Tag: Bilgi Güvenliği

Artificial Intelligence, Information Security

How AI’s Personal Portrait Trend Highlights the Risks of Digital Data Trails

In a recent social media trend, people are asking AI tools to draw or describe what their lives might look like, based solely on a few data points they’ve previously shared. This may sound like an innocuous and fun way to get a new perspective, but it actually reveals something a bit deeper and perhaps unsettling about the era we live in—just how much our online presence can reveal about us, even to publicly accessible AI tools.

I recently tried the prompt, “Based on what you know of me, draw a picture of what you think my life currently looks like,” with a public AI model. What I got back was a strikingly accurate visualization of my life as it currently stands. It captured not only my professional challenges and current ambitions but even hinted at aspects of my personal life and interests. It felt as though the AI had peered beyond the screen and into my daily life. The experience got me thinking: if a public AI can produce such an accurate rendering of my life, what does that mean about the vast amounts of data corporations or governments might have on each of us?

The Data We Leave Behind

Our digital lives leave traces of our personalities, interests, and even our emotional states. When we post a picture, like a video, or update our profiles, we add to a complex digital profile that AI systems can later reference to predict behavior, preferences, and life situations. In my case, the AI had access to details I’d shared over time—my background, my job challenges, and my interests—and combined these fragments into a surprisingly accurate portrayal of my life.

The Power and Risks of AI Pattern Recognition

AI algorithms work by finding patterns in large amounts of data. Given a few inputs, they can draw highly specific conclusions, as happened with my own digital “portrait.” When public AI tools can access even general information, they can still make deeply personal inferences. Imagine the possibilities with private entities or governments with unrestricted access to our private data: credit card transactions, location history, health records, browsing habits, and social connections.

Unlike the publicly available AI models that have only our online personas, private entities may use non-consensual data collection through third-party agreements or back-end tracking technologies to create far more extensive profiles. Governments and corporations could potentially track us on an almost cellular level: knowing not just our preferences but our routines, psychological triggers, and even potentially predicting our future behavior based on past data. In the wrong hands, these predictions could be used to manipulate consumer choices, predict and shape social trends, or even influence voter behavior on a massive scale.

AI Portraits as a Reality Check

As fun and harmless as it may seem to play with these AI portrait prompts, the exercise underscores just how much can be gleaned from a few data points. And if a public model can analyze these to paint a life portrait, private models—designed to optimize profit or compliance, rather than delight—can achieve much more.

While AI technology can offer us personalized, convenient experiences, it’s crucial for each of us to remain conscious of the digital traces we leave behind. We must also advocate for stronger data privacy laws and demand transparency from both public and private entities on how our data is collected, stored, and used.

As we experiment with AI prompts and digital tools, we should treat them as reminders to manage our digital footprint thoughtfully, remembering that the sum of our data is more powerful than it seems. AI’s capacity to capture personal nuances from fragmented data is a mirror held up to our data-rich lives—a reminder of the importance of safeguarding our digital identity in a world that has the capability, and sometimes the incentive, to know us better than we know ourselves.

Digital Transformation, Information Technologies, Operational Technology

IT Management Across Different Sectors: Embracing the Common Ground

Information Technology (IT) management, though diversified across different sectors, shares more similarities than differences. Let’s delve into the sectors of logistics, manufacturing, automotive, and finance, and explore how IT management aligns within them.

Photo by Christina Morillo on Pexels.com

In the logistics sector, IT management primarily focuses on streamlining supply chains and enhancing real-time tracking systems. This involves managing vast data networks, implementing cutting-edge technologies like IoT, and ensuring secure digital communication channels. Similarly, in manufacturing, IT management is key in deploying technologies for process automation, quality control, and inventory management.

Photo by toter yau on Pexels.com

Automotive industries also utilize IT management in unique ways, such as integrating advanced technologies into vehicles and managing autonomous driving systems. However, similar to logistics and manufacturing, data integrity, system security, and process optimization remain as pivotal points.

Photo by SCREEN POST on Pexels.com

In the finance sector, IT management takes a slightly different turn, with an emphasis on secure transactions, data privacy, and regulatory compliance. Despite these sector-specific needs, the underlying IT management principles remain: robust data management, cybersecurity, and process enhancement.

Photo by Anna Nekrashevich on Pexels.com

Thus, despite the different operational contexts, the common objectives of IT management across these sectors are evident. Whether it’s managing data, ensuring cybersecurity, or leveraging technology for process improvement, the primary goals remain the same. These shared objectives underscore the universal relevance of IT management principles, no matter the industry.

Photo by cottonbro studio on Pexels.com

In conclusion, the similarities in IT management across logistics, manufacturing, automotive, and finance sectors are more plentiful than the differences. Recognizing this common ground enables businesses to learn from each other’s experiences and best practices, paving the way for cross-sectoral innovation and growth.

