Professional Documents
Culture Documents
Veri Yönetişimi Denetimler, birçok durumda kapsamlı bir veri yönetişimi programının
oluşturulmadığını veya tamamlanmadığını tespit etmiştir. Veri yönetişimi,
veri ve bilgi yönetimine yönelik kurumsal bir yaklaşım olup, verilerin elde
edilmesinden kullanımına ve imhasına kadar tüm yaşam döngüsünü
kapsayan bir dizi politika ve prosedür olarak resmileştirilmiştir. Veri
güvenliği ve gizliliğinin korunması, veri erişimi ve veri paylaşımı ile ilgili
politikaların, prosedürlerin ve standartların oluşturulmasını içerir. Kapsamlı
bir veri yönetişimi programı olmadan, yürürlükteki veri yönetimi ve koruma
prosedürlerinin yetkisiz erişim veya verilerin kötüye kullanımı nedeniyle
veri gizliliği ve güvenlik risklerini azaltmada etkili olduğuna dair daha az
güvence vardır.
Kullanıcı
Hesapları Denetimler, sistem kaynaklarına erişim için kullanıcı hesaplarının
oluşturulması ve sürdürülmesine yönelik kontrollerin tam olarak
oluşturulmadığını tespit etmiştir. Örneğin, bir kullanıcının istihdamı sona
erdikten sonra kullanıcı hesaplarının zamanında devre dışı bırakılması veya
kaldırılmasına ilişkin politika ve prosedürler belgelenmemiş veya ek adımlar
gerektirmiş ve verilere ve diğer sistem kaynaklarına kullanıcı erişiminin
talep edilmesi, oluşturulması ve sürdürülmesine ilişkin politika ve
prosedürler resmi olarak belgelenmemiştir. Belirli bir süre boyunca
erişilmeyen veya kullanılmayan kullanıcı hesapları için proaktif izleme
gerçekleştirilmemiştir. Erişimin uygun ve iş görevleriyle uyumlu kalmasını
sağlamak için verilere kullanıcı erişiminin periyodik incelemeleri
yapılmamıştır. Bazı personel kullanıcı hesaplarını ve şifrelerini
paylaşıyordu, bu da yapılan işlemlerin belirli bir kullanıcıya kadar takip
edilememesi anlamına geliyordu. Uygun hesap erişim politikaları ve
prosedürleri olmadan, kullanıcılar uygunsuz veya yetkisiz erişime sahip
Güvenlik olabilir, bu da hassas verilerin kötüye kullanılması veya uygunsuz şekilde
ifşa edilmesi için fırsatlar sağlayabilir.
Kontrolleri
Birçok durumda denetimler, gerekli tüm güvenlik kontrollerinin
uygulanmadığını ve kişisel olarak tanımlanabilir bilgiler de dahil olmak
üzere bölge teknoloji varlıklarının uygunsuz erişim, kullanım ve ifşa riski
altında bırakıldığını tespit etmiştir. Örneğin, belirli personel resmi olarak
güvenlik yöneticisi olarak atanmamış veya güvenlik politikaları ve
prosedürlerinin oluşturulması, uygulanması ve sürdürülmesi için resmi
olarak sorumluluk verilmemiştir. Ağ şifrelerinin periyodik olarak
değiştirilmesi gerekmiyordu ve güçlü şifrelerin kullanılmasını zorunlu
kılacak kontroller gerekli değildi. Oturum açma banner'larının kullanımı ve
sistemlere eş zamanlı erişimi yönetmek için kontroller de dahil olmak üzere,
sistemlere ve verilere kullanıcı erişimine ilişkin politika ve prosedürler tam
olarak oluşturulmamıştır. Günlüğe kaydedilecek ve izlenecek güvenlik
olaylarının türlerini belirleyen politika ve prosedürler resmi olarak
belgelenmemiştir veya belgelenen politikaların geliştirilmesi gerekmektedir.
Teknoloji kaynaklarının korunmasını sağlamak için fiziksel güvenlik
kontrolleri tam olarak oluşturulmamıştır. Belirli güvenlik kontrollerine
ilişkin politika ve
prosedürler
belgelenmemiştir.
