Bilgi Güvenliği Farkındalık Eğitimi

Description

Merhabalar,

Ben Nuri ACAR. Bilgi Güvenliği Farkındalık Eğitimi'ne hoşgeldiniz.

NOT:

Bu kısımda böyle bir metin size enteresan gelebilir lakin bazı genç kursiyerlerden edindiğim deneyimlerim üzerine, bu eğitimin pek çok yerinde bahsetmeme rağmen burada da tekraren bir ön bilgilendirme yapma gereği duydum. Şunlardan bahsetmede fayda görüyorum:

• Bu eğitim genele yöneliktir!

• Bu eğitim genele yöneliktir!

• Bu eğitim genele yöneliktir! Lutfen, tüm insanların benzer teorik, teknik bilgi seviyesine sahip olmadığını, olamayacağını, bu sebeple de eğitim planlamasının kişileri ayrıntıya boğmadan temel düzey farkındalık kazandırma üzerine yapıldığını hatırınızda tutun!

• Udemy'de Bilgi Güvenliği Farkındalığı kursu izleyerek Pentagon hackleyeceğini sanan ve aradığını bulamadığı için "hayalleri yıkılan sevimli dostlarıma" özel not! Bu kurs size teknik düzeyde hack yapmayı öğretmez! Bireysel tecrübelerim üzerine kurulu "Aman, şunlara dikkat edin! Buralardan saldırıya uğrarsınız! Şu şekilde korunursunuz!" tarzı bir eğitimdir ve yaş,  rol vs. farketmeksizin dijital cihazlar kullanan tüm herkesi doğrudan ilgilendirir. Bunun yanında, bu tecrübeleri, kategorize ederek, imzaladığım gizlilik anlaşmaları (NDA) gereği, kurumları açık etmeksizin "edilgen bir dille" anlattım! Bu, "kolay yoldan teknik ayrıntı merak edenleri veya hikaye dinlemeye ilgi duyanları" hayal kırıklığına uğratabilir! Sürükleyici hikaye merakında olanlar lutfen Mr. Robot izlesin.

• Gerçek hack merak eden aslan parçaları da Phrack Magazine okusun.

BİTTİ

Gelelim asıl açıklama kısmına:

İşim siber silahlar geliştirme ve istihbarat analistliği. Peki bunlar ne demek? Siber silahlar geliştirme, en basit tabirle zararlı yani virüs kodlamak demek. İstihbarat analistliği ise bir şekilde elde edilen bilgi yığınından mantıksal çıkarımlar yapmak ve aksiyon alacak birimlere öngörü sunmak. Onlar da verdiğim bilgilere dayanarak bir şeyler yapıyorlar ya da yapmıyorlar. Bununla birlikte kurumlara saldırgan rolüyle sızma testi, sosyal mühendislik ve adli bilişim hizmeti de veriyorum.

Özetle ne iş olsa yapıyoruz yani... Tabi biliyorsak...

Bilmiyorsak ne yapıyoruz peki? Önce öğrenip ardından yapıyoruz. Zaten siber güvenlik alanı, her gün onlarca yeni bilginin üretildiği, devingen bir alan. Hacker kültürü ki bu bilinenin aksine harika bir şeydir, yerinde duramıyor yahu... İşte durdurulamayan ilerlemenin bizatihi sebebi bu merak ve paylaşım güdüsü. Haliyle bu alan, vaktinizin %90'ını yeni şeyler öğrenerek geçirmeniz gereken bir alan. Aksi durumda eskirsiniz. Kalan %10'da da iş yapıyorsunuz. İşte sahada böyle şeyler yaparak edindiğim tecrübelere dayanarak saldırgan bakış açısıyla siber güvenlik anlatıyorum. Bu eğitimi çeşitli kurumlarda şimdiye dek 10.000'in üzerinde insana canlı olarak, yüzyüze sundum; video olarak da kaydetmek istedim.

Peki niçin böyle bir eğitime ihtiyaç var?

Bilgi güvenliği, giderek daha da önem kazanıyor. Oluşan siber güvenlik risklerini önleyebilmenin ilk adımı, muhtemel risklere dair farkındalık oluşturulmasıdır.

İşte bu sebeple, internet ve dijital cihazlar kullanan her bireyin bilgi güvenliğine dair temel kavramları, doğru bilinen yanlışları, potansiyel tehditleri ve bunlara karşı alınması gereken önlemleri öğrenebileceği temel bir eğitim ihtiyacı ortaya çıkıyor.

Peki bu eğitimde neler var?

Fiziksel Güvenlik, Parola Güvenliği, Sosyal Mühendislik, İnternet Güvenliği, Kablosuz Ağ Güvenliği, Mobil Cihaz Güvenliği, Siber Güvenlik Eylem Planı Önerileri, Kişisel Verilerin Korunması Kanunu vs.

Peki bunları bilmenin faydası ne? Saldırgan bakış açısıyla gerçek hayattan örnekler içerdiği için yüksek düzey farkındalık oluşturarak bilgi güvenliğine yadsınamaz katkı sağlar.

Bununla birlikte yasal bir duruma dikkat çekmekte fayda görüyorum: 6698 numaralı Kişisel Verilerin Korunması Kanunu'nun İdari Tedbirler başlığı kapsamında, belirli aralıklarla, tekraren kurum içi Bilgi Güvenliği Farkındalık Eğitimi alınması tedbiri yer alıyor.

Bu eğitimi beğenir ve kurum çalışanlarınız için de canlı olarak aldırmak isterseniz, web sitemde yer alan e-postam veya cep telefonum üzerinden bana erişerek kurumunuz için de bu eğitimi düzenleyebilirsiniz.

Peki canlı eğitimi nasıl yapıyoruz?

Kurum insan Kaynakları departmanı, Bilgi Teknolojileri departmanı ile birlikte online veya kurum içi Bilgi Güvenliği Farkındalık Eğitimi organize ediyor. Yaklaşık bir buçuk saat boyunca, birazdan ana ve alt başlıklarını göstereceğim konulardan, soru - cevap şeklinde ve gerçek hayattan örneklerle etkileşimli olarak bahsediyorum. Böylece, etkileşimi ve katılım oranı yüksek olması sebebiyle faydalı ve bununla birlikte çok keyifli bir zaman dilimi birlikte geçirmiş oluyoruz. Bu eğitimi bir buçuk saat olarak planladım lakin şimdiye kadar verdiğim eğitimleri göz önünde bulunduracak olursam iki saatten önce bitmedi.

Neden? Gerçek hayattan örnekleri anlatınca, dinleyiciler tarafından hatırlanan yaşanmış benzer örnekler de sohbete dahil oluyor. Bu, her ne kadar sesim için yorucu olsa da birlikte geçirilen keyifli vakit nedeniyle akılda kalıcı. Sağladığı total fayda açısından bakacak olursak hem beni, hem de eğitim düzenleyen kurumu ziyadesiyle tatmin ediyor.

Bununla birlikte eğitim ardından tüm katılımcılar Katılım Sertifikası'na sahip oluyor. Bunun yanında, eğer kurum isterse bu eğitime bir de çoktan seçmeli test ekliyorum. Testi geçenler de Başarı Sertifikası'na sahip oluyor.

Şimdi ise hızlıca konulara göz gezdirelim:

1. Bilgi Güvenliği

   • Tehlikeli Alışkanlıklar

   • Bilgi Güvenliğinin Üç Temel Bileşeni

   • Doğru Bilinen Yanlışlar

   • Pozitif Alışkanlıklar

2. Parola Güvenliği

   • Parola, Şifre ve Hash

   • Tahmin, Sözlük Saldırısı (Dictionary/Wordlist Attack) ve Varsayılan Parola

   • Güçlü Bir Parola Nasıl Oluşturulur?

3. Sosyal Mühendislik

   • Saldırı Nedenleri

   • Zafiyet Nedenleri

   • Saldırı Teknikleri

   • Doğrudan İsteme

   • Yemleme (Baiting)

   • Bir şey için bir şey (Quid Pro Quo)

   • Korkutma (Scareware)

   • Ön Mesajlaşma (Pretexting)

   • Kuyruğa Takılma (Tailgating)

   • Sulama Deliği (Watering Hole)

   • Omuz Sörfü (Shoulder Surfing)

   • Çöp Karıştırma (Dumpster Diving)

   • Gizli Dinleme (Eavesdropping)

   • Oltalama (Phishing)

     • Deceptive Phishing

     • Spear Phishing

     • Whaling

     • Vishing

     • Smishing

     • Pharming

     • Ransomware

     • Hesaba Giriş Yapma

     • Oltalama Saldırılarından Korunma

   • Derin Sahtekarlık (Deepfake)

   • Sosyal Mühendislik Saldırılarından Korunma

4. Web Güvenliği

   • Web, Metaverse ve Protokoller

   • Aradaki Adam Saldırısı (Man in the Middle Attack)

   • Güvenli Protokol Kullanımı

5. Mobil Güvenlik & Sosyal Medya Güvenliği

   • Pozitif Alışkanlıklar

   • Telefonunuzu Pegasus ve Diğer APT'lerden Nasıl Korursunuz?

6. Kablosuz Ağ (Wi-Fi) Güvenliği

7. Modern Zamanlar İçin Siber Güvenlik Eylem Planı Önerileri

   • Siber Tehdit Profilinizi Oluşturun

   • Ortamınızı ve Operasyonlarınızı Savaşa Hazırlayın

   • Tatbikat, Tatbikat, Tatbikat

   • Yetkinliklerinizi Bilin

   • Eylem Planı Önerileri

8. Saldırıya Uğrandığında Yapılması Gerekenler

9. 6698 Numaralı Kişisel Verilerin Korunması Kanunu (KVKK)

   • Amaç, Kapsam

   • Veri Sorumlusu

   • Kişisel Veri Güvenliğine İlişkin İdari Tedbirler

     • Mevcut Risk ve Tehditlerin Belirlenmesi

     • Çalışanların Eğitilmesi ve Farkındalık Çalışmaları

     • Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi

     • Kişisel Verilerin Mümkün Olduğunca Azaltılması

     • Veri İşleyenler ile İlişkilerin Yönetimi

   • Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler

     • Siber Güvenliğin Sağlanması

     • Kişisel Veri Güvenliğinin Takibi

     • Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

     • Kişisel Verilerin Bulutta Depolanması

     • Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

     • Kişisel Verilerin Yedeklenmesi

   • Kişisel Veri Güvenliğine İlişkin İdari ve Teknik Tedbirler Özet Tabloları

Zaman içinde bu başlıklara yenilerini de ekleyeceğim. Öneri sunmaktan lütfen çekinmeyin.

Örneğin, çok kıymetli geri bildirimler oldu ve bunun üzerine şimdiye dek izlediğiniz tanıtım ve konular kısmını değiştirdim çünkü anlatım TRT spikeri ya da Tarkan'ın baba olacağını açıkladığı videosu gibiydi.

Belki de hissediyorsunuz lakin tahta kurucu olarak bir güzellik yapıp tüyo vereyim: Bundan sonraki kısımlar gene TRT spikeri gibi...

Muhterem samiin. Burası İstanbul Radyosu. Bendeniz Nuri. Uzun bant beşinci kanaldan yaptığımız deneme yayınına hoşgeldiniz. Şimdiden kıymetli vaktiniz için çok teşekkür ederim.

Nuri ACAR

TAKE THIS COURSE