CompTIA Security+ | Risk Yönetimi #5

Selamlar değerli THT üyeleri,

CompTIA Security+ serimize kaldığımız yerden devam ediyoruz. Bugün ki konumuz ise "Risk Yönetimi". Her zamanki gibi serinin diğer konularına aşağıdaki bağlantılardan ulaşabilirsiniz;
CompTIA Security+ | Nedir, Ne İşe Yarar, Hangi Konuları İçerir? #1
CompTIA Security+ | Güvenlik Açıkları, Tehditler ve Saldırılar #2
CompTIA Security+ | Ağ Tasarımı ve Mimarisi #3
CompTIA Security+ | Erişim ve Kimlik Yönetimi #4

Risk Yönetimi
Kuruluşunuz hem tehlike hem de fırsat risklerini belirlemek, değerlendirmek, iyileştirmek ve izlemek için risk yönetimini kullanır. İyi bir risk yönetimi ile potansiyel riskleri belirleyebilir, oluşma olasılıklarını değerlendirebilir, sonuçlarını değerlendirebilir ve riskleri azaltarak şirketiniz için en iyi kararı verebilirsiniz. Risklerin bir risk matrisinde görselleştirilmesi size tüm tehditlere ilişkin genel bir bakış sağlar. Hangilerinin kritik olduğunu ve öncelik verilmesi gerektiğini gösterir.



Siber Güvenlikte Risk Yönetimi
Siber güvenlik risk yönetimi, kuruluşun karşı karşıya olduğu güvenlik risklerini belirleme bu riskleri önlemek için savunmalar geliştirme ve planlama sürecidir. Siber güvenlik risk yönetimi sadece güvenlik ekibinin işi değildir; organizasyondaki herkesin oynayacağı bir rol vardır.

Risk Yönetim Süreçleri ve Kavramları
Varlık Tanımlama
Kuruluşunuzun hizmetlerini gerçekleştirmek ve ürünlerini üretmek için ihtiyaç duyduğu günlük eşyaların yanı sıra kritik görevleri belirlemek için de kapsamlı bir varlık envanteri yapılmalıdır.

Risk Değerlendirme Formülleri ve Değişkenleri
Farklı risk değerlendirme formülleri ve değişkenleri vardır. Bunlar, maruz kalma faktörü (EF), tek kayıp beklentisi (SLE), yıllık meydana gelme oranı (ARO) ve yıllık kayıp beklentisidir (ALE).​

• Maruz Kalma Faktörü (EF): Belirli bir risk nedeniyle kaybedilmesi muhtemel varlık değerinin oranıdır.​
• Tek Kayıp Beklentisi (SLE): Risk gerçekleştirme olayından kaynaklanan potansiyel dolar değerinin kaybıdır. EF değeriyle çarpılarak hesaplanır.​
• Yıllık Meydana Gelme Oranı (ARO): Bir riskin yılda belirli sayıda gerçekleşebileceğinin istatistiksel olasılığıdır.​
• Yıllık Kayıp Beklentisi (ALE): Risk başına yıllık potansiyel dolar değeri kaybıdır. SLE'nin ARO ile çarpılmasıyla hesaplanır.​

Tehditler
Tehdit, güvenlik açığından yararlanabilecek herhangi bir kişi veya araçtır. Tehdit belirleme, bir sisteme yönelik olası tehditleri ana hatlarıyla belirlenmesi resmi bir süreçtir.

Güvenlik Açıkları
Bir sistemin, ağın, bilgisayarın, yazılımın vb. güvenlik korumasındaki zayıflığıdır. Güvenlik açığı olduğunda, onu istismar etmek için tehditler olabilir.

Standart İşletim Prosedürleri (SOP)
SOP, rutin görevleri gerçekleştirmek için kullanılan, talimatlar içeren bir belgedir.

Sözleşme Türleri​

• Business Partners Agreement (BPA): İş ortağı olarak hareket eden iki kişi veya kuruluş arasındaki rolleri ve sorumlulukları belirleyen yasal olarak bağlayıcı bir belgedir.​
• Service Level Agreement (SLA): Bu sözleşme hizmeti sağlayan kuruluş ile hizmetten yararlanan kuruluş arasında belgelenmiş bir anlaşma işlevi görür. ​
• Interconnection Security Agreement (ISA): Teknik gereksinimleri belgelemek için BT sistemlerine sahip olan ve işleten kuruluşlar arasında yapılan bir anlaşma türüdür.​
• Memorandum of Understanding / Memorandum of Agreement (MOU/MAO): İki veya daha fazla taraf arasında ortak bir eylem planının ana hatlarını çizen anlaşmadır. Şirketler bir projede veya benzer bir girişimde birlikte çalışmayı planladığında MOU kullanılır.​

