Bilgi Güvenliği Profesyonelinin Bilmesi Gereken Konular
Uzmanlardan tavsiyeler içeren “97 Things Every Information Security Professional Should Know” isimli kitaptan konu başlıkları:
1 — Yarının teknolojisini ve korumayı sürekli öğrenin.
2 — Siberde sanki bir ordu fiziksel olarak savaşıyormuş gibi dövüşün.
3 — Üç büyük alan (Three Major Planes) nedir öğrenin.
4 — InfoSec profesyonelleri, operasyonel esneklik (Operational Resilience) nedir bilmeli.
5 — Kendi yolculuğunuzun kontrolünü ele alın.
6 — Güvenlik, gizlilik, ve dağınık veri (Messy Data) ağları: Üçüncü parti ortamlarda kontrolü ele alma.
7 — Her bilgi güvenliği problemi, genelde bir soruna dayanır.
8 — Bu köşede, güvenlik işletmeye karşı (business)
9 — Diğer endüstrilerdeki, buluş öncesi teknik durumu (Prior Art) gözden kaçırmayın. (patent)
10 — Güçlü ölçümler (metrics) zayıf iletişim karşısında daima güçsüzdür.
11 — “Hayır” stratejik bir sözcük olmayabilir.
12 — İnsanları işinizin merkezine alın.
13 — Bir ara verin (Take a Beat) ve olaylara bir bir itfaiyeci gibi müdehale ettiğinizi düşünün. (Incident Response)
14 — İyi siber güvenlik profesyonelleri için daha kapsamlı yollar deneyin.
15 — Güvenlik tümüyle araçlar ile alakalı değildir.
16 — Siber güvenlik hakkında bilinmesi gereken dört şey.
17 — Bilgi güvenliği konularını öğrenirken kaynakları incelemek (data vetting) ve sabırlı olmak.
18 — Öncelikle araçlara değil, “Ne?” ve “Neden?” sorularına odaklanın.
19 — Şirket içindekiler (insiders) genelde kontrolleri önemsemezler.
20 — Kimlik ve erişim yönetimi: Kullanıcı deneyiminin değeri.
21 — Hukuktaki çapraz eğitim (Cross-Training in Law) dersleri.
22 — Fidye yazılımlar.
23 — Bulut bilişim yolculuğunuzda başarıya ulaşmanın anahtarı, paylaşılan sorumluluk modeli ile başlar.
24 — InfoSec Uygulayıcıları neden Agile ve DevOps konularını bilmelidir?
25 — İşletme (Business) her zaman haklıdır.
26 — Neden Linux’u güvenli bir işletim sistemi olarak seçelim?
27 — Yeni dünya, yeni kurallar ve aynı prensipler.
28 — Veri korumanın Yazılım geliştirmeye etkisi.
29 — Bulut bilişimde güvenliğe giriş.
30 — Normal nedir bilmek.
31 — Siber güvenlikte tüm belirtiler bir bölünmeye işaret eder.
32 — DevSecOps, Risk-bazlı bir dijital dönüşümü yönetmek için gelişiyor.
33 — Erişilebilirlik/Uygunluk (Availability) dahi bir güvenlik problemidir.
34 — Güvenlik insanlarla alakalıdır.
35 — Penetrasyon testi: Neden filmlerdeki gibi olamaz?
36 — Bir bilgi güvenliği profesyoneli yetiştirmek için hangi bileşenler gereklidir.
37 — Açık Kaynak lisanslamayı ve güvenliği anlamak.
38 — Müşterileri bilgilendirmek için olay müdehale (Incident Response) planlama.
39 — Güvenlik uyarı yorgunluğu (Alert Fatigue) yönetimi.
40 — NIST kaynaklarından avantaj sağlamak.
41 — Agile SDLC Metodunu kariyerinize uygulayın.
42 — Göz alıcı bir şekilde başarısız olmak. (Failing Spectacularly)
43 — Teknik olmayan becerilerin (Soft skills) güçlü etkisi.
