Siber Hijyen Kılavuzu old

Güvenlik Kılavuzları

[social_warfare]

İçerik

  1. Hesap ve Şifre Güvenliği
  2. Yazılım Güvenliği
  3. Bilgisayarınızın Güvenlik Ayarları
  4. Uzaktan Erişim
  5. Ağ Güvenliği
  6. Sosyal Mühendislik Saldırıları ve Farkındalık (10/10)
  7. Uyulması gereken kanun ve regulasyonlar.
  8. Veri Güvenliği (7/10)

Örnek Farkındalık eğitimini ücretsiz olarak almak veya incelemek için tıklayınız.

Hesap ve Şifre güvenliği

  1. Hesap ve Şifre güvenliği

    Hesap bilgileriniz ve Şifreleriniz siber güvenliğin en temel bileşenlerinden biridir. Zayıf bir şifre kullanıyorsanız veya şifrenizi koruyamıyorsanız şifreniz siber suçlular tarafından ele geçirilebilir ve sonuç olarak bilgisayarınız ve verileriniz başkalarının eline geçebilir.

    1. Bilgisayar hesapları
      1. Yönetici hesabını günlük amaçlar için kullanmayın (5/10)

        Bilgisayarınıza Yönetici (Administrator) kullanıcısı ile giriş yaptığınız zaman açmış olduğunuz oturum tam yetkili bir oturum olur ve bu oturumda çalıştırdığınız veya çalıştırılan komutlar bilgisayarınızda her türlü değişiklik yapabilir. Bir açıdan bakınca bu durum iyi bir şeymiş gibi görülebilir,zira bilgisayarınızda tam yetkiye sahip olacaksınız ve istediğinizi yapabileceksiniz. Fakat bir de konuya şu açıdan bakın: Zararlı yazılım bulunduran bir web sitesini ziyaret ettiniz veya size mail yoluyla iletilen bir zararlı yazılımı çalıştırdınız. Açtığınız oturum “administrator” yetkisiyle açıldıysa zararlı yazılım bilgisayarınızdaki her türlü dosya,kaynak ve programa erişebilir. Bunun sonucunda da dosyalarınızı silebilir,şifreleyebilir,bilgisayarınızı kullanılamaz hale getirebilir. Bilgisayarınıza sınırlı yetkileri olan bir kullanıcı hesabı ile giriş yapmış olmanız durumunda ise zararlı yazılım çalıştırılsa dahi bilgisayarınıza ve verilerinize verebileceği zarar daha sınırlıdır. Bu nedenle gerekmediği sürece bilgisayarınıza “administrator” yetkisiyle giriş yapmamayı tercih edin. Öncelikle bilgisayarınızda yaptığınız günlük işlemleri gözden geçirin. Bu işlemlerden hangileri için,bir günde veya haftada kaç defa “Administrator” yetkisine ihtiyaç duyacağınızı belirleyin. Administrator yetkisine çok fazla ihtiyacınız olmuyorsa veya ihtiyacınız olduğunda administrator yetkisiyle giriş yapıp işinizi hallettikten sonra tekrar daha az yetkili kullanıcıyla çalışmaya devam etmek çok zamanınızı almıyorsa "Administrator" kullanıcısı ile değil daha az yetkili kullanıcı ile giriş yapmayı tercih edin. Windows işletim sisteminde kısıtlı yetkili veya standart kullanıcı tanımlama dökümanımıza erişmek için tıklayınız.

      2. Orta Kullanmadığınız hesapları silin (5/10)

        Bilgisayarınızda işletim sistemi ile birlikte gelen,varsayılan kullanıcı hesapları dışında, sizin oluşturduğunuz ve artık kullanmadığınız kullanıcı hesapları var ise bu hesapları silin. Unutmayın, sisteminizdeki her ilave kullanıcı,proses,servis,açık port saldırganlara amaçlarına ulaşmak için fırsat tanır!

        Windows işletim sisteminde kullanıcı silme prosedürüne erişmek için tıklayınız.

      3. Orta Ekran kilidi kullanın (5/10)

        4. Cihazlarınızın yanından ayrıldığınızda, yetkisiz kişiler tarafından müdahale edilememesi için otomatik olarak devreye giren bir ekran kilidi kullanmanız gerekir. Ekranı kilidi ayarını nasıl yapacağınızı görmek için tıklayınız. ---------Ömer-----------

    2. Eposta/Sosyal medya hesapları

      Kişisel veya kurumsal amaçla ücretsiz eposta hizmetlerini kullanıyor olabilirsiniz veya sosyal medya platformlarına üye olabilirsiniz. Bu platformlardan herhangi birinin hesap bilgilerinin siber suçluların eline geçmesi sizi zor durumda bırakabilir. Örneğin, sosyal medya hesap bilgilerinizi ele geçiren birisi kapıyı aralamış sayılır. Artık sizin hakkınızda daha çok bilgiye sahiptir ve eposta/bilgisayar hesaplarıızı ele geçirmesi biraz daha kolaylaşmıştır. Bu nedenle güvenliğin bir bütün olarak düşünülüp kullanılan tüm servis ve araçların güvenliğinin sağlanması gerekmektedir. Alacağınız birkaç önlem eposta ve sosyla medya hesaplarınızın güvenliğini bir üst seviyeye taşıyacaktır.