Güvenlik
yönetiminden
sorumlu personelin
resmi olarak
belirlenmemiş
olması ve
belgelenmiş ve
onaylanmış
politika ve
prosedürlerin
bulunmaması
prosedürleri, yönetimin kontrol faaliyetlerinin uygun ve düzgün bir şekilde
uygulandığına dair güvence sağlayamayabilir.
Olaylara Müdahale ve Denetimler, bir ihlal veya başka bir yıkıcı olay durumunda verileri korumak
Süreklilik Planlaması için ek önlemlerin gerekli olduğunu tespit etmiştir. Güvenlik olaylarına
müdahale politikaları ve prosedürleri resmi olarak belgelenmemiş, kapsamlı
bir veri ihlali müdahale politikası oluşturulmamış veya eksiksiz bir
süreklilik planı belgelenmemiş ve resmi olarak test edilmemiştir. Güvenlik
olaylarına hızlı ve uygun müdahaleler yapılmazsa ihlaller devam edebilir ve
kurumun kaynaklarına zarar verebilir. Kapsamlı bir veri ihlali müdahale
politikası olmadan, yönetim bir ihlal durumunda hızlı ve etkili bir şekilde
yanıt vermek için yeterli donanıma sahip olmayabilir ve bu da etkilenen
bireylerin potansiyel zarar görme riskini artırır.
Güvenlik Farkındalık Denetimlerde resmi bir güvenlik ve gizlilik farkındalığı eğitim programının
Programı eksikliği tespit edilmiştir. Eğitim kurumları daha güçlü bilgi sistemleri
uyguladıkça ve elektronik verilere daha fazla bağımlı hale geldikçe, proaktif
güvenlik farkındalığı programları bir öncelik haline gelmektedir. Bilgisiz
kullanıcılar eğitim kurumlarında veri güvenliği için büyük bir tehdittir.
Yeterli eğitim olmadan kullanıcılar sistem güvenlik risklerini ve bu riskleri
azaltmak için ilgili politika ve kontrollerin uygulanmasındaki rollerini
anlayamayabilirler.
Giriş
Arka plan .........................................................................................................3
Denetim
1. Veri Yönetişimi .......................................................................................7
Sorunları
2. Kullanıcı Hesapları..................................................................................8
3. Güvenlik Kontrolleri ...............................................................................9
4. Olaylara Müdahale ve Süreklilik Planlaması ........................................13
5. Güvenlik Farkındalık Programı.............................................................15
6. Satıcı Kontrolleri ...................................................................................15
1
NICOLE GALLOWAY, CPA
Missouri Eyalet Denetçisi
Bu rapor, Devlet Denetçilerinin Siber Farkındalık Okul Denetimleri Girişimi kapsamında Mart ve Eylül
2016 tarihleri arasında tamamlanan beş denetimden yararlanılarak hazırlanmıştır. Bu girişim, okulların
öğrenci verilerinin güvenliğini artırmasına yardımcı olabilecek siber güvenlik önlemlerinin ve gizlilik
kontrollerinin belirlenmesi de dahil olmak üzere veri yönetimi programlarının etkinliğini değerlendirmeye
odaklanmıştır. Bu raporun amacı, bu denetimlerde tartışılan ortak siber güvenlik, gizlilik ve güvenlik
kontrolü sorunlarını ve tavsiyelerini özetleyerek farkındalığı artırmak ve diğer okul bölgelerine veri
yönetişimi programlarında iyileştirme yapılabilecek güçlü yönleri ve alanları belirlemelerinde yardımcı
olmaktır.
Tavsiyeler veri yönetişimi, kullanıcı hesapları, güvenlik kontrolleri, olay müdahale ve süreklilik
planlaması, güvenlik farkındalığı ve satıcı izleme gibi çeşitli konuları ele almaktadır. Ekte yayınlanan beş
denetim raporu listelenmektedir. Bu raporda sunulan konular ve tavsiyeler beş ilçenin her biri için geçerli
olmayabilir ve her ilçede her bir konu için farklı seviyelerde kontroller tesis edilmiş olabilir. Sonuç
olarak, her bir ilçe için geçerli bulgular ve tavsiyeler için o ilçenin denetim raporuna bakınız.
