2000li yılların başlarında lamer araçları olarak tanımlanabilecek SchoolBus, Cain gibi programlar ile internet üzerinden fırtına estiren ergenler büyüdüler ve doğal olarak eskisinden çok daha yetenekli ve tehlikeliler. Bir de buna ek olarak internet üzerinden gerek saldırı amaçlı araçlara, gerek eğitici belgelere erişim o derece kolaylaştı ki bilgisayardan biraz anlayan ve sabır gösterebilen herkes yeteneklerini geliştirebilecek durumda.
Ülkeler arasında siber savaş olarak tabir edilen ve siber saldırılara sahne olan savaşlar o kadar arttı ki Amerikan Ordusunun, Avrupalı bazı devletlerin, İran ve Çin gibi ülkelerin Siber Orduları olduğu sıkça konuşulur oldu. Her ne kadar bu Orduların savunma amacı ile kurulduğu söylense de aktif eylemler gerçekleştirdikleri de bir gerçek. İran nükleer araştırmalarını engellemeye yönelik olan Stuxnet en bilindik örneklerden birisi. Hatırlarsınız belki zamanın Bilim, Sanayi ve Teknoloji Bakanı Nihat Ergün devlet kontrolünde hacker yetiştirileceğine dair açıklamalarda bulunmuştu. (Haberin detayları için tıklayınız). Devlet destekli orduların yanı sıra underground forum sitelerinde bir araya gelen bilgisayar korsanlarında oluşan, lidersiz ve anonim olan siber ordular da siber savaşların bir başka ve güçlü olabileceğini düşündüğüm aktör.
Başka bir deyişle aktörlerin devletler, bilgisayar konusunda yetenekli bireyler, politik gruplar, underground forumlardan beslenen meraklı gençler olduğu çetin bir savaş alanından bahsediliyor Siber alemde.
Peki kurumunuz bu savaşta hedef olabilir mi? Kurumunuzun ya da şirketinizin doğasının ya da mahiyetinin inanın bana hiç önemi yok. Elbette kasıtlı saldırı alan, direkt hedef olan kurumlar var. Bunun yanında uzantısının tr ya da son dönemlerde gözde olduğu için söylüyorum .il uzantılı olması web sitenizin saldırı alması için yeterli olabiliyor. Planlı hedefseniz şayet öncelikli olarak korsanlar net üzerinden sizinle ilgili toplayabildikleri kadar bilgi topluyorlar, iç ağlarınızın ip aralıklarını belirleyip, ağa erişim sağlamaya çalışıyorlar. Buldukları tek bir açık kapı dahi çalışanlarınız kadar bilgiye, belgeye ulaşmalarına ve sistemler üzerinde ayrıcalık elde etmelerine sebep olabiliyor.
Son dönemlerde bütün Dünyada olduğu gibi Türkiyede de önem verilen konulardan birisi siber güvenlik. Ulaştırma Bakanlığı, Başbakanlık özelinde çeşitli çalışmalar mevcut. Kamu özelinde oluşturulmuş çalışma grupları senaryolar üzerinde ve hazır takımlar oluşturma yönünde çalışmalar mevcut. Çünkü siber güvenlik çeşitli paydaşlardan oluşan büyük bir zincir ve saldırı altındaki kurumun tek başına savunma yapabileceği ve çözüm üretebileceği kadar basit bir konu değil.
Bilgi Teknolojileri alanındaki önemli başlıklardan birisi olan Siber Güvenliğe yönelik NIST (National Institute of Standart and Technology) tarafından hazırlanmış olan orjinal adı Framework for Improving Critical Infrastructure Cybersecurity olan çerçeveyi kurumların Siber Güvenlik açısından hazırlıkları aşamasında öneririm. Çerçeveye http://www.nist.gov/cyberframework/ adresinden ulaşabilirsiniz.
Çerçeve temelde 5 fonksiyona odaklanmaktadır. Orjinalleri Identify, Protect, Detect, Respond ve Recover olan bu fonksiyonlar Tanımlama, Koruma, Tespit etme, Yanıtlama ve Geri Kazanma olarak tanımlanmış, her fonksiyon altında ise kontrol kategorileri yer almaktadır.
Tanımlama fonksiyonu altında varlık yönetimi, İş Ortamı, Yönetişim, Risk Değerlendirme ve Risk Yönetim Stratejisi kategorileri yer almaktadır. Tanımlama aşamasında altyapısal manada Siber Güvenliğe konu varlıkların belirlenmesi ve yönetilmesi, kurum iş ortamının yapısının tanımlanması ve iyice tanınması, risklerin yönetilmesine yönelik yaklaşımın belirlenmesi ele alınmaktadır.
Koruma fonksiyonu altında ise erişim kontrol, farkındalık ve eğitim, veri güvenliği, Bilgi koruma süreç ve prosedürleri, bakım ve korumaya yönelik teknoloji kategorileri yer almaktadır. Koruma aşamasında kurum içi erişim kontrolleri ile güvenliğin sağlanması, kurum içi farkındalığın sağlanmasına yönelik eğitim ve farkındalık programlarının sağlanması, bilginin korunmasına yönelik süreç ve süreci açıklayan prosedürlerin oluşturulması, gerekli bakım faaliyetlerinin takip edilmesi ve korumaya yönelik teknolojinin yakın takibi ele alınmaktadır.