      1. Düşük 2 faktörlü/adımlı kimlik doğrulaması kullanın

        2 faktörlü/adımlı doğrulama kullandığınız zaman eposta veya sosyal medya hesabınıza giriş yapacağınız zaman şifrenizin yanı sıra eposta adresinize veya telefonunuza gelecek bir kodu da girmeniz gerekmektedir. Bu yöntem birçok eposta servis sağlayıcısı ve sosyal medya platformları tarafından desteklenmektedir. Giriş işleminizi birkaç saniye uzatıyor olabilir, ancak hesap güvenliğinize de önemli bir katman eklemektedir.

      2. Yüksek Önemsiz işler için farklı e-Posta hesabı kullanın

        Önemsiz sayılabilecek veya geçici suretle bir iş yaparken kullandığınız e-Posta adresi ile önemli sayılabilecek (finans işlemleri, e-devlet uygulamaları gibi) işleri yaparken kullandığınız e-Posta adreslerini ayırmanızda yarar vardır. Günümüzde isteğe bağlı olarak veya gerektiği için birçok sitede veya platformda farklı hesaplar oluşturabiliyoruz. Bu hesaplardan bazılarının güvenliği diğer hesaplar kadar önemsenmeyebiliyor. Bazı durumlarda ise kullanıcıların bir hatası olmamasına rağmen kullanılan platform hack'lenebiliyor ve neticede hesap bilgilerinin siber suçluların eline geçmesi kolaylaşıyor. Kullandığınız bir servisin hesap bilgilerinin siber suçlular tarafından ele geçirilmesi aynı eposta adresi ile kayıt olduğunuz farklı servislerin hesap bilgilerinin ele geçirilmesini de kolaylaştır. ----------Burası Belki geliştirilebilir----------------- -------------Ömer burası için birkaç madde daha bulmaya çalışacak --------------

    3. Şifre Güvenliği
      1. Güçlü bir şifre seçin (10/10)

        Şifre seçiminde temel birkaç kriter bulunmaktadır. Bunları şöyle özetleyebiliriz: Çok güvensiz olduğu yaşanan olaylarda tekrar tekrar ortaya çıkan, "11111", "qwerty", 123321" gibi çok basit şifrelerden kaçının. Sizi tanıyanlar tarafından tahmin edilmesi mümkün olan, sizin özelliklerinizi yansıtan şifrelerden kaçının. Örnek olarak "Ayhan1990" , "Fenerbahce34" zayıf şifrelerdir. Güvenli bir şifre en az 10 karakterden oluşmalı, harf, rakam ve özel karakter içermelidir. Bu tarz şifreleri aklınızda tutmanız zor olabilir. Bu nedenle şifreleri bir olay veya cümle ile ilişkilendirmeye çalışın. Örnek olarak; "Lizbona 2010 yılının Mayıs ayında gitmiştim" cümlesinden her kelimenin ilk ve son harlflerini seçip,harfleri sırasıyla büyük ve küçük karakterler olarak alıp bir şifre oluşturabilirsiniz. Şifreniz şu şekilde olur: La20YnMsAaGm Bir başka seçenek olarak da Şifre Saklama yazılımları kullanabilirsiniz. Şifre saklamak, özellikle rastgele şifre üreticiler tarafından üretilen şifreler için oldukça zor olabilmektedir. Özel olarak bu şifreleri saklamak amacıyla üretilen yazılımlar bulunmaktadır. Bu yazılımlardan bazıları LastPass,XX,YY'dir. ------------------- Ömer: popüler olan 3-5 yazılımın adının yazılması.------------- -------------2. aşamada Lastpass ve diğer yazılımlar için de guide hazırlanır-------------------

      2. Şifrelerinizi belirli aralıklarla değiştirin (5/10)

        Uzun süre aynı şifreyi kullanmayın. Tercihen 3 ay veya 6 ayda bir, en geç ise senede bir şifrelerinizi değiştirin. Zira şifreleriniz siz fark etmeden birilerinin eline geçmiş olabilir. Başkalarının şifrelerini veya bilgisayarlarını ele geçiren siber suçluların kullanıcıyı kendilerini farkettirmeden aylarca izledikleri bilinmektedir. Şifrenizi değiştirdiğinizi zaman daha önce kullandığınız şifreleri kullanmaktan kaçının!

      3. Tüm hesaplarınız için aynı şifreyi kullanmayın (7/10)

        Sosyal medya,arkadaşlık platformları,iş ağlarının kullanıcı bilgileri ve şifreleri zaman zaman çalınabilmektedir. Bu amaçlar için kullandığınız şifreler e-posta, banka hesap şifrelerinizle aynı olursa siber suçlular rahatlıkla çok daha önemli hesaplarınızı ele geçirebilir.

