Post on 20-Dec-2018
SĠBER TERÖRE KARġI SĠBER GÜVENLĠK: COBIT-5 VE CSX
Dr. Ahmet EFE
ISACA-Ankara Derneği AraĢtırma ve
Üyelik Direktörü,
Ankara Kalkınma Ajansı Ġç Denetçisi
CISA, COBIT-5
1. Siber Güvenlik ve Siber Terör
2. Siber güvenlikte devrimler
3. Siber alandaki yeni gerçeklikler
4. Uluslararası hukukta devlet sorumlulukları
5. Bütünlükçü kurumsal strateji için COBIT-5
6. Siber adam stratejisi için CSX-P,S,E sertifikasyonları
GÜNDEM
Bilgi Güvenliği
(sağlık, dna, kimlik, mahrem, ticari, milli, askeri)
Kritik Alt Yapıların Güvenliği
(sistemler, sunucular, enerji hatları,
fiber hatlar, iletim ve ulaĢtırma)
Ağ Güvenliği Internet Güvenliği
Uygulama Güvenliği
Siber Güvenlik Siber Suçlar
Siber
Emniyet
SIBER TERÖR
Ulusal güvenliği
tehdit etmek,
kitlelerin zararlara
uğramasına yol açmak,
ekonomiyi zayıflatmak
insanların moral ve güvenini
çökertmek için
kritik alt yapıları
tahrip etmek, kullanılamaz
hale getirmek
veya suiistimal etmeye çalıĢan zararlı
eylemler.
Kaynak: NIST 800-82
Siber Tehdit Aktörleri
Source: ENISA Threat Landscape 2013
Siber Tehdit Unsurları-1
• Rekabet ortamında rakiplerine zarar vererek öne geçme çabası.
ġirketler
• Ġstihbarat elde etmek veya baĢka tahripkar faaliyetleri icra etmek için daha ileri düzeyde yapılandırılmıĢ bir Ģekilde özel varlıkları veya hükümet organlarını hedef alırlar.
Ulus Devletler
• Bağımsız bir Ģekilde ancak politik bir Ģekilde motive olarak bireyleri veya kurumları hedef alarak çeĢitli ideolojik ve sosyal amaçlarına ulaĢmaya çalıĢırlar.
Haktivistler
Siber Tehdit Unsurları-2
• AnarĢist amaçlarına ulaĢmak için sıklıkla kritik alt yapıları ve devlet organlarını hedef alırılar.
Siber Teröristler
• Gelir elde etmek için motive olarak daha çok sanal ortamda finansal yoldan bir nevi hırsızlık yapmaya çalıĢırlar.
Siber Suçlular
• Ulusal ve milliyetçi duygularla motive olarak her hangi bir politik parti taraftarı gibi kendilerine muhalif siyasetçileri veya partileri hedef alırlar.
Siber SavaĢçılar
Siber Tehdit Unsurları-3
• Hack yapmayı öğrenmeye çalıĢan gençler olup yalnız veya bazı gruplarla birlikte çalıĢarak hazır kodları yaymak veya baĢkalarına zarar vermek veya DDoS yapmak amacıyla kullanırlar.
Acemi Hacker (Script Kiddie)
• Sosyal mühendislikte yetenekleri geliĢmiĢ bu hackerlar kimlik ve mahrem bilgilerini çalarak birilerini suçlama, aĢağılama, tehdit, taciz ve suiistimal etmeye çalıĢılar.
Çevrimiçi Sosyal Hackerlar
• Memnun olmayan mevcut çalıĢanlar veya eski çalıĢanlar siber güvenlik için risk oluĢturmaktadırlar. Özellikle kamu kurumlarında biliĢimde çalıĢan taĢeron personel bu anlamda daha büyük bir risk unsurudur.
• Bütün bu siber tehdit unsurları tahrip edici olabilir ancak hiçbirisi APT denilen sistematik ve hedeflenmiĢ saldırıları tarif etmezler.
ÇalıĢanlar (insider)
SIBER GÜVENLIKTE DEVRIMLER
Siber suçlar
BĠLĠNEN TEHTĠDLER
Siber espiyonaj
Siber savaĢ
Siber terör
DEVRĠM
• (Michael Kranawetter Microsoft)
SIBER GÜVENLIKTE DEVRIMLER
Saldırganlar en büyük 500 firma üzerinde odaklamaktaydı.