2
Denetim BulgularınınDenetim
ÖzetiBulgularının Özeti
Siber Farkındalık Siber
OkulFarkındalık Okul
Denetimleri
Giriş
Denetimleri Giriş
Siber Farkındalık Okul Denetimleri, okul bölgelerinin öğrenciler ve aileleri
Arka plan hakkında sahip olduğu bilgilerin güvenliğini artıran uygulamaları
belirlemeye odaklanarak gizlilik ve güvenlik kontrollerinin etkinliğini
değerlendirmek üzere tasarlanmıştır.
1
GAO-15-290 Raporu, Kongre Komitelerine Rapor, Yüksek Riskli Seriler Bir Güncelleme,
Şubat 2015, <http://www.gao.gov/assets/670/668415.pdf> adresinde mevcuttur.
2
Aile Eğitim Hakları ve Gizlilik Yasası'na (FERPA) göre, kişisel
tanımlanabilir bilgiler (PII) aşağıdakileri içerir ancak bunlarla sınırlı değildir: (a) öğrencinin
adı; (b) öğrencinin ebeveyninin veya diğer aile üyelerinin adı; (c) öğrencinin veya
öğrencinin ailesinin adresi; (d) öğrencinin sosyal güvenlik numarası, öğrenci numarası veya
biyometrik kayıt gibi kişisel bir tanımlayıcı; (e) öğrencinin doğum tarihi, doğum yeri ve
annesinin kızlık soyadı gibi diğer dolaylı tanımlayıcılar; ve (f) tek başına veya birlikte,
belirli bir öğrenciyle bağlantılı veya ilişkilendirilebilir olan ve ilgili koşullar hakkında kişisel
bilgisi olmayan okul topluluğundaki makul bir kişinin öğrenciyi tanımlamasına olanak
tanıyacak diğer bilgiler.
3
Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri Giriş
Veri yönetişimi ABD Eğitim Bakanlığı, Gizlilik Teknik Destek Merkezi'ne (PTAC) göre,3
Veri yönetişimi, veri ve bilgi yönetimine yönelik kurumsal bir yaklaşım
olup, verilerin edinilmesinden kullanımına ve imhasına kadar tüm yaşam
döngüsünü kapsayan bir dizi politika ve prosedür olarak resmileştirilmiştir.
Veri güvenliği ve gizliliğin korunması, veri envanterleri, içerik ve kayıt
yönetimi, veri kalite kontrolü, veri erişimi ve veri paylaşımı ve yayılması ile
ilgili politikalar, prosedürler ve standartların oluşturulmasını içerir.
3
ABD Eğitim Bakanlığı, Gizlilik Teknik Yardım Merkezi, Veri Yönetişimi Kontrol Listesi, şu
adreste mevcuttur
<http://ptac.ed.gov/sites/default/files/Data%20Governance%20Checklist%20%281%29.pdf>.
4
Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri Giriş
Kanunlar ve yönetmelikler Aile Eğitim Hakları ve Gizlilik Yasası (FERPA), Engelli Bireyler Eğitim
Yasası (IDEA) ve Öğrenci Haklarının Korunması Değişikliği (PPRA) dahil
olmak üzere hassas öğrenci verilerinin korunmasına ilişkin çeşitli federal ve
eyalet yasa ve yönetmelikleri bulunmaktadır. Ayrıca, RSMo, 161.096 sayılı
Bölüm, Eyalet Eğitim Kurulu'nun "öğrenci verilerine erişilebilirlik, şeffaflık
ve hesap verebilirlik" ile ilgili bir kural yayınlamasını gerektirmektedir.4
4
5 CSR Bölüm 20-700.100
5
Web sitesine göre, ABD Eğitim Bakanlığı PTAC'ı şu amaçlarla kurmuştur
Eğitim paydaşlarının öğrenci düzeyinde boylamsal veri sistemleriyle ilgili veri gizliliği,
gizlilik ve güvenlik uygulamaları hakkında bilgi edinmeleri için "tek durak" kaynak. PTAC,
çeşitli kaynaklar aracılığıyla gizlilik, mahremiyet ve güvenlik uygulamaları hakkında bilgi ve
rehberlik sağlar. PTAC bilgilerine <http://nces.ed.gov/programs/ptac> adresinden ulaşılabilir.