Tespit Etme fonksiyonu altında rutin dışı olaylar ve olay yönetimi, güvenlik sürekliliğinin izlenmesi ve tespit süreci kategorileri yer almaktadır. Tespit etme aşamasında siber güvenliğe konu anomilelerin tespit ve takip edilmesi, olayların yönetilmesi, güvenliğin sürekliliğin sağlanmasına yönelik izleme fonksiyonunun oluşturulması ve tespit etme süreçlerinin oluşturulması ele alınmaktadır.
Yanıtlama fonksiyonu altında yanıtlama planlama, iletişim, analiz, azaltma (mitigation) ve iyileştirme kategorileri yer almaktadır. Yanıtlamaya yönelik planlama yapılması, yanıtlama esnasında paydaşların tam uyumlu çalışabilmesine yönelik iletişimin sağlanması, analiz, azaltma ve iyileştirme kategorileri detayı ile ele alınmaktadır.
Geri Kazanma fonksiyonu altında ise geri kazanma planlama, geri kazanma iyileştirme ve iletişim yer almaktadır. Geri kazanıma yönelik planlama, alınan dersler ile iyileşmenin sağlanması ve edinimlerin paylaşılmasına yönelik olarak iletişimin sağlanması kategorileri ele alınmaktadır.
Toplamda 98 adet kontrolün yer aldığı çerçevenin excel formatındaki listesine buradan ulaşabilirsiniz.
Bu liste içerisinde kategori bazında tanımlanmış kontrol listeleri ile çerçevenin detaylarına hakim olunması memkündür. Bir örnek vermek gerekirse tanımlama fonksiyonuna yönelik olarak varlık yönetimi kategorisine yönelik kontroller ile kurum içerisinde kullanılan donanımsal ve yazılımsal varlıkların envanter kaydı şeklinde takip edilmesi, organizasyon içi iletişim ve data akışlarının dokümante edilmesi, lokasyon dışı sistemlerin kataloglanması, envanterlenen varlıkların kritiklik seviyelerine ve değerlerine göre önceliklendirilmesi, siber güvenliğe yönelik rol ve sorumlulukların belirlenmesi (hizmet alınan destek firmaları da dahil olmak üzere) gibi hususlar önerilmektedir.
Kurum içerisinde Siber Güvenliğe yönelik bir yaklaşım geliştirmek ve bütünün parçası olma noktasında hazır olmak isteyen kurumlara yön çizme noktasında faydalı olacağına inandığım bu çerçeve NİST tarafından tamamiyle ücretsiz ola
skip to main |
skip to sidebar
Time is the most valuable thing a man can spend.Theophrastus
Ask me anything via earn.com
Bu Blogda Ara
I am a
Hakkımda
- Hayri Can Duygun
- Hacettepe Üniversitesi mezunu bir Bilgisayar Mühendisi. Bir kamu bankasında Bilgi Teknolojileri Müfettişi, İş Dünyasının üniversitesi TOBB ETÜ'den MBA derecesine sahip, ITIL, COBIT, ISO22301 gibi standartlar hayatında önemli yer kaplıyor. Bilgi Teknolojileri konusunda yönetişim, risk ve uyumluluk ilgi alanları.. ISACA'nın CISA sertifikasına ve IRCA onaylı ISO27001 ve ISO22301 Başdenetçi sertifikalarına sahip. ISACA İstanbul Genel sekreteri ve üye ilişkileri direktörü. ISACA Istanbul çeviri komitesi ile birlikte çeşitli COBIT rehberleri ve CSX Siber GüvenliğinTemelleri Rehberinin çeviri projelerinde lider olarak görev aldı. CISA Sorular, Cevaplar ve Açıklamaları Rehberinin Türkçeye kazandırılması çalışmalarında aktif rol aldı. Bilgisayar Mühendisleri Odası, Türk Bilişim Derneği üyesi olduğu diğer oluşumlar.
Ne yapıyorum?
Etiketler
Bahar
(1)
Bilgi Güvenliği
(1)
Bilgi Teknolojileri
(2)
CISA
(6)
CISA Review Manual
(5)
COBIT 5
(1)
Denetim
(2)
ekonomi
(1)
Facebook
(1)
Farkındalık
(1)
finans
(1)
Hizmet
(1)
ISACA
(1)
ISACA İstanbul
(2)
ISO22301
(1)
ISO27001
(1)
ITIL
(1)
invisible
(1)
Kalite
(1)
marketing
(1)
pazarlama
(1)
phishing
(1)
selling
(1)
Servis Yönetimi
(1)
Sınava Hazırlık
(4)
site tavsiye
(1)
sosyal medya
(1)
Standart
(3)
Şenlik
(1)
Tide
(1)
TOBB ETÜ
(1)
Copyright 2010 Hayri Can Duygun. Powered by Blogger | Blogger Templates created by Deluxe Templates