Kurumsal Siber Güvenlik Yönetimi

Yayınevi: Adalet Yayınları
Yazar: Ahmet BOZGEYİK
ISBN: 9786257656689
77,40 TL 86,00 TL

Adet

 
   0 yorum  |  Yorum Yap
Kitap Künyesi
Yazar Ahmet BOZGEYİK
Baskı Tarihi 2021/03
Baskı Sayısı 1
Boyut 16x24 cm (Standart Kitap Boyu)
Cilt Karton kapak
Sayfa Sayısı 223

Bilişim ağları genişledikçe siber güvenlik yönetimi kişilerden işletmelere, kurumlardan devletlere kadar herkes için gün geçtikçe daha önemli bir konu haline gelmektedir. Bu sürecin artan bir hızla devam edeceğini öngörmek mümkündür.

Günümüzde kişiler ve işletmeler için değer ifade eden her şey siber saldırıların hedefi haline gelmektedir. Siber tehditler, herkesin er veya geç yüzleşeceği bir tehdide dönüşmektedir. İlk zamanlarda, bir sisteme izinsiz girme, izinsiz davranışta bulunma, önemli önemsiz bazı bilgilere izinsiz erişme şeklinde gerçekleşen eylemler gün geçtikçe oldukça komplike bir boyut kazanmakta ve çeşitlenmektedir.

Siber tehditler, önceleri hedefindeki kişi veya işletmeler bakımından kısa vadede veya hiç belirti vermeyen münferit eylemler şeklinde iken günümüzde bir sürece dönüşmüştür. Bu nedenle belli bir süre bir siber eyleme maruz kalmamak bu tehdidin söz konusu olmadığı veya ortaya çıkmayacağı anlamına gelmemektedir. Bir siber tehdit veya eyleme maruz kaldığı halde bunun farkında olmamak ise işin daha vahim boyutudur.

Bu nedenle siber tehditlere maruz kalmamak için alınan önlemler ve herhangi bir saldırı durumunda tahribatların bertaraf edilmesi veya en az zararla atlatılması için alınacak tedbirler çok önemlidir.

Günümüzde siber güvenlik konusunda dikkat edilmesi gereken üç temel özellik söz konusudur. Bunlar; (1) siber tehditlere karşı farkındalık, (2) faaliyetlerin yürütüleceği güvenli ortam oluşturulması ve (3) saldırılara karşı dirençli olunmasıdır. Bir kurumun yüzde yüz güvenli olması mümkün olmasa da bu üç temel özelliğe odaklanmak suretiyle siber tehditlerin etkilerini azaltarak, potansiyel zararları en aza indirmek mümkün olabilir. Bu nedenle çalışmanın kurum ve işletmelerde siber güvenlik farkındalığına katkı yapmasını ve bu alanda yapılacak bilimsel çalışmalara bir zemin oluşturmasını ümit ediyorum.

SUNUŞ................................................................................................................................... 5

İÇİNDEKİLER ......................................................................................................................... 7

TABLOLAR LİSTESİ ............................................................................................................ 13

ŞEKİLLER LİSTESİ .............................................................................................................. 15

KISALTMALAR..................................................................................................................... 17

GİRİŞ.................................................................................................................................... 19


BİRİNCİ BÖLÜM

KURUMSAL


SİBER GÜVENLİK YÖNETİMİNİN ÖNEMİ.......................................................................... 27

1.1. GENEL OLARAK......................................................................................................... 27

1.2. SİBER TEHDİTLERLE MÜCADELE YÖNTEMLERİ................................................... 32

1.2.1. Teknolojik Yöntem ve Araçlarla Mücadele........................................................ 35

1.2.1.1. Donanım Güvenliği .......................................................................... 36

1.2.1.2. Yazılım Güvenliği ............................................................................. 37

1.2.1.3. Ağ Güvenliği..................................................................................... 38

1.2.2. Teknoloji Dışı Yöntem ve Araçlarla Mücadele.................................................. 39

1.2.2.1. Kurumsal Siber Güvenlik Kural ve Yönergeleri................................ 41

1.2.2.2. Prosedür ve Kontrol Bileşenleri........................................................ 43

1.2.2.3. Mücadele Araç ve Metotları ............................................................. 43

1.2.2.4. Farkındalık Çalışmaları .................................................................... 44

1.3. SİBER GÜVENLİKTE ON ADIM KURALI ................................................................... 45

1.3.1. Birinci Adım: Siber Güvenlik Risk Yönetim Sisteminin Belirlenmesi................. 47

1.3.2. İkinci Adım: Güvenli Yapılandırma.................................................................... 47

1.3.3. Üçüncü Adım: Ağ Güvenliği.............................................................................. 48

