Cloud Security Alliance Türkiye Olarak Neler Yapıyoruz?
CSA’nın bulut güvenliği alanındaki bilgi birikimini ülkemize aktarmak ve bulut güvenliği farkındalığını artırmayı amaçlayan Cloud Security Alliance Türkiye (CSATR) çalışmaları hakkında sizi bilgilendirmek istiyoruz…
Günümüzde teknolojinin her alanında bulut bilişimden yararlanıyoruz, hatta bir teknolojinin yeni nesil beklentilerimizi karşılayabilmesi için de bulut teknolojilerinden yararlanmasının şart olduğunu söylemek hata olmayacaktır. Sektör bağımsız her hangi bir organizasyon, daha rekabetçi, daha esnek, daha hızlı hatta daha güvenli hizmet almak ve hizmet sunabilmek adına bulut hizmet sağlayıcılarının kapısını çalıyor.
Buna karşın başta hali hazırdaki bilgi teknolojileri (BT) ortamı ile farklı birden çok bulut hizmetinin entegrasyonu olmak üzere, diğer tüm teknolojiler gibi bulut bilişim de, bir takım kaygı ve zorlukları beraberinde getiriyor. Her ne kadar bulut teknolojilerinin, daha güvenilir hizmet sağladığına dair bir cümle kurmuş olsam da, bulut teknolojilerine yönelik güvenlik kaygıları ve bunları gidermeye yönelik güvence yaklaşımları mevcut.
Bu noktada Cloud Security Alliance (CSA)’dan bahsetmeye başlayabilirim artık. CSA’nın, bulut güvenliği konusunda yaptığı çalışmalarla dünyanın bu konudaki lider organizasyonu olduğunu söylemeliyim. Daha önce CSA faaliyetleri hakkında bilgi sahibi olmadığınızı farz ederek, biraz CSA’nın faaliyetlerini detaylandırayım, hem de işinize yaracağını düşündüğüm önemli dokümanlarına ait linklerini de buradan paylaşayım.
CSA, kar amacı gütmeyen bir organizasyon olarak, çeşitlenen ve kullanım alanları artan bulut teknolojileri, bulut teknolojilerini kullanan IoT, yapay zeka içeren teknolojilerin tanıtımı, bunların sahip olduğu güvenlik tehditlerinin neler olduğunu açıkladığı yazıların, hatta bu konuda güvenlik ve risk uzmanlarının kullanabilceği örnek dokümanları ücretsiz olarak paylaştığı zengin içerikli bir web sitesine sahip.
CSA’nın, benim şahsen çok beğendiğim ve sıklıkla ziyaret ettiğm o güzel web sitesine erişimek için bu linke tıklayın 👉 https://cloudsecurityalliance.org/
Bu sitede bulut teknolojileri ve bulut güvenliğine yönelik sayısız doküman, makale ve ücretsiz edinilebilecek matrisler mevcut. Bu dokümanlardan önemlilere birlikte göz atalım.
İşinize Çok Yarayacak CSA Dokümanları
Security, Trust, Assurance and Risk (STAR) — bulut hizmet sağlayıcıların sundukları hizmetlerin güvenlik kontrollerinin olgunluk seviyesini belgeleyen bir sertifikasyon yapısıdır. Bu dokümana ücretsiz olarak erişip inceleyebilirsiniz. CSA bu sertifikasyon yapısı ile bulut hizmet sağlayıcılarının kendi hizmetleri hakkında müşterilere güvence sağlamasını hedefliyor. STAR serfikasyonunun iki seviyesi mevcut.
Birinci seviyede organizasyonlar, güvenlik ve gizlilik öz değerlendirmelerinden birini veya her ikisini birden sunabilir. Güvenlik değerlendirmesi için kuruluşlar, güvenlik kontrollerini değerlendirmek ve belgelemek için Cloud Control Matrix, gizlilik değerlendirmesi için de GDPR Compliance dokümanı kullanılıyor.
İkinci seviyede ise organizasyonlarda diğer endüstri sertifikalarını ve standartlarını buluta özel hale getirmek için geliştirmelerine olanak tanır.
Üçüncü taraf denetimi arayan kuruluşlar, bir veya daha fazla güvenlik ve gizlilik denetimi ve sertifika arasından seçim yapabilir. Bir kuruluşun konumu, tabi olduğu düzenlemeler ve standartlarla birlikte, hangilerinin takip edilmesinin uygun olduğunun belirlenmesinde en büyük faktöre sahip olacaktır.
Burada belirtmek istiyorum; yerli bulut hizmet sağlayıcıları olarak sundukları hizmetler için Çözümtek Star Level 1 sertifikalarını almış durumdadır, Bulutistan ise sertifika sürecini tamamlamak üzeredir. Bu CSATR olarak bizler için çok sevindirici bir durum ve Türkiye’deki bulut güvenliği açısından da önemli bir adım.