BĠLĠNEN TEHDĠTLER Saldırganlar her
hangi bir hedefle gidebilmektedir. Yeter ki bir güvenlik zafiyeti olsun.
Tedarik zincirleri, alt yükleniciler, enerji sistemleri, bireyler, küçük iĢ yerleri birer hedef.
DEVRĠM
• (Michael Kranawetter Microsoft)
SIBER GÜVENLIKTE DEVRIMLER
Zararlı yazılım,
Zafiyetler
BĠLĠNEN TEHDĠTLER
Mahremiyet ve kiĢisel bilgiler
Ġleri düzey sistematik tehditler (APT)
Hükümranlık ve ulusal bağımsızlığın tehdit edilmesi.
DEVRĠM
• (Michael Kranawetter Microsoft)
Siber zafiyetleri kullanan zararlı araç ve yöntemler
Source: ENISA Threat Landscape 2013
KARMAġIKLIĞINA GÖRE SALDIRI TĠPLERĠNĠN ETKĠLERĠ
Kaynak: ISACA, Responding to Targeted Cyberattacks, USA, 2013,
SĠBER SALDIRILARDA DÖNÜġÜM VE RĠSK TRENDĠ
Kaynak: ISACA, Responding to Targeted Cyberattacks, USA, 2013,
ĠNTERNET EKONOMISININ GENIġLEMESI SIBER GÜVENLIK ZAFIYETLERINI ARTTIRMAKTA MIDIR?
Kaynak: OECD, www.bcg.com/documents/file100409.pdf
ÜLKELERE GÖRE SALDIRI YAPANLAR ILE SALDIRANLAR TURKIYE NEDEN 3. HEDEF?
Kaynak: www.threatmap.checkpoint.com
SIBER SALDIRILAR MODERN SAVAġ DURUMUNUN BIR GERÇEĞI MIDIR?
• Saldırganlar tespit edilmeden önce kurbanların ağlarında ortalama 243 gün mevcutmuĢ. 140 ülke siber savaĢ silahları geliĢtiriyor.
• ABD Siber Komuta Stratejisine göre; Siber alan yeni bir savaĢ alanıdır. FBI en önemli görevi ise terörizm, espiyonaj ve siber saldırıları önlemektir. (Michael Kranawetter Microsoft)
• Zararlı yazılım maliyeti 05 $, bir DDoS yapmanın 5 $ ancak savunma yapmanın maliyeti ise 40.000 $. (http://www.verizonenterprise.com/verizon-insights-lab/dbir/)
• Yıllık 400 Milyar dolar kayba neden olan Siber saldırıların üretkenlik ve büyümedeki kayıplarla birlikte 3 Trilyon Dolar olarak tahmin edilmektedir. sadece BangladeĢ Merkez Bankasından 81 Milyon $ hackerlar tarafından 2016 yılında ele geçirilmiĢtir. http://www.nytimes.com/2016/05/01/business/dealbook/hackers-81-million-sneak-attack-on-world-banking.html?_r=1
• ABD Hükümeti, önceki yıl 14 milyar $ olan dijital güvenlik harcamalarının 2017 yılında 19 milyar $ çıkarılması teklif etmiĢtir. (http://fortune.com/2016/02/09/obama-budget-cybersecurity/ )
• Siber saldırılara maruz kalabilecek Ġnternet ekonomisinin 2016 yılında 4,2 trilyon dolarlık bir büyüklüğe ulaĢacağının tahmin edilmektedir. (https://www.bcg.com/documents/file100409.pdf)
NATO TALINN REHBERINE GÖRE; Bir siber operasyonun güç kullanımı kapsamında değerlendirilmesinin tespit edilebilmesini sekiz ölçüte bağlamıĢtır. Bunlar; 1. Şiddet (kaç insanın öldürüldüğü, ne kadar geniĢ alanda saldırı yapıldığı, ne kadar zarar verildiği), 2. Aciliyet (siber eylemin etkilerinin ne kadar yakında hissedilmeye baĢlanacağı, potansiyel zararların meydana gelme durumu, bu etkilerin oluĢumunu destekleyen eylemlerin devam edip etmediği), 3. Doğrudanlık (yapılan eylemle sonuçlar arasında illiyet olup olmadığı, bunların meydana gelecek etkileri arttırmada bir etken olup olmadığı), 4. Kuşatıcılık (eylemde güvenliği sağlanan bir elektronik ağı ele geçirmeye çalıĢılıp çalıĢılmadığı, eylemlerin mihrak noktasının hedeflenen ülke olup olmadığı), 5. Ölçülebilirlik (eylemin etkilerinin faillerinin, yöntemlerin ve sonuçlarının nasıl sayısallaĢtırılabileceği, eylem sonuçlarının paralel veya farklı rakip saldırılarla karıĢtırılıp karıĢtırılmadığı), 6. Askeri nitelik (askeri birimlerin siber operasyona dâhil olup olmadığı, siber operasyonlarda askeri birimlerin hedeflenip hedeflenmediği), 7. Devletin müdahil olması (devlet veya kamu birimlerinin doğrudan veya dolaylı bir Ģekilde operasyona dâhil olup olmadığı, devletin dahil olmaması durumunda eylemlerin gerçekleĢebilir olup olmadığı) ve 8. Yasallık (eylemin kategorik olarak güç kullanımı olarak karakterize edilip edilmeyeceği, kullanılan araç ve tekniklerin uluslararası hukuk kapsamında meĢru olarak nitelendirilebilen bir savunma niteliğinde olup olmadığı) gibi kriterlerdir. Kaynak: https://ccdcoe.org/research.html
SIBER SALDIRI SAVAġ ĠLANI SAYILABILIR MI?
