
(Doğrudan kursun tanıtımı 8. dakikadadır)
Eğitmen olarak kendimi ve bilgi güvenliği / siber güvenlik eğitim, öğretim, bilgi birikimi ve deneyimi kısaca özetlediğim bu derste ayrıca bilgi güvenliği ve siber güvenliği birleştiren ve temel kavram, olgu ve içeriği oturtan bu kursun ayrıcalığını anlatmaya çalıştım. Dersin genel yapısı ve içeriğini, ilave kaynakları ve bu eğitim serisinden sonraki aşamaları içeren yol haritasını bu derste göreceksiniz.
Bilgi güvenliği ve siber güvenlik dünyasına ilk adımımızı attık! Bilgi, siberuzay, bilgi güvenliği ve siber güvenlik nedir? Günümüzde bilgi ve kişisel / kurumsal bilgi güvenliği ve siber güvenlik neden önemlidir? Hazırlamış olduğum 5 dakikalık özgün canlandırma kısa film üzerinden bu sorulara cevap alarak büyük resmi daha en baştan görmüş oldunuz.
Bilgi güvenliği ve siber güvenliğin üzerine inşa edildiği üç temel unsuru -doğru ifadeleri ile- öğrendiniz. Bilgi varlığı ve bir kuruluş açısından bilgi varlığı sınıflarını tanıdınız. Bilgi güvenliği ve unsurlarının iki yüzünü ve birbiri ile olan etkileşim ve ilişkilerin farkına vardınız. Bütünlük bilgi güvenliği unsuru ile ilgili Bölüm 13 Ders 48'deki uygulamayı yapabilirsiniz.
Tehditler ve kısaca bilgi güvenliği unsurları üzerinden bilgi güvenliği nedir sorusuna artık cevap verebileceksiniz. Bilgi güvenliği unsurları arasında ne tür dengeler ve ayrıcalıklar olabilir, farkındasınız.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Üç farklı türde etmen üzerinden sağlanılan kimlik doğrulama bilgi güvenliği yan unsurunu gündelik hayattaki farklı kullanımları ile daha net bir şekilde kavradınız. Şifre / parola ayrımı, parolanın getirdiği yüklerin çeşitliliğini ve tek seferlik giriş yaklaşımının getirilerini ayırt ettiniz.
Erişim denetimi aşamalarını, erişim denetimini sağlamak adına üç temel yaklaşımı ve özellikle erişim denetim matrisi yöntemini öğrendiniz. Kimlik doğrulama ve erişim denetimi arasındaki öncüllük / ardıllık konusunun farkına vardınız.
Sorumlu tutulabilir ve inkâr edilemez bir BT sistemi oluşturmanın üç gereksinimini öğrendiniz. İtimat ve delil noktasında; 3. taraf, dağıtık 3. taraf ve yenilikçi bir yaklaşım olarak külçe zincir (blok zincire karşılık önerim) kullanımının farkına vardınız. Son gelişmeler ışığında özellikle kriptografik teknoloji dönüşümünde eskiden yeniye ve sonra yeni eskiye geçiş döngüsünü görmeye çalıştınız.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Mahremiyetin tanımını öğrenerek ve yasal bağlam olarak KVKK/GDPR ile tanıştınız. 2000 yıl öncesinden bugünümüze mahremiyetin değişimini gördünüz. Son 30 yılda teknolojinin evrimini ve bugünün kolay ve kontrolsüz paylaşım düzlemlerine dönüşen süreci fark ettiniz. Bulut bilişime eleştirel bakış kazandınız. Sosyal mecranın farklı kanalardan dünya çapında yayılışına göz attınız. En yaygın sosyal mecra düzlemlerinden biri olan Twitter'da mahremiyeti etkileyen bir güvenlik ihlalinin etkilerini ve yansımalarını değerlendirdiniz. Mahremiyet ile ilgili güncel durum örneklerini gördünüz ve mahremiyetin yok oluşunun günümüz ve geleceğine bir bakış kazandınız. Siber güvenliğin mahremiyete katkısını öğrendiniz.
Kişisel verinin farklı ifadelerini (İngilizceleri ile beraber) gördünüz. Özellikle bireyi belirleyen bilgi kavramını özümsediniz. KVKK kanunu çerçevesinde bir kurumda kişisel verileri koruma bağlamında ne tür sorumluluklar olduğunu, sürecin nasıl işlediğini ve atılması gereken adımları tüm çerçevesiyle kavradınız.
