ݺߣ

ݺߣShare a Scribd company logo
Bulut & Güvenlik:
Güvence Nasıl Sağlanır?
Murat Lostar
XI. İstanbul Bilişim Kongresi
6 Aralık 2017
Bulutun güvenliğinden
nasıl emin olacağız?
Sunduğumuz bulut
hizmetlerinin yeterince
güvenli olduğunu nasıl
kanıtlayacağız?
Hizmet sözleşmesinde
hangi maddeler olmalı?
Farklı hizmetleri
karşılaştırırken nelere
dikkat etmeliyiz?
ISO 27001 sertifikamız
buluta geçtiğimizde
nasıl etkilenecek?
Bizim sektörde bulut
yasak! (Peki ben neden
bu sunumu izliyorum?)
Bulut güvenliğini
nereden daha iyi
öğrenebilirim?
Gelecek bulutta!
Ben ne
yapabilirim?
» Kurumsal
» CSA-STAR
» Security, Trust & Assurance
Registry
» Bulut hizmetleri güvenlik
sertifikasyonu
» Cloud Control Matrix
» Bireysel
» CCSK
» Certificate of Cloud Security
Knowledge
» CCSP (ISC2 ile Ortak
Program)
» Certified Cloud Security
Professional
Cloud Control Matrix (CCM) v3.0.1 - 3 Ekim 2017
» Ücretsiz Excel Doküman
» Hedef kitle:
» Bulut hizmet sağlayıcıları
» Bulut hizmet kullanıcıları
» Desteklediği bulut türleri:
» SaaS
» PaaS
» IaaS
Cloud Control Matrix (CCM) v3.0.1 - 3 Ekim 2017
» Mimari Seviyeler
» Veri
» Uygulama
» Depolama
» Hesaplama
» Ağ
» Fiziksel
» Diğer Standartlarla
Karşılaştırma Kapsamı
» COBIT
» ISO 27001
» PCI DSS
39 standart
SSM Kontrol Alanları (Domains)
» Uygulama ve Arayüz Güvenliği
» Denetim Güvence & Uyum
» İş Sürekliliği ve Operasyonel
Dayanıklılık
» Değişiklik Yönetimi ve Konfigürasyon
Yönetimi
» Veri Güvenliği & Bilgi Hayat-döngüsü
Yönetimi
» Verimerkezi Güvenliği
» Kriptoloma ave Anahtar Yönetimi
» Yönetişim ve Risk Yönetimi
» İnsan Kaynakları
» Kimlik ve Erişim Yönetimi
» Altyapı ve Sanallaştırma Güvenliği
» Birlikte çalışma ve Taşınabilirlik
» Mobil Güvenliği
» Güvenlik Olay Yönetimi, E-Keşif ve
Bulut Adli Bilişimi
» Tedarik Zinciri Yönetimi, Şeffaflık ve
Hesap Verebilme
» Tehdit ve Zaafiyet Yönetimi
Toplam 133 kontrol
Bulut & Güvenlik - Güvence Nasıl Sağlanır?
CCM (En Kolay) Nasıl Kullanılır?
Senaryo-1 (Bulutta yeni bir yazılım hizmeti
vereceğim. API’lerimin güvenliği için nelere
dikkat etmeliyim?)
» Filtrele: 1) Supplier Relationship:
Service Provider; 2) Delivery Model:
SaaS; 3) Domain: Birlikte çalışma ve
Taşınabilirlik (API)
» Sonucu değerlendir: Madde: IPY-01
» Açıklama: The provider shall use open
and published APIs to ensure support
for interoperability between
components and to facilitate…
» İlgili COBIT, ISO 27001, vb maddeleri
Senaryo-2 (Kredi kartı ile işlem yapıyorum.
Alacağım bulut hizmeti için sağlayıcıdan
hangi denetim raporlarını
sorgulamalıyım?)
» Filtrele 1) Supplier Relationship:
Tenant/Customer; 2) Delivery Model:
IaaS; 3) Domain: Denetim Güvence &
Uyum
» Sonucu değerlendir: Madde: AAC-02
» Açıklama: Independent reviews and
assessments …
» İlgili PCI DSS maddeleri: 11.2, 11.3,
6.6, …
Üye olun (Linkedin):
Cloud Security
Alliance – Turkey
Chapter
Takviminize not edin:
3 Ocak 2018 Çar. 17:30
Microsoft Türkiye Ofisi
Levent
Gel, öğren,
katkı da bulun!
http://guvenligunler.com
Sunum kopyasına bu
adresten (ݺߣShare)
ulaşabilirsiniz.