1.3.4. Dördüncü Adım: Kullanıcı Yetki Yönetimi......................................................... 48

1.3.5. Beşinci Adım: Kullanıcı Eğitimi ve Farkındalık.................................................. 49

1.3.6. Altıncı Adım: Olay Yönetimi.............................................................................. 49

1.3.7. Yedinci Adım: Kötü Niyetli Yazılımlardan Korunma.......................................... 50

1.3.8. Sekizinci Adım: İzleme...................................................................................... 50


8 İçindekiler

1.3.9. Dokuzuncu Adım: Taşınabilir Depolama Aygıtlarının Kontrolleri ......................51

1.3.10. Onuncu Adım: Evden veya Mobil Çalışma........................................................51

1.4. SİBER GÜVENLİK ÖNLEMLERİNİN MUKAYESESİ ..................................................51

1.4.1. ISM Benchmark Analiz Sonuçları......................................................................53

1.4.1.1. Serpilme Diyagramı..........................................................................53

1.4.1.2. Radar Grafikleri ................................................................................54

1.4.2. ISM Benchmark Kullanılarak Yapılan Araştırmalar ...........................................56


İKİNCİ BÖLÜM


KURUMSAL SİBER GÜVENLİK YÖNETİMİNİN

KAVRAMSAL ÇERÇEVESİ


2.1. BİLGİ VE İLETİŞİM TEKNOLOJİLERİ.........................................................................59

2.1.1. Siber Güvenlik Bağlamında BİT’in Tarihçesi.....................................................60

2.1.2. İşletmeler İçin Bilişim ve İletişim Teknolojilerinin Önemi...................................66

2.2. BİLGİ GÜVENLİĞİ........................................................................................................68

2.3. SİBER GÜVENLİK .......................................................................................................74

2.3.1. Siber Güvenliğin Temel Kavramları ..................................................................75

2.3.1.1. Siber Varlık.......................................................................................75

2.3.1.2. Siber Olay.........................................................................................76

2.3.1.3. Siber Uzay........................................................................................77

2.3.1.4. Siber Zorbalık ...................................................................................78

2.3.1.5. Siber Savaş ......................................................................................78

2.3.1.6. Siber Casusluk .................................................................................79

2.3.1.7. Siber Silah ........................................................................................79

2.3.1.8. Siber Terörizm..................................................................................80

2.3.1.9. Siber Saldırı ve Aşamaları................................................................81

2.3.1.9.1. Birinci Aşama: Keşif ve Tanıma...................................82

2.3.1.9.2. İkinci Aşama: Tarama ..................................................83

3.3.1.9.3. Üçüncü Aşama: Erişim Sağlama .................................83

2.3.1.9.4. Dördüncü Aşama: Erişimi Sürdürme............................84

2.3.1.9.5. Beşinci Aşama: İzleri Saklama.....................................84

2.3.1.9.6. Engelleme Saldırıları....................................................84

2.3.1.10. Siber Tehdit........................................................................................86

2.3.2. Siber Tehdit Yöntem ve Çeşitleri.......................................................................87

2.3.2.1. Kötü Amaçlı Yazılımlar (Malware) ....................................................89


İçindekiler 9

2.3.2.1.1 Bilgisayar Virüsleri....................................................... 90

2.3.2.1.2. Solucan ve Truva Atı ................................................... 90

2.3.2.1.3. Klavye İzleme (Key Logger) Yazılımları ...................... 91

2.3.2.1.4. İstem Dışı Ticari Reklam ve Tanıtım (Adware)

Yazılımları ................................................................... 91

2.3.2.1.5. Bilgi Toplayan Casus/Köstebek (Spyware)

Yazılımları ................................................................... 92

2.3.2.2. Web-Tabanlı ve Web Uygulamalı Siber Saldırılar ........................... 92

2.3.2.3. Botnet / Zombi Bilgisayar ................................................................. 94

2.3.2.4. Hizmet Dışı Bırakma (Denial of Service – DOS).............................. 96

2.3.2.5. Fiziksel Zarar / Hırsızlık / Kayıp ....................................................... 97

2.3.2.6. İç Tehdit ........................................................................................... 98

2.3.2.7. Oltalama........................................................................................... 98

2.3.2.8. İstenmeyen e-posta ......................................................................... 99

2.3.2.9. İstismar Kiti ...................................................................................... 99

