CDPSE: Veri Koruma Yetkinliklerinizi Belgelendirin

cdpse isaca certified data privacy solutions engineer veri koruma güvenlik bilgi güvenliği siber cisa cism cgeit

ISACA, ülkemizde de KVKK ile günden güne daha fazla önem kazanan verilerin korunması konusuna yeni sertifikasyonu ile farklı bir boyut açtı.

Şu anda 80 ülkenin veri koruma yasası çıkardığını ve 2023 yılına kadar dünya nüfusunun %65’inin veri koruma yasalarına tabi olacağını düşündüğümüzde konunun ciddiyetini daha iyi anlayabiliriz.

CDPSE sertifikası, 3 ana başlıkta yetkinlik ve tecrübenizi belgelendirmenizi sağlıyor:

cdpse isaca certified data privacy solutions engineer veri koruma güvenlik bilgi güvenliği siber cisa cism cgeit

Bilgi güvenliği ve özellikle “Kişisel Verilerin” / “Verilerin” korunması üzerine çalışıyorsanız yetkinliklerinizi dünya çapında geçerli bir sertifika ile belgelendirmenin yolu CDPSE’den geçiyor.

Daha fazla bilgi için tıklayınız…

Security in the time of Corona

As the world is struggling with the Corona virus (COVID-19) pandemic, the security folks are struggling with something else: Securing the remote business… We have been so busy with securing our systems from the viruses that we could not see that a natural virus could cause more problems than the digital ones.

Working remotely was not an option for many companies or not for every position so most of the companies were caught off guard. Many of us were just not ready to transform the business this fast but it’s happening folks and here are some of the concerns you should take into consideration:

1. Security Issues on Mobile Devices

It’s easy to secure your employees’ devices when they are inside your network, under your firewalls but is it the same when they connect from home?

VPN is not the solution for every connection, what if the employee connects to some unsecure site, you never know. Things get more complicated when the employees use their own devices for work.

All you can do is to increase the awareness of the employees and put some strict rules for those you can control, such as strong password policies and access management.

Technology in the hands

2. Issues with Backup and Recovery

Data loss can be a huge problem for remote business and the problem is bigger if the employees are using their own devices for business.

There are quite good backup and recovery solutions in the market, you can use them secure the data in a centralized backup and recovery system or you can simply make the employees take their own local backups but being on cloud seems to be the best solution for this issue.

cloud-backup[1]

3. Issues related to Shadow IT

End-users usually tend to use their practical solutions and they use anything possible once they are out of your control.

Shadow IT has been a pain in the neck for many years, users want to use some free applications for which they have no idea of the security concerns.

It used to be easy when the only way to use an application was to install it on your computer and only IT could install software to the corporate PC’s but it is a dilemma when you can use cloud services from home.

The level of security awareness just becomes more important related to shadow IT solutions. End-users must think like security analysts when they are deciding to use an application other than the corporate’s assets and decide not to use if possible.

shadowIT-light[1]

There are many more security issues for remote business and it usually comes to the point where the end-users must be aware of the security risks and act accordingly.

Security awareness training programs must be updated with the use cases that we are facing at this coronavirus transformation and companies should invest more on training the employees in order to protect themselves.

Stay home, stay secure!

GRCAC Day Bursa 2020

ISACA Ankara Chapter olarak Tofaş‘ın ev sahipliğinde EY‘ın katkılarıyla düzenlediğimiz yönetişim, risk, uyum, denetim ve siber güvenlik konulu GRCAC Day Bursa semineri 7 Şubat 2020’de Tofaş Akademi Doğu Kampüsü’nde gerçekleşti.

This slideshow requires JavaScript.

I’m speaking at CS4CA MENA Summit!

cs4ca cyber security for critical assets mena dubai erdem aksoy

The 4th in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global.