Personel Yönetimi​

• Görev Ayrımı: Tek bir kişinin çok fazla çalışmasını veya bir yeri fazla kontrol etmesini önlemeye yardımcı olur.​
• Temiz Masa Politikası: Çalışanlar, çalışma alanlarını denetlemeli ve her iş gününün sonunda bilgi, belge ve materyallerin güvenliğini sağlamalıdır.​
• Arka Plan Kontrolleri: İş başvurunuzda sağladığınız bilgilerin doğruluğunu doğrulamak için işverenler tarafından kullanılır. Kontrol edilen öğeler genellikle şunlardır: eğitim geçmişi, referanslar, kredi geçmişi, tıbbi kayıtlar, mahkeme kayıtları ve sabıka kayıtları.​
• Çıkış Görüşmeleri: Şirketten ayrılan çalışanlarla, iş veya ilgili konularda bilgi almak için yapılan, işverene şirket hakkında bilgi vermek için yapılan görüşmeler.​
• Farkındalık Eğitimi: Çalışanın kuruluşta üstlendiği role göre özelleştirilmiş eğitim.​
• Veri Sahibi: Bilgisayarlı verilerin bütünlüğü, doğru raporlaması ve kullanılmasından sorumlu olan kişiler.​
• Sistem Yöneticisi: Bir sistemin genel güvenliğinden ve özellikle teknik açıdan sistemin düzgün çalışmasından sorumlu olan kişiler.​
• Sistem Sahibi: Sistem için genel sorumluluğa sahip olan başkan, üst düzey yönetici.​
• Kullanıcı: Bir sistemin düzenli kullanıcısıdır. Kullanıcılar, bir kuruluşun güvenliğini sağlamaya yardımcı olmak için temel güvenlik kavramları konusunda eğitilmelidir.​
• Ayrıcalıklı Kullanıcı: Bir sisteme güvenlik erişim ayrıcalıklarına sahip, genellikle erişim ve yönetim işlevlerini gerçekleştirme gücü daha yüksek olan kullanıcıdır.​
• Yönetici Kullanıcı: Kuruluşlarının güvenliği (riskleri) hakkında üst düzey brifinglere ihtiyaç duyarlar.​
• Gizlilik Sözleşmesi: Kullanıcıların özel bilgileri diğer kullanıcılar veya şirketlerle paylaşılmamasını sağlar.​
• Sürekli Eğitim: Çalışanları süreçler, güvenlik ve prosedürler konusunda eğitmek.​
• Kabul Edilebilir Kullanım Politikası: Kullanıcıların sistemlere ve ağ ekipmanına erişirken gerçekleştirebilecekleri eylemleri tanımlayan bir politika.​
• Olumsuz Eylemler: Bir çalışan bir güvenlik politikasını ihlal ettiğinde, bir yöneticinin politikayı ihlal ettiği için çalışana uygulayabileceği olumsuz eylemdir.​

Genel Güvenlik Politikaları​

• Sosyal Medya Uygulamaları: İnsanlar, toplum içinde söylemedikleri fikirlerini sosyal medyada söyleyebilirler. Bu genellikle kişinin konuyla ilgili sahip olduğu gerçek duygu ve inançlardır.​
• Kişisel E-posta: Resmi şirket işlerini yürütmek için asla kullanılmamalıdır. Sadece şirket izin veriyorsa işyerinden erişim sağlanmalıdır.​

Olay Müdahale Prosedürleri
Olay Müdahalesi
Planlanmış ve belgelenmiş bir olay müdahalesinin amacı bir olayın neden olduğu hasar miktarını sınırlamak ve çevreyi gerektiği gibi kurtarmaktır. Mümkün olan en kısa sürede olay ve fail hakkında bilgi toplamak için tekrarını önlemek ve yasal soruşturma başlatmak için kullanılır.

Olay Müdahale Süreçleri​

• Hazırlık: Veri ihlali durumunda çalışanlarınızın olay müdahale rolleri ve sorumlulukları konusunda uygun şekilde eğitilmelerini sağlayın.​
• Tanımlama: İhlal edilip edilmediğinizi belirlediğiniz süreçtir. Bir ihlal veya olay birçok farklı alandan kaynaklanabilir.​
• Sınırlama: İhlal ilk keşfedildiğinde, ilk içgüdünüz her şeyi güvenli bir şekilde silmek olabilir, böylece ondan kurtulabilirsiniz.​
• Eradikasyon: Sorunu kontrol altına aldıktan sonra, ihlalin temel nedenini bulmanız ve ortadan kaldırmanız gerekir.​
• Kurtarma: Etkilenen sistemleri ve cihazları geri yükleme ve iş ortamınıza geri gönderme sürecidir.​
• Alınan Dersler: Soruşturma tamamlandıktan sonra, tüm Olay Müdahale Ekibi üyeleriyle bir toplantı düzenleyin ve veri ihlalinden öğrendiklerinizi tartışın.​

İş Etki Analiz Kavramları
Kurtarma Süresi Hedefi (RTO):
Kesinti veya veri kaybı sonrasında geri yükleme yapmak için gereken maksimum süredir.