Information Security, Information Technologies

Strengthening the Fortress: The Crucial Role of Stakeholder Management in IT Management and Cybersecurity

In today’s technology-driven world, organizations rely heavily on their IT infrastructure to function efficiently and securely. As cyber threats continue to evolve, robust IT management and cybersecurity practices have become indispensable. One often underestimated but essential aspect of this process is stakeholder management, particularly when it comes to non-IT management. In this blog post, we will delve into the critical significance of stakeholder management in ensuring effective IT management and maintaining a strong defense against cyber threats.

Photo by Rebrand Cities on Pexels.com

The realm of IT management and cybersecurity is complex, requiring a comprehensive understanding of various technologies, compliance standards, and evolving threats. As technology infiltrates every aspect of an organization’s operations, it’s no longer confined to the IT department. Non-IT management and executives now play a pivotal role in shaping an organization’s IT strategy, budget allocation, and overall risk management.

Photo by Dan Nelson on Pexels.com

Stakeholder Management – Why Does it Matter?

  1. Bridging the Communication Gap: Non-IT management may lack in-depth technical knowledge, making it essential for IT professionals to communicate in a language they understand. Effective stakeholder management ensures clear and concise communication about IT challenges, initiatives, and the potential impact on the organization.
  2. Aligning Objectives: Non-IT management may have different priorities and goals. Stakeholder management helps align these objectives with the IT department’s efforts, ensuring that cybersecurity initiatives support the organization’s broader strategic vision.
  3. Budgetary Support: Adequate funding is vital for implementing robust cybersecurity measures. Effective stakeholder management involves presenting a compelling case for investments in IT security, highlighting the potential risks of underinvestment and the long-term benefits of a secure infrastructure.
  4. Creating a Culture of Cybersecurity: Non-IT employees may unknowingly expose an organization to cyber threats. By involving them in cybersecurity awareness programs and emphasizing their crucial role in maintaining a secure environment, stakeholder management can foster a culture of cybersecurity consciousness.
Photo by Kindel Media on Pexels.com

Strategies for Effective Stakeholder Management

  1. Speaking Their Language: When communicating with non-IT management, avoid technical jargon and use language that relates to their specific roles and concerns. Focus on the potential business impact of IT decisions and cybersecurity measures.
  2. Regular Reporting: Provide consistent updates on the status of ongoing IT projects, cybersecurity measures, and incidents. These reports should highlight successes, challenges, and future plans in a format that is easily understandable.
  3. Risk Visualization: Use real-world scenarios and case studies to illustrate the potential consequences of cyber threats. Help non-IT stakeholders grasp the magnitude of risks and the importance of investing in cybersecurity.
  4. Collaborative Approach: Involve non-IT management in decision-making processes related to IT and cybersecurity. Seeking their input and involving them in discussions can garner greater support and understanding.
  5. Continuous Education: Offer training sessions and workshops to non-IT employees and management, promoting cybersecurity awareness and best practices. This helps reduce the chances of accidental data breaches caused by human error.
Photo by fauxels on Pexels.com

In the rapidly evolving landscape of IT management and cybersecurity, the role of stakeholder management, especially concerning non-IT management, cannot be underestimated. Effective stakeholder management bridges the gap between technical expertise and strategic decision-making, ensuring that cybersecurity becomes a shared responsibility across the organization.

By speaking the language of non-IT management, aligning objectives, and fostering a culture of cybersecurity, organizations can build a formidable fortress against cyber threats. Remember, cybersecurity is not solely an IT department’s responsibility; it requires the collective effort of all stakeholders to safeguard an organization’s most valuable assets from the ever-present dangers of the digital world.

Digital Transformation, Information Security, Information Technologies, Operational Technology

Operasyonel Teknolojilerin Yönetimi ve Güvenlik Riskleri

Burada çıkış noktası olarak bakmamız gereken ilk nokta OT envanteri:

Kaçımız elimizdeki OT envanterini %100 biliyor?

Cihazların fiziksel sorumluluğu kimde?

Sahiplik ve ekipman ile ilgili diğer sorumluluklar kimlerde?

Bunun cevabı farklı organizasyon yapılarında bakım olabilir, otomasyon olabilir, hatta operasyonel kullanıcılar, yani üretim gibi departmanlar olabilir.

Ama IT değil…

Dolayısıyla rollerin ve sorumlulukların doğru ayrılması gerekiyor.

Photo by Pixabay on Pexels.com

Benim görüşüme göre OT’de siber güvenlik konuşuyorsak sorumluluğu IT’de olmalı, hem yakınsayan IT_OT domainleri bakımından, hem de IT’deki siber güvenlik tecrübesinin kullanılabilmesi için IT’nin bu görevi üstlenmesi mantıklı.

