Information Security

My interview for CS4CA

Erdem Aksoy CS4CA MENA

Erdem Aksoy is Deputy Head of IT Process & Information Security at Çimtaş Group and is responsible for the cyber security for Çimtaş Group companies. As a cyber security professional with a highly impressive skillset ranging from ISO 27001 Information Security, ITIL/ISO 20000 IT Service Management, & ISO 22301 Business Continuity Management Systems to IT Management and R&D Management.

As one of the speakers at #CS4CA MENA, we caught up with Erdem to learn more about his job and how he keeps his spirits up while protecting his company’s critical infrastructure:

Click to read the full interview

Digital Transformation, Information Security, Information Technologies

Endüstriyel Nesnelerin İnterneti ve Güvenlik Zorlukları

Henüz “Nesnelerin İnterneti” (IoT) için güvenlik sorunları çözülememişken IoT’nin endüstrinin içine girmesi ve uçtan uca etkileşimli üretim ağlarının doğal olarak kontrol edilemez bir biçimde büyümesi bizi yepyeni güvenlik zorluklarıyla karşı karşıya getirdi. Gelin bu zorlukları ana başlıklar altında özetleyelim:

Smart-Manufacturing-11[1]

Kesintisiz Ağ Hizmetinin Sağlanamaması

Üretim içerisindeki makine, ekipman, sensör, kontrol ünitesi vs. gibi pek çok nesnenin birbirine ve buluta bağlı (connected) olduğu, anlık veri toplama ve işleme yetkinliklerinin organizmanın parçaları olarak düşünüldüğünde herhangi birisinde veya tamamındaki kesintilerin organizmanın işleyişini bozduğu akıllı üretimde ağ hizmetinin önemi yadsınamaz.

IoT[1]

Yazılım Geliştirme Yaşam Döngüsündeki Sıkıntılar

Güvenliği geliştirme sürecine katmamış eski yazılımlar, alt seviyelerde iletişime geçen cihazlar, güvenlik protokollerinin olmadığı ya da uyumsuz olduğu sistemleri birbirine bağlarken SSDLC prensiplerine uygun geliştirme yapılmaması ya da yapılamaması da önemli bir açık. Ortak bir standardın olmadığı yapıları birbirine güvenli bir şekilde bağlamak her zaman kolay olmuyor. En zayıf halka gittiğinde yapının tamamının gideceği öngörülerek doğru yazılım geliştirme süreçleri uygulanmalı.

2947939151[1]

Yetersiz Değişiklik Yönetimi Uygulamaları

Uç noktalarda yapılan her değişikliğin kontrollü bir şekilde yapılması güvenlik açısından hayati önem taşımaktadır. Değişiklikleri kayıt altına alıp, analiz edip, yönetemeyen bir şirket üretim hattını kendi elleriyle tehlikeye atmaktadır.

change management process değişim değişiklik erdem aksoy

Yetersiz Risk Yönetimi Uygulamaları

Atılan her adımın risklerinin hesaplanmadığı bir ortamda yolumuzu çizmek ve izlemek imkansızdır, özellikle de endüstriyel IoT güvenliği gibi sağlam temellere oturmayan bir teknolojide.

RISK CONCEPT

Uç Noktaların İzlenebilirliği

Her ne kadar uç noktaları izleyebilen ve belirli bir seviyeye kadar güvenlik sağlayabilen sistemler olsa da üretim firmalarının bilinçsizlikleri sebebiyle bu yatırımları yapmadan dijitalleşmesinin getireceği zorlukla gün geçtikçe artmakta.

AdobeStock_201721018-696x425[1]

Tabii ki bu olası zorluklara ek olarak pek çok konu daha sıralanabilir. Kesin olan bir şey var ve maalesef o da üretim şirketlerinin gözleri kapalı olarak dijitalleştikleri.

Information Technologies

ITIL 4 ile IT Hizmet Yönetimi

2011’den bu yana güncellenmeyen ITIL, ITIL 4 olarak hayatımıza girdi.

ITIL, service management, itsm, it, management

Şimdi diyeceksiniz ki eski öğrendiklerimiz çöpe mi gitti? Hayır, ITIL 4 eski versiyondan çok farklı değil, sadece eskiden birbirinden biraz daha bağımsız olarak aktarılan süreçlerin bir bütün halinde nasıl kullanılabileceğinin anlatıldığı ve ITIL Practitioner ile hayatımıza giren uygulama konseptlerinin daha Foundation seviyesinde empoze edilmeye başlandığı çok başarılı bir versiyon olmuş. Sürekli iyileştirmenin öneminin altının çizilmesi, DevOps, Agile, Lean gibi diğer metodolojiler ile nasıl birlikte çalıştığının anlatılması, daha bütünleşik bir bakış açısına geçilmesi de diğer artıları.