More Related Content

Bulut & Güvenlik - Güvence Nasıl Sağlanır?

  • 1. Bulut & Güvenlik: Güvence Nasıl Sağlanır? Murat Lostar XI. İstanbul Bilişim Kongresi 6 Aralık 2017
  • 2. Bulutun güvenliğinden nasıl emin olacağız? Sunduğumuz bulut hizmetlerinin yeterince güvenli olduğunu nasıl kanıtlayacağız? Hizmet sözleşmesinde hangi maddeler olmalı? Farklı hizmetleri karşılaştırırken nelere dikkat etmeliyiz? ISO 27001 sertifikamız buluta geçtiğimizde nasıl etkilenecek? Bizim sektörde bulut yasak! (Peki ben neden bu sunumu izliyorum?) Bulut güvenliğini nereden daha iyi öğrenebilirim? Gelecek bulutta! Ben ne yapabilirim?
  • 3. » Kurumsal » CSA-STAR » Security, Trust & Assurance Registry » Bulut hizmetleri güvenlik sertifikasyonu » Cloud Control Matrix » Bireysel » CCSK » Certificate of Cloud Security Knowledge » CCSP (ISC2 ile Ortak Program) » Certified Cloud Security Professional
  • 4. Cloud Control Matrix (CCM) v3.0.1 - 3 Ekim 2017 » Ücretsiz Excel Doküman » Hedef kitle: » Bulut hizmet sağlayıcıları » Bulut hizmet kullanıcıları » Desteklediği bulut türleri: » SaaS » PaaS » IaaS
  • 5. Cloud Control Matrix (CCM) v3.0.1 - 3 Ekim 2017 » Mimari Seviyeler » Veri » Uygulama » Depolama » Hesaplama » Ağ » Fiziksel » Diğer Standartlarla Karşılaştırma Kapsamı » COBIT » ISO 27001 » PCI DSS 39 standart
  • 6. SSM Kontrol Alanları (Domains) » Uygulama ve Arayüz Güvenliği » Denetim Güvence & Uyum » İş Sürekliliği ve Operasyonel Dayanıklılık » Değişiklik Yönetimi ve Konfigürasyon Yönetimi » Veri Güvenliği & Bilgi Hayat-döngüsü Yönetimi » Verimerkezi Güvenliği » Kriptoloma ave Anahtar Yönetimi » Yönetişim ve Risk Yönetimi » İnsan Kaynakları » Kimlik ve Erişim Yönetimi » Altyapı ve Sanallaştırma Güvenliği » Birlikte çalışma ve Taşınabilirlik » Mobil Güvenliği » Güvenlik Olay Yönetimi, E-Keşif ve Bulut Adli Bilişimi » Tedarik Zinciri Yönetimi, Şeffaflık ve Hesap Verebilme » Tehdit ve Zaafiyet Yönetimi Toplam 133 kontrol
  • 8. CCM (En Kolay) Nasıl Kullanılır? Senaryo-1 (Bulutta yeni bir yazılım hizmeti vereceğim. API’lerimin güvenliği için nelere dikkat etmeliyim?) » Filtrele: 1) Supplier Relationship: Service Provider; 2) Delivery Model: SaaS; 3) Domain: Birlikte çalışma ve Taşınabilirlik (API) » Sonucu değerlendir: Madde: IPY-01 » Açıklama: The provider shall use open and published APIs to ensure support for interoperability between components and to facilitate… » İlgili COBIT, ISO 27001, vb maddeleri Senaryo-2 (Kredi kartı ile işlem yapıyorum. Alacağım bulut hizmeti için sağlayıcıdan hangi denetim raporlarını sorgulamalıyım?) » Filtrele 1) Supplier Relationship: Tenant/Customer; 2) Delivery Model: IaaS; 3) Domain: Denetim Güvence & Uyum » Sonucu değerlendir: Madde: AAC-02 » Açıklama: Independent reviews and assessments … » İlgili PCI DSS maddeleri: 11.2, 11.3, 6.6, …
  • 9. Üye olun (Linkedin): Cloud Security Alliance – Turkey Chapter Takviminize not edin: 3 Ocak 2018 Çar. 17:30 Microsoft Türkiye Ofisi Levent Gel, öğren, katkı da bulun!