      4. Şifrelerinizi paylaşmayın (10/10)

        Şifreleriniz size özeldir. Kesinlikle ve hiçbir koşulda herhangi bir arkadaşınız,yakınınız,görevli ile dahi paylaşılmaması gerekir. Mutlaka paylaşmanızı gerektiren özel bir durum var ise şifrenizi paylaşmadan önce ve sonra değiştirmeniz gerekir. Bu durum şifre yerine geçen e-imza gibi farklı araçlar için de geçerlidir.

      5. Tarayıcıların şifrelerinizi saklamasına/hatırlamasına izin vermeyin (7/10)

        Internet tarayıcılarınız genelde şifrelerinizi hatırlatmayı önerir. Bu ne kadar kolaylık gibi görünse de önemli bir güvenlik riski oluşturur. Zira bilgisayarınıza bir şekilde sızan birisi tarayıcılarınız tarafından saklanan şifreleri bulup ele geçirebilir ve şifrelerinizi öğrendikten sonra o şifrelerle ilişkili tüm hizmet,sosyal medya ve diğer hesaplarınızı ele geçirir. -----------Tarayıcıda daha önce hatırlanması istenmiş şifreler varsa bunların temizlenmesi ile ilgili bir guide oluşturulabilir belki 2. aşamada --------

      6. İleri yöntemler------------Bunu 2. aşamada ekleriz -----------------

        Güvenlikte sınır yoktur desek yanlış olmaz. Temel önlemleri aldıktan sonra daha üst seviye güvenlik önemleri de alabilirsiniz.

        1. İki faktörlü kimlik doğrulama

          Günümüzde artan şifre saldırıları, hesaba sistem zaafiyeti kullanarak erişme gibi açıklar, sadece parola kullanmanın yeterli olmadığını ortaya koymuştur. Bu sebeple güvenliği arttırmak için iki faktörlü kimlik doğrulama sistemleri güncel olarak kullanılmaya başlanılmıştır. Bu sistemler, bir algoritmayla size özel olarak üretilen tek seferlik şifreyi/anlık şifreyi kullanarak sisteme erişmenizi sağlar. Bu sistemler hakkında detaylı bilgiye buraya tıklayarak ulaşabilirsiniz.

Yazılım Güvenliği

      1. Yazılım Güvenliği

Önemi

Yazılım indirirken veya kullanırken seçici davranmazsanız,karşınıza çıkan her yazılımı bilgisayarınıza veya mobil cihazınıza kurarsanız, güncellemlerinizi zamanıdan yapmazsanız siber saldırılara açık kapı bırakmış olursunuz.

Bu konuda alabileceğiniz önlemleri bu başlıkta bulabilirsiniz.

2.1 İşletim sistemi güncellemeleri (10/10)

İşletim sistemlerinin belirli aralıklarla yeni güvenlik açıkları yayınlanmaktadır ve işletim sisteminizi güncellemediğiniz zaman bu açıklar nedeniyle ortaya çıkabilecek risklere karşı korumasız durumda kalırsınız.

2.1.1 Nelere dikkat edilmeli

Kullandığınız işletim sistemi ne olursa olsun (Windows,MacOS,Linux) sürekli bir şekilde güncellemelerinin yapıldığından emin olun.

– Üreticisi tarafından artık desteklenmeyen ve yeni güncellemeler yayınlanmayan, dolayısıyla olası güvenlik açıklarına karşı sizi koruyamayacak işletim sistemlerini kesinlikle kullanmayın.

2.1.2 Nasıl Yapılır?

Windows 10 işletim sistemi için güncelleme ayar ve kontrollerinin nasıl yapılacağı ile ilgili bilgilere erişmek için tıklayın——Ömer: Windows update’le ilgili döküman yazsın ————–

2.2 Güncel yazılım kullanmak (10/10)

Kullandığınız yazılımların ve işletim sisteminizin, sıklıkla yeni bir güncellemeniz olduğuna dair bildirimler yolladığını gözlemlemişsinizdir. Bu güncelleme bildirimleri rahatsız edici olabilmektedir. Ancak unutulmamalıdır ki; bu güncellemeler, yeni özellikler kazandırdığı gibi önemli güvenlik yamalarını da sağlamaktadır. Bu sebeple yazılımlarınızın güncellemelerini aksatmadan yapmalısınız. Güncelleme yapmayan lisanssız ürünler kullanıyorsanız biran önce lisanslı ürünlere geçmeli veya sürekli güncelleme yapan ücretsiz alternatiflerini kullanmalısınız. Maruz kalacağınız siber bir saldırının bedelinin lisans bedelinin çok çok üzerinde olabileceği unutulmamalıdır.