44 — Bilgi güvenliğinde, iyi bir siber hijyen ne anlama gelir?
45 — Yemleme/e-dolandırıcılık (Phishing)
46 — Yeni bir güvenlik programı oluşturmak.
47 — Bulut güvenliğini arttırmak için izole alanları kullanmak.
48 — Eğer siz hatırlayabiliyorsanız, adli bilişim (Forensics) onu ortaya çıkarır.
49 — Sertifikasyonlar zararlı olarak düşünülür.
50 — IoT Cihaz Yönetimi için güvenlik kararları.
51 — Siber güvenlik yolculuğunda öğrenilen dersler.
52 — Kendi sesinizi bulmak.
53 — Hasar görebilirlik (Vulnerability) için en iyi pratikler.
54 — Sosyal mühendislik.
55 — Takipçi yazılımı: (Stalkerware) zararlı yazılım ve taciz (Domestic Abuse) birleştiğinde.
56 — Riski anlamak ve onu keşfetmek.
57 — Olay müdehale (Incident Response) psikolojisi.
58 — Öncelikler ve Etik/ahlak.
59 — DevSecOps: Sürekli güvenlik, kalıcı olarak geldi.
60 — Bulut güvenliği: 5,000 mil yukarıdan bir üst bakış.
61 — Tarayıcı uzantılarının risklerini ve yararlarını dengelemek.
62 — Web uygulama güvenliğini öğrenirken Teknik proje fikirleri.
63 — İzleme: (monitoring) Görmediğiniz şeye karşı kendinizi savunamazsınız.
64 — Dokümantasyon önemlidir.
65 — Siber güvenliğin ardındaki kirli gerçek.
66 — Bulut güvenliği.
67 — Empati ve değişim.
68 — Mutlu bir bilgi güvenliği masalı (InfoSec Ever After)
69 — Girişi onaylamayın! (Don’t Check It In!)
70 — SIEM Alert ile tehdit modelleme.
71 — Güvenlik olay müdehale ve kariyer uzunluğu.
72 — Olay yönetimi.
73 — Kaos üzerinde bir yapı.
74 — CWE ve en tehlikeli 25 yazılım zayıflığı.
75 — Makine öğrenmesi bazlı Tehdit avcılığı. (Threat Hunting)
76 — Uyduğunuz yere girin. (Get In Where You Fit In)
77 — İçinize dönün ve ne olabilir görün. (See What Can Be)
78 — InfoSec profesyonelleri için DevOps.
79 — R&R’dan haberdar olun. (Risk and Resilience)
80 — Parola yönetimi.
81 — Hadi oltalamaya gidelim. (Let’s Go Phishing)
82 — Hasar görebilirlik yönetimi.
83 — Çalışanları güçlendirerek kurum içi riski azaltın.
84 — Sertifikasyonları kariyer yolunuza uydurmak.
85 — Phishing raporlama en iyi tehdit belirlemedir. (detection)
86 — Verinizi iyi bilin.
87 — Siber güvenlikçi açğınızın firmanızı etkilemesine izin vermeyin.
88 — Rahatlık özgüvene karşı. (Comfortable Versus Confident)
89 — PKI üzerine bazı düşünceler.
90 — Güvenlik şampiyonu nedir?
91 — Bilgi güvenliğinde risk yönetimi.
92 — Risk, 2FA, MFA, hepsi kimlik doğrulama (Authentication) değil mi?
93 — Siber güvenliğe girmeden önce “keşke bilseydim” dediklerim.
94 — Araştırma sadece makale yazmak değildir.
95 — Güvenlik pratikçisi. (Security Practitioner)
96 — İki adımda tehdit zekası (Threat Intelligence)
97 — Mavi Takım asistanlığı ile Bilgi Güvenliği ve Uygunluk (Compliance) yönetimi.
Kaynak:
