SĠBER TERÖRE KARġI SĠBER GÜVENLĠK: COBIT-5 VE CSX

Dr. Ahmet EFE

ISACA-Ankara Derneği AraĢtırma ve

Üyelik Direktörü,

Ankara Kalkınma Ajansı Ġç Denetçisi

CISA, COBIT-5

1. Siber Güvenlik ve Siber Terör

2. Siber güvenlikte devrimler

3. Siber alandaki yeni gerçeklikler

4. Uluslararası hukukta devlet sorumlulukları

5. Bütünlükçü kurumsal strateji için COBIT-5

6. Siber adam stratejisi için CSX-P,S,E sertifikasyonları

GÜNDEM

Bilgi Güvenliği

(sağlık, dna, kimlik, mahrem, ticari, milli, askeri)

Kritik Alt Yapıların Güvenliği

(sistemler, sunucular, enerji hatları,

fiber hatlar, iletim ve ulaĢtırma)

Ağ Güvenliği Internet Güvenliği

Uygulama Güvenliği

Siber Güvenlik Siber Suçlar

Siber

Emniyet

SIBER TERÖR

Ulusal güvenliği

tehdit etmek,

kitlelerin zararlara

uğramasına yol açmak,

ekonomiyi zayıflatmak

insanların moral ve güvenini

çökertmek için

kritik alt yapıları

tahrip etmek, kullanılamaz

hale getirmek

veya suiistimal etmeye çalıĢan zararlı

eylemler.

Kaynak: NIST 800-82

Siber Tehdit Aktörleri

Source: ENISA Threat Landscape 2013

Siber Tehdit Unsurları-1

• Rekabet ortamında rakiplerine zarar vererek öne geçme çabası.

ġirketler

• Ġstihbarat elde etmek veya baĢka tahripkar faaliyetleri icra etmek için daha ileri düzeyde yapılandırılmıĢ bir Ģekilde özel varlıkları veya hükümet organlarını hedef alırlar.

Ulus Devletler

• Bağımsız bir Ģekilde ancak politik bir Ģekilde motive olarak bireyleri veya kurumları hedef alarak çeĢitli ideolojik ve sosyal amaçlarına ulaĢmaya çalıĢırlar.

Haktivistler

Siber Tehdit Unsurları-2

• AnarĢist amaçlarına ulaĢmak için sıklıkla kritik alt yapıları ve devlet organlarını hedef alırılar.

Siber Teröristler

• Gelir elde etmek için motive olarak daha çok sanal ortamda finansal yoldan bir nevi hırsızlık yapmaya çalıĢırlar.

Siber Suçlular

• Ulusal ve milliyetçi duygularla motive olarak her hangi bir politik parti taraftarı gibi kendilerine muhalif siyasetçileri veya partileri hedef alırlar.

Siber SavaĢçılar

Siber Tehdit Unsurları-3

• Hack yapmayı öğrenmeye çalıĢan gençler olup yalnız veya bazı gruplarla birlikte çalıĢarak hazır kodları yaymak veya baĢkalarına zarar vermek veya DDoS yapmak amacıyla kullanırlar.

Acemi Hacker (Script Kiddie)

• Sosyal mühendislikte yetenekleri geliĢmiĢ bu hackerlar kimlik ve mahrem bilgilerini çalarak birilerini suçlama, aĢağılama, tehdit, taciz ve suiistimal etmeye çalıĢılar.

Çevrimiçi Sosyal Hackerlar

• Memnun olmayan mevcut çalıĢanlar veya eski çalıĢanlar siber güvenlik için risk oluĢturmaktadırlar. Özellikle kamu kurumlarında biliĢimde çalıĢan taĢeron personel bu anlamda daha büyük bir risk unsurudur.

• Bütün bu siber tehdit unsurları tahrip edici olabilir ancak hiçbirisi APT denilen sistematik ve hedeflenmiĢ saldırıları tarif etmezler.

ÇalıĢanlar (insider)

SIBER GÜVENLIKTE DEVRIMLER

Siber suçlar

BĠLĠNEN TEHTĠDLER

Siber espiyonaj

Siber savaĢ

Siber terör

DEVRĠM

• (Michael Kranawetter Microsoft)

SIBER GÜVENLIKTE DEVRIMLER

Saldırganlar en büyük 500 firma üzerinde odaklamaktaydı.

BĠLĠNEN TEHDĠTLER Saldırganlar her

hangi bir hedefle gidebilmektedir. Yeter ki bir güvenlik zafiyeti olsun.