Endüstriyel Nesnelerin İnterneti ve Güvenlik Zorlukları

Henüz “Nesnelerin İnterneti” (IoT) için güvenlik sorunları çözülememişken IoT’nin endüstrinin içine girmesi ve uçtan uca etkileşimli üretim ağlarının doğal olarak kontrol edilemez bir biçimde büyümesi bizi yepyeni güvenlik zorluklarıyla karşı karşıya getirdi. Gelin bu zorlukları ana başlıklar altında özetleyelim:

Smart-Manufacturing-11[1]

Kesintisiz Ağ Hizmetinin Sağlanamaması

Üretim içerisindeki makine, ekipman, sensör, kontrol ünitesi vs. gibi pek çok nesnenin birbirine ve buluta bağlı (connected) olduğu, anlık veri toplama ve işleme yetkinliklerinin organizmanın parçaları olarak düşünüldüğünde herhangi birisinde veya tamamındaki kesintilerin organizmanın işleyişini bozduğu akıllı üretimde ağ hizmetinin önemi yadsınamaz.

IoT[1]

Yazılım Geliştirme Yaşam Döngüsündeki Sıkıntılar

Güvenliği geliştirme sürecine katmamış eski yazılımlar, alt seviyelerde iletişime geçen cihazlar, güvenlik protokollerinin olmadığı ya da uyumsuz olduğu sistemleri birbirine bağlarken SSDLC prensiplerine uygun geliştirme yapılmaması ya da yapılamaması da önemli bir açık. Ortak bir standardın olmadığı yapıları birbirine güvenli bir şekilde bağlamak her zaman kolay olmuyor. En zayıf halka gittiğinde yapının tamamının gideceği öngörülerek doğru yazılım geliştirme süreçleri uygulanmalı.

2947939151[1]

Yetersiz Değişiklik Yönetimi Uygulamaları

Uç noktalarda yapılan her değişikliğin kontrollü bir şekilde yapılması güvenlik açısından hayati önem taşımaktadır. Değişiklikleri kayıt altına alıp, analiz edip, yönetemeyen bir şirket üretim hattını kendi elleriyle tehlikeye atmaktadır.

change management process değişim değişiklik erdem aksoy

Yetersiz Risk Yönetimi Uygulamaları

Atılan her adımın risklerinin hesaplanmadığı bir ortamda yolumuzu çizmek ve izlemek imkansızdır, özellikle de endüstriyel IoT güvenliği gibi sağlam temellere oturmayan bir teknolojide.

RISK CONCEPT

Uç Noktaların İzlenebilirliği

Her ne kadar uç noktaları izleyebilen ve belirli bir seviyeye kadar güvenlik sağlayabilen sistemler olsa da üretim firmalarının bilinçsizlikleri sebebiyle bu yatırımları yapmadan dijitalleşmesinin getireceği zorlukla gün geçtikçe artmakta.

AdobeStock_201721018-696x425[1]

Tabii ki bu olası zorluklara ek olarak pek çok konu daha sıralanabilir. Kesin olan bir şey var ve maalesef o da üretim şirketlerinin gözleri kapalı olarak dijitalleştikleri.

ITIL 4 ile IT Hizmet Yönetimi

2011’den bu yana güncellenmeyen ITIL, ITIL 4 olarak hayatımıza girdi.

ITIL, service management, itsm, it, management

Şimdi diyeceksiniz ki eski öğrendiklerimiz çöpe mi gitti? Hayır, ITIL 4 eski versiyondan çok farklı değil, sadece eskiden birbirinden biraz daha bağımsız olarak aktarılan süreçlerin bir bütün halinde nasıl kullanılabileceğinin anlatıldığı ve ITIL Practitioner ile hayatımıza giren uygulama konseptlerinin daha Foundation seviyesinde empoze edilmeye başlandığı çok başarılı bir versiyon olmuş. Sürekli iyileştirmenin öneminin altının çizilmesi, DevOps, Agile, Lean gibi diğer metodolojiler ile nasıl birlikte çalıştığının anlatılması, daha bütünleşik bir bakış açısına geçilmesi de diğer artıları.

Her IT profesyonelinin en az Foundation seviyesinde bilmesi gerektiğini düşündüğüm ITIL 4 için Axelos tarafından yetkilendirilmiş eğitim kurumlarından eğitim alabilir, sınavına girerek kendinizi sertifikalandırabilirsiniz. Foundation sonrası devam etmek isteyenler için de çok güzel bir kariyer tercihi olabilir.

