Murat Lostar'ın 6 Aralık 2017'de Türkiye Bilişim Derneği (TBD) İstanbul Şubesi'nin organize ettiği Kadir Has Üniversitesi'nde gerçekleşen XI.İstanbul Bilişim Kongresi'nde yaptığı sunum.
2. Bulutun güvenliğinden
nasıl emin olacağız?
Sunduğumuz bulut
hizmetlerinin yeterince
güvenli olduğunu nasıl
kanıtlayacağız?
Hizmet sözleşmesinde
hangi maddeler olmalı?
Farklı hizmetleri
karşılaştırırken nelere
dikkat etmeliyiz?
ISO 27001 sertifikamız
buluta geçtiğimizde
nasıl etkilenecek?
Bizim sektörde bulut
yasak! (Peki ben neden
bu sunumu izliyorum?)
Bulut güvenliğini
nereden daha iyi
öğrenebilirim?
Gelecek bulutta!
Ben ne
yapabilirim?
3. » Kurumsal
» CSA-STAR
» Security, Trust & Assurance
Registry
» Bulut hizmetleri güvenlik
sertifikasyonu
» Cloud Control Matrix
» Bireysel
» CCSK
» Certificate of Cloud Security
Knowledge
» CCSP (ISC2 ile Ortak
Program)
» Certified Cloud Security
Professional
4. Cloud Control Matrix (CCM) v3.0.1 - 3 Ekim 2017
» Ücretsiz Excel Doküman
» Hedef kitle:
» Bulut hizmet sağlayıcıları
» Bulut hizmet kullanıcıları
» Desteklediği bulut türleri:
» SaaS
» PaaS
» IaaS
5. Cloud Control Matrix (CCM) v3.0.1 - 3 Ekim 2017
» Mimari Seviyeler
» Veri
» Uygulama
» Depolama
» Hesaplama
» Ağ
» Fiziksel
» Diğer Standartlarla
Karşılaştırma Kapsamı
» COBIT
» ISO 27001
» PCI DSS
39 standart
6. SSM Kontrol Alanları (Domains)
» Uygulama ve Arayüz Güvenliği
» Denetim Güvence & Uyum
» İş Sürekliliği ve Operasyonel
Dayanıklılık
» Değişiklik Yönetimi ve Konfigürasyon
Yönetimi
» Veri Güvenliği & Bilgi Hayat-döngüsü
Yönetimi
» Verimerkezi Güvenliği
» Kriptoloma ave Anahtar Yönetimi
» Yönetişim ve Risk Yönetimi
» İnsan Kaynakları
» Kimlik ve Erişim Yönetimi
» Altyapı ve Sanallaştırma Güvenliği
» Birlikte çalışma ve Taşınabilirlik
» Mobil Güvenliği
» Güvenlik Olay Yönetimi, E-Keşif ve
Bulut Adli Bilişimi
» Tedarik Zinciri Yönetimi, Şeffaflık ve
Hesap Verebilme
» Tehdit ve Zaafiyet Yönetimi
Toplam 133 kontrol
8. CCM (En Kolay) Nasıl Kullanılır?
Senaryo-1 (Bulutta yeni bir yazılım hizmeti
vereceğim. API’lerimin güvenliği için nelere
dikkat etmeliyim?)
» Filtrele: 1) Supplier Relationship:
Service Provider; 2) Delivery Model:
SaaS; 3) Domain: Birlikte çalışma ve
Taşınabilirlik (API)
» Sonucu değerlendir: Madde: IPY-01
» Açıklama: The provider shall use open
and published APIs to ensure support
for interoperability between
components and to facilitate…
» İlgili COBIT, ISO 27001, vb maddeleri
Senaryo-2 (Kredi kartı ile işlem yapıyorum.
Alacağım bulut hizmeti için sağlayıcıdan
hangi denetim raporlarını
sorgulamalıyım?)
» Filtrele 1) Supplier Relationship:
Tenant/Customer; 2) Delivery Model:
IaaS; 3) Domain: Denetim Güvence &
Uyum
» Sonucu değerlendir: Madde: AAC-02
» Açıklama: Independent reviews and
assessments …
» İlgili PCI DSS maddeleri: 11.2, 11.3,
6.6, …
9. Üye olun (Linkedin):
Cloud Security
Alliance – Turkey
Chapter
Takviminize not edin:
3 Ocak 2018 Çar. 17:30
Microsoft Türkiye Ofisi
Levent
Gel, öğren,
katkı da bulun!