Fakat rollerin ve sorumlulukların doğru atandığı bir değişiklik yönetimi yapılmıyorsa bu süreci yönetmek çok zor.

Burada yine IT süreçleri işin içine giriyor. ITIL’ın hizmet geçiş süreçlerinden değişiklik yönetimi bu konu için biçilmiş kaftan.

Bu sürecin doğru kurgulanması ile organizasyonel yapıda ayrı bir OT departmanına gerek kalmıyor. Bir OT değişiklik yöneticisi, görevler ayrılığı ilkesine göre belirlenmiş paydaşlar ve doğru yönetilen bir süreç ile başarılı olunabilir.

Sadece mevcut kadro buna göre kurgulanmalı ve gereken teknik yetkinlikler ile donatılmalı, gerekiyorsa genişletilmeli.

Photo by Nataliya Vaitkevich on Pexels.com

OT Güvenlik Riskleri

Legacy OT sistemler satın alındığında güvenlik ya da IT-OT yakınsaması göz önüne alınmadığı için bugünün güvenlik bakış açısıyla analiz ettiğimizde kontrolsüz ve yönetilemeyen bir yapı oluştuğunu söyleyebiliriz.

Bunun sonucunda da otomasyonun kullanıldığı her sektörde güvenlik riskleri oluşmuş durumda.

Yönetilemez yapının en önemli sebebi yukarıda da bahsettiğim gibi OT envanterinin olmaması. Buna bağlı olarak da OT altyapısı:

  1. Görünür değil
  2. Ölçülebilir değil
  3. Bunların sonucu olarak da yönetilemeyen ve iyileştirilemeyen bir yap var.
Photo by Pixabay on Pexels.com

Kendinize şu soruları sormanızı istiyorum:

  1. Kaç OT domaininiz var?
  2. Bu domainler altında kaç OT cihazınız var?
  3. Bu cihazların kaç tanesi güncel firmware ile çalışıyro?
  4. OT cihazlarının arasındaki veri trafiği nasıl?
  5. Hangi OT cihazları dışarısı ile haberleşebiliyor?
  6. Hangi OT cihazlarına fiziksel bağlantı mümkün?
  7. Hangi OT cihazlarında kötü niyetli yazılımlara karşı koruyucu bir yazılım var?
  8. OT cihazlarınız nasıl bir ağ yapısında bağlı?
  9. Bir OT güvenlik duvarı kullanıyor musunuz?
  10. OT envanteriniz güncel mi?
  11. Envanterinizdeki cihazlar ile ilgili güncel güvenlik zafiyetleri nele?

Bu sorulara cevap veremediğiniz sürece yönetilebilir ve sürdürülebilir bir altyapınız yok demektir ve ancak bu olgunluk seviyesine eriştikten sonra OT tarafında siber güvenlik anlamında bir sıkılaştırmaya gidebilirsiniz.

Photo by ThisIsEngineering on Pexels.com

Tabii ki bunu yaparken uygulayacağınız basit bir risk yönetim süreci işleri hem daha görünür, hem de iyileştirme için daha kolay önceliklendirebilir kılacaktır. Açıklarımızın kullanılmasındaki olasılık ve etkinin operayonunuzu ne ölçüde etkileyeceğinin rakamsal bir değerini koyamadığınız sürece yönünüzün tayininde sıkıntıya düşmeniz kaçınılmazdır.

OT risk yönetimi yaparken dikkat etmeniz gereken konu IT’deki güvenlik risklerine ek olarak OT’nin fiziksel hasara çok daha açık olduğu gerçeğidir. Hatta pek çok durumda bu fiziksel hasarlar insan hayatı ile de ilişkilidir. Dolayısıyla risklerinizi belirlerken olası maksimum hasarın ekipman olmadığı, insan hayatının da işin ucunda olduğu gerçeğini asla gözardı etmeyin.

Güvenli günler dilerim!

Information Security, Information Technologies

GRCAC Day Bursa 2020

ISACA Ankara Chapter olarak Tofaş‘ın ev sahipliğinde EY‘ın katkılarıyla düzenlediğimiz yönetişim, risk, uyum, denetim ve siber güvenlik konulu GRCAC Day Bursa semineri 7 Şubat 2020’de Tofaş Akademi Doğu Kampüsü’nde gerçekleşti.

This slideshow requires JavaScript.

Digital Transformation, Information Security, Information Technologies

I’m speaking at CS4CA MENA Summit!

cs4ca cyber security for critical assets mena dubai erdem aksoy

The 4th in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global.