5
Denetim Bulgularının Özeti
Siber Farkındalık Okul
Denetimleri Giriş
6
Denetim BulgularınınDenetim
Özeti
Özeti
Konularının
Siber Farkındalık Okul
Siber Farkındalık Denetimleri
Okul
Denetim
Sorunları
Denetimleri Denetim
Kapsamlı bir veri yönetişimi programı oluşturulmamış veya program
1. Veri
KonularıYönetişim tamamlanmamıştır. Sonuç olarak, yürürlükteki veri yönetimi ve koruma
prosedürlerinin yetkisiz erişim veya verilerin kötüye kullanımı nedeniyle
veri gizliliği ve güvenliği risklerini azaltmada etkili olduğuna dair daha az
güvence vardır.
Resmi bir veri yönetişimi programı olmadan bölge, bölge tarafından tutulan
hassas ve kişisel olarak tanımlanabilir verilerin yetkisiz erişime, kötüye
kullanıma veya yanlışlıkla ifşa edilmeye karşı yeterince korunmasını ve
Tavsiye güvende olmasını sağlayamaz.
7
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Sistem kaynaklarına erişim için kullanıcı hesaplarının oluşturulması ve
2. Kullanıcı sürdürülmesine yönelik kontroller tam olarak oluşturulmamıştır.
Hesaplar
Bilgisayar sistemleri ve veriler, yetkisiz erişimi ve hassas verilerin kötüye
kullanımını önlemek için korunmalıdır. Erişimi yönetmenin ve bir sistemi
kimin kullandığını izlemenin yaygın bir yolu, kullanıcıları tanımlamak
(kullanıcı kimliği) ve kimliklerini doğrulamak (parola) için kullanıcı
hesapları kullanmaktır. Kullanıcı hesapları, bir kullanıcının bir sistemin ne
kadarına veya hangi bölümlerine erişebileceğini ve bir sistemdeyken
gerçekleştirebileceği eylemleri kontrol etmek için kullanılabilir. Bir bölge,
sistemlere ve verilere kullanıcı erişimini yetkilendirmek, gözden geçirmek
ve kaldırmak için politikalara ve prosedürlere sahip olmalı ve bu tür
yetkilendirmeleri ve eylemleri belgelendirmelidir. Kullanıcı hesabı erişim
kontrolleri, erişimi yalnızca işlerini yapmak için bu tür bir erişime ihtiyaç
duyan kişilerle sınırlamalı, artık gerekli olmayan hesapları kaldırmalı ve
kullanıcı erişim haklarının periyodik olarak gözden geçirilmesini
içermelidir.
2.1 Sonlandırılan
kullanıcılar Bir kullanıcı işten ayrıldıktan sonra kullanıcı hesaplarının zamanında devre
dışı bırakılması veya kaldırılmasına yönelik politika ve prosedürler
belgelenmemiştir veya ek adımlar gerektirmektedir. Eski kullanıcıların
ilçeden ayrıldıktan 30 gün veya daha uzun bir süre sonra hala ilçe
sistemlerine ve bilgilerine erişebildiğini tespit ettik.
8
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Sistemlere erişimin talep
edilmesi, onaylanması ve
sürdürülmesi için standart
formlar da dahil olmak
üzere resmi politikalar ve
prosedürler oluşturun ve
bunları belgelendirin.
9
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
2.3 Etkin olmayan Belirli bir süre boyunca erişilmemiş veya kullanılmamış kullanıcı hesapları
hesap izleme için proaktif izleme gerçekleştirilmez.
2.4 Kullanıcı erişiminin Erişimin uygun ve iş görevleriyle uyumlu kalmasını sağlamak için
gözden geçirilmesi kullanıcıların verilere erişimine ilişkin periyodik incelemeler yapılmamıştır.
10
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Güvenlik kontrolleri, hassas öğrenci verileri de dahil olmak üzere bir
bölgenin bilgisayar sistemlerini ve verilerini korumaya yardımcı olmak için
insanların, süreçlerin ve teknolojinin yönetimini içerir. Güvenlik kontrolleri,
bilgisayar sistemleri, veriler, fiziksel mülkler veya diğer varlıklara yönelik
güvenlik risklerini önlemek, tespit etmek, bunlara karşı koymak veya en aza
indirmek için güçlü parolalar gibi koruma önlemleri veya karşı tedbirlerdir.