Alternatif olarak kullanabileceğiniz ücretsiz yazılım listesine şuradan ulaşabilirsiniz:

https://tr.wikipedia.org/wiki/%C3%96zg%C3%BCr_ve_a%C3%A7%C4%B1k_kaynak_kodlu_yaz%C4%B1l%C4%B1m_paketlerinin_listesi

https://en.wikipedia.org/wiki/List_of_free_and_open-source_software_packages

——1. aşamada sadece wikipedia linki verilip,veya hiç link/liste olayına girilmeyip 2. aşamada kendimiz bir liste yapabiliriz————-

2.3 Anti-Virüs yazılımı kullanmak (10/10)

Anti-virüs yazılımları, günümüzdeki zararlı yazılımların çoğunu fark edebilmekte ve bunlara uygun önlemeyi yapabilmektedir.

Hangi anti-virüs yazılımının daha iyi olduğu sorusunun kullanıcıların kafasını karıştırdığını biliyoruz. Bu sorunun doğru bir cevabı olmamakla birlikte, günlük kullanım için bir lisanslı anti-virüs yazılımı size yeterli temel korumayı sağlayacaktır. Antivirüs yazılımınızın sürekli güncelleniyor olması önemlidir. Lisanslı olarak aldığınız, daha sonra lisans yenilemesi yapmadığınız ve sonuç olarak çalışan fakat artık güncelleme yapmayan bir antivirüs yazılımı sizi yeteri kadar koruyamayacaktır.

Yaygın olarak kullanılan antivirüs üreticilerinden bazıları şunlardır: McAffee, Kaspersky,TrendMicro,diğer.. ———-Ömer listeyi son haline getiriyor———

şu link de kullanılabilir: https://tr.safetydetectives.com/best-antivirus/windows/

Antivirüs yazılımını kurmuş olmak yeterli olmayacaktır. Belirli aralıklarla Anti-virüs yazılımınızın ayarlarını kontrol etmek güvenliğinizin sürekli olmasına katkı sağlayacaktır. Kontrol edilebilecek bazı Anti-virüs ayarları şunlardır: ——-Burayı Ömer düzenliyor———–

– Lisansı geçerli mi?

– Dışlama(exception) tanımı var mı?

– Diğer ..

———2. aşamada belki farklı veya yaygın olarak kullanılan antivirüsler için kontrollerin nasıl yapılacağıyla ilgili kılavuzlar oluşturabiliriz———-

Anti-virüs yazılımları, günümüzde ne kadar iyi çalışsa da yanlış bir güven hissi yaratmamalıdır. Anti-virüs yazılımı kullanmak tamamen güvende olacağınız anlamına gelmez.

2.4 Her yazılımı kurmamak (8/10)

Bilgisayarınıza veya mobil cihazınıza yazılım kurarken seçici davranmalısınız.Şu durumlara mutlaka dikkat edin:

      • Yazılımın kim tarafından üretildiğini kontrol edin
      • şimdiye kadar kaç kişi tarafından indirildiğini kontrol edin
      • Yaygın olarak kullanılan bir yazılım değil ise hakkındaki yorumları araştırın.
      • Bilmediğiniz sitelerden yazılım indirmeyin
      • ————–Ömer:Başka neler kontrol edilebilir? Hash filan?İmzasız yazılım? ——————

Zararlı yazılım indiriyor olabileceğinizi unutmamalısınız.

      1. Bilgisayarınızın güvenlik ayarları

3.1 Windows güvenlik duvarı (8/10)

Güvenlik duvarı dışarıdan bilgisayarınıza erişmek isteyenlerin erişimini kontrol etmek için kullanılan ve güvenliğinizi sağlamak için mutlaka kullanmanız gereken araçlardan biridir. Farklı güvenlik duvarı uygulamaları mevcuttur ancak her işletim sistemi ile birlikte varsayılan olarak gelen Güvenlik Duvarları genelde yeterli olmaktadır.

3.1.1 Varsayılan Konfigurasyon

Yaygın olarak kullanılan Windows Güvenlik Duvarı varsayılan olarak doğru konfigurasyonda,yani dışarıdan bilgisayarınıza erişim izni vermeyecek şekilde ayarlanmış olur. Özel bir nedeniniz olmadıkça da bu ayarı değiştirmenize gerek kalmaz. Bu ayarların nasıl olması gerektiğini öğrenmek için tıklayınız. ———–Ömer:14.1.1 Windows güvenlik duvarı/VARSAYILAN KONFİGURASYON: —————

3.1.2 Windows 10 güvenlik duvarında dışlama nasıl eklenir?

Güven duvarı bazen spesifik uygulama veya hizmetlerin çalışmasını engelleyebilmektedir. Böyle bir durumla karşılaştığınızda güvenlik duvarını / anti-virüsü devre dışı bırakmak kötü bir pratiktir. Bu durumlarda uyumsuzluk gösteren uygulamanızı güvenlik duvarında dışlama olarak ekleyebilirsiniz. Windows Güvenlik Duvarında dışlama konfigurasyonunun detayları için tıklayın: 14.1.1 Windows güvenlik duvarı/DIŞLAMA KONFİGURASYONU

3.2 Ağ paylaşımı

İş süreçlerinde, ortak bir ağda iş arkadaşlarınıza dosya paylaşmanız gerekebilir. Bu işlem için Windows’un ağ paylaşım özelliğinden yararlanabilirsiniz. Ancak bu özellik, güvenlik yapılandırmaları doğru yapılmadığında zafiyet yaratabilir.