Tedarik zincirleri, alt yükleniciler, enerji sistemleri, bireyler, küçük iĢ yerleri birer hedef.

DEVRĠM

• (Michael Kranawetter Microsoft)

SIBER GÜVENLIKTE DEVRIMLER

Zararlı yazılım,

Zafiyetler

BĠLĠNEN TEHDĠTLER

Mahremiyet ve kiĢisel bilgiler

Ġleri düzey sistematik tehditler (APT)

Hükümranlık ve ulusal bağımsızlığın tehdit edilmesi.

DEVRĠM

• (Michael Kranawetter Microsoft)

Siber zafiyetleri kullanan zararlı araç ve yöntemler

Source: ENISA Threat Landscape 2013

KARMAġIKLIĞINA GÖRE SALDIRI TĠPLERĠNĠN ETKĠLERĠ

Kaynak: ISACA, Responding to Targeted Cyberattacks, USA, 2013,

SĠBER SALDIRILARDA DÖNÜġÜM VE RĠSK TRENDĠ

Kaynak: ISACA, Responding to Targeted Cyberattacks, USA, 2013,

ĠNTERNET EKONOMISININ GENIġLEMESI SIBER GÜVENLIK ZAFIYETLERINI ARTTIRMAKTA MIDIR?

Kaynak: OECD, www.bcg.com/documents/file100409.pdf

ÜLKELERE GÖRE SALDIRI YAPANLAR ILE SALDIRANLAR TURKIYE NEDEN 3. HEDEF?

Kaynak: www.threatmap.checkpoint.com

SIBER SALDIRILAR MODERN SAVAġ DURUMUNUN BIR GERÇEĞI MIDIR?

• Saldırganlar tespit edilmeden önce kurbanların ağlarında ortalama 243 gün mevcutmuĢ. 140 ülke siber savaĢ silahları geliĢtiriyor.

• ABD Siber Komuta Stratejisine göre; Siber alan yeni bir savaĢ alanıdır. FBI en önemli görevi ise terörizm, espiyonaj ve siber saldırıları önlemektir. (Michael Kranawetter Microsoft)

• Zararlı yazılım maliyeti 05 $, bir DDoS yapmanın 5 $ ancak savunma yapmanın maliyeti ise 40.000 $. (http://www.verizonenterprise.com/verizon-insights-lab/dbir/)

• Yıllık 400 Milyar dolar kayba neden olan Siber saldırıların üretkenlik ve büyümedeki kayıplarla birlikte 3 Trilyon Dolar olarak tahmin edilmektedir. sadece BangladeĢ Merkez Bankasından 81 Milyon $ hackerlar tarafından 2016 yılında ele geçirilmiĢtir. http://www.nytimes.com/2016/05/01/business/dealbook/hackers-81-million-sneak-attack-on-world-banking.html?_r=1

• ABD Hükümeti, önceki yıl 14 milyar $ olan dijital güvenlik harcamalarının 2017 yılında 19 milyar $ çıkarılması teklif etmiĢtir. (http://fortune.com/2016/02/09/obama-budget-cybersecurity/ )

• Siber saldırılara maruz kalabilecek Ġnternet ekonomisinin 2016 yılında 4,2 trilyon dolarlık bir büyüklüğe ulaĢacağının tahmin edilmektedir. (https://www.bcg.com/documents/file100409.pdf)

NATO TALINN REHBERINE GÖRE; Bir siber operasyonun güç kullanımı kapsamında değerlendirilmesinin tespit edilebilmesini sekiz ölçüte bağlamıĢtır. Bunlar; 1. Şiddet (kaç insanın öldürüldüğü, ne kadar geniĢ alanda saldırı yapıldığı, ne kadar zarar verildiği), 2. Aciliyet (siber eylemin etkilerinin ne kadar yakında hissedilmeye baĢlanacağı, potansiyel zararların meydana gelme durumu, bu etkilerin oluĢumunu destekleyen eylemlerin devam edip etmediği), 3. Doğrudanlık (yapılan eylemle sonuçlar arasında illiyet olup olmadığı, bunların meydana gelecek etkileri arttırmada bir etken olup olmadığı), 4. Kuşatıcılık (eylemde güvenliği sağlanan bir elektronik ağı ele geçirmeye çalıĢılıp çalıĢılmadığı, eylemlerin mihrak noktasının hedeflenen ülke olup olmadığı), 5. Ölçülebilirlik (eylemin etkilerinin faillerinin, yöntemlerin ve sonuçlarının nasıl sayısallaĢtırılabileceği, eylem sonuçlarının paralel veya farklı rakip saldırılarla karıĢtırılıp karıĢtırılmadığı), 6. Askeri nitelik (askeri birimlerin siber operasyona dâhil olup olmadığı, siber operasyonlarda askeri birimlerin hedeflenip hedeflenmediği), 7. Devletin müdahil olması (devlet veya kamu birimlerinin doğrudan veya dolaylı bir Ģekilde operasyona dâhil olup olmadığı, devletin dahil olmaması durumunda eylemlerin gerçekleĢebilir olup olmadığı) ve 8. Yasallık (eylemin kategorik olarak güç kullanımı olarak karakterize edilip edilmeyeceği, kullanılan araç ve tekniklerin uluslararası hukuk kapsamında meĢru olarak nitelendirilebilen bir savunma niteliğinde olup olmadığı) gibi kriterlerdir. Kaynak: https://ccdcoe.org/research.html

SIBER SALDIRI SAVAġ ĠLANI SAYILABILIR MI?

• Ġnsan unsuru ve ekonomik zarar düzeyine göre hükümetler misliyle karĢılıkta bulunacaktır.

• Bu durum hem özel hem de devlet kurumları alt yapıları için geçerlidir.

• Savunma teknikleri saldıranlar tarafından da bilinmekte ve aynı teknik araç ve yöntemler kullanılmaktadır. Savunma yapan saldırgandan üstün değil.

• Saldırganın motivasyonu çok önemli: sadece bilgi çalmak mı? Yoksa bir konuda diz çöktürmek veya savaĢa götürecek ölçüde zarar vermek mi?

Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.

HUKUKI VE GAYRI HUKUKI MÜDAHALE VE KARġI SALDIRILARDA MUHTEMEL SENARYOLAR

Hukuki karĢı saldırı Hukuka aykırı karĢı

saldırı

Hukuki ilk

müdahale

1. Ġhlal yok 2. Sadece cevap veren

devlet ihlalde

bulunmakta

Hukuka

aykırı ilk

müdahale

3. Sadece ilk saldıran

devlet haksız eylem

iĢlemekte

4. Her iki devlet de ihlal

yapmakta

Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.

ULUSLARARASı ADALET MAHKEMESI KARARLARINA GÖRE

KiĢilerin veya kurumların devlet toprakları içerisinde yaptıkları siber eylemlerden mesul tutulabilmeleri için haksız eylemle devlet arasında;

• Yasallık (saldırganlara karĢı iç hukukun uygulanması noktasında baĢarısızlık veya isteksizlik gibi),

• Fonksiyonellik (saldırı yapıldığı devlet organlarının bilgisi dâhilinde olması ve müdahalede bulunulmaması gibi) veya

• Durumsallık (sevk etme, kontrol etme veya onaylama Ģeklinde doğrudan) bir bağlantının kurulabilmesi gerekmektedir.

Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.

JUS AD BELLUM & JUS IN BELLO

Adil savaĢ kuramı iki adet teorik öncüle sahiptir. jus ad bellum (savaĢ açma hakkı) ve jus in bello (savaĢın adil idaresi)olarak iki baĢlıkta toplanan bu kriterler NATO TALINN Rehberinde referans alınmıĢtır.

• Jus ad bellum- savaĢ açma hakkı: SavaĢa gitme nedeni sadece bir Ģeyleri ele geçirmek veya birilerini cezalandırmak olamaz. Müdahaleler hayatı korumak için yapılmalı. Güç yalnızca yanlıĢı doğru yapmak için kullanılmalıdır.

• Jus in bello-adil savaĢ: Adil savaĢın idaresinde ayrım gözetilmelidir. SavaĢ hamleleri düĢman savaĢçılara yöneltilmelidir. Askeri tehdit oluĢturmayan hiçbir savaĢçı ya da sivil hedef gösterilmemeli, zarar verilmemelidir.

Kaynak: Wikipedia

SĠSTEMLERĠ ETKISIZ HALE GETIRMEK GÜÇ KULLANIMI SAYILIR MI?

• NATO TALINN Rehberine göre bir hükümette veya ekonomide güven bunalımına yol açacak Ģekilde yapılan siber psikolojik eylemlerin güç kullanımı olarak tanımlanmaması gerekmektedir.

• Ancak, bir zararlı yazılımla hava savunma sisteminin uzun bir düze etkisizleĢtirilmesi durumu güç kullanımı olarak kabul edilir. Geleneksel fiziki savaĢta bu tesislere girerek tahrip edilmesi de savunmanın bertaraf edilmesi ile aynı sonuçları doğurur.

• Geleneksel anlamda askeri güçlerle bir ülkeyi kuĢatmayla beklenen sonuçlar gibi fiziksel zararların meydana gelmesi gerekir ki bir siber eylem güç kullanımı olarak nitelendirilebilsin. Aksi durumlarda bu kategoride kabul edilmemektedir.

Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.

ÖZEL KIġI VE KURUMLARA SALDIRILMASI DEVLETLERARASI MÜDAHALE NEDENI MIDIR?

• Bir network saldırısında vatandaĢlara ait kiĢisel, mali veya mülkiyete ait bilgilerinin değiĢtirilmesi veya bozulması durumunda devletin kendi sorumluluk alanında gerekli kontrol ve iktidardan mahrum olmasına yol açılmıĢ olabilir.

• Saldırıda hedeflenen ülke network sızmasını vatandaĢlarının mahremiyetinin ve mülkiyet hakkının ihlal edilmesi olarak görerek kendi iç iĢlerine karıĢılması Ģeklinde kabul edebilir.

• Sony olayında olduğu gibi Kuzey Kore Devleti, bir filmin ABD piyasasında satılması engellenmiĢtir. Bu durumda vatandaĢlık hakları veya devletin bağımsızlık ve istiklali zarar görmemiĢ olmakla birlikte politik, ekonomik veya sosyal yönlerden devletin çıkarları zedelenmiĢtir. Bu nedenle de FBI Kuzey Kore’ye misilleme saldırısında bulunabilmiĢtir.

Payne, T. (2016). Teaching Old Law New Tricks: Applying And Adapting State Responsibility To Cyber Operations. Lewis & Clark Law Review., 683-715.

VATANSEVER HACKER ZARARLARINDAN DEVLET SORUMLU TUTULABILIR MI?

• Vatansever (patriotic) hacker grupları bazen kendi devletlerinin politik çıkarları için veya devlete zarar verdiğini sandıkları hedeflere saldırılarda bulunabilmektedirler.

• 2014 yılında Sony olayında Kuzey Koreli saldırganlar kendilerini “barıĢ Ģövalyeleri” olarak tanıtmıĢlardı.

• 2007 yılındaki Estonya saldırısı da vatansever hacker gücünün boyutunu ortaya koymuĢtur. GörünüĢte saldırı Nashi olarak bilinen Rus gençler tarafından gerçekleĢtirildiği anlaĢılmaktaydı ve bu eylemleri doğrudan Rusya devletine ithaf edilememiĢti. Çünkü devletlerin hacker gruplarını kontrol ettiğini ispat etmek gerçekten zor bir iĢtir.

Kaynak:http://www.eastwestcenter.org/system/tdf/private/api117.pdf?file=1&type=node&id=35164

MAKUL DÜZEYDE BILGI SAHIBI OLUNMASI VE ENGELLEYICI MÜDAHALEDE BULUNULABILMESI DURUMU

• Devlet dıĢı aktörler tarafından yapılan siber eylemler doğrudan ilgili oldukları devlete isnat edilemediği için devletin bu hukuk dıĢı eylemlere yaptığı müdahale ne zaman onun uluslararası hukuk kapsamındaki sorumluluklarının ihlali anlamına gelebilir.

• Sınırlar arası zararın yasaklanması bir devletin kendi bilgisi dâhilinde baĢka devletlerin haklarının kendi sınırları dâhilinde ihlal edilmesine izin vermemesi anlamına gelmektedir.

• Bu ilke aynı zamanda bir ülkenin kendi sınırların dâhilinde baĢka bir ülkenin haklarının ihlaline teĢebbüs edilmesi durumunda bu hususta açıklama yapmaya davet edilebilmesini gerektirmektedir.

• Eğer ilgili devlet biliyor veya en azından makul olarak bilgisi dâhilinde olması gereken bir durum ile karĢı karĢıya ise o zaman yapılan eylemlerden de sorumlu tutulabilmektedir. Bu hususlar açık bir Ģekilde Corfu Channel olarak bilinen bir dava için 1949 yılında Uluslararası Adalet Mahkemesi tarafından verilen kararda hüküm altına alınmıĢtır.

Kaynak:http://www.icj-cij.org/docket/index.php?p1=3&p2=3&case=1&p3=4

SĠBER TERÖRE KARġI SĠBER GÜVENLĠK ÖNLEMLERĠ

• Ulusal çapta Yasa, Düzenleme ve Organizasyonel Yapılandırmalar: Siber Güvenlik Ulusal Stratejisinin sıkı takip edilmesi, kurumsal koordinasyon, yıllık etki ve performans değerlendirmesi yapılması

• Bireysel, kurumsal ve ulusal ölçekte duyarlılık ve farkındalığın arttırılması: Eğitim müfredatına siber güvenlik ve siber terör ile ilgili riskler ve tedbirler hakkında gerekli içeriğin yerleĢtirilmesi

• Çerçeve, Standart, Ġyi Uygulamaların YaygınlaĢtırılması: Kurumsal ölçekte ihtiyaçlara göre bir yönetiĢim ve yönetim yapılandırması sağlayan COBIT-5 gibi bütünlükçü çerçevelerin kullanımı.

• Uzman Yetkinliğinin ve sayısının artırılması: Ġnsan kaynağının güçlendirilmesi için siber alanda yetkinliği arttıran CSX gibi sertifikasyonların sağlanması

SĠBER BĠLGĠLERĠN & SĠSTEMLERĠN KORUNMASI

Kurtar Kurtarma Planları ĠletiĢim Sürekli ĠyileĢtirme

Müdahale Et -ve Etkiyi Azalt Analiz Et ĠletiĢim ve Bildirimler

Tehditleri Tespit Et Normal DıĢı Durumlar ve Olaylar Düzenli Güvenlik Ġzlemesi Tespit Edici Prosesler

Koru EriĢim Kontrol Bilinçlenme ve Eğitim Veri Güvenliği

Bilgi Koruma Proses ve Prosedürleri

Belirle Varlık Yönetimi ĠĢ Ortamı YönetiĢim

Risk Değerlendirmesi

Risk Yönetimi

ĠHTIYACA GÖRE BÜTÜNLÜKÇÜ KURUMSAL BT YÖNETIġIM ÇERÇEVESI: COBIT-5 EDM03 Risk Optimizasyonunu Sağlamak (Risk yönetişimi)

(değerlendirme, yönlendirme ve izleme)

APO12 Riskin Yönetilmesi

(veri toplama, risk analizi, profil oluĢturma, ifade etme, eylem portföyü oluĢturma, riske yanıt verme)

APO13 Güvenliği Yönetilmesi

(BT güvenlik sistemi oluĢturulması, BT risk iyileĢtirme planı yönetimi, BT güvenlik yönetim sistemi izlenmesi)

DSS05 Güvenlik Hizmetlerinin Yönetilmesi

(Zararlı yazılıma karĢı korunma, ağ güvenliği yönetimi, uç noktaların güvenliği, kullanıcı bilgisi ve mantıksal eriĢim, BT fiziksel eriĢim güvenliği, hassas belge güvenliği, alt yapı izleme)

Does your organization have the right number of security experts?

Source: 2013 Global Information Security Workforce Study, Frost & Sullivan and Booz Allen Hamilton

Siber güvenlikte yetkinlik ve siber adam açığı

Estimated 4.3 million jobs available by 2018

SIBER GÜVENLIKTE YETKIN PERSONEL GELIġIMI: CSX SERTIFIKASYON SERISI

Cyber Security Nexus (CSX)

Cybersecurity Framework of National Institute of Standards and Technology (NIST)

National Institute of Cybersecurity Education (NICE)

the Skills Framework for the Information Age (SFIA)

Transforming Cybersecurity using COBIT-5

CSX SERTIFIKASYONLARI

CYBERSECURITY FUNDEMENTALS

34

-Ön Gereksinim: Yok

- Sınav:

- Uzaktan Gözetmen vasıtasıyla

- Çevrim Ġçi

- 75 soru çoktan seçmeli – 2 saat

- 150 ABD$

- Sınav Geçme Puanı %65

- 2014 yılından bu yana var

- CPE ihtiyacı yok

- Öğrenci , yeni mezun ve Siber

güvenlik konusunda çalıĢacaklar

için GiriĢ Seviyesi

Security of

Network,

System, Applic.

