Kurumsal Siber Güvenlik Yönetimi
| - | Kurumsal |
| - | Kurumsal Siber Güvenlik Yönetiminin Kavramsal Çerçevesi |
| - | Kurumsal Siber Güvenlik Yönetimi Araştırması |
| - | Kurumsal Siber Güvenlik Analizi |
İÇİNDEKİLER
SUNUŞ 5
İÇİNDEKİLER 7
TABLOLAR LİSTESİ 13
ŞEKİLLER LİSTESİ 15
KISALTMALAR 17
GİRİŞ 19
BİRİNCİ BÖLÜM KURUMSAL
SİBER GÜVENLİK YÖNETİMİNİN ÖNEMİ 27
1.1. GENEL OLARAK 27
1.2. SİBER TEHDİTLERLE MÜCADELE YÖNTEMLERİ 32
1.2.1. Teknolojik Yöntem ve Araçlarla Mücadele 35
1.2.1.1. Donanım Güvenliği 36
1.2.1.2. Yazılım Güvenliği 37
1.2.1.3. Ağ Güvenliği 38
1.2.2. Teknoloji Dışı Yöntem ve Araçlarla Mücadele 39
1.2.2.1. Kurumsal Siber Güvenlik Kural ve Yönergeleri 41
1.2.2.2. Prosedür ve Kontrol Bileşenleri 43
1.2.2.3. Mücadele Araç ve Metotları 43
1.2.2.4. Farkındalık Çalışmaları 44
1.3. SİBER GÜVENLİKTE ON ADIM KURALI 45
1.3.1. Birinci Adım: Siber Güvenlik Risk Yönetim Sisteminin Belirlenmesi 47
1.3.2. İkinci Adım: Güvenli Yapılandırma 47
1.3.3. Üçüncü Adım: Ağ Güvenliği 48
1.3.4. Dördüncü Adım: Kullanıcı Yetki Yönetimi 48
1.3.5. Beşinci Adım: Kullanıcı Eğitimi ve Farkındalık 49
1.3.6. Altıncı Adım: Olay Yönetimi 49
1.3.7. Yedinci Adım: Kötü Niyetli Yazılımlardan Korunma 50
1.3.8. Sekizinci Adım: İzleme 50
1.3.9. Dokuzuncu Adım: Taşınabilir Depolama Aygıtlarının Kontrolleri 51
1.3.10. Onuncu Adım: Evden veya Mobil Çalışma 51
1.4. SİBER GÜVENLİK ÖNLEMLERİNİN MUKAYESESİ 51
1.4.1. ISM Benchmark Analiz Sonuçları 53
1.4.1.1. Serpilme Diyagramı 53
1.4.1.2. Radar Grafikleri 54
1.4.2. ISM Benchmark Kullanılarak Yapılan Araştırmalar 56
İKİNCİ BÖLÜM
KURUMSAL SİBER GÜVENLİK YÖNETİMİNİN KAVRAMSAL ÇERÇEVESİ
2.1. BİLGİ VE İLETİŞİM TEKNOLOJİLERİ 59
2.1.1. Siber Güvenlik Bağlamında BİT’in Tarihçesi 60
2.1.2. İşletmeler İçin Bilişim ve İletişim Teknolojilerinin Önemi 66
2.2. BİLGİ GÜVENLİĞİ 68
2.3. SİBER GÜVENLİK 74
2.3.1. Siber Güvenliğin Temel Kavramları 75
2.3.1.1. Siber Varlık 75
2.3.1.2. Siber Olay 76
2.3.1.3. Siber Uzay 77
2.3.1.4. Siber Zorbalık 78
2.3.1.5. Siber Savaş 78
2.3.1.6. Siber Casusluk 79
2.3.1.7. Siber Silah 79
2.3.1.8. Siber Terörizm 80
2.3.1.9. Siber Saldırı ve Aşamaları 81
2.3.1.9.1. Birinci Aşama: Keşif ve Tanıma 82
2.3.1.9.2. İkinci Aşama: Tarama 83
3.3.1.9.3. Üçüncü Aşama: Erişim Sağlama 83
2.3.1.9.4. Dördüncü Aşama: Erişimi Sürdürme 84
2.3.1.9.5. Beşinci Aşama: İzleri Saklama 84
2.3.1.9.6. Engelleme Saldırıları 84
2.3.1.10. Siber Tehdit 86
2.3.2. Siber Tehdit Yöntem ve Çeşitleri 87
2.3.2.1. Kötü Amaçlı Yazılımlar (Malware) 89
2.3.2.1.1 Bilgisayar Virüsleri 90
2.3.2.1.2. Solucan ve Truva Atı 90
2.3.2.1.3. Klavye İzleme (Key Logger) Yazılımları 91
2.3.2.1.4. İstem Dışı Ticari Reklam ve Tanıtım (Adware) Yazılımları 91
2.3.2.1.5. Bilgi Toplayan Casus/Köstebek (Spyware)
Yazılımları 92
2.3.2.2. Web-Tabanlı ve Web Uygulamalı Siber Saldırılar 92
2.3.2.3. Botnet / Zombi Bilgisayar 94
2.3.2.4. Hizmet Dışı Bırakma (Denial of Service – DOS) 96