• Ġnsan unsuru ve ekonomik zarar düzeyine göre hükümetler misliyle karĢılıkta bulunacaktır.
• Bu durum hem özel hem de devlet kurumları alt yapıları için geçerlidir.
• Savunma teknikleri saldıranlar tarafından da bilinmekte ve aynı teknik araç ve yöntemler kullanılmaktadır. Savunma yapan saldırgandan üstün değil.
• Saldırganın motivasyonu çok önemli: sadece bilgi çalmak mı? Yoksa bir konuda diz çöktürmek veya savaĢa götürecek ölçüde zarar vermek mi?
Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.
HUKUKI VE GAYRI HUKUKI MÜDAHALE VE KARġI SALDIRILARDA MUHTEMEL SENARYOLAR
Hukuki karĢı saldırı Hukuka aykırı karĢı
saldırı
Hukuki ilk
müdahale
1. Ġhlal yok 2. Sadece cevap veren
devlet ihlalde
bulunmakta
Hukuka
aykırı ilk
müdahale
3. Sadece ilk saldıran
devlet haksız eylem
iĢlemekte
4. Her iki devlet de ihlal
yapmakta
Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.
ULUSLARARASı ADALET MAHKEMESI KARARLARINA GÖRE
KiĢilerin veya kurumların devlet toprakları içerisinde yaptıkları siber eylemlerden mesul tutulabilmeleri için haksız eylemle devlet arasında;
• Yasallık (saldırganlara karĢı iç hukukun uygulanması noktasında baĢarısızlık veya isteksizlik gibi),
• Fonksiyonellik (saldırı yapıldığı devlet organlarının bilgisi dâhilinde olması ve müdahalede bulunulmaması gibi) veya
• Durumsallık (sevk etme, kontrol etme veya onaylama Ģeklinde doğrudan) bir bağlantının kurulabilmesi gerekmektedir.
Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.
JUS AD BELLUM & JUS IN BELLO
Adil savaĢ kuramı iki adet teorik öncüle sahiptir. jus ad bellum (savaĢ açma hakkı) ve jus in bello (savaĢın adil idaresi)olarak iki baĢlıkta toplanan bu kriterler NATO TALINN Rehberinde referans alınmıĢtır.
• Jus ad bellum- savaĢ açma hakkı: SavaĢa gitme nedeni sadece bir Ģeyleri ele geçirmek veya birilerini cezalandırmak olamaz. Müdahaleler hayatı korumak için yapılmalı. Güç yalnızca yanlıĢı doğru yapmak için kullanılmalıdır.
• Jus in bello-adil savaĢ: Adil savaĢın idaresinde ayrım gözetilmelidir. SavaĢ hamleleri düĢman savaĢçılara yöneltilmelidir. Askeri tehdit oluĢturmayan hiçbir savaĢçı ya da sivil hedef gösterilmemeli, zarar verilmemelidir.
Kaynak: Wikipedia
SĠSTEMLERĠ ETKISIZ HALE GETIRMEK GÜÇ KULLANIMI SAYILIR MI?
• NATO TALINN Rehberine göre bir hükümette veya ekonomide güven bunalımına yol açacak Ģekilde yapılan siber psikolojik eylemlerin güç kullanımı olarak tanımlanmaması gerekmektedir.
