3. SUNUMUN AMACI
Bu sunumu yöneticilerin;
• Kurumlarının ve müşterilerinin
bilgilerini çaldırdıklarında,
• Bilgi sistemleri üzerinden para ve
itibar kaybına uğratıldıklarında,
• Verilerini kaybettiklerinde,
• Hizmet kesintisine uğradıklarında
ve bu nedenlerle işlerinden olmaya çok
yaklaştıklarında bir 5 dk'larını ayırıp
okumaları için hazırladık.
4. İKİ PROFİL – İKİ BAKIŞ AÇISI
• Bellek taşma açıklıkları sayesinde hedef bilgisayarda istediğiniz kodu
çalıştırma
• Web uygulamaları SQLi, dosya yükleme, herhangi bir sistem dosyasına
erişme açıklıkları ile sisteme erişim sağlama
• Shell aldığınız (komut satırı erişimi sağladığınız) sistem üzerinde yetki
yükseltme ve root / LocalSystem olma
• Kaba kuvvet saldırılarıyla çevrimiçi parola kırma veya öntanımlı parolalarla
sisteme erişim sağlama
• Sosyal mühendislik, istemci taraflı açıklıklar ve trojan uygulamalar
sayesinde istemci bilgisayarından shell alma
• Web uygulamalarındaki mantık hatalarını kullanarak zarara uğratma veya
çıkar sağlama
• Kullanıcı tanılama yapmayan ağ ve web servisleri üzerinden hedef sistemi
kesintiye uğratma, manipüle etme, bilgi sızdırma
GÜVENLİK UZMANI
İÇİN
HEYECANLI HEYECANSIZ
5. İKİ PROFİL – İKİ BAKIŞ AÇISI
• Uygulama projeleri için tehdit modelleme yapma
• Sistem projeleri için risk analizi yapma
• Değişiklik yönetimini uygulama
• Sistem sıkılaştırma ve yama yönetimi
• Güvenlik olaylarını izleme, olay kayıtlarını tutma, analiz etme
• Güvenlik yetkinliklerini geliştirmek için eğitim alma, öğrenme
GÜVENLİK UZMANI
İÇİN
HEYECANLI HEYECANSIZ
6. İKİ PROFİL – İKİ BAKIŞ AÇISI
• Maliyet azaltıcı BT projeleri (saha otomasyonu, endüstriyel
otomasyon, v.d.)
• Gelir artırıcı BT projeleri (satış ekiplerini destekleyen yazılımlar,
donanımlar, internet satış kanalları)
• Hızlı raporlama araçları (veriambarı projeleri, esnek raporlama
araçları)
• Bilgiye her yerden ve kolay erişim
• BT personel ve bütçesinin azaltılması
KURUM YÖNETİCİLERİ
İÇİN
HEYECANLI HEYECANSIZ
7. İKİ PROFİL – İKİ BAKIŞ AÇISI
• Kurumun BT süreç ve yetkinliklerini anlama
• İş birimleri ve BT arasındaki etkin iletişim köprüsünü kurma
• Her yeni BT altyapısının, imkanının belirli süreçler ve kontrol
araçları ile desteklenme ihtiyacının anlaşılması
• BT ve bilgi güvenliği altyapı yatırımları
• BT ve bilgi güvenliği ihtiyaç ve performanslarını izleme
KURUM YÖNETİCİLERİ
İÇİN
HEYECANLI HEYECANSIZ
9. PROBLEMİ ZORLAŞTIRICI FAKTÖRLER
• Yöneticilerin heyecanlandığı alanlar tehdit yüzeyinin artmasına
neden olmaktadır.
• Güvenlik uzmanlarını heyecanlandıran alanlar Amerikalıların
Computer Fallacy dedikleri farklı algıların hakim olduğu
dünyalara kapı açmaktadır. Henüz sorumluluk duygusu
gelişmemiş bir ergen internete açık bir SCADA erişimi
bulduğunda bir bölgenin enerjisini kesmekten tarifsiz bir keyif
alabilir.
• Güvenlik uzmanları için heyecansız alanlar genellikle ya doğru
dürüst uygulanmamakta ya da heyecanlı alanlarda yeterli
yetkinliğe sahip olmayan kişilerin talip olduğu işler olmaktadır.
10. PEKİ NE OLACAK?
• Yöneticiler akıllı insanlardır, olmasalardı yönetici
olamazlardı :)
• Akıllı insanlar değişime kayıtsız kalamazlar ve gerekli
önlemleri alırlar.
• Bir müddet sonra bilgi güvenliği bir hijyen faktörü
olacaktır, yani şirket kültürlerinin olmazsa olmaz bir
parçası olacaktır.
• Bazı sektörler ihtiyaçlar ve regülasyon baskısı
nedeniyle bu konuda öndedir, hatta finans
sektöründe oldukça ileri olduğumuz söylenebilir.
11. PEKİ NE OLACAK?
• Telekom sektörü karmaşıklık, hız, değişken
organizasyon yapıları ve yoğun iş ortağı kullanımı
nedeniyle daha fazla zorlanmakla birlikte güvenlik
farkındalığının yüksek olduğu bir sektördür.
• Kamu ve kritik altyapı sağlayıcı sektörlerde denetim
baskısı nispeten düşük olduğundan gerekli seviyenin
altında bulunulmaktadır. Bu sektörler malesef sıkıntı
yaşamaktan kurtulamayacaktır.
12. PEKİ NE OLACAK?
• Kobi'ler ve üretim sektörü de ekonomik öncelikleri,
daha doğrusu sıkıntıları nedeniyle bu konuya çok uzak
bir noktadadır. Türkiye için üretim sektörü önem
kazanabilirse bu alanda da bilgi güvenliği ihtiyacı öne
çıkmaya başlayacaktır.