Digital Transformation, Information Security, Information Technologies

Endüstriyel Nesnelerin İnterneti ve Güvenlik Zorlukları

Henüz “Nesnelerin İnterneti” (IoT) için güvenlik sorunları çözülememişken IoT’nin endüstrinin içine girmesi ve uçtan uca etkileşimli üretim ağlarının doğal olarak kontrol edilemez bir biçimde büyümesi bizi yepyeni güvenlik zorluklarıyla karşı karşıya getirdi. Gelin bu zorlukları ana başlıklar altında özetleyelim:

Smart-Manufacturing-11[1]

Kesintisiz Ağ Hizmetinin Sağlanamaması

Üretim içerisindeki makine, ekipman, sensör, kontrol ünitesi vs. gibi pek çok nesnenin birbirine ve buluta bağlı (connected) olduğu, anlık veri toplama ve işleme yetkinliklerinin organizmanın parçaları olarak düşünüldüğünde herhangi birisinde veya tamamındaki kesintilerin organizmanın işleyişini bozduğu akıllı üretimde ağ hizmetinin önemi yadsınamaz.

IoT[1]

Yazılım Geliştirme Yaşam Döngüsündeki Sıkıntılar

Güvenliği geliştirme sürecine katmamış eski yazılımlar, alt seviyelerde iletişime geçen cihazlar, güvenlik protokollerinin olmadığı ya da uyumsuz olduğu sistemleri birbirine bağlarken SSDLC prensiplerine uygun geliştirme yapılmaması ya da yapılamaması da önemli bir açık. Ortak bir standardın olmadığı yapıları birbirine güvenli bir şekilde bağlamak her zaman kolay olmuyor. En zayıf halka gittiğinde yapının tamamının gideceği öngörülerek doğru yazılım geliştirme süreçleri uygulanmalı.

2947939151[1]

Yetersiz Değişiklik Yönetimi Uygulamaları

Uç noktalarda yapılan her değişikliğin kontrollü bir şekilde yapılması güvenlik açısından hayati önem taşımaktadır. Değişiklikleri kayıt altına alıp, analiz edip, yönetemeyen bir şirket üretim hattını kendi elleriyle tehlikeye atmaktadır.

change management process değişim değişiklik erdem aksoy

Yetersiz Risk Yönetimi Uygulamaları

Atılan her adımın risklerinin hesaplanmadığı bir ortamda yolumuzu çizmek ve izlemek imkansızdır, özellikle de endüstriyel IoT güvenliği gibi sağlam temellere oturmayan bir teknolojide.

RISK CONCEPT

Uç Noktaların İzlenebilirliği

Her ne kadar uç noktaları izleyebilen ve belirli bir seviyeye kadar güvenlik sağlayabilen sistemler olsa da üretim firmalarının bilinçsizlikleri sebebiyle bu yatırımları yapmadan dijitalleşmesinin getireceği zorlukla gün geçtikçe artmakta.

AdobeStock_201721018-696x425[1]

Tabii ki bu olası zorluklara ek olarak pek çok konu daha sıralanabilir. Kesin olan bir şey var ve maalesef o da üretim şirketlerinin gözleri kapalı olarak dijitalleştikleri.

Information Technologies

ITIL 4 ile IT Hizmet Yönetimi

2011’den bu yana güncellenmeyen ITIL, ITIL 4 olarak hayatımıza girdi.

ITIL, service management, itsm, it, management

Şimdi diyeceksiniz ki eski öğrendiklerimiz çöpe mi gitti? Hayır, ITIL 4 eski versiyondan çok farklı değil, sadece eskiden birbirinden biraz daha bağımsız olarak aktarılan süreçlerin bir bütün halinde nasıl kullanılabileceğinin anlatıldığı ve ITIL Practitioner ile hayatımıza giren uygulama konseptlerinin daha Foundation seviyesinde empoze edilmeye başlandığı çok başarılı bir versiyon olmuş. Sürekli iyileştirmenin öneminin altının çizilmesi, DevOps, Agile, Lean gibi diğer metodolojiler ile nasıl birlikte çalıştığının anlatılması, daha bütünleşik bir bakış açısına geçilmesi de diğer artıları.

Her IT profesyonelinin en az Foundation seviyesinde bilmesi gerektiğini düşündüğüm ITIL 4 için Axelos tarafından yetkilendirilmiş eğitim kurumlarından eğitim alabilir, sınavına girerek kendinizi sertifikalandırabilirsiniz. Foundation sonrası devam etmek isteyenler için de çok güzel bir kariyer tercihi olabilir.

ITIL, kariyer, ITSM, sertifika, certification, carrier, master, foundation, practice

Türkiye’de ITIL eğitimlerinde tavsiyem Educore, eğitmeni Erman Taşkın‘ın ITIL 4’ün yazarları arasında bulunmakta olduğunu ayrıca eklemek isterim.

Digital Transformation, Information Security

I’m speaking at CS4CA MENA Summit!

The 3rd in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global