Global Siber Güvenlik Politikaları ve Türkiye Özelinde
Denetim Açısından Önemi
Mehmet EREN, CISA
13 Ocak 2021
Gündem
Global Siber Güvenlik Endeksi İlk 10 Ülke ve Politikaları
Global Siber Güvenlik Endeksinde Türkiye ve Politikaları Türkiye’de Denetim ve Denetçiler Açısından Önemi
Değerlendirme Soru&Katkı
Kapsam Amaç
Tüm katılımcıları Global Siber Güvenlik Endeksi ile tanıştırmak
Siber güvenlik politikalarının içinde bulunduğumuz
organizasyonlara ve bireylere dokunan noktalarına ilişkin farkındalık oluşturmak
2/20Not: Etkinlikte kullanılan sunum dosyası pdf formatında, Etkinlik Değerlendirme Formu üzerinden paylaşılan e-posta adreslerine gönderilecektir.
Global Siber Güvenlik Endeksi
Uluslararası Telekomünikasyon Birliği (The International Telecommunication Union-ITU) Kuruluş:17 Mayıs1865 - Union Télégraphique Internationale
Bağlı Olduğu Üst Kuruluş: Birleşmiş Milletler – Ekonomik ve Sosyal Konsey
Kapsam: 193 ülke ve 900 civarında iş, akademik kurum ve uluslararası ve bölgesel kuruluş
Amaç: Bilgi ve iletişim teknolojileri özelinde, uluslararası bağlantıyı kolaylaştırmak
Global Siber Güvenlik Endeksi
2014 (v.1), 2017 (v.2), 2018 (v.3), 2020 (v.4)
3/20
Siber Güvenlik Stratejisi Olan Ülkeler
Not: Haritadaki bilgiler, ister tek ister birden çok belge biçiminde veya daha geniş bir BİT veya ulusal güvenlik stratejilerinin ayrılmaz bir parçası olan Ulusal Siber Güvenlik Stratejilerini içermektedir.
4/20
Global Siber Güvenlik Endeksi 2018 (v.3)
Hukuk
Siber suç mevzuatı, Siber güvenlik düzenlemeleri, İstenmeyen posta sınırlanması / engellenmesi mevzuatı
Teknik
USOM, SOME vb. kurumlar, Standartlar uygulama çerçevesi, Standardizasyon kuruluşu, İstenmeyen postaları adreslemek için kullanılan teknik mekanizma ve yetenekler, Siber güvenlik amacıyla bulut kullanımı, Çevrimiçi Çocuk Koruma mekanizması
Organizasyonel
Ulusal Siber Güvenlik Stratejisi, Sorumlu Kurum, Siber Güvenlik Metrikleri
Kapasite geliştirme
Halkı bilinçlendirme kampanyası, Siber güvenlik uzmanlarının sertifikasyonu ve akreditasyonu için çerçeve, Siber güvenlik alanında mesleki eğitim kursları, Siber güvenlik alanında eğitim programları veya akademik müfredat, Siber güvenlik Ar-Ge programları, Teşvik mekanizmaları
İşbirliği
İkili anlaşmalar, Çok taraflı anlaşmalar, Uluslararası forumlara / birliklere katılım, Kamu-özel ortaklıkları, En iyi uygulamalar
5/20
Ulusal Siber Güvenlik Politikaları Olgunluk Dağılımı (v.3)
Endeksin beş sütununda da yüksek taahhüt gösteren ülkeler.
Karmaşık taahhütler geliştiren ve siber güvenlik programları ve girişimlerine katılan ülkeler.
Siber güvenlik taahhütlerini başlatma seviyesindeki ülkeler.
6/20
İlk 10 Ülke(v.3)
1. Birleşik Krallık (12)
2. Amerika Birleşik Devletleri (2) 3. Fransa (8)
4. Litvanya (56) 5. Estonya (5) 6. Singapur (1) 7. İspanya (19) 8. Malezya (3) 9. Kanada (9) 10. Norveç (11)
Sıra. Ülke Adı (Önceki Dönem Sırası) Gelişim
7/20
Türkiye
• 2018 Global Siber Güvenlik Endeksinin neresinde?
8/20
Türkiye, Uluslararası Telokomünikasyon Birliği
(The International Telecommunication Union-ITU) 2018 Global Siber Güvenlik Endeksinde (v.3)
dünya genelinde kaçıncı sıradadır?
a) 20. sıra b) 30. sıra c) 40. sıra d) 50. sıra e) 60. sıra
Anket Sorusu
9/20
Global Siber Güvenlik Politikaları ve Türkiye Özelinde Denetim Açısından Önemi
10/20
Global Siber Güvenlik Endeksinde Türkiye
2014 (v.1)
Avrupa Bölgesinde 42 ülke arasında
4. sırada*
Globalde
195 ülke arasında 7. sırada*
2017 (v.2)
Avrupa Bölgesinde 46 ülke arasında
23. sırada
Globalde
164 ülke arasında 43. sırada
2018 (v.3)
Avrupa Bölgesinde 46 ülke arasında
11. sırada
Globalde
175 ülke arasında 20. sırada
2020 (v.4)**
Avrupa Bölgesinde
Globalde
*Pek çok ülke aynı sıralamayı paylaşıyor ve bu da aynı düzeyde hazır bulunma düzeyine sahip olduklarını gösteriyor. Endeks, ayrıntılı yeteneklerini veya olası güvenlik açıklarını değil, bir ülkenin siber güvenlik taahhüdünü / hazırlığını yakalamayı amaçladığından, düşük bir ayrıntı düzeyine sahiptir. Globalde Türkiye’nin bulunduğu 7. sıra 20-22 aralığına denk gelmektedir.
**ITU tarafından 2021 yılı 2. çeyrekte açıklanacağı duyurulmuştur.
11/20
Türkiye’nin Siber Güvenlik Politikası Kapsamındaki Gelişmeler
20/10/2012 Siber Güvenlik Kurulu
20/6/2013 Siber Güvenlik Stratejisi ve Eylem Planı (2012-2014)
USOM ve Kurumsal Siber Olaylara Müdahale Ekibi
31/3/2015 Sektörel Siber Olaylara Müdahale Ekibi
8/9/2016 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2016-2019)
Siber Güvenlik İnisiyatifi
Siber Güvenlik Tatbikatları
Farkındalık Çalışmaları
Bilgi Toplumuna Dönüşüm
Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)
28/12/2020 2020/15 Sayılı
Cumhurbaşkanlığı Genelgesi (Strateji Belgesinin Duyurulması)
I. Kritik Altyapıların Korunması ve Mukavemetin Artırılması II. Ulusal Kapasitenin Geliştirilmesi
III. Organik Siber Güvenlik Ağı
IV. Yeni Nesil Teknolojilerin Güvenliği V. Siber Suçlarla Mücadele
VI. Yerli ve Milli Teknolojilerin Geliştirilmesi ve Desteklenmesi VII. Siber Güvenliğin Milli Güvenliğe Entegrasyonu
VIII. Uluslararası İş Birliğinin Geliştirilmesi
12/20
Denetim Açısından Önemli Düzenlemeler
23/5/2007 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
5/11/2008 Elektronik Haberleşme Kanunu
5/11/2011 Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik
26/12/2012 Bağımsız Denetim Yönetmeliği
27/6/2014 Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ
28/6/2014 Ödeme ve Menkul Kıymet Mutabakat Sistemlerinin Gözetimi Hakkında Yönetmelik
13/7/2014 Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği
15/7/2015 Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
28/8/2015 Sigortacılık Destek Hizmetleri Hakkında Yönetmelik
7/6/2016 Kişisel Verilerin Korunması Kanunu
28/10/2017 Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
1/2018 Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
10/3/018 Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