Güvenli ağ paylaşımı için öneriler

      • Paylaşım izinlerini doğru ayarlamak
        • Gerekmedikçe dosya paylaşmayın. Paylaşım gereksinimi ortadan kalktıktan sonra paylaşımı durdurun. Özel bir ağda olmanız istediğiniz gibi dosya paylaşımı yapabileceğiniz anlamına gelmez, güvenlik riskleri doğurur.
        • Bir klasörü paylaşacağınız zaman, kullanıcıları gruplandırdığınız bir yapı kullanıyorsanız, ilgili grup veya kullanıcılara özel paylaşım yapabilirsiniz. “Herkes” veya “Everyone”-a izin vererek paylaşım yapmaktan kaçının.
        • Ortak paylaşıma açacağınız klasörlerde, kullanıcılara “Tam denetim” izni vermekten kesinlikle kaçının. Özellikle gerekmiyorsa “Değiştir” iznini de vermeyin.

Paylaşım izinlerinin nasıl ayarlanacağı ile ilgili kılavuza erişmek için tıklayın:————Ömer: 14.1.2 Ağ paylaşımı ——————–

      1. Uzaktan Erişim

Farklı amaçlar için bilgisayarınıza uzaktan erişim izni vermiş olabilirsiniz; Bir bilgisayar uzmanı size yardımcı olmak için bilgisayarınıza bağlanmış olabilir veya kendiniz evden işyerinizdeki bilgisayarınıza bağlanmak istemiş olabilirsiniz. Sonuç olarak, bilgisayarlara uzaktan erişim sık sık ihtiyaç duyulan ve aslında hayatımızı kolaylaştıran bir durum. Fakat dikkatsiz davranmanız durumunda hayatımızı kolaylaştıran bu özellik başkalarının kolayca bilgisayarınıza ve verilerinize erişmesini sağlayabilir ve hayatınızı zindana çevirebilir.

Uzaktan erişim yöntemleri: Birçok uzaktan erişim yöntemi vardır. Sık kullanılan yöntemler: RDP,Teamviewer,Anydesk,Ammyy gibi genelde ücretsiz olarak kullanılabilen yöntemlerdir.

Nelere dikkat edilmeli: ———Ömer———

Buraya genel best practice’ler yazılır. (örnek: herzaman sizin onayınızla yapılabilen bağlantıları tercih edin). Daha sonra ise gerekirse RDP,TeamViewer,Anydesk gibi platformlar için ayrı ayrı guide’lar yazılarak buradan bu guide’lara link verilir.

      1. Ağ Güvenliği

Siber güvenliğinizi sağlamanın önemli adımlarından biri de Ağ güvenliği konusu olacaktır. Bağlandığınız ağ güvenli bir ağ değilse,bir ağa bağlanırken güvenlik önlemlerinizi almıyorsanız siber güvenliğiniz risk altında demektir. Aynı şekilde sizin kontrolünüzdeki bir ağda gerekli güvenlik ayarlarını yapmadığınız taktirde bilgisayarınız ve verilerinize zarar verilebilir.

Güvensiz ağlar

Öncelikle, güvensiz olduğunu bildiğiniz veya güvenliğinden emin olmadığınız ağlara bağlanmamak en doğrusu olur. Ancak zaman zaman internete güvensiz ağlardan da bağlanmak zorunda kalabilirsiniz. Bu gibi durumlarda alacağınız bazı önlemleri riski azaltacaktır:

– Bir ağa bağlanırken, bilgisayarınız size “Ortak bir ağa mı bağlanıyorsun?” diye soracaktır. Bu soruya “Evet” cevabını vermek, bilgisayarınızı ağ içinde bulunmaz kılacaktır.

– Bu tarz ağlara bağlandığınız zaman bankacılık işlemi yapmamaya,hatta mümkünse herhangi uygulama veya servis için kişisel bilgi veya şifre girmemeye özen gösterin.

– diğer …

Kontrolünüzdeki ağlar

Sizin kontrolünüzde olan, işyerinizdeki veya evinizdeki kablosuz ağlarda alacağınız birtakım önlemler ağ güvenliğinizin korunmasına önemli katkılar sağlayacaktır.

Kablosuz ağlar

Misafir ağı

Aynı kablosuz ağa bağlı kullanıcılar buna karşı bir ayarlama yapılmadıysa birbirlerini görebilmektedir. Modern yönlendirici/modem cihazları bu durumu önlemek için, misafir ağı özelliği bulundurmaktadır. Bu özelliği kullanarak çalışanlarınızın veya evdeki cihazlarınızın bağlı olduğu güvenli ağ ile dışarıdan gelen misafirlerin bağlanabileceği ağı ayrıştırabilirsiniz.