Kurtarma Noktası Hedefi (RPO)
Kuruluşun kaybetmeye tahammül edebileceği maksimum veri miktarıdır.

Arızalar Arasındaki Ortalama Süre (MTBF)
Çalışma saatleri sırasında bir makine parçasının arızaları arasındaki sürenin tahminidir.

Ortalama Onarım Süresi (MTTR)
Arızayı öğrenmek, sorunu teşhis etmek ve onarmak için geçen süreyi içerir.

Etki
Oluşabilecek hasar veya kayıp miktarının ölçümüdür. Potansiyel bir tehdidin gerçekleşmesi durumunda ortaya çıkacak veya kaynaklanacak kayıp miktarı.

Gizlilik Etki Değerlendirmesi (PIA)
Gizlilik risklerini belirlemek için kullanılır. Bu risklerin nasıl azaltılacağı ve etkilenen taraflara bildirim yapılıp yapılmayacağı belirlenir.

Gizlilik Eşiği Değerlendirmesi (PTA)
Verileri değerlendirmek için kullanılan bir araçtır.

Kontrol Türleri
İdari Kontroller
Politika ve prosedürlerin geliştirilmesi ve yürütülmesini sağlamaya yönelik süreçlerdir.

Caydırıcı Kontrol
Güvenlik ihlalleri meydana gelmeden önce caydırmaya çalışılır.

Önleyici Kontrol
Tehdidin gelmesini önlemek için yapılan çalışmalardır.

Fiziksel Kontrol
Güvenliği tanımlanmış bir yapı ve konumda uygulanır.

Dedektif Kontrol
Sisteme ulaşan herhangi bir tehdidi belirlemek için tasarlanmıştır.

Telafi Edici Kontrol
Herhangi bir nedenle kullanılmayan kontrollere alternatif sağlayan kontroldür.

Düzeltici Kontrol
Bir olayın neden olduğu hasarı hafifletmeyi veya azaltmayı amaçlayan kontroldür.

Teknik Kontroller
Cihazlar tarafından yürütülen veya yönetilen kontroller.

Veri Güvenliği ve Gizlilik Uygulamaları
Dezenfekte Etmek
Kullanılabilir tüm verilerin sistemden kaldırılması.

Temizleme
Tüm hassas verilerin bir cihazdan kaldırıldığını gösterir.

Silme
Bir diskteki tüm veri kalıntılarını tamamen kaldırma.

Yakmak
Genellikle kağıtla yapılır.

Kağıt Parçalama
Kağıdı parçalayıcıdan fiziksel olarak geçirmek, en iyisidir.

Hamurlaştırma
Parçalanmış kağıdı püre haline getirir.

Degaussing
Bir sürücüdeki verileri okunamaz hale getirmek için elektronik bir mıknatıs kullanma.

Toz Haline Getirme
Fiziksel olarak yok etme, optik ortamlarda yaygın olarak kullanılır.

Aşağıda veri güvenliği ve gizliliği hakkında bilgisayar ortamında yapılacak uygulamaların videosu vardır;

Okuduğunuz için teşekkür ederim. Serimizin diğer konusunda görüşmek üzere. Esen kalın...​

Safak-Bey' Alıntı:

Selamlar değerli THT üyeleri,

CompTIA Security+ serimize kaldığımız yerden devam ediyoruz. Bugün ki konumuz ise "Risk Yönetimi". Her zamanki gibi serinin diğer konularına aşağıdaki bağlantılardan ulaşabilirsiniz;
CompTIA Security+ | Nedir, Ne İşe Yarar, Hangi Konuları İçerir? #1
CompTIA Security+ | Güvenlik Açıkları, Tehditler ve Saldırılar #2
CompTIA Security+ | Ağ Tasarımı ve Mimarisi #3
CompTIA Security+ | Erişim ve Kimlik Yönetimi #4

Risk Yönetimi
Kuruluşunuz hem tehlike hem de fırsat risklerini belirlemek, değerlendirmek, iyileştirmek ve izlemek için risk yönetimini kullanır. İyi bir risk yönetimi ile potansiyel riskleri belirleyebilir, oluşma olasılıklarını değerlendirebilir, sonuçlarını değerlendirebilir ve riskleri azaltarak şirketiniz için en iyi kararı verebilirsiniz. Risklerin bir risk matrisinde görselleştirilmesi size tüm tehditlere ilişkin genel bir bakış sağlar. Hangilerinin kritik olduğunu ve öncelik verilmesi gerektiğini gösterir.



Siber Güvenlikte Risk Yönetimi
Siber güvenlik risk yönetimi, kuruluşun karşı karşıya olduğu güvenlik risklerini belirleme bu riskleri önlemek için savunmalar geliştirme ve planlama sürecidir. Siber güvenlik risk yönetimi sadece güvenlik ekibinin işi değildir; organizasyondaki herkesin oynayacağı bir rol vardır.

