öncelikleri, daha doğrusu sıkıntıları nedeniyle bu konuya çok uzak bir noktadadır. Türkiye için üretim sektörü önem kazanabilirse bu alanda da bilgi güvenliği ihtiyacı öne çıkmaya başlayacaktır.
Bilgi guvenligi acikliklarinin kok nedenleri

Recommended

Bilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimBilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimAhmet Pekel
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplamaBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

Recommended

Bilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimBilişim Teknolojilerinde Yönetişim
Bilişim Teknolojilerinde YönetişimAhmet Pekel
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Sizma testi bilgi toplama
Sizma testi bilgi toplamaSizma testi bilgi toplama
Sizma testi bilgi toplamaBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Yazıcı Güvenliği
Yazıcı GüvenliğiYazıcı Güvenliği
Yazıcı GüvenliğiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Kali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyKali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim DokümanıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Jmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeJmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 

More Related Content

More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

More from BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri (20)

BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-3
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-2
 
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
BTRisk X86 Tersine Mühendislik Eğitim Sunumu - Bölüm-1
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMUBTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
BTRISK ISO27001 UYGULAMA EGITIMI SUNUMU
 
Kali Linux Hakkında Herşey
Kali Linux Hakkında HerşeyKali Linux Hakkında Herşey
Kali Linux Hakkında Herşey
 
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirmeWeb uygulama açıklıklarından faydalanarak sistem ele geçirme
Web uygulama açıklıklarından faydalanarak sistem ele geçirme
 
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi EğitimiBTRisk iOS Mobil Uygulama Denetimi Eğitimi
BTRisk iOS Mobil Uygulama Denetimi Eğitimi
 
Unix Denetim Dokümanı
Unix Denetim DokümanıUnix Denetim Dokümanı
Unix Denetim Dokümanı
 
BTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi EğitimiBTRisk Android Mobil Uygulama Denetimi Eğitimi
BTRisk Android Mobil Uygulama Denetimi Eğitimi
 
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi EğitimiBTRisk Yazılım Güvenliği Yönetimi Eğitimi
BTRisk Yazılım Güvenliği Yönetimi Eğitimi
 
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme SunumuBTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
 
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi SunumuBTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
BTRisk ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
 
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi SunumuBilgi Güvenliği Farkındalık Eğitimi Sunumu
Bilgi Güvenliği Farkındalık Eğitimi Sunumu
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi EğitimiBTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
BTRİSK Web Uygulama Güvenliği Denetimi Eğitimi
 
BTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 YazılımıBTRWATCH ISO27001 Yazılımı
BTRWATCH ISO27001 Yazılımı
 
Jmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirmeJmeter ile uygulama katmanında yük testi gerçekleştirme
Jmeter ile uygulama katmanında yük testi gerçekleştirme
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişiklikler
 