2.3.2.5. Fiziksel Zarar / Hırsızlık / Kayıp 97
2.3.2.6. İç Tehdit 98
2.3.2.7. Oltalama 98
2.3.2.8. İstenmeyen e-posta 99
2.3.2.9. İstismar Kiti 99
2.3.2.10. Veri İhlalleri 101
2.3.2.11. Kimlik Hırsızlığı 103
2.3.2.12. Bilgi Sızıntısı 104
2.3.2.13. Fidye Yazılımları 104
2.3.2.14. Siber Casusluk 105
2.3.2.15. Gelişmiş Siber Tehdit 106
2.3.2.16. Ağ Dinleme 107
2.3.2.17. ARP Zehirlenmesi 108
2.3.2.18. IP Aldatması 109
2.3.2.19. Ortadaki Adam Saldırısı (Man in the Middle Attack) 109
2.3.2.20. Kabloya Saplama Yapma 110
2.3.2.21. Sosyal Mühendislik 111
2.3.3. Siber Güvenlik Vakaları 112
2.3.3.1. Estonya Vakası 112
2.3.3.2. Gürcistan Saldırısı 113
2.3.3.3. Kırgızistan Saldırıları 113
2.3.3.4. Stuxnet Vakası 113
2.3.3.5. Türkiye’ye Yapılan Saldırılar 113
2.4. SİBER GÜVENLİK STANDARTLARI 114
2.4.1. Uluslararası Standartlar Teşkilâtı ISO 27000 Standartlar Serisi 116
2.4.1.1. ISO 27001 117
2.4.1.2. ISO 27002 120
2.4.2. Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (COBIT) 121
ÜÇÜNCÜ BÖLÜM
KURUMSAL SİBER GÜVENLİK YÖNETİMİ ARAŞTIRMASI
3.1. ARAŞTIRMANIN PROBLEM VE ALT PROBLEMLERİ 125
3.2. ARAŞTIRMANIN AMACI 126
3.3. ARAŞTIRMANIN ÖNEMİ 127
3.4. ARAŞTIRMANIN HİPOTEZLERİ 128
3.5. ARAŞTIRMANIN VARSAYIMLARI 132
3.6. ARAŞTIRMANIN SINIRLILIKLARI 133
3.7. ARAŞTIRMANIN YÖNTEMİ 133
3.8. ARAŞTIRMANIN EVREN VE ÖRNEKLEMİ 134
3.9. VERİ TOPLAMA ARAÇLARI 135
3.10. PİLOT ÇALIŞMA 135
3.10.1. Pilot Uygulama Keşfedici Faktör Analizi 138
3.10.2. Pilot Uygulama Güvenilirlik Analizi 140
3.11. FAKTÖR ANALİZLERİ 141
3.11.1. Keşfedici Faktör Analizleri 141
3.11.1.1. Siber Güvenliğine Kurumsal Yaklaşım Ölçeği KFA 142
3.11.1.2. Fiziksel ve Çevresel Güvenlik Tedbirleri Ölçeği KFA 144
3.11.1.3. Bilişim Sistemleri ve İletişim Ağlarının İşletim ve Bakım
Kontrolleri Ölçeği KFA 145
3.11.1.4. Yazılım Geliştirme ve Destek Aşamalarında Bilgi Sistemleri
Erişim Kontrolü Güvenlik Tedbirleri Ölçeği KFA 146
3.11.1.5. Siber Güvenlik İhlalleri ve İş Sürekliliği Yönetimi Ölçeği KFA. 147
3.11.2. Doğrulayıcı Faktör Analizleri 148
3.11.2.1. Siber Güvenliğine Kurumsal Yaklaşım Ölçeği DFA 150
3.11.2.2. Fiziksel ve Çevresel Güvenlik Tedbirleri Ölçeği DFA 152
3.11.2.3. Bilişim Sistemleri ve İletişim Ağlarının İşletim ve Bakım
Kontrolleri Ölçeği DFA 152
3.11.2.4. Yazılım Geliştirme ve Destek Aşamalarında Bilgi Sistemleri
Erişim Kontrolü Güvenlik Tedbirleri Ölçeği DFA 153
3.11.2.5. Siber Güvenlik İhlalleri ve İş Sürekliliği Yönetimi Ölçeği DFA 154
3.12. GÜVENİLİRLİK ANALİZİ 156
3.13. NORMAL DAĞILIM TESTİ 157
DÖRDÜNCÜ BÖLÜM KURUMSAL SİBER GÜVENLİK ANALİZİ
4.1. DEMOGRAFİK BULGULAR 159
4.2. TANIMLAYICI İSTATİSTİKLER 165
4.3. T TESTİ 166
4.4. ANOVA (F) TESTİ 170
4.5. HİPOTEZ SONUÇLARI 182
SONUÇ VE ÖNERİLER
SONUÇLAR 187
ARAŞTIRMACILARA ÖNERİLER 195
İŞLETMELERE ÖNERİLER 196
KAYNAKÇA 199
EKLER
EK-1 UDHB KURUMLAR TARAFINDAN ALINMASI GEREKEN SİBER
ÖNLEMLER 215
EK-2 ANKET SORULARI 219