Risk Yönetim Süreçleri ve Kavramları
Varlık Tanımlama
Kuruluşunuzun hizmetlerini gerçekleştirmek ve ürünlerini üretmek için ihtiyaç duyduğu günlük eşyaların yanı sıra kritik görevleri belirlemek için de kapsamlı bir varlık envanteri yapılmalıdır.

Risk Değerlendirme Formülleri ve Değişkenleri
Farklı risk değerlendirme formülleri ve değişkenleri vardır. Bunlar, maruz kalma faktörü (EF), tek kayıp beklentisi (SLE), yıllık meydana gelme oranı (ARO) ve yıllık kayıp beklentisidir (ALE).​

• Maruz Kalma Faktörü (EF): Belirli bir risk nedeniyle kaybedilmesi muhtemel varlık değerinin oranıdır.​
• Tek Kayıp Beklentisi (SLE): Risk gerçekleştirme olayından kaynaklanan potansiyel dolar değerinin kaybıdır. EF değeriyle çarpılarak hesaplanır.​
• Yıllık Meydana Gelme Oranı (ARO): Bir riskin yılda belirli sayıda gerçekleşebileceğinin istatistiksel olasılığıdır.​
• Yıllık Kayıp Beklentisi (ALE): Risk başına yıllık potansiyel dolar değeri kaybıdır. SLE'nin ARO ile çarpılmasıyla hesaplanır.​

Tehditler
Tehdit, güvenlik açığından yararlanabilecek herhangi bir kişi veya araçtır. Tehdit belirleme, bir sisteme yönelik olası tehditleri ana hatlarıyla belirlenmesi resmi bir süreçtir.

Güvenlik Açıkları
Bir sistemin, ağın, bilgisayarın, yazılımın vb. güvenlik korumasındaki zayıflığıdır. Güvenlik açığı olduğunda, onu istismar etmek için tehditler olabilir.

Standart İşletim Prosedürleri (SOP)
SOP, rutin görevleri gerçekleştirmek için kullanılan, talimatlar içeren bir belgedir.

Sözleşme Türleri​

• Business Partners Agreement (BPA): İş ortağı olarak hareket eden iki kişi veya kuruluş arasındaki rolleri ve sorumlulukları belirleyen yasal olarak bağlayıcı bir belgedir.​
• Service Level Agreement (SLA): Bu sözleşme hizmeti sağlayan kuruluş ile hizmetten yararlanan kuruluş arasında belgelenmiş bir anlaşma işlevi görür. ​
• Interconnection Security Agreement (ISA): Teknik gereksinimleri belgelemek için BT sistemlerine sahip olan ve işleten kuruluşlar arasında yapılan bir anlaşma türüdür.​
• Memorandum of Understanding / Memorandum of Agreement (MOU/MAO): İki veya daha fazla taraf arasında ortak bir eylem planının ana hatlarını çizen anlaşmadır. Şirketler bir projede veya benzer bir girişimde birlikte çalışmayı planladığında MOU kullanılır.​

Personel Yönetimi​

• Görev Ayrımı: Tek bir kişinin çok fazla çalışmasını veya bir yeri fazla kontrol etmesini önlemeye yardımcı olur.​
• Temiz Masa Politikası: Çalışanlar, çalışma alanlarını denetlemeli ve her iş gününün sonunda bilgi, belge ve materyallerin güvenliğini sağlamalıdır.​
• Arka Plan Kontrolleri: İş başvurunuzda sağladığınız bilgilerin doğruluğunu doğrulamak için işverenler tarafından kullanılır. Kontrol edilen öğeler genellikle şunlardır: eğitim geçmişi, referanslar, kredi geçmişi, tıbbi kayıtlar, mahkeme kayıtları ve sabıka kayıtları.​
• Çıkış Görüşmeleri: Şirketten ayrılan çalışanlarla, iş veya ilgili konularda bilgi almak için yapılan, işverene şirket hakkında bilgi vermek için yapılan görüşmeler.​
• Farkındalık Eğitimi: Çalışanın kuruluşta üstlendiği role göre özelleştirilmiş eğitim.​
• Veri Sahibi: Bilgisayarlı verilerin bütünlüğü, doğru raporlaması ve kullanılmasından sorumlu olan kişiler.​
• Sistem Yöneticisi: Bir sistemin genel güvenliğinden ve özellikle teknik açıdan sistemin düzgün çalışmasından sorumlu olan kişiler.​
• Sistem Sahibi: Sistem için genel sorumluluğa sahip olan başkan, üst düzey yönetici.​
• Kullanıcı: Bir sistemin düzenli kullanıcısıdır. Kullanıcılar, bir kuruluşun güvenliğini sağlamaya yardımcı olmak için temel güvenlik kavramları konusunda eğitilmelidir.​
• Ayrıcalıklı Kullanıcı: Bir sisteme güvenlik erişim ayrıcalıklarına sahip, genellikle erişim ve yönetim işlevlerini gerçekleştirme gücü daha yüksek olan kullanıcıdır.​
• Yönetici Kullanıcı: Kuruluşlarının güvenliği (riskleri) hakkında üst düzey brifinglere ihtiyaç duyarlar.​
• Gizlilik Sözleşmesi: Kullanıcıların özel bilgileri diğer kullanıcılar veya şirketlerle paylaşılmamasını sağlar.​
• Sürekli Eğitim: Çalışanları süreçler, güvenlik ve prosedürler konusunda eğitmek.​
• Kabul Edilebilir Kullanım Politikası: Kullanıcıların sistemlere ve ağ ekipmanına erişirken gerçekleştirebilecekleri eylemleri tanımlayan bir politika.​
• Olumsuz Eylemler: Bir çalışan bir güvenlik politikasını ihlal ettiğinde, bir yöneticinin politikayı ihlal ettiği için çalışana uygulayabileceği olumsuz eylemdir.​

Genel Güvenlik Politikaları​

• Sosyal Medya Uygulamaları: İnsanlar, toplum içinde söylemedikleri fikirlerini sosyal medyada söyleyebilirler. Bu genellikle kişinin konuyla ilgili sahip olduğu gerçek duygu ve inançlardır.​
• Kişisel E-posta: Resmi şirket işlerini yürütmek için asla kullanılmamalıdır. Sadece şirket izin veriyorsa işyerinden erişim sağlanmalıdır.​

Olay Müdahale Prosedürleri
Olay Müdahalesi
Planlanmış ve belgelenmiş bir olay müdahalesinin amacı bir olayın neden olduğu hasar miktarını sınırlamak ve çevreyi gerektiği gibi kurtarmaktır. Mümkün olan en kısa sürede olay ve fail hakkında bilgi toplamak için tekrarını önlemek ve yasal soruşturma başlatmak için kullanılır.

Olay Müdahale Süreçleri​

• Hazırlık: Veri ihlali durumunda çalışanlarınızın olay müdahale rolleri ve sorumlulukları konusunda uygun şekilde eğitilmelerini sağlayın.​
• Tanımlama: İhlal edilip edilmediğinizi belirlediğiniz süreçtir. Bir ihlal veya olay birçok farklı alandan kaynaklanabilir.​
• Sınırlama: İhlal ilk keşfedildiğinde, ilk içgüdünüz her şeyi güvenli bir şekilde silmek olabilir, böylece ondan kurtulabilirsiniz.​
• Eradikasyon: Sorunu kontrol altına aldıktan sonra, ihlalin temel nedenini bulmanız ve ortadan kaldırmanız gerekir.​
• Kurtarma: Etkilenen sistemleri ve cihazları geri yükleme ve iş ortamınıza geri gönderme sürecidir.​
• Alınan Dersler: Soruşturma tamamlandıktan sonra, tüm Olay Müdahale Ekibi üyeleriyle bir toplantı düzenleyin ve veri ihlalinden öğrendiklerinizi tartışın.​

İş Etki Analiz Kavramları
Kurtarma Süresi Hedefi (RTO):
Kesinti veya veri kaybı sonrasında geri yükleme yapmak için gereken maksimum süredir.

Kurtarma Noktası Hedefi (RPO)
Kuruluşun kaybetmeye tahammül edebileceği maksimum veri miktarıdır.

Arızalar Arasındaki Ortalama Süre (MTBF)
Çalışma saatleri sırasında bir makine parçasının arızaları arasındaki sürenin tahminidir.

Ortalama Onarım Süresi (MTTR)
Arızayı öğrenmek, sorunu teşhis etmek ve onarmak için geçen süreyi içerir.

Etki
Oluşabilecek hasar veya kayıp miktarının ölçümüdür. Potansiyel bir tehdidin gerçekleşmesi durumunda ortaya çıkacak veya kaynaklanacak kayıp miktarı.

Gizlilik Etki Değerlendirmesi (PIA)
Gizlilik risklerini belirlemek için kullanılır. Bu risklerin nasıl azaltılacağı ve etkilenen taraflara bildirim yapılıp yapılmayacağı belirlenir.

Gizlilik Eşiği Değerlendirmesi (PTA)
Verileri değerlendirmek için kullanılan bir araçtır.

Kontrol Türleri
İdari Kontroller
Politika ve prosedürlerin geliştirilmesi ve yürütülmesini sağlamaya yönelik süreçlerdir.

Caydırıcı Kontrol
Güvenlik ihlalleri meydana gelmeden önce caydırmaya çalışılır.

Önleyici Kontrol
Tehdidin gelmesini önlemek için yapılan çalışmalardır.

Fiziksel Kontrol
Güvenliği tanımlanmış bir yapı ve konumda uygulanır.

Dedektif Kontrol
Sisteme ulaşan herhangi bir tehdidi belirlemek için tasarlanmıştır.

Telafi Edici Kontrol
Herhangi bir nedenle kullanılmayan kontrollere alternatif sağlayan kontroldür.

Düzeltici Kontrol
Bir olayın neden olduğu hasarı hafifletmeyi veya azaltmayı amaçlayan kontroldür.