& Data (40%)

Cybersecurity

Concepts

(10%)

Security

of Evolving

Technology

(10%)

Incident

Response

(20%)

Cybersecurity

Architecture

Principles

(20%)

CYBERSECURITY PRACTITIONER

35

- Pratisyen ve Uygulayıcı

- Ön Gereksinim: Yok

- Ġlk Sınav: Haziran 2015

- Sınav:

- Adaptive - performans temelli

- Siber Lab ortamı (TeleCommunication

Labs)

- Çözüm metodu önemli

- Pratik ağırlıklı

- Sınav Ücreti: 540-825 ABD$

- CPE ihtiyacı var. 3 yılda bir

- Siber Güvenlik Olayına Ġlk Müdahale

için

- CSX Specialist için Ön Gereksinim

- CSX Specialist Türkiye’de henüz yok

!

CYBERSECURITY SPECIALIST

36

- Alanında Uzman

- 5 Farklı Sınav

- Identity-Detect-Protect-

Respond-Recover

Ön Gereksinim: Cybersecurity

Practitioner

- Ġlk Sınav: 2015 II Yarı

- Sınav:

- Adaptive - performans temelli

- Siber Lab ortamı

(TeleCommunication Labs)

- Çözüm metodu önemli

- Pratik ağırlıklı

- Sınav Ücreti: 540-825 ABD$

- CPE ihtiyacı var. 3 yılda bir

CYBERSECURITY SPECIALIST

37

- Cybersecurity Specialist : Identify

Varlık Tespiti : Sunucu tarama ve tespiti

Tehditlerin Tespiti: Tehditlerin Tespiti ve değerlendirmesi

Tehdit Müdahale: Tehdit Müdahale Planı/Uygulama

Kontrol Baseline: Sunucu ve ağ bazlı kontrollerin değerlendirmesi

Kontrol OluĢturma: Güvenlik kontrollerinin oluĢturulması ve uygulanması

- …….

- ……

- Cybersecurity Specialist : Detect

Saldırı Tespit: Ağ saldırılarını tespit

Normal DıĢı ve Zararlı Aktiviteler: Zararlı aktiviteleri tanımlama ve tespit

etme

Atak Analizi ve Raporlaması: Ağ ataklarını tanıma ve raporlama

Sistem DeğiĢimleri için Çözüm: Ağ atak değiĢimlerine karĢılıkta bulunma

Defans Mekanizmasının ĠyileĢtirilmesi: Ağ savunmasını kuvvetlendirme

CYBERSECURITY EXPERT

38

- Üst Seviye Teknik Uzman

- CISM devam edecek

- CISM Yönetsel ve Sadece Siber Güvenlik

değil

Ön Gereksinim: Yok

- Ġlk Sınav: 2015 II Yarı

- Sınav:

- Adaptive - performans temelli

- Siber Lab ortamı (TeleCommunication

Labs)

- Çözüm metodu önemli

- Pratik ağırlıklı

- Sınav Ücreti: 540-825 ABD$

- CPE ihtiyacı var. 3 yılda bir

- CSX Expert Türkiye’de henüz yok !

ISACA CSX- MEVCUT KAYNAKLAR/ÇALIġMALAR

• ABD Siber Güvenlik Çerçevesini (NIST) Uygulamak için Pratik

Kılavuz

• Avrupa Birliği Siber güvenlik Stratejisi için Rehberler

• Bilgi Güvenliği için COBIT 5

• Risk için COBIT 5

• COBIT 5 i Kullanarak Siber Güvenliği DeğiĢtirme Kılavuzu

• Hedefli Siber Saldırılara ve GeliĢmiĢ Kalıcı Tehditlere (APT)

Müdahale Kılavuzu

• Ekinlikler-Eğitimler

• Kuzey Amerika 2017 CSX Etkinliği

• Temel Siber Güvenlik Eğitimi

• Sanal Siber Güvenlik Konferansları

• Sanal Siber Güvenlik Eğitimleri

• …

• www.isaca.org/cyber/

ISACA CSX – DIĞER KURULUġLARLA ĠġBIRLIĞI HALINDE

• NIST (CSX çerçevesi – COBIT 5 ile ĠliĢkisi- CSX

çerçevesi Pratik Uygulama Rehberleri)

• ENISA ( Avrupa Birliği Siber güvenlik Stratejisi için

Rehberler)

• C3 ( 2012 yılında – ISC2/ISACA/EC Council, CompTia,

GIAC)

• ISO standartları ile de iĢbirliği yapılıyor.

• ISACA CMMI satın aldı.

• Devamı gelecek…

TEġEKKÜRLER

Soru ve geri bildirimler için;

ahmet.efe@isaca-ankara.org