ITIL, kariyer, ITSM, sertifika, certification, carrier, master, foundation, practice

Türkiye’de ITIL eğitimlerinde tavsiyem Educore, eğitmeni Erman Taşkın‘ın ITIL 4’ün yazarları arasında bulunmakta olduğunu ayrıca eklemek isterim.

I’m speaking at CS4CA MENA Summit!

The 3rd in a successful series of exclusive Cyber Security for Critical Assets Summits in the MENA region, that brings together the region’s industry leaders to discuss and create best practice industry guidelines. The CS4CA MENA Summit is brought to you by Qatalyst Global

ISO 27001’e Çevik Yaklaşım

ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ni kurmak artık eskisi kadar zor değil. Reçetesi çıkmış, neler yapılması gerektiği bilinen, yetişmiş eleman kaynağının bile rahat bulunabildiği bir konu haline geldi artık 27001.

Ama sistemi kurmak ile yaşatmak arasında ince bir çizgi var; kurduğunuz sistemi planlı bir şekilde yaşatmazsanız bir süre sonra takip etmesi zor ve içinden çıkılamaz bir yapı haline geliyor.

iso-27001-1[1]

Farklı iş yerlerinde, farklı ekiplerle, farklı stratejilerle yönetildiğini tecrübe ettiğim ISO 27001 için son günlerde izlemeye başladığım yöntem ise Agile (çevik) yönetim, daha da açmak gerekirse Scrum metodolojisi.

Daha önce yazılım projelerinde tecrübe ettiğim, küçük çaplı projelerde başarısını gördüğüm, karmaşık ve kalabalık ekiplerde iş paketlerinin yığıldığı, takip edilmesinin imkansız hale geldiği projeleri de yaşadığım Scrum’ı ISO 27001’in yaşatılması için kullanma fikri, klasik iş planında ana başlıklar altında verilen sorumlulukların denetimlerde hep eksik verir hale dönüşmesi üzerine detay kırılıma gitme ihtiyacıyla gelişti.

Kişilerin yetkinliğine ve sorumluluk bilincine olan güvenle yürütülemeyen büyük parçaları “böl ve fethet” yöntemi ile, küçük parçalar halinde, çıktılarını daha görünür hale getirerek ilerletmenin faydasını ilk günden itibaren hissetmeye başladık.

scrum-nedir-780x405[1]

İşe büyük parçaları görebildiğim klasik iş planı ile başlamak ilk adımımdı. ISO 27001’in yaşam döngüsü içerisinde periyodik olarak yapılması gereken işleri öncelikle ay bazında bölerek ana başlıklarıyla bir “master plan” oluşturmak aslında daha önceden verimli bir şekilde yürütemediğimiz işlerin listelenmesinden başka bir şey değildi.

Sonra sıra sürecimiz için uygun periyodun belirlenmesi ve iş adımlarıyla ilgili kuralları tanımlamaya geldi.

Yazılım projelerinde haftalık ya da 2 haftalık sprint periyotları iş takibi için uygunken ISO 27001 için işin doğası gereği aylık sprint’lerin uygun olduğu kanısına varıp, günlük toplantılar yerine haftalık toplantılar ile planlama yapmaya karar verdik.

scrum335[1]

Klasik akıştan sapmadan ISO 27001’in doğasına uygun adımları Trello uygulaması üzerinde oluşturarak görülebilirliği arttırmak adına takibimi kolaylaştıracak etiketler ile de destekledik.

Aylık açılan panolarda ana adımları iş kartlarına bölerek yapılacaklar listemizi oluşturup, haftalık toplantılarda da o haftanın planlamasını yaparak verimli ve görülür bir akış elde ettik.

trello

İşin yönetimi ve izlenebilirliği açısından haftalık planlamalarla takip edilen aylık panolar işin mutfağı iken yapılan işlerin yönetim gözüyle görünür kılınması için ise yine Trello üzerinde BigPicture eklentisinin yardımını aldık.

Tüm iş kartlarını bir liste halinde görüp etiket ve terminlerine göre takip edebildiğimiz bu ekranda ayrıca bir Gantt şeması yardımıyla da proje planımızı izlenebilir hale getirdik.