Teknik Kontroller
Cihazlar tarafından yürütülen veya yönetilen kontroller.

Veri Güvenliği ve Gizlilik Uygulamaları
Dezenfekte Etmek
Kullanılabilir tüm verilerin sistemden kaldırılması.

Temizleme
Tüm hassas verilerin bir cihazdan kaldırıldığını gösterir.

Silme
Bir diskteki tüm veri kalıntılarını tamamen kaldırma.

Yakmak
Genellikle kağıtla yapılır.

Kağıt Parçalama
Kağıdı parçalayıcıdan fiziksel olarak geçirmek, en iyisidir.

Hamurlaştırma
Parçalanmış kağıdı püre haline getirir.

Degaussing
Bir sürücüdeki verileri okunamaz hale getirmek için elektronik bir mıknatıs kullanma.

Toz Haline Getirme
Fiziksel olarak yok etme, optik ortamlarda yaygın olarak kullanılır.

Aşağıda veri güvenliği ve gizliliği hakkında bilgisayar ortamında yapılacak uygulamaların videosu vardır;

Okuduğunuz için teşekkür ederim. Serimizin diğer konusunda görüşmek üzere. Esen kalın...​

Genişletmek için tıkla ...

Mascar' Alıntı:

Elinize sağlık.

Genişletmek için tıkla ...

vancoondehni' Alıntı:

Genişletmek için tıkla ...

JohnWick51' Alıntı:

Ellerine saglik

Genişletmek için tıkla ...

Ghost Killer' Alıntı:

Eline sağlık.

Genişletmek için tıkla ...

CiHaN-i TuRaN' Alıntı:

Elinize Emeğinize sağlık

Genişletmek için tıkla ...

EX' Alıntı:

Eline emeğine sağlık. Konu Avcısı

Genişletmek için tıkla ...

Safak-Bey' Alıntı:

Selamlar değerli THT üyeleri,

CompTIA Security+ serimize kaldığımız yerden devam ediyoruz. Bugün ki konumuz ise "Risk Yönetimi". Her zamanki gibi serinin diğer konularına aşağıdaki bağlantılardan ulaşabilirsiniz;
CompTIA Security+ | Nedir, Ne İşe Yarar, Hangi Konuları İçerir? #1
CompTIA Security+ | Güvenlik Açıkları, Tehditler ve Saldırılar #2
CompTIA Security+ | Ağ Tasarımı ve Mimarisi #3
CompTIA Security+ | Erişim ve Kimlik Yönetimi #4

Risk Yönetimi
Kuruluşunuz hem tehlike hem de fırsat risklerini belirlemek, değerlendirmek, iyileştirmek ve izlemek için risk yönetimini kullanır. İyi bir risk yönetimi ile potansiyel riskleri belirleyebilir, oluşma olasılıklarını değerlendirebilir, sonuçlarını değerlendirebilir ve riskleri azaltarak şirketiniz için en iyi kararı verebilirsiniz. Risklerin bir risk matrisinde görselleştirilmesi size tüm tehditlere ilişkin genel bir bakış sağlar. Hangilerinin kritik olduğunu ve öncelik verilmesi gerektiğini gösterir.



Siber Güvenlikte Risk Yönetimi
Siber güvenlik risk yönetimi, kuruluşun karşı karşıya olduğu güvenlik risklerini belirleme bu riskleri önlemek için savunmalar geliştirme ve planlama sürecidir. Siber güvenlik risk yönetimi sadece güvenlik ekibinin işi değildir; organizasyondaki herkesin oynayacağı bir rol vardır.

Risk Yönetim Süreçleri ve Kavramları
Varlık Tanımlama
Kuruluşunuzun hizmetlerini gerçekleştirmek ve ürünlerini üretmek için ihtiyaç duyduğu günlük eşyaların yanı sıra kritik görevleri belirlemek için de kapsamlı bir varlık envanteri yapılmalıdır.

Risk Değerlendirme Formülleri ve Değişkenleri
Farklı risk değerlendirme formülleri ve değişkenleri vardır. Bunlar, maruz kalma faktörü (EF), tek kayıp beklentisi (SLE), yıllık meydana gelme oranı (ARO) ve yıllık kayıp beklentisidir (ALE).​

• Maruz Kalma Faktörü (EF): Belirli bir risk nedeniyle kaybedilmesi muhtemel varlık değerinin oranıdır.​
• Tek Kayıp Beklentisi (SLE): Risk gerçekleştirme olayından kaynaklanan potansiyel dolar değerinin kaybıdır. EF değeriyle çarpılarak hesaplanır.​
• Yıllık Meydana Gelme Oranı (ARO): Bir riskin yılda belirli sayıda gerçekleşebileceğinin istatistiksel olasılığıdır.​
• Yıllık Kayıp Beklentisi (ALE): Risk başına yıllık potansiyel dolar değeri kaybıdır. SLE'nin ARO ile çarpılmasıyla hesaplanır.​

Tehditler
Tehdit, güvenlik açığından yararlanabilecek herhangi bir kişi veya araçtır. Tehdit belirleme, bir sisteme yönelik olası tehditleri ana hatlarıyla belirlenmesi resmi bir süreçtir.