2.3.2.10. Veri İhlalleri .................................................................................... 101

2.3.2.11. Kimlik Hırsızlığı .............................................................................. 103

2.3.2.12. Bilgi Sızıntısı .................................................................................. 104

2.3.2.13. Fidye Yazılımları ............................................................................ 104

2.3.2.14. Siber Casusluk............................................................................... 105

2.3.2.15. Gelişmiş Siber Tehdit..................................................................... 106

2.3.2.16. Ağ Dinleme .................................................................................... 107

2.3.2.17. ARP Zehirlenmesi .......................................................................... 108

2.3.2.18. IP Aldatması................................................................................... 109

2.3.2.19. Ortadaki Adam Saldırısı (Man in the Middle Attack) ...................... 109

2.3.2.20. Kabloya Saplama Yapma .............................................................. 110

2.3.2.21. Sosyal Mühendislik ........................................................................ 111

2.3.3. Siber Güvenlik Vakaları .................................................................................. 112

2.3.3.1. Estonya Vakası .............................................................................. 112

2.3.3.2. Gürcistan Saldırısı ......................................................................... 113

2.3.3.3. Kırgızistan Saldırıları...................................................................... 113

2.3.3.4. Stuxnet Vakası............................................................................... 113

2.3.3.5. Türkiye’ye Yapılan Saldırılar .......................................................... 113

2.4. SİBER GÜVENLİK STANDARTLARI........................................................................ 114

2.4.1. Uluslararası Standartlar Teşkilâtı ISO 27000 Standartlar Serisi..................... 116


10 İçindekiler

2.4.1.1. ISO 27001 ......................................................................................117

2.4.1.2. ISO 27002 ......................................................................................120

2.4.2. Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (COBIT) .................................121


ÜÇÜNCÜ BÖLÜM


KURUMSAL SİBER GÜVENLİK YÖNETİMİ ARAŞTIRMASI


3.1. ARAŞTIRMANIN PROBLEM VE ALT PROBLEMLERİ ............................................125

3.2. ARAŞTIRMANIN AMACI............................................................................................126

3.3. ARAŞTIRMANIN ÖNEMİ ...........................................................................................127

3.4. ARAŞTIRMANIN HİPOTEZLERİ................................................................................128

3.5. ARAŞTIRMANIN VARSAYIMLARI............................................................................132

3.6. ARAŞTIRMANIN SINIRLILIKLARI ............................................................................133

3.7. ARAŞTIRMANIN YÖNTEMİ.......................................................................................133

3.8. ARAŞTIRMANIN EVREN VE ÖRNEKLEMİ...............................................................134

3.9. VERİ TOPLAMA ARAÇLARI .....................................................................................135

3.10. PİLOT ÇALIŞMA ........................................................................................................135

3.10.1. Pilot Uygulama Keşfedici Faktör Analizi .........................................................138

3.10.2. Pilot Uygulama Güvenilirlik Analizi..................................................................140

3.11.FAKTÖR ANALİZLERİ...............................................................................................141

3.11.1. Keşfedici Faktör Analizleri...............................................................................141

3.11.1.1. Siber Güvenliğine Kurumsal Yaklaşım Ölçeği KFA........................142

3.11.1.2. Fiziksel ve Çevresel Güvenlik Tedbirleri Ölçeği KFA .....................144

3.11.1.3. Bilişim Sistemleri ve İletişim Ağlarının İşletim ve Bakım

Kontrolleri Ölçeği KFA ....................................................................145

3.11.1.4. Yazılım Geliştirme ve Destek Aşamalarında Bilgi Sistemleri

Erişim Kontrolü Güvenlik Tedbirleri Ölçeği KFA.............................146

3.11.1.5. Siber Güvenlik İhlalleri ve İş Sürekliliği Yönetimi Ölçeği KFA.........147

3.11.2. Doğrulayıcı Faktör Analizleri ...........................................................................148

3.11.2.1. Siber Güvenliğine Kurumsal Yaklaşım Ölçeği DFA........................150

3.11.2.2. Fiziksel ve Çevresel Güvenlik Tedbirleri Ölçeği DFA .....................152

3.11.2.3. Bilişim Sistemleri ve İletişim Ağlarının İşletim ve Bakım

Kontrolleri Ölçeği DFA....................................................................152

3.11.2.4. Yazılım Geliştirme ve Destek Aşamalarında Bilgi Sistemleri

Erişim Kontrolü Güvenlik Tedbirleri Ölçeği DFA.............................153

3.11.2.5. Siber Güvenlik İhlalleri ve İş Sürekliliği Yönetimi Ölçeği DFA ........154


İçindekiler 11

3.12. GÜVENİLİRLİK ANALİZİ........................................................................................... 156

3.13.NORMAL DAĞILIM TESTİ ........................................................................................ 157


DÖRDÜNCÜ BÖLÜM

KURUMSAL SİBER GÜVENLİK ANALİZİ


4.1. DEMOGRAFİK BULGULAR...................................................................................... 159

4.2. TANIMLAYICI İSTATİSTİKLER................................................................................. 165

4.3. T TESTİ ...................................................................................................................... 166

4.4. ANOVA (F) TESTİ...................................................................................................... 170

4.5. HİPOTEZ SONUÇLARI.............................................................................................. 182


SONUÇ VE ÖNERİLER


SONUÇLAR........................................................................................................................ 187

ARAŞTIRMACILARA ÖNERİLER ...................................................................................... 195

İŞLETMELERE ÖNERİLER ............................................................................................... 196

KAYNAKÇA ........................................................................................................................ 199


EKLER


EK-1 UDHB KURUMLAR TARAFINDAN ALINMASI GEREKEN SİBER

ÖNLEMLER ............................................................................................................ 215

EK-2 ANKET SORULARI ................................................................................................ 219

Yorum Yap

Lütfen yorum yazmak için oturum açın ya da kayıt olun.