Her IT profesyonelinin en az Foundation seviyesinde bilmesi gerektiğini düşündüğüm ITIL 4 için Axelos tarafından yetkilendirilmiş eğitim kurumlarından eğitim alabilir, sınavına girerek kendinizi sertifikalandırabilirsiniz. Foundation sonrası devam etmek isteyenler için de çok güzel bir kariyer tercihi olabilir.

ITIL, kariyer, ITSM, sertifika, certification, carrier, master, foundation, practice

Türkiye’de ITIL eğitimlerinde tavsiyem Educore, eğitmeni Erman Taşkın‘ın ITIL 4’ün yazarları arasında bulunmakta olduğunu ayrıca eklemek isterim.

Digital Transformation, Information Security

I’m speaking at CS4CA MENA Summit!

The 3rd in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global

Information Security, Information Technologies

ISO 27001’e Çevik Yaklaşım

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurmak artık eskisi kadar zor değil. Reçetesi çıkmış, neler yapılması gerektiği bilinen, yetişmiş eleman kaynağının bile rahat bulunabildiği bir konu haline geldi artık 27001.

Ama sistemi kurmak ile yaşatmak arasında ince bir çizgi var; kurduğunuz sistemi planlı bir şekilde yaşatmazsanız bir süre sonra takip etmesi zor ve içinden çıkılamaz bir yapı haline geliyor.

iso-27001-1[1]

Farklı iş yerlerinde, farklı ekiplerle, farklı stratejilerle yönetildiğini tecrübe ettiğim ISO 27001 için son günlerde izlemeye başladığım yöntem ise Agile (çevik) yönetim, daha da açmak gerekirse Scrum metodolojisi.

Daha önce yazılım projelerinde tecrübe ettiğim, küçük çaplı projelerde başarısını gördüğüm, karmaşık ve kalabalık ekiplerde iş paketlerinin yığıldığı, takip edilmesinin imkansız hale geldiği projeleri de yaşadığım Scrum’ı ISO 27001’in yaşatılması için kullanma fikri, klasik iş planında ana başlıklar altında verilen sorumlulukların denetimlerde hep eksik verir hale dönüşmesi üzerine detay kırılıma gitme ihtiyacıyla gelişti.

Kişilerin yetkinliğine ve sorumluluk bilincine olan güvenle yürütülemeyen büyük parçaları “böl ve fethet” yöntemi ile, küçük parçalar halinde, çıktılarını daha görünür hale getirerek ilerletmenin faydasını ilk günden itibaren hissetmeye başladık.

scrum-nedir-780x405[1]

İşe büyük parçaları görebildiğim klasik iş planı ile başlamak ilk adımımdı. ISO 27001’in yaşam döngüsü içerisinde periyodik olarak yapılması gereken işleri öncelikle ay bazında bölerek ana başlıklarıyla bir “master plan” oluşturmak aslında daha önceden verimli bir şekilde yürütemediğimiz işlerin listelenmesinden başka bir şey değildi.

Sonra sıra sürecimiz için uygun periyodun belirlenmesi ve iş adımlarıyla ilgili kuralları tanımlamaya geldi.

Yazılım projelerinde haftalık ya da 2 haftalık sprint periyotları iş takibi için uygunken ISO 27001 için işin doğası gereği aylık sprint’lerin uygun olduğu kanısına varıp, günlük toplantılar yerine haftalık toplantılar ile planlama yapmaya karar verdik.

scrum335[1]

Klasik akıştan sapmadan ISO 27001’in doğasına uygun adımları Trello uygulaması üzerinde oluşturarak görülebilirliği arttırmak adına takibimi kolaylaştıracak etiketler ile de destekledik.

Aylık açılan panolarda ana adımları iş kartlarına bölerek yapılacaklar listemizi oluşturup, haftalık toplantılarda da o haftanın planlamasını yaparak verimli ve görülür bir akış elde ettik.

trello

İşin yönetimi ve izlenebilirliği açısından haftalık planlamalarla takip edilen aylık panolar işin mutfağı iken yapılan işlerin yönetim gözüyle görünür kılınması için ise yine Trello üzerinde BigPicture eklentisinin yardımını aldık.