10/3/2018 Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
26/4/2018 Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği
13/7/2017 Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği
5/1/2018 SPK Bilgi Sistemleri Yönetimi Tebliği ve Bilgi Sistemleri Bağımsız Denetim Tebliği
6/7/2019 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi
19/11/2019 e-Belge Özel Entegratörleri Bilgi Sistemleri Denetimi Kılavuzu - Hazine ve Maliye Bakanlığı-GİB
15/3/2020 Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
24/7/2020 CBDDO Bilgi ve İletişim Güvenliği Rehberi
13/20
Denetim Açısından Önemi
Dış denetim açısından
Yeni uyum alanları
Nitelikli iş gücü istihdamı
Yeni çalışma alanları
İç denetim açısından
Uyum gereksinimlerinde artış
Yeni idari ve adli yaptırımlar
Yeni yatırım alanları
Nitelikli iş gücü istihdamı
Risk değerlendirmelerinin güncellenmesi
Çevik yaklaşımlara geçiş
Silolaşmanın kırılması
Departmanlar arası işbirliğinde artış
Kamu denetimi ve gözetimi açısından
Yeni uyum alanları
Nitelikli iş gücü istihdamı
Mevcut personelin niteliklerin artırılması ihtiyacı
14/20
Denetçiler Açısından Önemi
Yetkinlik Boyutu
Yeni yetkinlikler
Yeni sertifikasyonlar
Multidisipliner yaklaşım
Sürekli öğrenme ve sürekli gelişim ihtiyacı
İş Boyutu
Kurum hedefleri ile hizalanma
Kurum beklentilerini iyi analiz etme
Makul güvence oluşturma
Çevik metodolojilere geçiş
Analitik tabanlı teknolojilere geçiş
Klasik denetim anlayışında kültürel dönüşüm
15/20
Değerlendirme
• Global Siber Güvenlik Endeksinin önemi artacaktır.
• Ülkeler ve paydaşlar için yeni gelişim ve rekabet alanları ortaya çıkacaktır.
• Siber güvenlik Türkiye’nin gündeminde daha fazla yer edecek ve siber güvenliğin önemi artacaktır.
• Denetim sektörü hem global gelişmelere hem yerel gelişmelere bağlı olarak sürekli değişmek ve gelişmek durumunda kalacaktır.
• Denetçiler için sürekli öğrenme ve sürekli gelişim vazgeçilmez unsurlardan olacaktır.
16/20
Sorular&Katkılar
17/20
Katılımınız için teşekkür
ederiz.
Mehmet EREN, PhDc, CISA
BT Kontrol ve Süreç İnceleme Koordinatörü Koç Üniversitesi, İstanbul
Mobil: +90 554 234 74 34
E-posta: mehmeteren@ku.edu.tr
Kaynaklar
Detaylı bilgiler için aşağıdaki kaynaklardan faydalanabilirsiniz:
ITU, 2018 Global Cybersecurity Index (v4). Access Page.
ITU, 2018 Global Cybersecurity Index (v3). Download Report GCI v3 (2018).
ITU , 2017 Global Cybersecurity Index (v2). Background & resources and Download Report GCI v2 (2017).
ITU, 2014 Global Cybersecurity Index (v1). Background & resources and Download Report GCI v1 (2014).
ITU, National Cybersecurity Strategies Repository. Access Repository.
BTK, Siber Güvenlik, Access Page.
Fulya Köksoy (Ed.), Yeni Küresel Tehdit Siber Saldırılar Siber Güvenlik ve Politika Uygulamaları, İstanbul: Nobel Yayınevi, 2020.
Mehmet Eren, Avrupa Birliği’nin Siber Güvenlik Politikası, İstanbul: Beta Yayınevi, 2017.