Size özel bir fotoroman tarzında hikayeleştirdiğim bir güvenlik kurumu (FBI), bir küresel teknoloji firması (Apple) ve bir telefon markası (iPhone) çevresinde 2015 yılında gerçekleşen bir hadisenin arka planını ve gidişat ve mahremiyet açısından sonuçlarını ve geleceğe iz düşümünü gördünüz.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Siber güvenliğin iki farklı uygulama sahası olan mobil güvenlik ve sanayi kontrol sistemlerinde genişletilmiş bilgi güvenliği unsurlarını incelediniz. Bu unsurların her bir sahanın kendisine özgün bir şekilde önceliklerinin olduğunu gördünüz.
Siber saldırıların anotomisini 3 temel bilgi güvenliği üzerinden farklı bir şekilde irdelemeyi bir güvenlik raporu üzerinden gördünüz. Bu yönteme yönelik bilginizi örnek ilave bir çalışma üzerinden kendiniz çıkarttınız.
Bilgi güvenliğinin makul ve anlaşılır tanımından sonra bu derste de siber güvenliğin anlaşılır tanımını öğrendiniz.
İyi ve kötünün karşı karşıya geldiği ve aynı zamanda 21. yüzyılın yeni bir askerî harekat sahası olan siberuzayı kavradınız. Siberuzayın verimli kullanımı ile güvenliğinin sağlanması arasındaki ilişkiyi fark ettiniz. Siberuzay ve siber güvenliği ISO/IEC 27032 Guidelines for cybersecurity standardı üzerinden farklı bakış açılarıyla değerlendirdiniz. Bilgi güvenliği ile siber güvenlik arasında farklar ve ilişkileri anladınız. Siberuzayın güvenliğinde farklı paydaşların kimler olduğunu gördünüz.
Siber güvenlik gibi geniş bir konunun panoramasına hakim olmak adına örneğin büyük bir holdingte saldırganlar tarafından nelerin hedef alınabileceğini, ne tür tehditlerin olduğunu, basitten karmaşığa ne gibi saldırı vektörlerinin kullanılabileceğini, bunların etkilerini ve bu tehdit ve saldırılara karşı ne tür kontroller / tedbirler alınabileceğini ayrıntılı bir şekilde incelediniz. Mobil mağara kinayesi başlıklı makalem üzerinden siberuzayın hayata etkilerini değerlendirdiniz. Siber güvenliği mühim bilgi altyapısı ve uçan bilgisayar olarak adlandırılan F-35 savaş uçağı örneklerinden irdelediniz. 2007'den günümüze kadar mihenk taşı küresel siber saldırıların neler olduğunu ve bu saldırılarda ayrıcalıklı olarak neler gerçekleştiğini bildiniz. Siber güvenliğin oyuk bir alan değil ana akım bir konu olduğunu, yapay zekânın siber güvenliğinde kullanımında ülkerin karşılaştığı sorunları, siber güvenliğin kapsamlı sahalarını, temel boyutlarını kavradınız. Son olarak siber güvenlik ve siber savunmada yeni çıkan uzman meslek alanlarını ve Türkiye ve dünya çapında vasıflı siber güvenlik uzmanına olan ihtiyacı fark ettiniz.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Bilgi güvenliği ve siber güvenliğin belkide en temel ilkesi olan "bilmesi gereken" ilkesini, bu ilke temelinde sanal özel alan ağları gibi örnek uygulamalarda nasıl hareket edildiğini öğrendiniz. Sızma testi gibi güvenlik raporlarında bilmesi gereken ilkesine uygun yazım şekli nedir farkına vardınız.
Çoğunlukla farkında olmayan en az haklar ilkesinin ne olduğunu anladınız ve UNIX ve Windows sistemlerinde dosya / klasör izinlerinde nasıl en az haklar ilkesi gözetildiğini irdelediniz. Ayrıca erişim denetimi unsurunda öğrendiğiniz Erişim Denetimi Matrisinde en az haklar ilkesine uyulup / uyulmadığını nasıl çıkartılabileceğini bir örnek üzerinden gördünüz.
Görevler ayrılığı ilkesinde özellikle hangi süreçlerde gözetilmesi gerektiğini öğrendiniz. Genellikle şirketlerde mali ve hukuki konularda gözetilen görevler ayrılığı ilkesinin BT teknolojilerini içine alan işlerde de kullanım alanlarını fark ettiniz.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Bilgi güvenliği ve siber güvenlik ile ilgili bir kurumda çalışırken veya bir çözüm / yaklaşım uygulamaya koyarken karşılaşacağınız temel açmazları (güvenlik mi? yoksa ... mi?) fark ettiniz. Bu kapsamda çalışanlar, yöneticiler ve diğer paydaşlar tarafından güvenliğe ters bakış açıları ve sunulabilecek mazaretler neler olabilir, örnekler ile kavradınız.
Siber güvenlik veya savunmada kapılabileceğiniz yanıltıcı güvenlik algısının farkına vardınız. Bu algının başta emniyet olmak üzere yansımalarını gördünüz.
Başta şifreleme sistemleri üzerinde güvenlik yaklaşımları getirirken veya çözümler üretirken çok etkili gibi gelebilecek ancak temelinde hiç bir faydası olmayan "bilinmezlik üzerinden güvenlik" oluşturma yaklaşımını tarihi bakış açısıyla beraber değerlendirdiniz.
Bilgi güvenliği ve siber güvenlikte özellikle "en zayıf halka: insan" bakışı ve proje yönetiminde karşılaşılan diğer yanlış yaklaşımları örnekler ile kavradınız. Son olarak bilgi güvenliği ve siber güvenliği diğer çalışma sahalarından ayıran yönünü gördünüz.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Siber güvenlik ve savunmanın diğer tarafı İngilizce 'hacker' olarak ifade edilen olgunun aslında iki ayrı anlam taşıdığını gördünüz. İngilizce 'hack', 'hacker' ve 'hacking' kelimelerine bu iki zıt anlamı da taşıyacak şekilde 'haklamak', 'haklayıcı' ve 'haklama' Türkçe karşılık önerimi öğrendiniz. Haklayıcıların üç türünü hangi üç renkli şapka aile ifade ediyoruz? ve bu ayrımı hangi kıstaslara göre yapıyoruz?, anladınız. Çok farklı türde bilişim korsanlığı veya kara şapkalı korsan olduğunu fark ettiniz.
Beyaz / kara şapkalı olsun haklayıcıları güden, hareket tarzlarını ayrıştıran 6 olguyu örnekler ile kavradınız. Basit bir haklama nasıl gerçekleşebilir, örneğini gördünüz. Windows işletim sisteminde ilginç bir haklama yaptınız.
Beyaz şapkalı ya da ahlâklı haklayıcı olmak istiyorsanız neye sahip olmanız, neleri yapmayı hedeflemeniz ve ufkunuzun nasıl olması gerektiğine yönelik bakış açıları kazandınız. Mavi, kırmızı ve mor siber güvenlik takımlarını ve ulusal ve uluslararası siber güvenlik alıştırmaları / tatbikatlarında görev alan beş takım türünü ve neler yaptıklarını öğrendiniz.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Tehdit ve tehdit etkeni tanımlarını ve ayrımlarını kavradınız. 11 farklı siber tehdit etkeni grubunu, özelliklerini ve biribirlerine göre farklarını öğrendiniz. Tehdit gruplarını saldırı karmaşıklığı / kararlılık ve saldırı sayısı / hedeflenen değerler bakımından karşılaştırdınız.
Münferitten daha örgütlü bir yapıya geçen tehditlerin güncel manzarasına baktınız. Korsanlar nelerin peşinde? Arz-talep hangi konularda yapılıyor? Verilere dayalı gidişatı fark ettiniz. Devlet destekli saldırılarda ve tehditlerin kullandığı konularda güncel gündemin etkilerini gördünüz. Tehdit etkenlerinin etkinliklerinin değişimini son yıllara göre değerlendirdiniz.
Tehditlerin doğasını daha fazla anlamak adına içerden ve dışardan tehdit türlerini ve bunlarında dışında gelişen tehdit türünü kavradınız. İçerden tehdidin üç farklı alt türünü gördünüz. Kaynaklanma şekline göre tehditleri ayrıştırdınız ve bir tehdidin gerçek anlamda oluşması için gereken üç şartı öğrendiniz.
Bu derste, bir önceki bölümde ele alınan konulara yönelik sorular sorulmakta, çoktan seçmeli şıklar verilmektedir. Soruyu yanıtlamanız için kısa bir süre tanınır ve isterseniz videoyu duraklatarak düşünmeniz teşvik edilir. Ardından sorular adım adım çözülerek doğru yaklaşım ve akıl yürütme açıklanır. Amaç ölçmek değil, öğrenilenleri etkin olarak pekiştirmek ve yeni bölüme sağlam bir kavrayışla geçmenizi sağlamaktır.
Siber risk ve siber saldırı arasındaki ayrımı kavradınız. Siber saldırıyı tanımlayan saldırı vektörü ve saldırı yüzeyi geometrilerini öğrendiniz. Örnek bir siber saldırıda kullanılabilecek 10 saldırı vektörünü ayrıntılarıyla gördünüz. Siber güvenlikte gerçekleşen hadiseler arasında olay, saldırı (girişimi), ihlal ve gedik hadiselerini ve uygunsuzluk durumunu ayrıştırabildiniz.
Siber saldırı tanımsal olarak neler içeriyor kavradınız. 1990'lı yıllardan günümüze 5 siber saldırı kuşağını gördünüz.