Cloud Control Matrix — bulut bilişim için bir siber güvenlik kontrol çerçevesidir. Bulut teknolojisinin tüm önemli yönlerini kapsayan 17 etki alanında yapılandırılmış 197 kontrol hedefinden oluşur. Bir bulut uygulamasının sistematik olarak değerlendirilmesi için bir araç olarak kullanılabilir ve bulut tedarik zincirinde hangi aktör tarafından hangi güvenlik kontrollerinin uygulanması gerektiği konusunda rehberlik sağlar. Kontroller çerçevesi, Bulut Bilişim için CSA Security Guidance ile uyumludur ve bulut güvenliği güvencesi ve uyumluluğu için fiili bir standart olarak kabul edilir.
Consensus Assessment Initiative Questionnaire (CAIQ) — IaaS, PaaS ve SaaS hizmetlerinde hangi güvenlik kontrollerinin bulunduğunu belgelemek için endüstri tarafından kabul edilmiş bir yol sunarak güvenlik kontrolü şeffaflığı sağlar. Bir bulut tüketicisinin ve bulut denetçisinin, CCM uygunluklarını tespit etmek için bir bulut sağlayıcısına sormak isteyebileceği bir dizi Evet/Hayır sorusu sağlar. Bu nedenle, bulut müşterilerinin olası bulut hizmeti sağlayıcılarının güvenlik duruşunu ölçmesine ve bulut hizmetlerinin uygun şekilde güvenli olup olmadığını belirlemesine yardımcı olur.
Cloud Security Guidance — Cloud Security Alliance’ın güvenlik uzmanları tarafından oluşturulan ve bulut güvenliği alanındaki tüm konuların açıklandığı bu ücretsiz indirilebilir rehber sayesinde, siz de bu alandaki bilginizi artırabilirsiniz. Bu rehber, yukarıda sayılan ve bulut güvenliğini test etmek için kullanılacak dokümanlar ile uyumlu bir içerik ve akışa sahiptir.
CSA Tarafından Tavsiye Edilen Sertifikasyonlar
CCSK (Certified of Cloud Security Knowledge) — CSA tarafından düzenlenen, CSA ve ENISA dokümanları konusundaki bilgi seviyesini ölçen bir sınav sonucu verilmektedir.
CCAK (Certificate of Cloud Auditing Knowledge) — CCSK sertifikası, bulut güvenliği için uzmanlık standardı olarak küresel çapta kabul gören bir sertifikasyondur ve bulut hizmet sağlayıcılarından bağımsız bir organizasyon tarafından veriliyor olması da değerini bir özellik bana göre. v
Benim ilgilenenler için önerebileceğim bir diğer bulut güvenlik sertifikasyonu ise ISC2'ın CCSP (Certified Cloud Security Professional) sertifikasıdır. CCSK’nın ardından bu sertifikaya yönelmek akıllıca olabilir. Bu iki sertifikaya sahip olanların genel tavsiyesi de bu yönde.
Son olarak CSA paydaşlarının buluştuğu Circle’a da değinim CSA hakkında vereceğim bilgileri sonlandırıyorum. Circle, genel olarak bulut teknolojileri ve bulut güvenliğine ilgi duyan uzmanların makalelerini yayınladığı, ortak çalışmalar yürüttüğü bir ortam. Buraya ücretsiz üye olarak hem bu alandaki çevrenizi genişletip hem de güncel gelişmeleri takip edebilirsiniz.
Cloud Security Alliance — Türkiye (CSATR)
CSATR, CSA’nın Türkiyedeki tek resmi temsilcisidir. CSATR ISACA İstanbul’un kurucu üyesi ve Lostar Güvenliğin sahibi Murat Lostar liderliğinde, Microsoft Türkiye’den Mehmet Üner , EY Türkiye’den Cem Ergül (ISACA İstanbul eski Başkanı), Amazon Web Services (AWS) Tarık Ertuğrul ve bendeniz Gökhan Polat’ın dahil olduğu Yönetim Kurulu tarafından gönüllük esasına göre faaliyetlerine devam etmektedir.
CSATR’nin temel amacı bulut güvenliği ile ilgili olarak CSA’nın küresel çapta sahip olduğu bilgi ve tecrübeyi Türkiye’ye aktarmak, uyarlamak ve iyi uygulamaların yaygınlaşmasını sağlamaktır. CSATR olarak 2018 yılından bu yana çalışmalarımıza devam ediyor, LinkedIn, YouTube ve Meetup hesaplarımız üzerinden faaliyetlerimizi duyuruyoruz.
Ne tür çalışmalar yapıyoruz? Pandemi öncesinde yüz yüze bilgi paylaşım toplantıları düzenliyor, burada sektörden önemli isimleri ağırlıyor ve uzmanlarla bir araya getiriyorduk.
Pandemi döneminde online webinarlara ağırlık verdik. Her ay bulut bilişimin önde gelen firmalarını ve bu konudaki uzman isimleri etkinliklerimizde konuk ediyor, bizi takip eden sektör uzmanları ile buluşturmaya devam ediyoruz. Mesela geçen hafta Bulutistan ile bir webinar gerçekleştirdik ve buluta veri aktarılması konusunda dikkate alınması gereken konuları tartıştırk. Aşağıda yine yakın zamanda Google ile gerçekleştirdiğimiz bir başka etkinliğin videosunu da paylaşıyorum.