BigPicture

Planlı, Plansız, Gecikmeli işlerin ne olduğunu tek ekrandan takip edip, her küçük iş kartının çıktısını kontrol altına alabildiğimiz bu yeni sistemde kişilerin yetkinlik ve sorumluluk bilincinden bağımsız kontrollü bir yapıya geçerek ISO 27001’i yaşatılabilir bir yapıya soktuk.

Bundan sonrası metodolojiye uyum ve sürekli takip, her proje ve operasyonda olduğu gibi.

Explaining IT Strategies to the Non-IT Executives in a World of Technology

Why so expensive?

It’s what we usually hear from the C level executives in the budgeting period that IT is a huge cost. Are we doing something wrong? Are our estimations so bad that the C levels go crazy each time we sit down around the table.

Most probably NO!

But why do we get misunderstood?

Here you can find some answers from my experiences and thoughts on the dilemma of explaining IT budgets to the non-IT executives (especially for manufacturing companies in emerging markets).

The Problem:

Not everyone works in a tech company. Life is easier for those who work in tech since the executives know technology.

For the rest, you should understand that the technological progress is faster than the changes in the traditional businesses. Businesses like manufacturing or finance have evolved throuhout the years but the core processes remained more or less the same. Yes, they are using more technology today but their main processes are the same as they used to be in the past. There is automation, there is AI, they have all the data they don’t even need but they are still using all these technologies in order to do the jobs they used to do, just faster and more reliable.

I would like to point out that those are the 2 businesses that use technology the most, all the other businesses are behind these 2 which most of the economy relies on.

Technology became a part of almost all businesses very fast. Most companies did not even have computers or internet just 2 decades ago and now even the local store around the corner uses internet for banking and ordering goods. Technology is more and more integrated as the complexity and size of the business grows.

But most of these companies are run by executives who did not use computers as a part of their daily routine when they first started working. Some of them were able to be a part of the change and understand the meaning of IT in their business but for most of them IT is all about buying “computers and stuff”.

Today companies need infrastructure and software as well as support but that’s not the end. More business processes evolve with technology so larger companies started to either become tech companies or create tech companies to support their needs.

Outsourcing is an option, it s still profitable especially in the developed markets where the awareness and the level of technology is higher.

What about the emerging markets?

There is a great potential in the emerging markets since they still have a long way to go in their local businesses but on the other hand they are the ones outsourcing the developed markets so they have the right resources.

All they need is to have right strategies to lead the companies (or countries) in the right direction.

How are we supposed to convince the executives that what we are doing is not an extra cost but it is essential to the continuity of the business?

First of all we must all know that “doing what everyone else is doing” will not take us to the lead.

We must do what everyone else is doing and just then we will be on the same level with our competitors. We must look for areas of innovation after this point.

For many years, executives expected IT departments to miraculously take the company to another level when they wanted to invest on IT processes. They thought this was continuous improvement (or Kaizen if you are working in a Lean environment).

Let’s agree on something; being ITIL compliant or ISO 27001 certified is not something that will make you a star, it is the baseline. Whatever you do after that point will take you to the other levels.

Make sure that your executives are on the same page with you on this. Make sure that the IT standards are the baseline that you need to comply with, not a magic wand.

Form a compliance team to ensure your organization meets the baseline.

And now we can talk about innovation.

Internet of Things (IoT), Industry 4.0, Digital Transformation, Big Data, Artificial Intelligence and all those great areas of innovation is now ahead of you.

But again, doing what everyone else is doing is not going to get you to the lead so plan your projects accordingly.

First, start with baby steps: draw your technological baseline. See what everone else is doing and pinpoint the problematic areas to catch up with the baseline.

Form a team for innovation, do not overload the team with the routine, let the other teams handle the daily routine while the innovation team builds your future.

Keep it simple.

Use the power of iterative development.

Set achievable targets and manage the innovation.

And the world is yours once you pass the baseline.

There is one more thing to remember: yesterday’s innovation is today’s baseline.

So, improve continually!

Now it’s the Kaizen time 😉