• Ancak, bir zararlı yazılımla hava savunma sisteminin uzun bir düze etkisizleĢtirilmesi durumu güç kullanımı olarak kabul edilir. Geleneksel fiziki savaĢta bu tesislere girerek tahrip edilmesi de savunmanın bertaraf edilmesi ile aynı sonuçları doğurur.
• Geleneksel anlamda askeri güçlerle bir ülkeyi kuĢatmayla beklenen sonuçlar gibi fiziksel zararların meydana gelmesi gerekir ki bir siber eylem güç kullanımı olarak nitelendirilebilsin. Aksi durumlarda bu kategoride kabul edilmemektedir.
Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.
ÖZEL KIġI VE KURUMLARA SALDIRILMASI DEVLETLERARASI MÜDAHALE NEDENI MIDIR?
• Bir network saldırısında vatandaĢlara ait kiĢisel, mali veya mülkiyete ait bilgilerinin değiĢtirilmesi veya bozulması durumunda devletin kendi sorumluluk alanında gerekli kontrol ve iktidardan mahrum olmasına yol açılmıĢ olabilir.
• Saldırıda hedeflenen ülke network sızmasını vatandaĢlarının mahremiyetinin ve mülkiyet hakkının ihlal edilmesi olarak görerek kendi iç iĢlerine karıĢılması Ģeklinde kabul edebilir.
• Sony olayında olduğu gibi Kuzey Kore Devleti, bir filmin ABD piyasasında satılması engellenmiĢtir. Bu durumda vatandaĢlık hakları veya devletin bağımsızlık ve istiklali zarar görmemiĢ olmakla birlikte politik, ekonomik veya sosyal yönlerden devletin çıkarları zedelenmiĢtir. Bu nedenle de FBI Kuzey Kore’ye misilleme saldırısında bulunabilmiĢtir.
Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.
VATANSEVER HACKER ZARARLARINDAN DEVLET SORUMLU TUTULABILIR MI?
• Vatansever (patriotic) hacker grupları bazen kendi devletlerinin politik çıkarları için veya devlete zarar verdiğini sandıkları hedeflere saldırılarda bulunabilmektedirler.
• 2014 yılında Sony olayında Kuzey Koreli saldırganlar kendilerini “barıĢ Ģövalyeleri” olarak tanıtmıĢlardı.
• 2007 yılındaki Estonya saldırısı da vatansever hacker gücünün boyutunu ortaya koymuĢtur. GörünüĢte saldırı Nashi olarak bilinen Rus gençler tarafından gerçekleĢtirildiği anlaĢılmaktaydı ve bu eylemleri doğrudan Rusya devletine ithaf edilememiĢti. Çünkü devletlerin hacker gruplarını kontrol ettiğini ispat etmek gerçekten zor bir iĢtir.
Kaynak:http://www.eastwestcenter.org/system/tdf/private/api117.pdf?file=1&type=node&id=35164
MAKUL DÜZEYDE BILGI SAHIBI OLUNMASI VE ENGELLEYICI MÜDAHALEDE BULUNULABILMESI DURUMU
• Devlet dıĢı aktörler tarafından yapılan siber eylemler doğrudan ilgili oldukları devlete isnat edilemediği için devletin bu hukuk dıĢı eylemlere yaptığı müdahale ne zaman onun uluslararası hukuk kapsamındaki sorumluluklarının ihlali anlamına gelebilir.
• Sınırlar arası zararın yasaklanması bir devletin kendi bilgisi dâhilinde baĢka devletlerin haklarının kendi sınırları dâhilinde ihlal edilmesine izin vermemesi anlamına gelmektedir.
• Bu ilke aynı zamanda bir ülkenin kendi sınırların dâhilinde baĢka bir ülkenin haklarının ihlaline teĢebbüs edilmesi durumunda bu hususta açıklama yapmaya davet edilebilmesini gerektirmektedir.
• Eğer ilgili devlet biliyor veya en azından makul olarak bilgisi dâhilinde olması gereken bir durum ile karĢı karĢıya ise o zaman yapılan eylemlerden de sorumlu tutulabilmektedir. Bu hususlar açık bir Ģekilde Corfu Channel olarak bilinen bir dava için 1949 yılında Uluslararası Adalet Mahkemesi tarafından verilen kararda hüküm altına alınmıĢtır.
Kaynak:http://www.icj-cij.org/docket/index.php?p1=3&p2=3&case=1&p3=4
SĠBER TERÖRE KARġI SĠBER GÜVENLĠK ÖNLEMLERĠ
• Ulusal çapta Yasa, Düzenleme ve Organizasyonel Yapılandırmalar: Siber Güvenlik Ulusal Stratejisinin sıkı takip edilmesi, kurumsal koordinasyon, yıllık etki ve performans değerlendirmesi yapılması
• Bireysel, kurumsal ve ulusal ölçekte duyarlılık ve farkındalığın arttırılması: Eğitim müfredatına siber güvenlik ve siber terör ile ilgili riskler ve tedbirler hakkında gerekli içeriğin yerleĢtirilmesi
• Çerçeve, Standart, Ġyi Uygulamaların YaygınlaĢtırılması: Kurumsal ölçekte ihtiyaçlara göre bir yönetiĢim ve yönetim yapılandırması sağlayan COBIT-5 gibi bütünlükçü çerçevelerin kullanımı.
• Uzman Yetkinliğinin ve sayısının artırılması: Ġnsan kaynağının güçlendirilmesi için siber alanda yetkinliği arttıran CSX gibi sertifikasyonların sağlanması
SĠBER BĠLGĠLERĠN & SĠSTEMLERĠN KORUNMASI
Kurtar Kurtarma Planları ĠletiĢim Sürekli ĠyileĢtirme
Müdahale Et -ve Etkiyi Azalt Analiz Et ĠletiĢim ve Bildirimler
Tehditleri Tespit Et Normal DıĢı Durumlar ve Olaylar Düzenli Güvenlik Ġzlemesi Tespit Edici Prosesler
Koru EriĢim Kontrol Bilinçlenme ve Eğitim Veri Güvenliği
Bilgi Koruma Proses ve Prosedürleri
Belirle Varlık Yönetimi ĠĢ Ortamı YönetiĢim
Risk Değerlendirmesi
Risk Yönetimi
ĠHTIYACA GÖRE BÜTÜNLÜKÇÜ KURUMSAL BT YÖNETIġIM ÇERÇEVESI: COBIT-5 EDM03 Risk Optimizasyonunu Sağlamak (Risk yönetişimi)
(değerlendirme, yönlendirme ve izleme)
APO12 Riskin Yönetilmesi
(veri toplama, risk analizi, profil oluĢturma, ifade etme, eylem portföyü oluĢturma, riske yanıt verme)
APO13 Güvenliği Yönetilmesi
(BT güvenlik sistemi oluĢturulması, BT risk iyileĢtirme planı yönetimi, BT güvenlik yönetim sistemi izlenmesi)
DSS05 Güvenlik Hizmetlerinin Yönetilmesi
(Zararlı yazılıma karĢı korunma, ağ güvenliği yönetimi, uç noktaların güvenliği, kullanıcı bilgisi ve mantıksal eriĢim, BT fiziksel eriĢim güvenliği, hassas belge güvenliği, alt yapı izleme)
Does your organization have the right number of security experts?
Source: 2013 Global Information Security Workforce Study, Frost & Sullivan and Booz Allen Hamilton
Siber güvenlikte yetkinlik ve siber adam açığı
Estimated 4.3 million jobs available by 2018
SIBER GÜVENLIKTE YETKIN PERSONEL GELIġIMI: CSX SERTIFIKASYON SERISI
Cyber Security Nexus (CSX)
Cybersecurity Framework of National Institute of Standards and Technology (NIST)
National Institute of Cybersecurity Education (NICE)
the Skills Framework for the Information Age (SFIA)
Transforming Cybersecurity using COBIT-5
CSX SERTIFIKASYONLARI
CYBERSECURITY FUNDEMENTALS
34
-Ön Gereksinim: Yok
- Sınav:
- Uzaktan Gözetmen vasıtasıyla
- Çevrim Ġçi
- 75 soru çoktan seçmeli – 2 saat
- 150 ABD$
- Sınav Geçme Puanı %65
- 2014 yılından bu yana var
- CPE ihtiyacı yok
- Öğrenci , yeni mezun ve Siber
güvenlik konusunda çalıĢacaklar
için GiriĢ Seviyesi
Security of
Network,
System, Applic.
& Data (40%)
Cybersecurity
Concepts
(10%)
Security
of Evolving
Technology
(10%)
Incident
Response
(20%)
Cybersecurity
Architecture
Principles
(20%)
CYBERSECURITY PRACTITIONER
35
- Pratisyen ve Uygulayıcı
- Ön Gereksinim: Yok
- Ġlk Sınav: Haziran 2015
- Sınav:
- Adaptive - performans temelli
- Siber Lab ortamı (TeleCommunication
Labs)
- Çözüm metodu önemli
- Pratik ağırlıklı
- Sınav Ücreti: 540-825 ABD$
- CPE ihtiyacı var. 3 yılda bir
- Siber Güvenlik Olayına Ġlk Müdahale
için
- CSX Specialist için Ön Gereksinim
- CSX Specialist Türkiye’de henüz yok
!
CYBERSECURITY SPECIALIST
36
- Alanında Uzman
- 5 Farklı Sınav
- Identity-Detect-Protect-
Respond-Recover
Ön Gereksinim: Cybersecurity
Practitioner
- Ġlk Sınav: 2015 II Yarı
- Sınav:
- Adaptive - performans temelli
- Siber Lab ortamı
(TeleCommunication Labs)
- Çözüm metodu önemli
- Pratik ağırlıklı
- Sınav Ücreti: 540-825 ABD$
- CPE ihtiyacı var. 3 yılda bir
CYBERSECURITY SPECIALIST
37
- Cybersecurity Specialist : Identify
Varlık Tespiti : Sunucu tarama ve tespiti
Tehditlerin Tespiti: Tehditlerin Tespiti ve değerlendirmesi
Tehdit Müdahale: Tehdit Müdahale Planı/Uygulama
Kontrol Baseline: Sunucu ve ağ bazlı kontrollerin değerlendirmesi
Kontrol OluĢturma: Güvenlik kontrollerinin oluĢturulması ve uygulanması
- …….
- ……
- Cybersecurity Specialist : Detect
Saldırı Tespit: Ağ saldırılarını tespit
Normal DıĢı ve Zararlı Aktiviteler: Zararlı aktiviteleri tanımlama ve tespit
etme
Atak Analizi ve Raporlaması: Ağ ataklarını tanıma ve raporlama
Sistem DeğiĢimleri için Çözüm: Ağ atak değiĢimlerine karĢılıkta bulunma
Defans Mekanizmasının ĠyileĢtirilmesi: Ağ savunmasını kuvvetlendirme
CYBERSECURITY EXPERT
38
- Üst Seviye Teknik Uzman
- CISM devam edecek
- CISM Yönetsel ve Sadece Siber Güvenlik
değil
Ön Gereksinim: Yok
- Ġlk Sınav: 2015 II Yarı
- Sınav:
- Adaptive - performans temelli
- Siber Lab ortamı (TeleCommunication
Labs)
- Çözüm metodu önemli
- Pratik ağırlıklı
- Sınav Ücreti: 540-825 ABD$
- CPE ihtiyacı var. 3 yılda bir
- CSX Expert Türkiye’de henüz yok !
ISACA CSX- MEVCUT KAYNAKLAR/ÇALIġMALAR
• ABD Siber Güvenlik Çerçevesini (NIST) Uygulamak için Pratik
Kılavuz
• Avrupa Birliği Siber güvenlik Stratejisi için Rehberler
• Bilgi Güvenliği için COBIT 5
• Risk için COBIT 5
• COBIT 5 i Kullanarak Siber Güvenliği DeğiĢtirme Kılavuzu
• Hedefli Siber Saldırılara ve GeliĢmiĢ Kalıcı Tehditlere (APT)
Müdahale Kılavuzu
• Ekinlikler-Eğitimler
• Kuzey Amerika 2017 CSX Etkinliği
• Temel Siber Güvenlik Eğitimi
• Sanal Siber Güvenlik Konferansları
• Sanal Siber Güvenlik Eğitimleri
• …
• www.isaca.org/cyber/
ISACA CSX – DIĞER KURULUġLARLA ĠġBIRLIĞI HALINDE
• NIST (CSX çerçevesi – COBIT 5 ile ĠliĢkisi- CSX
çerçevesi Pratik Uygulama Rehberleri)
• ENISA ( Avrupa Birliği Siber güvenlik Stratejisi için
Rehberler)
• C3 ( 2012 yılında – ISC2/ISACA/EC Council, CompTia,
GIAC)
• ISO standartları ile de iĢbirliği yapılıyor.
• ISACA CMMI satın aldı.
• Devamı gelecek…
TEġEKKÜRLER
Soru ve geri bildirimler için;
ahmet.efe@isaca-ankara.org