19/20
Özet & Özgeçmiş
Mehmet Eren, Lisans eğitimini Yıldız Teknik Üniversitesi’nde 2012 yılında, Yüksek Lisans eğitimini Marmara Üniversitesi’nde 2016 yılında tamamlamıştır. Halen, Marmara Üniversitesi Bankacılık Doktora programında bankacılık, finans ve siber güvenlik alanındaki tez çalışmalarına devam etmektedir. Bilişim teknolojilerine olan ilgisi çocukluğundan gelmekte olup, 2000’li yılların başından itibaren özel ilgi alanı olarak çalışmalarını sürdürmüştür. Aldığı özel eğitimlerin katkısı ile birlikte çalışmalarını hem akademik hem de profesyonel iş hayatında devam ettirmektedir. Toplumda siber güvenlik alanında farkındalık oluşturmayı şiar edinmiş bir kişidir. 2017 yılında Beta Yayınevi’nden çıkmış “Avrupa Birliği’nin Siber Güvenlik Politikası” isimli bir kitabı, uluslararası hakemli dergilerde yayınlanmış makaleleri, kitap bölümü ve konferans bildirileri bulunmaktadır. 2014 yılında profesyonel iş hayatına başlamış ve bir finans kuruluşunda İç Denetçi olarak görev yapmıştır. Halihazırda Koç Üniversitesi’nde BT Kontrol ve Süreç İnceleme Koordinatörü olarak idari görevine devam etmektedir. CISA sertifikası, Sermaye Piyasası Faaliyetleri Düzey 3 Lisansı, Kurumsal Yönetim Derecelendirme Lisansı ve Kredi Derecelendirme Lisansı bulunmaktadır.
Günümüzde iş dünyası ve özel hayatımız modern bilgi ve iletişim teknolojileri ile bağımlı hale gelmiştir. Sosyal ağlar, tedarik zinciri, bilgi ağları gibi hayatımızın önemli parçaları olan birçok şey internette yer almaktadır. Küresel siber uzay, sınırları olmayan küçük sanal bir köy haline gelmiştir. Siber uzayın bu seviyede gelişmiş olması yeni fırsatları beraberinde getirirken farklı kaynaklardan ve alışılagelmişin dışında yeni tehditlerin de ortaya çıkmasına sebep olmuştur. Gelişen siber ortamda farklı yönetişim modellerine de ihtiyaç duyulmuştur. Bu kapsamda farklı ahlaki ve kültürel değerlere sahip olan toplumlar kendilerine uygun farklı politikalar belirlemekte ve bunları hayata geçirmektedirler. Son yıllarda hızla artan siber tehditler nedeniyle, birçok topluluk ve ulus devlet güvenlik politikalarının içerisinde önemli bir başlık olarak siber güvenliğe yer vermeye başlamıştır. Bu kapsamda, ulusal siber güvenlik politikalarının değerlendirilmesi ve ölçülmesi ihtiyacı ortaya çıkmıştır. Bu ihtiyacı gidermek ve sürekli gelişimi teşvik etmek amacıyla 2014 yılında Birleşmiş Milletler çatısı altındaki Uluslararası Telekomünikasyon Birliği (ITU) tarafından Global Siber Güvenlik Endeksi oluşturulmuştur. İkinci versiyonu 2017, üçüncü versiyonu ise 2018 yılında yayınlanan bu endekse göre ülkelerin siber güvenlik politikaları belirli kıstaslara göre değerlendirilmekte ve dünya çapında bir sıralama yapılmaktadır.
Son versiyon (v.4) kapsamındaki çalışmaları devam eden endeksin sonuçlarının 2021 yılı 2. çeyreğinde yayınlanacağı bildirilmiştir. Bu kapsamda Türkiye özelinde ulusal siber güvenlik stratejisinin parçası olarak ulusal düzeyde toplumun her kesimini ilgilendiren gelişmeler yaşanmakta ve hayatımıza yeni yasal düzenlemeler girmektedir. Bu bağlamda, içinde bulunduğumuz organizasyonları ve daha özelinde ise bireyleri doğrudan etkileyen bu durum, farkında olunması gereken, büyük resimden kopuk olarak düşünülmemesi gereken bir değerlendirmeyi içermektedir.
20/20