Güvenlik kontrolleri politikaların, denetimin, manuel süreçlerin, bireyler
tarafından gerçekleştirilen eylemlerin veya otomatik süreçlerin
oluşturulmasını içerir. Güvenlik kontrolleri, elektronik olarak depolanan
verilerin korunmasına yardımcı olmak için bilgisayar sistemlerine veya
cihazlarına yerleştirilebilir veya kaynakların bulunduğu alanları güvence
altına alarak dizüstü bilgisayarlar ve ağ cihazları gibi fiziksel bilgisayar
3.1 Güvenlik yöneticisi kaynaklarının korunmasına yardımcı olabilir.
Güvenlik yöneticisi olarak görev yapmak üzere belirli personel resmi olarak
atanmamış veya güvenlik politikaları ve prosedürlerinin oluşturulması,
uygulanması ve sürdürülmesi için resmi olarak sorumluluk verilmemiştir.
11
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Oturum açma Oturum açma banner'ları bölge sistemlerine ve verilerine erişen kullanıcılara
afişleri gösterilmez. Oturum açma banner'ları sistem kullanıcılarına geçerli gizlilik
ve güvenlik bildirimleri ve geçerli yasalar, yönetmelikler ve politikalarla
gerekli uyumluluk hakkında bilgi göstermelidir. Görüntülenen bir oturum
açma b a ş l ı ğ ı olmadan, kullanıcılar sistemin ve verilerin yetkili veya
uygun kullanımı hakkında bilgi sahibi olmayabilir veya bunun farkında
olmayabilir.
Eşzamanlı Bölge sistemlerine eşzamanlı erişimi sınırlamak veya tespit etmek için
kullanıcılar kontroller oluşturulmamıştır. Eşzamanlı oturum kontrolleri, tek bir
kullanıcının herhangi bir zamanda belirli bir sayıdan fazla konumdan bir
bilgi sistemine erişmesini engeller. Bu kontroller, yetkisiz kullanıcıların
yetkili bir kullanıcı gibi görünerek sisteme erişmesini önlemeye yardımcı
olur. Aynı anda birden fazla konumdan erişimi sınırlamayan veya tespit
etmeyen yönetim, verilerin ve sistemin gizliliğini, bütünlüğünü ve
kullanılabilirliğini sağlayamayabilir.
3.5 Fiziksel güvenlik Teknoloji kaynaklarının korunmasını sağlamak için fiziksel güvenlik
kontrolleri tam olarak oluşturulmamıştır. Örneğin, fiziksel güvenlik
12
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
sorumluluğu
13
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Teknoloji kaynaklarının güvenliği resmi olarak tahsis edilmemiştir;
teknoloji kaynaklarına fiziksel erişim için, kısıtlı veya hassas alanlara
kimlerin erişim yetkisine sahip olabileceği de dahil olmak üzere,
belgelenmiş bir politika oluşturulmamıştır; ve kısıtlı alanlara erişim için
anahtarlar yeterince kontrol edilmemekte veya yedek anahtarlar uygun
şekilde izlenmemektedir.
15
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Bir ihlal veya başka bir yıkıcı olay durumunda verileri korumak için ek
4. Olaylara önlemler gereklidir.
Müdahale ve
Güvenlik olayları ve elektronik olarak depolanan verilerin ihlali tüm
Süreklilik kuruluşlar için giderek artan bir endişe kaynağıdır. Bir olay müdahale planı,
Planlama veri ihlali müdahale politikası ve olası olayları ele almak için bölge
politikalarını ve prosedürlerini özetleyen süreklilik planı oluşturmak ve
uygulamak, öğrenci verilerinin gizliliğini korumak için önemli bir adımdır.