Tüm iş kartlarını bir liste halinde görüp etiket ve terminlerine göre takip edebildiğimiz bu ekranda ayrıca bir Gantt şeması yardımıyla da proje planımızı izlenebilir hale getirdik.

BigPicture

Planlı, Plansız, Gecikmeli işlerin ne olduğunu tek ekrandan takip edip, her küçük iş kartının çıktısını kontrol altına alabildiğimiz bu yeni sistemde kişilerin yetkinlik ve sorumluluk bilincinden bağımsız kontrollü bir yapıya geçerek ISO 27001’i yaşatılabilir bir yapıya soktuk.

Bundan sonrası metodolojiye uyum ve sürekli takip, her proje ve operasyonda olduğu gibi.

Digital Transformation, Information Technologies

Geleceğin Şirketlerinde Teknolojinin Yeri

90’lı yıllar ile kendini iyiden iyiye hissettirmeye başlayan teknoloji şirketlerinin piyasadaki gücü, 2000’lerin başında tepeye oynamaya başlayan devleri çıkardı.

İnternet teknolojilerindeki gelişim ile mobil cihazların yayılması daha küçük şirketleri büyütürken, büyükleri ise listenin başına taşıdı.

İsterseniz aşağıdaki listeye bir bakalım. Listemiz 2001-2016 yılları arasında dünyanın en büyük 5 şirketinin değişimini gösteriyor.

Enerji, finans ve perakendeciliğin yanında Microsoft gibi bir devin ilk 5’te olduğu listede 2016’ya geldiğimizde 5 teknoloji şirketi görüyoruz.

Tech

Neden?

Çünkü dünya değişti. Günlük hayatımızın değişmez parçaları olan mobil cihazlar ve teknoloji, iş yapışımızdan eğlencemize, alışverişimizden ilişkilerimize herşeyin içine girdi.

Peki bu değişiklik nasıl oldu?

Teknoloji firmaları ürün ve hizmetlerini değişen dünyaya göre konumlandırabildiler çünkü dünyayı değiştiren onlardı, dolayısıyla bu konuda çok zorluk yaşamadılar.

Diğer sektörler ise teknolojiyi bir ihtiyaç olarak görüp kendilerini tüketici olarak konumlandırdılar, bu da teknoloji firmalarını büyütürken, her ne kadar büyük bir harcama kalemi olarak teknoloji çıkmış olsa da diğer sektörlerin maliyetlerini büyük ölçüde düşürdü.

Düşen maliyetler satış fiyatlarını düşürdü, teknolojisi daha iyi olan firmalar bir adım daha öne geçti derken artan tüketime rağmen diğer sektörlerin kazançları düştü, buna paralel yaptıkları teknoloji yatırımı ise arttı.

finans-1000x281[1]

Finans kurumları kendi iç dinamikleri sayesinde bu genellemenin dışında kaldı diyebiliriz ama geri kalan tüm sektörlerde teknoloji firmaları aslan payını kaparken eski dünyanın para getiren materyallerini üretenler yeni dünyada bir adım geride kaldılar.

Peki finans kurumları, özellikle bankalar neden bunun dışında kaldılar?

Aslında teknoloji yatırımları ilk başladığında bankalar da diğerlerinden çok farklı değildi. İleri gitmek için teknolojiyi kullanmaları gerektiğinin farkındaydılar fakat nasıl yapılacağını bilmiyorlardı. Önce satın alarak başladılar. Donanımda hala tüketici durumundalar ama yazılım satın alınarak kendilerine özel iç süreçler ile güvenlik gereksinimlerini yürütemeyeceklerini anlamaları uzun sürmedi ve hepsi birer yazılım şirketine dönüştü.

Banka deyince şube tabii ki aklımıza geliyor ama online işlemler ve ATM’ler artık hayatımızda daha fazla yer alan arayüzler. Kaldı ki sadece arayüzlerden bahsediyorum, bir de bunun arka planındaki sistemler var. İsterseniz aşağıdaki 2015 yılına ait grafiğe bir bakalım, yıllar içinde online bankacılık ile şubeden direkt bankacılık nasıl yer değiştirmiş görüyorsunuz:1533.M_Mobile_Banking_Exceeds_Branch_Banking[1]

Nesil değiştikçe aradaki makas daha da açılacak, unutmamak lazım ki hala online işlem yapamayan nüfusun oranı azımsanamayacak kadar fazla ve yeni yetişen nesil bebeklikten itibaren dijital dünyada.

Dediğim gibi, bankacılık sektörü kendi dinamikleri sayesinde günümüze daha kolay adapte oldu ve bankalar ürünü para olan teknoloji şirketleri oldular.

Diğer şirketler ise elle tutulan ürünleri üretirken hala tüketici olma durumunda kaldılar, ki bu da son zamanlarda adını çokça duyduğunuz Endüstri 4.0 devrimini doğuran ana sebeplerden biri oldu.

INDUSTRIE4.0[1].png

Teknolojiyi üretimi destekleyen bir araç olarak gören şirketler baktılar ki kendilerine teknoloji satan şirketler, kendi yapabildiklerinden daha iyisini yapabilecek kapasiteye gelmişler.

Teknolojiyi amaç edinen şirketlerin piyasadaki başarılarının sadece diğer şirketlere teknoloji satmalarından gelmediğini, kazançlarını ve teknolojik tecrübelerini farklı sektörlerin en iyisi olmak için kullandıklarını görmek için kahin olmaya gerek yok.

Yazılımdan kazandığı parayı otomotiv, güneş enerjisi ve uzay teknolojisine yatıran Elon Musk, her ne kadar PR konusundaki başarısı ile kendini sivrilten bir kişi olsa da, buna güzel bir örnek olarak verilebilir.

Şirketlerimizi geleceğe taşımanın yolunun farklı ürünler ya da hizmetler satan teknoloji şirketlerine dönüşmekten geçtiğini, fark yaratan teknolojileri kullanmadıkça rakiplerimizden ileri gidemeyeceğimizi anlamak, dijital dönüşümümüzün ilk adımı olarak ele alınmalıdır.

Future concept

Dijital dönüşümü yaparken amacı trendi yakalamak ya da dönüşümden ziyade eski iş yapış alışkanlıklarına destek olmak olanları bekleyen sonuç pek iç açıcı olmayacak, dijitalleşmeyi özümseyebilenler, teknolojiyi, bilişimi işlerinin bir parçası, hatta hammaddesi görenler ise yarınları görebileceklerdir.

Artık çekice sahip olmanın güce sahip olma devri geçti, o tarih öncesi çağlardan yakın çağa kadar olan zamandı. Endüstri 4.0’ı yani 4. sanayi devrimini konuşuyorsak çekiçten sonra gelen 3 sanayi devrimindeki eksiklerimizi kapatmalı ve bunu yaparken 4.’nün bize getirdikleri ile harmanlamalıyız.

375e0-199mcuorajql6b7ih-bugpa

Bunları yaparken bizi neler tetiklemeli ve bunlardan neler çıkarmalıyız?

  1. Dünyayı artık birbirine bağlı bir ağ olarak görmeliyiz. Bu ne mi demek? Yılın 365 günü, mekandan bağımsız, 7/24 connected” yaşıyoruz. Üretimden satışa herşeyin birbirine bağlı olduğu bir zincirde müşteri istediği yerden siparişini verip istediği zamanda, istediği yere teslim ettirebilir ve bunu tamamen birbirine bağlı sistemler sayesinde yapabilir. Geleceğin (hatta günümüzün) ihtiyacı bu yöndeyken ne yapıp da bu hizmeti tercih edilecek kalitede sağlayabiliriz bizlere kalmış.
  2. Nesnelerin İnterneti (Internet of Things, IoT): Cisco’nun tahminlerine göre 2020 yılında dünyada 50 milyar cihaz birbirine bağlı olacak, bu da bize her konuda çok büyük miktarlarda veri sağlayarak akıllı sistemlerin ve karar verme mekanizmalarının yaratılmasında yardım ettiği gibi, verimliliğimizi de arttıracak.
  3. İnovasyon her alanda hayatımızın bir parçası olacak! Küçük, çevik ve hedefe doğru yönlenmiş şirketler inovasyonla hızla büyüyebilecek.

Tabii ki bunların hepsi tek bir şartla olacak: Teknolojiyi işimizin çekirdeğine konumlandırırsak.

mobile-technology-2-1[1]

Yarınlar göründüğünden daha parlak, yeter ki teknolojiyi bir baston olarak görmeyelim, teknoloji yolumuz olduğu sürece önümüz aydınlanacak.

Unutmayın, günümüz dünyasında “Her şirket teknoloji şirketidir!”

Read it @medium