IDC Security Roadshow 2019 | izlenimlerim..
IDC'nin her yıl düzenli olarak yaptığı siber güvenlik konferansı "IDC Security Roadshow" bu sene 28 Şubat 2019'da Wyndham Grand Levent'te yapıldı ve yine büyük ilgi gördü. Panelistler ve konuşmacıların en çok değindikleri konulardan birisi saldırganların anında her şeyi aralarında paylaşırlarken, siber güvenlikçilerin bilgi paylaşımının yetersizliği oldu..
IDC’de araştırma yöneticisi olan Mark Child Türkiye’de yaptıkları bir anketin sonucunu paylaştı. “Çalıştığınız şirkette siber güvenlik strateji planlaması yapılırken Risk Yönetimi ekibi ile ortak çalışılıyor mu” diye sorulmuş. Katılımcıların %78’i EVET diye yanıt verirken %14’ünün bu konuda bir fikrinin olmaması dikkat çekici.
Mark aynı araştırma içerisinde sorulan “bir güvenlik problemi olduğunda buna nasıl tepki verirsiniz” sorusuna verilen yanıtları değerlendirdi, cevaplar bu konuda şirketlerin olgunluk seviyesin düşük olduğunu gösterdi
CISO’ların görevlerinin tartışıldığı bir panelde Turkish Bank’tan Mert Çakar günümüzde güvenlik yöneticilerinin birden çok şapkaları olduğunu söyledi.
Koç Sistem’de Siber Güvenlik Grup Müdürü olarak görev yapan Kubilay Önder “insan-proses-teknoloji” yaklaşımının güvenlik dünyasındaki geçmişinden söz etti. Sadece proses ve insana güvenmenin yetersiz kaldığını, artık teknoloji çözümlerini daha çok öne çıkarmanın gerektiğini söyledi.
Konferansın program akışını yöneten Yeşim hanım aralarda IDC’nin yaptığı çeşitli araştırmaların sonuçlarını paylaştı
Cisco’dan Özgür Kaya güvenlik ve savunmada kısır bir döngü olduğunu, bu döngüyü kırmanın siber güvenlikte başarı için kritik olduğunun altını çizdi
Bir yerin güvenliğini sağlamak için önce oradaki riskleri ve tehditleri görünür kılmak önemli. Özellikle coğrafi olarak dağınık organizasyonlarda bu daha da kritik hale geliyor, hem görünür kılmak hem de merkezi olarak izleyebilmek. CK Enerji’den Savaş Ergen bu konuda yaptıkları çalışmaları paylaştı
Biznet genel müdürü Serdar Yokuş ve Netsmart genel müdürü Zeynep Erkmen güçlerini birleştirerek kurdukları Siber Güvenlik Operasyonlarına odaklanan “CYBEROSCOPE” siber güvenlik şirketinin duyurusunu yaptılar. Zeynep Erkmen “Farklı kasları gelişmiş, farklı becerilere sahip olan, Türkiye’de odağı ve tek işi siber gözetim, yönetim, operasyon hizmetleri sağlamak olan ilk özel siber güvenlik şirketini kurduk. CYBEROSCOPE, kuruma özel siber güvenlik temeli oluşturan, yine onlara özel tehditleri belirleyen ve güvenlik ihlallerine karşılık vererek, kurumların varlıklarını korumasına yardımcı olacak tüm hizmetleri bir arada sunan bir siber güvenlik şirketi olacak. CYBEROSCOPE, Türkiye’de tek işi bu olan, IT, OT ve Endüstriyel Kontrol Sistemleri’ne (EKS) yönelik siber gözetim ve güvenlik yönetim hizmetleri sağlayan, bağımsız, yerli ve milli ilk yatırım olacak” dedi.
Barikat genel müdürü Ramazan Çelik kendisinden önceki konuşmacıların da önemine değindikleri “siber güvenlikte bilgi paylaşımı” konusunun altını bir kere daha çizdi
Google Cloud’tan Pınar Kirazcı Google’ın güvenlik yaklaşımları hakkında bilgi verdi ve kendi donanımlarını kendilerinin ürettiğini, hatta Google’ın dünyanın en büyük üçüncü donanım üreticisi olduğunu söyledi
Barracuda Networks ülke satış müdürü Kürşat Sezgin siber güvenlikte yapay zeka tabanlı çözümlere ihtiyaç olduğunu söyledi, sadece insan ya da prosesle bu işin altından kalkılamayacağını paylaştı
Kürşat Bey insan-proses-teknoloji üçgeninin en zayıf halkasının insan olduğunu, bunu güçlendirmek için kurum için farkındalık eğitimlerinin önemli olduğunu vurguladı
Yeni siber tehditlerin tartışıldığı panelde Turk Telekom’dan Mahmut küçük saldırganların motivasyonlarının daima daha yüksek olduğunu, bunun da onları daima daha avantajlı duruma getirdiğini söyledi. Saldırganların savunma yapanlardan “daha akıllı” olduğuna dair oldukça iddialı söylemine bir yorum yapmayacağım
Turkcell’den Feridun Aktaş ve Migros’tan Lütfi Karagöz’ün talk-show formatında iki kişilik paneli konferansın en renkli oturumlarından birisi oldu. Feridun Aktaş da siber güvenlik dünyasında bilgi paylaşımı yapılmamasından yakındı
Lütfü Karagöz “özgürlük mü güvenlik mi” paradoksundan çıkmak için kurum için demokrasi lazım dedi. Birilerini korumak, güvenliklerini sağlamak için tek taraflı karar almak yerine onları da kararın bir parçası yapmanın önemini vurguladı
Siber güvenlik yönetimi ile kurumun üst düzey yönetimi arasındaki iletişim üzerine görüşlerini paylaştılar. Bana sanki bir miktar(!) serzeniş var gibi geldi 😉
Güvenlik sonradan eklenecek bir bileşen değil, uygulamayı ya da bir çözümü tasarlarken en baştan güvenlik içinde olacak şekilde tasarlamak gerekiyor. Son dönemin popüler DevOps yaklaşımı bu nedenle artık yerini DevSecOps’a bırakmaya başladı. Böyle güvenlik ve IT’nin iç içe geçtiği bir dünyada kurumlardaki organizasyonlar da buna göre yapılmalı
Google Cloud’tan Muharrem Erdoğdu, Google’ın kendi içerisinde “trust nothing” yani “hiçbir şeye güvenme” yaklaşımı ile çalıştığını, bu sayede en üst seviyede güvenlik sağladıklarını söyledi
“damdan düşenin halini en iyi daha önce damdan düşen anlar”
“Google gibi bir internet devinin siber güvenlik odakları acaba nasıldır?” sorusunun yanıtı vermeye çalıştı Muharrem Erdoğdu
Oldukça dolu bir içerik ve çok sayıda paralel oturumla, takip etmenin ve yetişmenin bir hayli yorucu olduğu ama bir o kadar da keyifli bir konferans oldu. Teşekkürler IDC Türkiye ekibi! 🙂