Olayların tespit edilmesi ve bunlara müdahale edilmesi için bu planların
açıkça tanımlanmış roller ve sorumluluklarla birlikte oluşturulması, daha iyi
bir müdahale kabiliyeti sağlar ve olay müdahale ve kurtarma süresinin
kısaltılmasına yardımcı olabilir. Hızlı müdahale, daha fazla veri kaybı
riskini en aza indirmeye yardımcı olur ve olaydan etkilenen bireylere
potansiyel zarar da dahil olmak üzere bir olayın veya ihlalin olumsuz
sonuçlarını sınırlandırmaya yardımcı olur. Süreklilik planlaması, ister bir
siber saldırı ister doğal bir afet sonucu olsun, kaybolan, manipüle edilen
veya tehlikeye giren veriler de dahil olmak üzere kaynakların, bir bölgenin
operasyonları üzerindeki etkiyi en aza indirmek için hızlı bir şekilde
kurtarılabilmesini sağlamaya yardımcı olur.
4.1 Olay müdahale Güvenlik olaylarına müdahaleye yönelik politika ve prosedürler resmi
dokümantasyonu olarak belgelenmemiştir.
Kabul edilen standartlara göre bir güvenlik olayı, bir bilgi sisteminin veya
sistemin işlediği, depoladığı veya ilettiği bilgilerin gizliliğini, bütünlüğünü
veya kullanılabilirliğini fiilen veya potansiyel olarak tehlikeye atan veya
güvenlik politikalarının, güvenlik prosedürlerinin veya kabul edilebilir
kullanım politikalarının ihlalini veya yakın tehdidini oluşturan bir olaydır.
Bir kuruluşun güvenlik ihlallerini veya ihlal şüphelerini merkezi bir
güvenlik yönetim ofisine bildirmek için resmi yazılı prosedürlere sahip
olması önemlidir, böylece birden fazla ilgili olay tanımlanabilir, diğer
çalışanlar potansiyel tehditlere karşı uyarılabilir ve uygun soruşturmalar
gerçekleştirilebilir.
4.2 Veri ihlali müdahale Kapsamlı bir veri ihlali müdahale politikası oluşturulmamıştır. Bir veri ihlali
politikası müdahale politikasının uygulanması, öğrenci verilerinin gizliliğinin
korunmasında önemli bir adımdır.
Veri ihlali, PII gibi hassas veya gizli verilere potansiyel olarak erişildiği,
çalındığı veya bir kişi tarafından kullanıldığı bir güvenlik olayıdır.
16
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
yetkisiz kişi. ABD Eğitim Bakanlığı, PTAC tüm eğitim kurumlarının bir
veri ihlali müdahale politikası oluşturmasını önermektedir. Politika,
müdahale süreci için hedefler belirlemeli ve bir ihlalin tanımını, personelin
rol ve sorumluluklarının yanı sıra raporlama, düzeltme ve geri bildirim
mekanizmalarını içermelidir. Politika iyi bir şekilde duyurulmalı ve
görevleri veri gizliliği ve güvenliğinin korunmasını içeren tüm personel için
kolayca erişilebilir hale getirilmelidir.
Kapsamlı bir veri ihlali müdahale politikası olmadan, yönetim bir ihlal
durumunda hızlı ve etkili bir şekilde yanıt vermek için yeterli donanıma
sahip o l m a y a b i l i r v e b u d a etkilenen bireylerin potansiyel
zarar görme riskini artırır.
Tavsiye
Korunan öğrenci verilerinin ihlali durumunda uygun bir müdahaleyi teşvik
etmek için kapsamlı bir veri ihlali müdahale politikasını resmi olarak
belgeleyin ve benimseyin.
4.3 Süreklilik
planlaması Tam bir süreklilik planı belgelenmemiş ve resmi olarak test edilmemiştir.
Bu görevleri yerine getirmekten sorumlu kişiler resmi eğitim almamıştır.
17
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Resmi bir güvenlik ve gizlilik farkındalığı eğitim programı
5. Güvenlik oluşturulmamıştır. Eğitim kurumları daha güçlü bilgi sistemleri uyguladıkça
Farkındalığı ve elektronik verilere daha fazla bağımlı hale geldikçe, proaktif güvenlik
farkındalığı programları bir öncelik haline gelmektedir. Bilgisiz kullanıcılar,
Programı eğitim kurumlarında veri güvenliği için büyük bir tehdittir.