Güvenlik Açıkları
Bir sistemin, ağın, bilgisayarın, yazılımın vb. güvenlik korumasındaki zayıflığıdır. Güvenlik açığı olduğunda, onu istismar etmek için tehditler olabilir.

Standart İşletim Prosedürleri (SOP)
SOP, rutin görevleri gerçekleştirmek için kullanılan, talimatlar içeren bir belgedir.

Sözleşme Türleri​

• Business Partners Agreement (BPA): İş ortağı olarak hareket eden iki kişi veya kuruluş arasındaki rolleri ve sorumlulukları belirleyen yasal olarak bağlayıcı bir belgedir.​
• Service Level Agreement (SLA): Bu sözleşme hizmeti sağlayan kuruluş ile hizmetten yararlanan kuruluş arasında belgelenmiş bir anlaşma işlevi görür. ​
• Interconnection Security Agreement (ISA): Teknik gereksinimleri belgelemek için BT sistemlerine sahip olan ve işleten kuruluşlar arasında yapılan bir anlaşma türüdür.​
• Memorandum of Understanding / Memorandum of Agreement (MOU/MAO): İki veya daha fazla taraf arasında ortak bir eylem planının ana hatlarını çizen anlaşmadır. Şirketler bir projede veya benzer bir girişimde birlikte çalışmayı planladığında MOU kullanılır.​

Personel Yönetimi​

• Görev Ayrımı: Tek bir kişinin çok fazla çalışmasını veya bir yeri fazla kontrol etmesini önlemeye yardımcı olur.​
• Temiz Masa Politikası: Çalışanlar, çalışma alanlarını denetlemeli ve her iş gününün sonunda bilgi, belge ve materyallerin güvenliğini sağlamalıdır.​
• Arka Plan Kontrolleri: İş başvurunuzda sağladığınız bilgilerin doğruluğunu doğrulamak için işverenler tarafından kullanılır. Kontrol edilen öğeler genellikle şunlardır: eğitim geçmişi, referanslar, kredi geçmişi, tıbbi kayıtlar, mahkeme kayıtları ve sabıka kayıtları.​
• Çıkış Görüşmeleri: Şirketten ayrılan çalışanlarla, iş veya ilgili konularda bilgi almak için yapılan, işverene şirket hakkında bilgi vermek için yapılan görüşmeler.​
• Farkındalık Eğitimi: Çalışanın kuruluşta üstlendiği role göre özelleştirilmiş eğitim.​
• Veri Sahibi: Bilgisayarlı verilerin bütünlüğü, doğru raporlaması ve kullanılmasından sorumlu olan kişiler.​
• Sistem Yöneticisi: Bir sistemin genel güvenliğinden ve özellikle teknik açıdan sistemin düzgün çalışmasından sorumlu olan kişiler.​
• Sistem Sahibi: Sistem için genel sorumluluğa sahip olan başkan, üst düzey yönetici.​
• Kullanıcı: Bir sistemin düzenli kullanıcısıdır. Kullanıcılar, bir kuruluşun güvenliğini sağlamaya yardımcı olmak için temel güvenlik kavramları konusunda eğitilmelidir.​
• Ayrıcalıklı Kullanıcı: Bir sisteme güvenlik erişim ayrıcalıklarına sahip, genellikle erişim ve yönetim işlevlerini gerçekleştirme gücü daha yüksek olan kullanıcıdır.​
• Yönetici Kullanıcı: Kuruluşlarının güvenliği (riskleri) hakkında üst düzey brifinglere ihtiyaç duyarlar.​
• Gizlilik Sözleşmesi: Kullanıcıların özel bilgileri diğer kullanıcılar veya şirketlerle paylaşılmamasını sağlar.​
• Sürekli Eğitim: Çalışanları süreçler, güvenlik ve prosedürler konusunda eğitmek.​
• Kabul Edilebilir Kullanım Politikası: Kullanıcıların sistemlere ve ağ ekipmanına erişirken gerçekleştirebilecekleri eylemleri tanımlayan bir politika.​
• Olumsuz Eylemler: Bir çalışan bir güvenlik politikasını ihlal ettiğinde, bir yöneticinin politikayı ihlal ettiği için çalışana uygulayabileceği olumsuz eylemdir.​

Genel Güvenlik Politikaları​

• Sosyal Medya Uygulamaları: İnsanlar, toplum içinde söylemedikleri fikirlerini sosyal medyada söyleyebilirler. Bu genellikle kişinin konuyla ilgili sahip olduğu gerçek duygu ve inançlardır.​
• Kişisel E-posta: Resmi şirket işlerini yürütmek için asla kullanılmamalıdır. Sadece şirket izin veriyorsa işyerinden erişim sağlanmalıdır.​

Olay Müdahale Prosedürleri
Olay Müdahalesi
Planlanmış ve belgelenmiş bir olay müdahalesinin amacı bir olayın neden olduğu hasar miktarını sınırlamak ve çevreyi gerektiği gibi kurtarmaktır. Mümkün olan en kısa sürede olay ve fail hakkında bilgi toplamak için tekrarını önlemek ve yasal soruşturma başlatmak için kullanılır.

