ISACA Ankara Chapter olarak Tofaş‘ın ev sahipliğinde EY‘ın katkılarıyla düzenlediğimiz yönetişim, risk, uyum, denetim ve siber güvenlik konulu GRCAC Day Bursa semineri 7 Şubat 2020’de Tofaş Akademi Doğu Kampüsü’nde gerçekleşti.
The 4th in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global.
7 Şubat’ta Bursa’da Bilişim Teknolojileri’nde Yönetişim, Risk Yönetimi, Uyum, Denetim, Güvenlik ve KVKK konularını işleyeceğimiz GRCAC Day Semineri’ne davetlisiniz.
Kayıt için tıklayınız
Erdem Aksoy is Deputy Head of IT Process & Information Security at Çimtaş Group and is responsible for the cyber security for Çimtaş Group companies. As a cyber security professional with a highly impressive skillset ranging from ISO 27001 Information Security, ITIL/ISO 20000 IT Service Management, & ISO 22301 Business Continuity Management Systems to IT Management and R&D Management.
As one of the speakers at #CS4CA MENA, we caught up with Erdem to learn more about his job and how he keeps his spirits up while protecting his company’s critical infrastructure:
Henüz “Nesnelerin İnterneti” (IoT) için güvenlik sorunları çözülememişken IoT’nin endüstrinin içine girmesi ve uçtan uca etkileşimli üretim ağlarının doğal olarak kontrol edilemez bir biçimde büyümesi bizi yepyeni güvenlik zorluklarıyla karşı karşıya getirdi. Gelin bu zorlukları ana başlıklar altında özetleyelim:
![Smart-Manufacturing-11[1]](https://erdemaksoyorg.files.wordpress.com/2019/10/smart-manufacturing-111.jpg?w=900)
Kesintisiz Ağ Hizmetinin Sağlanamaması
Üretim içerisindeki makine, ekipman, sensör, kontrol ünitesi vs. gibi pek çok nesnenin birbirine ve buluta bağlı (connected) olduğu, anlık veri toplama ve işleme yetkinliklerinin organizmanın parçaları olarak düşünüldüğünde herhangi birisinde veya tamamındaki kesintilerin organizmanın işleyişini bozduğu akıllı üretimde ağ hizmetinin önemi yadsınamaz.
![IoT[1]](https://erdemaksoyorg.files.wordpress.com/2019/10/iot1.jpg?w=900)
Yazılım Geliştirme Yaşam Döngüsündeki Sıkıntılar
Güvenliği geliştirme sürecine katmamış eski yazılımlar, alt seviyelerde iletişime geçen cihazlar, güvenlik protokollerinin olmadığı ya da uyumsuz olduğu sistemleri birbirine bağlarken SSDLC prensiplerine uygun geliştirme yapılmaması ya da yapılamaması da önemli bir açık. Ortak bir standardın olmadığı yapıları birbirine güvenli bir şekilde bağlamak her zaman kolay olmuyor. En zayıf halka gittiğinde yapının tamamının gideceği öngörülerek doğru yazılım geliştirme süreçleri uygulanmalı.
![2947939151[1]](https://erdemaksoyorg.files.wordpress.com/2019/10/29479391511.jpg?w=900)
Yetersiz Değişiklik Yönetimi Uygulamaları
Uç noktalarda yapılan her değişikliğin kontrollü bir şekilde yapılması güvenlik açısından hayati önem taşımaktadır. Değişiklikleri kayıt altına alıp, analiz edip, yönetemeyen bir şirket üretim hattını kendi elleriyle tehlikeye atmaktadır.
Yetersiz Risk Yönetimi Uygulamaları
Atılan her adımın risklerinin hesaplanmadığı bir ortamda yolumuzu çizmek ve izlemek imkansızdır, özellikle de endüstriyel IoT güvenliği gibi sağlam temellere oturmayan bir teknolojide.
Uç Noktaların İzlenebilirliği
Her ne kadar uç noktaları izleyebilen ve belirli bir seviyeye kadar güvenlik sağlayabilen sistemler olsa da üretim firmalarının bilinçsizlikleri sebebiyle bu yatırımları yapmadan dijitalleşmesinin getireceği zorlukla gün geçtikçe artmakta.
![AdobeStock_201721018-696x425[1]](https://erdemaksoyorg.files.wordpress.com/2019/10/adobestock_201721018-696x4251-1.jpeg?w=900)
Tabii ki bu olası zorluklara ek olarak pek çok konu daha sıralanabilir. Kesin olan bir şey var ve maalesef o da üretim şirketlerinin gözleri kapalı olarak dijitalleştikleri.
2011’den bu yana güncellenmeyen ITIL, ITIL 4 olarak hayatımıza girdi.
Şimdi diyeceksiniz ki eski öğrendiklerimiz çöpe mi gitti? Hayır, ITIL 4 eski versiyondan çok farklı değil, sadece eskiden birbirinden biraz daha bağımsız olarak aktarılan süreçlerin bir bütün halinde nasıl kullanılabileceğinin anlatıldığı ve ITIL Practitioner ile hayatımıza giren uygulama konseptlerinin daha Foundation seviyesinde empoze edilmeye başlandığı çok başarılı bir versiyon olmuş. Sürekli iyileştirmenin öneminin altının çizilmesi, DevOps, Agile, Lean gibi diğer metodolojiler ile nasıl birlikte çalıştığının anlatılması, daha bütünleşik bir bakış açısına geçilmesi de diğer artıları.
Her IT profesyonelinin en az Foundation seviyesinde bilmesi gerektiğini düşündüğüm ITIL 4 için Axelos tarafından yetkilendirilmiş eğitim kurumlarından eğitim alabilir, sınavına girerek kendinizi sertifikalandırabilirsiniz. Foundation sonrası devam etmek isteyenler için de çok güzel bir kariyer tercihi olabilir.
Türkiye’de ITIL eğitimlerinde tavsiyem Educore, eğitmeni Erman Taşkın‘ın ITIL 4’ün yazarları arasında bulunmakta olduğunu ayrıca eklemek isterim.