Saldırganlar siber saldırıları hangi aşamalardan geçerek yapabiliyorlar? Merak ediyorsunuz 13. Bölüm'deki "Gözetlemeden Zafere Siber İmha Zincirini (Cyber Kill Chain) Anlamak" başlıklı ikramiye ("bonus") makalemi okuyabilirsiniz.
Siber saldırıları 7 farklı kıstasa göre artık tasnif edebiliyor, ayrıştırabiliyorsunuz.
Siber saldırılarda kullanılan dört temel eylemi ayrıntıları ile kavradınız. Bu eylemlerin hangi bilgi güvenliği unsurlarını sekteye uğradığını gördünüz. Ortadaki adam saldırılarını ayrıntılı bir şekilde anladınız.
Her şey temelden başlar! Bu kurs, bilgi güvenliği ve siber güvenliğe “gerçek bir temel” atmanız için tasarlandı. Dar ve yüzeysel bir farkındalık eğitimi değildir. Kavramları yerli yerine oturtur, zihninizde büyük resmi kurar ve serinin devamına sağlam zemin hazırlar.
“Temelden İleri Bilgi Güvenliği / Siber Güvenlik” dört kursluk serimin ilk adımı olan 15 saatlik A-TEMELLER kursu ile şu sorulara net cevap vereceksiniz: Bilgi güvenliği ve siber güvenlik nedir, neden önemlidir, hangi unsurlardan oluşur, tehditler nasıl şekillenir, saldırılar nasıl yapılır ve savunma mantığı nereden başlar?
Teknik ön koşul yok. Konular en temelden ve herkesin anlayacağı şekilde anlatılır. Ama hedef “kolay içerik” değil, “doğru temel”dir.
Bu kursta neler var?
Bilgi güvenliğinin temel ve yan unsurları (CIA ve tamamlayıcı unsurlar)
Kimlik doğrulama, erişim kontrolü, sorumlu tutulabilirlik ve inkâr edilemezlik
Mahremiyet ve kişisel veri (KVKK ve GDPR bağlamı dâhil)
Siber tehdit etkenleri, tehdit manzarası ve içerden tehdit
Siber saldırı anatomisi, saldırı vektörü ve saldırı yüzeyi
Haklayıcılar (hacker), motivasyonları ve renkli takımlar (kırmızı, mavi, mor)
Güncel ve geleceğe dönük saldırı eğilimleri (yapay zekâ etkisi dâhil)
Derinlemesine savunma (defense-in-depth) yaklaşımı
Güvenlik politikaları ve mekanizmaları ile “neden güvenli, neden güvensiz” okuması
Nasıl öğreneceksiniz?
Bu kurs “tek yönlü kuru anlatım” değil. Bölüm içi bilgi sınama dersleri ve bölüm sonu testleriyle bilgiyi anında pekiştirirsiniz. Görselleştirmeler, örnekler ve gerçek hayat senaryoları ile kavramlar akılda kalır.
Kimler katılmalı?
Bilgi ve siber güvenliğe sıfırdan başlamak isteyenler
BT, yazılım, ağ, sistem, veri, yönetişim, uyum ve risk gibi alanlarda çalışanlar
Bu alanda kariyer hedefleyen öğrenciler ve çalışanlar
Belirli bir güvenlik alanında çalışıp büyük resimde eksik hisseden profesyoneller
Bu kurs kimler için doğru olmayabilir?
“Doğrudan ISO 27001/27002 denetimi, BGYS belgelendirme, kontrol eşleştirme” gibi standart-odaklı uygulamalar arıyorsanız, serideki “BİG Rehber, ISO 27001/2, CIS ile Kurumsal Güvenlik ve Denetim” kursu daha doğru adrestir. A-TEMELLER ise o standart çalışmalarına sağlam bir kavramsal zemin sağlar.
Seride sonraki adımınız ne olmalı?
A-TEMELLER sonrası, risk yönetimi ve modern mimari odağı için B-ORTA ideal devamdır. Daha ileri ve uzmanlaşmış konular için sonraki adım C-İLERİ. Kötücül yazılım odağına geçmek isteyenler için E-KÖTÜCÜL YAZILIM.
Son söz
Güvenlik bilinci, güçlü bir savunmanın ilk adımıdır. Bu kurs size sadece “ilk adımı” attırmayı değil, doğru yönde yürümeyi öğretmeyi hedefler.
Öğrencilerden kısa bir seçki
“Sade, anlaşılır ve faydalı.”
“Terimleri İngilizceleri ile verip Türkçeleştirme yaklaşımı ve özgün materyaller takdire şayan.”
“Giriş seviyesi için kesinlikle tatmin edici, anlatım güçlü.”