Olay Müdahale Süreçleri​

• Hazırlık: Veri ihlali durumunda çalışanlarınızın olay müdahale rolleri ve sorumlulukları konusunda uygun şekilde eğitilmelerini sağlayın.​
• Tanımlama: İhlal edilip edilmediğinizi belirlediğiniz süreçtir. Bir ihlal veya olay birçok farklı alandan kaynaklanabilir.​
• Sınırlama: İhlal ilk keşfedildiğinde, ilk içgüdünüz her şeyi güvenli bir şekilde silmek olabilir, böylece ondan kurtulabilirsiniz.​
• Eradikasyon: Sorunu kontrol altına aldıktan sonra, ihlalin temel nedenini bulmanız ve ortadan kaldırmanız gerekir.​
• Kurtarma: Etkilenen sistemleri ve cihazları geri yükleme ve iş ortamınıza geri gönderme sürecidir.​
• Alınan Dersler: Soruşturma tamamlandıktan sonra, tüm Olay Müdahale Ekibi üyeleriyle bir toplantı düzenleyin ve veri ihlalinden öğrendiklerinizi tartışın.​

İş Etki Analiz Kavramları
Kurtarma Süresi Hedefi (RTO):
Kesinti veya veri kaybı sonrasında geri yükleme yapmak için gereken maksimum süredir.

Kurtarma Noktası Hedefi (RPO)
Kuruluşun kaybetmeye tahammül edebileceği maksimum veri miktarıdır.

Arızalar Arasındaki Ortalama Süre (MTBF)
Çalışma saatleri sırasında bir makine parçasının arızaları arasındaki sürenin tahminidir.

Ortalama Onarım Süresi (MTTR)
Arızayı öğrenmek, sorunu teşhis etmek ve onarmak için geçen süreyi içerir.

Etki
Oluşabilecek hasar veya kayıp miktarının ölçümüdür. Potansiyel bir tehdidin gerçekleşmesi durumunda ortaya çıkacak veya kaynaklanacak kayıp miktarı.

Gizlilik Etki Değerlendirmesi (PIA)
Gizlilik risklerini belirlemek için kullanılır. Bu risklerin nasıl azaltılacağı ve etkilenen taraflara bildirim yapılıp yapılmayacağı belirlenir.

Gizlilik Eşiği Değerlendirmesi (PTA)
Verileri değerlendirmek için kullanılan bir araçtır.

Kontrol Türleri
İdari Kontroller
Politika ve prosedürlerin geliştirilmesi ve yürütülmesini sağlamaya yönelik süreçlerdir.

Caydırıcı Kontrol
Güvenlik ihlalleri meydana gelmeden önce caydırmaya çalışılır.

Önleyici Kontrol
Tehdidin gelmesini önlemek için yapılan çalışmalardır.

Fiziksel Kontrol
Güvenliği tanımlanmış bir yapı ve konumda uygulanır.

Dedektif Kontrol
Sisteme ulaşan herhangi bir tehdidi belirlemek için tasarlanmıştır.

Telafi Edici Kontrol
Herhangi bir nedenle kullanılmayan kontrollere alternatif sağlayan kontroldür.

Düzeltici Kontrol
Bir olayın neden olduğu hasarı hafifletmeyi veya azaltmayı amaçlayan kontroldür.

Teknik Kontroller
Cihazlar tarafından yürütülen veya yönetilen kontroller.

Veri Güvenliği ve Gizlilik Uygulamaları
Dezenfekte Etmek
Kullanılabilir tüm verilerin sistemden kaldırılması.

Temizleme
Tüm hassas verilerin bir cihazdan kaldırıldığını gösterir.

Silme
Bir diskteki tüm veri kalıntılarını tamamen kaldırma.

Yakmak
Genellikle kağıtla yapılır.

Kağıt Parçalama
Kağıdı parçalayıcıdan fiziksel olarak geçirmek, en iyisidir.

Hamurlaştırma
Parçalanmış kağıdı püre haline getirir.

Degaussing
Bir sürücüdeki verileri okunamaz hale getirmek için elektronik bir mıknatıs kullanma.

Toz Haline Getirme
Fiziksel olarak yok etme, optik ortamlarda yaygın olarak kullanılır.

Aşağıda veri güvenliği ve gizliliği hakkında bilgisayar ortamında yapılacak uygulamaların videosu vardır;

Okuduğunuz için teşekkür ederim. Serimizin diğer konusunda görüşmek üzere. Esen kalın...​

Genişletmek için tıkla ...