Ayrıca CSA dokümanları ve çalışmalarını sizler için Türkçeleştirip yayınlıyoruz. Mesela küresel çapta gerçekleştirilen ve çok sayıda uzmanın katıldığı CSA Bulut Bilişim Anketi ve Hibrit ve Çoklu Bulut Çevrelerinde Güvenlik Yönetiminin Zorlukları Raporu bizler tarafından Türkçeleştirilip sosyal medya kanallarımızdan yayımlandı. Ayrıca yukarıda bahsi geçen ve CSA’nın bulut güvenliği alanındaki en önemli belgelerinden Cloud Control Matrix’in son versiyonunu da bu sene Türkçeleştirilip yayınladık. Dokümana bu linkten ulaşabilirsiniz 👉 CCM v4 — Turkish Translation
Yine yakın zamanda bir web sitesini de aktif hale getireceğiz. Böylece çalışmalarımızın tamamına tek bir platform üzerinden ulaşma imkanınız olacak.
Şuan gündemimizdeki bir diğer önemli çalışma ise CSATR 2022 Siber Güvenlik Öngörüsü Raporu’nu da önümüzdeki günlerde sizlerle paylaşıyor olacağız. Biraz bu rapor içeriğinden bahsetmek istiyorum.
CSATR 2022 Siber Güvenlik Öngörüsü Raporu
Rapor 5 bölümden oluşuyor; ilk bölümde 2021 yılının siber güvenlik açısından yaşanan gelişmeleri anlatan kısa bir değerlendirmeye yer verdik, ardından ise 2022 yılında beklenenlere ilişkin yine kısa bir anlatım yer alıyor. Bölüm 2 ve b-Bölüm 3’de, giriş bölümünde kısaca bahsi geçen örnekler detaylarıyla açıklanıyor. Bölüm 4’de ise siber güvenlik açısından dikkat çeken eğilimlere ve yaklaşımlara değiniyoruz. Son bölümde de, başta CISO’lar olmak üzere siber güvenlik yöneticilerine önerilerimiz yer alıyor. Şimdi raporun detayında neler sizi bekliyor hızlıca bir bakalım.
2021'de Yaşananlar…
Raporun bu bölümünde 2021 yılında yaşanan siber saldırılar inceleniyor. Görünen o ki, siber saldırganların menülerinde teknoloji firmaları hatta siber güvenlik hizmeti sunan teknoloji firmaları önemli bir yer ediniyor, Solarwinds vakası bu açıdan güzel bir örnek. 2021'de fidye saldırılarında da bir artış olduğunu görüyoruz. Tüm bunlara paralel olarak veri korumaya yönelik yasal mevzuatlarda da artış yaşandı.
2022 Öngörüleri
20222de ekonomik krizlerin siber güvenlik bütçelerini etkileyeceği, bu nedenle şirketlerin pahalı güvenlik teknolojilerinin yanında, çalışan farkındalığının artırılmasına büyük önem vereceği öngörülüyor. Yine iş başa düştü… Konu çalışanlara gelmişken, siber güvenlik sektöründeki yetenek açığının 2022'de de artacağı da öngörüler arasında. Bulut güvenliği yatırım odağının, uzaktan çalışma şartlarının daha güvenilir kılınmasına yönelik olacağını da değerlendiriyoruz.
Burada paylaşacağım son öngörü; siber riskleri en erken safhalarında, daha henüz bir yerlerde filizlenmeye başlarken tespit edilip tedbir alınmasına imkan tanıyacak siber istihbarata verilen önemin artacağı yönünde.
Siber Güvenliği Etkileyen Megatrend’ler…
Raporun Siber güvenliği etkileyen megatrendler bölümünde yer alan bir kaç konuya bakalım;
- Fidye saldırılarındaki artış, siber olayların ve tehditlerin daha iyi bir analize tabi tutulması ve hızlı aksiyon ihtiyacına paralel olarak, yapay zeka gibi ileri teknolojilerin kullanıma alınmasına yönelik artışın tetiklendi,
- Siber saldırganlar kendilerine yeni bir kazanç kapısı bulmuş gibi duruyor; kripto para dünyası. Yeni bir siber sömürü alanı olarak kripto madenciliği yazılımlarının, kurban sistem sunucularında aktif edilmesi giderek artıyor, yani DDOS saldırıların aracı BOT’lar artık kripto madenciliği için kullanılıyor.
- Ve yine 29 Mart tarihinde gerçekleşen Ronin network vakasında olduğu gibi kripto borsalarının hacklenmesi ve 625 milyon dolar gibi büyük paraların çalınması da söz konusu.
- Dijital veri işlenen alanların artması ile birlikte bu verilerin korunmasına yönelik yatırımların da artış içinde olduğu görülüyor.
- Ve tabi ki eldeki sınırlı kaynakların en efektif kullanımına yönelik risk odaklı siber güvenlik stratejilerinin önemi de artıyor.
Raporun tamamını yakın zamanda paylaşıyor olacağız. Siz de eğer bulut güvenliği alanındaki çalışmalarımızı takip etmek ve katkı sunmak isterseniz bizlere sosyal medya hesapları üzerinden ulaşabilirsiniz.