Ağ şifre yapılandırması

Ağ cihazınızı ayarlarken, WEP, WPA gibi zayıf olduğu bilinen şifreleme algoritmalarını kullanmak yerine, WPA2 gibi daha güvenilir şifreleme algoritmalarını kullanmalısınız.Kablosuz ağ şifrenizin yeteri kadar karmaşık olduğundan emin olun. Güvenli bir şifre en az 10 karakterden oluşmalı, harf, rakam ve özel karakter içermelidir. Doğum tarihiniz,tuttuğunuz takım ismi gibi bilgiler içeren şifreleri kesinlikle kullanmayın. Unutmayın,ağınıza sızan biri tüm cihazlarınızın kontrolünü ele geçirebilr!

WPS özelliği

WPS özelliği, sizi şifre girmekten kurtararak tek butona basmak suretiyle ağa erişmenize olanak sağlar. Ancak bu özellik hem işletmeler,hem de kişisel kullanım için oldukça büyük zaafiyetler yaratabilir.

Kablolu ağlar

Kablosuz ağlar kablolu ağlara göre çok daha fazla kullanılmaktadır. Ancak kablolu ağların kullanımı devam ediyor ve burada da almanız gereken önlemler vardır. Önlem almadığınız taktirde ofisinize veya evinize gelen biri kabloyu bilgisayarına takarak rahatlıkla iç ağınıza bağlanabilir. Alınabilecek önlemlerden bazışarı şu şekildedir:

————————-ÖMER—————————

Gelişmiş Ağ güvenliği: Bu kısımda bahsedilen önlemler ağ erişim cihazlarında alabileceğiniz temel önlemlerdir. Daha ileri seviye ağ güvenliği için özel cihazların kullanılması gerekir. Güvenlik Duvarı (Firewall) , Ağ erişim kontrol cihazı (NAC), Saldırı tespit ve önleme cihazları (IDS/IPS) bunlardan bazılarıdır.

————-BELKİ BİRER CÜMLE TANIM YAPILABİLİR YUKARIDAKİ CİHAZLAR İÇİN———————

Özel uzmanlık isteyen bu cihazların kullanımı için konusunda uzman kişi veya kuruluşlardan profesyonel destek almanız gerekir.

      1. Sosyal Mühendislik Saldırıları ve Farkındalık (10/10)

Neden Önemlidir

İstatistikler başarılı siber saldırıların %91’inin oltalama (phishing) (bknz: Oltalama/Phishing nedir?) [buradan phishing tanımına link] yöntemi ile gerçekleştirildiğini göstermektedir. Sosyal Mühendislik saldırıları siber güvenlikteki en zayıf halka olan insan faktörünü kullanmaktadır. Siber ve sosyal mühendislik saldırıları kurumları hedef aldığı gibi bireyleri de hedef almaktadır.

Farkındalık siber ve sosyal mühendislik saldırılarından korunmanın belki de en etkin yöntemidir. Büyük ve küçük ölçekli birçok siber saldırı kurbanların farkındalığının düşük olması nedeniyle başarıya ulaşmaktadır. Farkındalığınızın yüksek olması sizi birçok siber saldırıya karşı koruyacaktır. Farkındalığın yeterli seviyede olmaması durumunda ise en etkili siber güvenlik araçları dahi sizi koruyamayabilir!

.Sık sık karşılaşıan siber saldırılardan bazıları şunlardır:

– Eposta aracılığıyla yapılan siber saldırılar [detaylı anlatıma link,içerik metinle birlikte görsel örnekler de içermelidir]

– Sosyal medya üzerinden yapılan siber saldırılar [detaylı anlatıma link,içerik metinle birlikte görsel örnekler de içermelidir]

– Telefon aracılığıyla yapılan sosyal mühendislik saldırıları [detaylı anlatıma link,içerik metinle birlikte görsel örnekler de içermelidir]

Bu saldırı yöntemleri ile ilgili daha detaylı bilgi edinmek için tıklayınız.——link to avoid and recognize template——–

———–bilgilendirme için avoid & recognize template’i kullanılabilir ————-

Sosyal mühendislik saldırıları sadece bilgisayar veya iletişim teknolojileri kullanılarak yapılmaz. Farklı şekillerde yapılan ve bilgilerinizi ele geçirip size zarar vermeyi hedefleyen sosyal mühendislik saldırıları da vardır:

Siber saldırı olarak nitelendirilmese bile bilgilerinizi ele geçirme ve size zarar verme amaçlı yapılabilecek sosyal mühendislik saldırıları da vardır:

– Masanızda veya dolabınızda açık şekilde bırakılan evrakların ele geçirilmesi veya kopyalanması

– Çöpünüzün karıştırılarak önemli bilgilerin ele geçirilmesi

Neler yapılmalı

Yapılabilecek tek şey farkındalığınızı geliştirerek daha üst seviyelere çıkarmaktır. Unutmayın,güvenlik herkesin sorumluluğudur! Sadece işyerinizin,bankanızın,internet servis sağlayıcınızın aldığı önlemler güvende olacağınızı garanti etmez. Siber güvenliğin en önemli halkası sizsiniz!

Siber güvenlik farkındalığınızı bir üst seviyeye taşımak için ücretli veya ücretsiz olarak faydalanabileceğiniz çokça kaynak vardır.

Sizin için hazırladığımız siber güvenlik eğitimine de buradan–link to awareness—- ulaşabilir, farkındalığınızı bir üst seviyeye taşıyabilirsiniz.

Sizler için hazırladığımız aşağıdaki eğitimler de Farkındalığınızın gelişmesine önemli katkı sağlayacaktır:

———–Burada iki seçenek olabilir:

      1. “Social engineering eğitimi” verilip üzerine exam olarak da “Phishing Security Exam” , “
      1. Engineering Exam” , “Internet Security Exam 1.2” den biri kullanılabilir. Duruma göre “sonuçlar” kısmı kaldırılabilir,soru çıkarılıp soru eklenebilir. Sertifika veren bir test kullanılarak bu yukarıdaki testlerin soruları o teste aktarılabilir.
      1. direk eğitim + exam + certificate içeren tek bir eğitim kullanılabilir. şuan böyle bir eğitim yok gibi. ileride belki olabilir.

Farkındalığınızın geliştiğini veya iyi düzeyde olduğunu düşünüyor musunuz? Aşağıdaki sınavlarla Farkındalığınızı test edin:

—Social engineering quiz olabilir——–

—— En eski Lucy quiz’leri kullanılabilir———

      1. Uyulması gereken kanun ve regulasyonlar.

Kişisel Verilerin Korunması Kanunu

Kişisel veri nedir?

Büyük veri, veri işleme, veri anlamlandırma gibi kavramlar günümüzde yaygınlaştıkça, kişilerin verilerini koruma ihtiyacı artmış, bu ihtiyaca istinaden devletler yasal düzenlemeler getirerek gerekli kısıtlamaları sağlamak gereği duymuştur.,

Ülkemizde bu düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunuyla (kısaca KVKK) yapılmıştır. Bu kanun kişisel verileri şöyle tanımlamaktadır;

“Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.”

Kısaca özetlemek gerekirse, KVKK kişisel verilerin paylaşılması ve işlenmesi süreçlerinde kanuna uygun davranılması gerektiğini,aksi durumlarda önemli cezalarla karşı karşıya kalınabileceğini belirtmektedir. Kanun detaylı şekilde https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6698&MevzuatTur=1&MevzuatTertip=5 bağlantısından incelenebilir.

Ayrıca farklı ülkelerin bu konuyu düzenleyen farklı kanunları vardır. Örneğin Avrupa Birliği ülkeleri için bu GDPR’dır. (General Data Protection Regulation)

Kişisel Verilerin Korunması Kanunu’a iki farklı açıdan bakılabilir:

      1. Kişisel verilerimizi paylaşacağımız zaman karşı tarafın KVKK’ya uygun olarak hareket etmesini talep etmek yerinde olacaktır.
      2. Kişisel veri işleyen veya saklayan bir kurum iseniz veri işleme süreçlerinin Kanuna uygun olarak şekillendirildiğinden emin olmak gerekir. Veri işleme ve saklama süreçlerini Kanuna uygun şekilde yürütmediğiniz zaman ciddi cezalarla karşı karşıya kalabileceğinizi unutmayın. https://kvkk.gov.tr/veri-ihlali-bildirimi/ sayfasındaki farklı sektörlerden farklı ölçekteki firmaların Veri İhlali bildiriminde bulunması da bunun bir göstergesidir.

KVKK ile ilgili olarak hem kurumun web sitesinden hem de arama motorlarında aratarak ücretsiz birçok bilgiye ulaşabilirsiniz.

Buna ek olarak konuda uzmanlaşmış danışmanlık şirketlerinden de profesyonel danışmanlık hizmeti alabilirsiniz.

——————-5651?———————-

      1. Veri Güvenliği (7/10)

7.1 Veri yedekleme

Günümüzde Veri hem kişiler hem de kurumlar için en değerli varlıklardan biridir. Veri kaybı sık sık yaşanan,şahsınıza ve işinize maddi ve manevi zararlar verebilecek, önlem alınması gereken bir durumdur.Sık sık karşılaşılan ve veri kaybına neden olan durumlardan bazıları şunlardır:

– Bilgisayarınızın veya telefonunuzun çalınması/kaybolması/bozulması

– Bilgisayarınıza fidye yazılımı bulaşması

Veri kaybına karşı alabileceğiniz en doğru önlem Veri Yedekleme olacaktır. Birçok kişi ve kurum senelerce verilerinin yedeğini alır ve bu yedeklere asla ihtiyaç duymaz. Fakat bu durum sizi yanıltmasın! Unutmayın ki Veri kaybı hergün yaşanan bir durum değil,günün birinde sizin de başınıza gelebilir ve bu durumla karşı karşıya kaldığınızda yedeğiniz yoksa sonuçlara katlanmak dışında yapabileceğiniz hiç birşey yok!

Veri yedekeleme yöntemlerine 4 alt başlıkta bakabiliriz:

      1. Bilgisayarınızda(———-akıllı telefon———) alabileceğiniz önlemler: ————–Ömer: snapshot,filehistory gibi konular————–
      2. Temel seviyede manuel yedekleme: Bilgisayarınızdaki veya telefonunuzdaki verileri belirli aralıklarla,manuel olarak başka bir bilgisayara,harici diske,hatta bir flash belleğe yedekleyebilirsiniz. Manuel ve riskli bir yöntem olmakla birlikte hiç yedeklememekten daha iyi bir yöntem olduğu aşikardır.
      3. Online olarak tüketici sınıfındaki veri yedekleme hizmetlerinin kullanılması: Online olarak yedekleme yapabileceğiniz,ücretli ve ücretsiz birçok servis bulunmaktadır. Bu servisleri arama motorlarında aratarak bulabilirsiniz. Burada dikkat etmeniz gereken önemli bir nokta yedekleme hizmeti kullanacağınız zaman KVKK kanununu (——-bknz: KVKK’a maddesine link———–) ihlal ediyor olabileceğinizdir. Bu nedenle yedekleyeceğiniz veri kişisel veri içeriyor ise yedeklemeye başlamadan önce KVKK kanununu incelemekte ve özellikle yurtdışı merkezli online yedekleme servisleri konusunda dikkatli olmakta yarar vardır.

Bu yedekleme seçeneğinin “Temel Seviyede Manuel Yedekleme” seçeneğine göre yedeklemenin otomatik şekilde, düzenli ve sürekli olarak yapılabilmesi,daha profesyonel veri koruması,yedeklere her yerden erişebilme gibi artıları olacaktır.

      1. Online veya kurum içi kurumsal yedekleme yazılım ve hizmetleri: Yedekleyeceğiniz verinin boyutuna, yedekleme ihtiyacınıza uygun olarak kurumsal yedekleme yazılım ve hizmetlerini tercih etmeniz gerekebilir. Bu durumda konusunda uzman kurumlardan danışmanlık veya ürün hizmeti almanız daha doğru olacaktır. Bu durumda da yine yedekleyeceğiniz veri kişisel veri içeriyor ise yedeklemeye başlamadan önce KVKK kanununu incelemekte ve özellikle yurtdışı merkezli online yedekleme servisleri konusunda dikkatli olmakta yarar vardır.

Genel olarak, sürekli ve düzenli yedekleme yapabileceğiniz bir yöntemi ve aracı tercih etmeniz daha doğru olur.

7.2 Veri Şifreleme(Koruma)

Aslında bu kılavuzdaki tüm maddelerin en önemli amacı veri güvenliğini sağlamaktır. Bu altbaşlıkta değinilecek konular ise verinin saklandığı ortamla ilgili (ister bilgisayarınızın diski olsun,isterse de yedekleme alanınız) hangi ilave koruma önlemlerinin alınabileceğidir.

Hassas verilerinizi USB gibi ortamlarda, şifresiz halde tutmamaya çalışın. Verilerinizi ücretli veya ücretsiz yazılımlar kullanarak şifreleyebilirsiniz.

———–Burada veri şifreleme detaylarına girilir———————

——–Ömer: Veri şifreleme yöntemlerini araştırır. hem diskte hem de usb’de. ————-

7.3 Veri temizliği

Veri temizliği veri güvenliğinin önemli bileşenlerinden biridir ve dikkat edilmediği zaman verilerinizin başkalarının eline geçmesine neden olabilir. Bu konuda alınabilecek önlemler iki altbaşlıkta incelenebilir:

7.3.1 Elektronik veri temizliği

Eski bir cihazınızı (bilgisayar veya akıllı telefon) satmak veya çöpe atmak istediğinizde içindeki işletim sistemini silmiş olsanız dahi fiziksel depolama aygıtınızda (HDD) bu veriler geri döndürülebilir halde kalacaktır. Bu sebeple, fiziksel depolama aygıtı barındıran bir cihazı satacak veya çöpe atacaksanız, fiziksel depolama aygıtlarındaki verileri çeşitli algoritmalar kullanarak geri döndürülemez olarak temizleyen yazılımlarla temizlediğinize veya bu aygıtları fiziksel olarak yok ettiğinize emin olmanız gerekir. Bu amaç için kullanabileceğiniz yazılımlardan bazıları şunlardır.———–Ömer bu konu için uygulama listesi hazırlayacak —————–

7.3.2 Fiziksel veri temizliği

Fiziksel veri temizliği için almanız gereken önlemler çok daha basittir:

– Temiz masa politikası uygulayın: Masanızda,yazıcıda ve ortak alanlarda şifre veya özel bilgiler içeren not veya evraklar bırakmayın.

– İmha edin: Çöpe atmanız gereken evraklar varsa bu evrakları yırttığınızdan veya özel evrak imha makineleri ile imha ettiğinizden emin olun.

Henüz Yorum Yok.

Yorum Yazınız