Teknoloji çözümleri bir güvenlik olayını veya veri ihlalini önlemek için her
zaman çözüm değildir. Bölge çapında bir güvenlik farkındalığı eğitim
programı oluşturmak, çalışanların siber tehditlerin farkında olduğundan
emin olmanın etkili bir yoludur, böylece bir güvenlik olayı veya veri
ihlaliyle sonuçlanabilecek maliyetli hatalar yapmazlar. Uygun şekilde
eğitilmiş personel geliştirirken veri koruma ve güvenlik konularında
farkındalığı teşvik etmek, kapsamlı bir eğitim programı aracılığıyla çeşitli
alanların ele alınmasını gerektirir. Güvenlik bilinci eğitimi girişimleri sınıf
tarzı oturumları, güvenlik bilinci web sitelerini, e-posta yoluyla sağlanan
yararlı ipuçlarını ve ilan panosu bildirimlerini içerebilir. Bu yöntemler,
çalışanların bölge güvenlik politikaları, prosedürleri ve en iyi uygulamalar
hakkında sağlam bir anlayışa sahip olmalarını ve olası güvenlik sorunlarını
ve siber tehditleri tanımak ve bunlara uygun şekilde yanıt vermek için neler
yapabileceklerini anlamalarını sağlamaya yardımcı olabilir.
18
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
Teknoloji tedarikçilerinin bölge güvenlik gereksinimlerine uymasını
sağlamak için sözleşmeler ve izleme süreçleri.
6.1 Satıcı izleme Bilgi teknolojisi tedarikçilerinden satın alınan veya dışarıdan temin edilen
yazılımların veri güvenliği ilkelerine uygunluğunu sağlamaya yönelik bir
süreç oluşturulmamıştır.
Kritik bir bölge sisteminin satıcısı ile yazılı bir sözleşme yapılmamıştır veya
sözleşme bölge verilerinin güvenliği ve erişimine ilişkin beklentileri tam
olarak tanımlamamaktadır.
ABD Eğitim Bakanlığı, PTAC yazılı anlaşmalar yapan kuruluşlar için en iyi
uygulamaları sunmaktadır. Bu en iyi uygulamalar arasında PII'nin
sahipliğinin belirtilmesi; pazarlama, reklam, veri madenciliği kısıtlamaları
dahil olmak üzere PII'nin kullanımına ilişkin sınırlamalar üzerinde
anlaşmaya varılması; ve PII'yi uygun şekilde korumak için uygun teknik,
fiziksel ve idari önlemler uygulayarak verilerin güvenli bir şekilde muhafaza
edilmesi yer almaktadır. Ayrıca, veri imhası için şartların belirlenmesi,
uygunsuz ifşa için cezaların tanımlanması ve uyuşmazlık çözümü için
şartların tanımlanması da yer alır.
Veri güvenliği beklentilerini tam olarak tanımlayan yazılı bir sözleşme
Tavsiye olmadan, ilçeler verilerinin güvenliğini ve gizliliğini sağlayamaz ve bir
satıcı anlaşmazlığı veya uyumsuzluk durumunda uygulanabilir sözleşme
hükümlerine güvenemez.
19
Denetim Konularının Özeti
Siber Farkındalık Okul
Denetimleri Denetim
Konuları
mevcut sözleşmeyi
iyileştirin.
20
Denetim BulgularınınDevlet
Özeti ve Yerel Denetim Bulgularının Özeti - Gün Işığı
Siber Farkındalık EkOkul
Yasası
A
Denetim
Denetimleri Ek - Denetim
Raporları
Raporları
Rapor
Numara Başlık
Yayınlanm
a Tarihi
sı
2016-015 Boonville R-1 Okul Bölgesi - Öğrenci Veri Yönetişimi Mart 2016
2016-025 Waynesville R-VI Okul Bölgesi - Öğrenci Veri Yönetişimi Mayıs 2016
2016-058 Cape Girardeau Devlet Okul Bölgesi - Öğrenci Veri Yönetişimi Ağustos 2016
2016-084 Park Hill Okul Bölgesi - Öğrenci Veri Yönetişimi Eylül 2016
2016-089 Orchard Farm R-V Okul Bölgesi - Öğrenci Veri Yönetişimi Eylül 2016
17