Bilgi guvenligi acikliklarinin kok nedenleri

  • 1. YÖNETİCİLER İÇİN blog.btrisk.com @btrisk /btrisktv /btrisk BİLGİ GÜVENLİĞİ AÇIKLIKLARININ KÖK NEDENLERİ
  • 2. BTRİSK HAKKINDA TANIŞMA Pentest & BT Denetimi ISO27001 Danışmanlık Hizmetleri BG Operasyon Hizmetleri
  • 3. SUNUMUN AMACI Bu sunumu yöneticilerin; • Kurumlarının ve müşterilerinin bilgilerini çaldırdıklarında, • Bilgi sistemleri üzerinden para ve itibar kaybına uğratıldıklarında, • Verilerini kaybettiklerinde, • Hizmet kesintisine uğradıklarında ve bu nedenlerle işlerinden olmaya çok yaklaştıklarında bir 5 dk'larını ayırıp okumaları için hazırladık.
  • 4. İKİ PROFİL – İKİ BAKIŞ AÇISI • Bellek taşma açıklıkları sayesinde hedef bilgisayarda istediğiniz kodu çalıştırma • Web uygulamaları SQLi, dosya yükleme, herhangi bir sistem dosyasına erişme açıklıkları ile sisteme erişim sağlama • Shell aldığınız (komut satırı erişimi sağladığınız) sistem üzerinde yetki yükseltme ve root / LocalSystem olma • Kaba kuvvet saldırılarıyla çevrimiçi parola kırma veya öntanımlı parolalarla sisteme erişim sağlama • Sosyal mühendislik, istemci taraflı açıklıklar ve trojan uygulamalar sayesinde istemci bilgisayarından shell alma • Web uygulamalarındaki mantık hatalarını kullanarak zarara uğratma veya çıkar sağlama • Kullanıcı tanılama yapmayan ağ ve web servisleri üzerinden hedef sistemi kesintiye uğratma, manipüle etme, bilgi sızdırma GÜVENLİK UZMANI İÇİN HEYECANLI HEYECANSIZ
  • 5. İKİ PROFİL – İKİ BAKIŞ AÇISI • Uygulama projeleri için tehdit modelleme yapma • Sistem projeleri için risk analizi yapma • Değişiklik yönetimini uygulama • Sistem sıkılaştırma ve yama yönetimi • Güvenlik olaylarını izleme, olay kayıtlarını tutma, analiz etme • Güvenlik yetkinliklerini geliştirmek için eğitim alma, öğrenme GÜVENLİK UZMANI İÇİN HEYECANLI HEYECANSIZ
  • 6. İKİ PROFİL – İKİ BAKIŞ AÇISI • Maliyet azaltıcı BT projeleri (saha otomasyonu, endüstriyel otomasyon, v.d.) • Gelir artırıcı BT projeleri (satış ekiplerini destekleyen yazılımlar, donanımlar, internet satış kanalları) • Hızlı raporlama araçları (veriambarı projeleri, esnek raporlama araçları) • Bilgiye her yerden ve kolay erişim • BT personel ve bütçesinin azaltılması KURUM YÖNETİCİLERİ İÇİN HEYECANLI HEYECANSIZ
  • 7. İKİ PROFİL – İKİ BAKIŞ AÇISI • Kurumun BT süreç ve yetkinliklerini anlama • İş birimleri ve BT arasındaki etkin iletişim köprüsünü kurma • Her yeni BT altyapısının, imkanının belirli süreçler ve kontrol araçları ile desteklenme ihtiyacının anlaşılması • BT ve bilgi güvenliği altyapı yatırımları • BT ve bilgi güvenliği ihtiyaç ve performanslarını izleme KURUM YÖNETİCİLERİ İÇİN HEYECANLI HEYECANSIZ
  • 8. KÖK NEDENLER HEYECANSIZ kısımlardaki faaliyetlerin yetersizliği veya mevcut olmaması güvenlik açıklıklarının kök nedenleridir.
  • 9. PROBLEMİ ZORLAŞTIRICI FAKTÖRLER • Yöneticilerin heyecanlandığı alanlar tehdit yüzeyinin artmasına neden olmaktadır. • Güvenlik uzmanlarını heyecanlandıran alanlar Amerikalıların Computer Fallacy dedikleri farklı algıların hakim olduğu dünyalara kapı açmaktadır. Henüz sorumluluk duygusu gelişmemiş bir ergen internete açık bir SCADA erişimi bulduğunda bir bölgenin enerjisini kesmekten tarifsiz bir keyif alabilir. • Güvenlik uzmanları için heyecansız alanlar genellikle ya doğru dürüst uygulanmamakta ya da heyecanlı alanlarda yeterli yetkinliğe sahip olmayan kişilerin talip olduğu işler olmaktadır.
  • 10. PEKİ NE OLACAK? • Yöneticiler akıllı insanlardır, olmasalardı yönetici olamazlardı :) • Akıllı insanlar değişime kayıtsız kalamazlar ve gerekli önlemleri alırlar. • Bir müddet sonra bilgi güvenliği bir hijyen faktörü olacaktır, yani şirket kültürlerinin olmazsa olmaz bir parçası olacaktır. • Bazı sektörler ihtiyaçlar ve regülasyon baskısı nedeniyle bu konuda öndedir, hatta finans sektöründe oldukça ileri olduğumuz söylenebilir.
  • 11. PEKİ NE OLACAK? • Telekom sektörü karmaşıklık, hız, değişken organizasyon yapıları ve yoğun iş ortağı kullanımı nedeniyle daha fazla zorlanmakla birlikte güvenlik farkındalığının yüksek olduğu bir sektördür. • Kamu ve kritik altyapı sağlayıcı sektörlerde denetim baskısı nispeten düşük olduğundan gerekli seviyenin altında bulunulmaktadır. Bu sektörler malesef sıkıntı yaşamaktan kurtulamayacaktır.
  • 12. PEKİ NE OLACAK? • Kobi'ler ve üretim sektörü de ekonomik öncelikleri, daha doğrusu sıkıntıları nedeniyle bu konuya çok uzak bir noktadadır. Türkiye için üretim sektörü önem kazanabilirse bu alanda da bilgi güvenliği ihtiyacı öne çıkmaya başlayacaktır.