Bilgi – Bilişim Güvenliği

Vendor Management Office (VMO)

vmo

Vendor Management – Tedarikçi Yönetimi konusu kurumlar için oldukça önemli bir konu haline geldi. Hem ürün hem de hizmet alımında vendor management kritik öneme sahip. Kurumlar projelerini, Vendor’larla müşterek gerçekleştiriyorlar. Bir anlamda kurumlar ile vendorlar arasında  değer yaratma ilişkisi var. Kurumlar aldıkları ürün ve hizmetler ile kendilerini farklılaştırarak müşterilerine değer yaratmaya çalışıyorlar. Bu çerçeveden konuyu ele alınca VMO’nun ne kadar önemli bir konu olduğu ortaya çıkıyor. Vendor’ları yöneten ekibin sorumluluğu ve kuruma kattığı değer önemli konumda.

Dünyada büyük şirketlerden sonra orta büyüklükteki şirketlerde de VMO kurulumu gündemde. Türkiye’de de birkaç yıldır şirketlerde VMO kurulumu başlamış durumda. Eskiden sadece satın alma departmanlarının vendor seçimi, ödeme yönetimi gibi basit aktiviteleri artık çok daha profesyonel Tedarikçi Yönetim Ofisleri (Vendor Management Office) yapmaya başladılar.

VMO’lar içerisinde vendor manager olarak çalışan kişiler, vendorı şirkette bir proje veya operasyonda onları izliyor, performansları ile ilgili raporlar hazırlıyorlar. Proje Yöneticileri/Operasyon Yöneticileri de içinde oldukları proje/operasyon için vendor performansını izliyor. Proje Yöneticisinin/Operasyon Yöneticisinin vendor’ı izlemesi ortaya çıkaracağı ürün ve onun kalitesiyle ilgili iken Vendor Manager daha üst seviyede vendor’ı izleyip  kurumunun orta ve uzun vadeli stratejilerini oluşturabilecek raporlamalar ile çalışıyor. Ayrıca, Proje Yöneticileri/Operasyon Yöneticileri herhangi bir problemle karşılaştıkları zaman problemi VMO’ya eskale ederek, kurumunun win-win pozisyonunu yakalamaya çalışmasını sağlıyor.

Kurum ile vendor arasındaki ilişki önemli. Kurum vendor’ı nasıl görüyor? Stratejik bir vendor mı? Stratejik değilse hangi kategoride ve nasıl sınıflandırılıyor? Vendor kurumu nasıl görüyor? Sadece para kazandığı bir yer mi yoksa stratejik bir partner mi? Vendor ile kurum arasındaki ilişki stratejik noktada birleşiyor.

Bir Proje veya operasyon içinde önemli bir dış paydaş olan Vendor’lar, VMO ile iki taraf için de daha verimli işbirlikleri sağlıyor.

Yakın bir zamanda tedarikçi yönetimi konusunda standartları belirleyecek bir kurum oluşacaktır.

Vendor Management Institute !

Share

Sertifikalar

Evet, artık hayatımızın hemen hemen her noktasında sertifikalar var. Yıllardır Bilişim ve Telekomünikasyon sektöründe çalışıyorum şimdiye kadar gördüğüm, duyduğum sertifika sayısı 100’ü geçmiştir herhalde. Teknik olarak çalışan kişiler için bir sürü sertifika var. Benim mezun olduğum zaman böyle değildi. Şimdi mezun olanlar sertfikaları almak için çaba sarf ediyorlar. Niye?

Bu sertifikaların uluslarası geçerliliği var. Dünyanın herhangi bir yerinde tanınıyor. Bulunduğunuz ülkedeki en iyi üniversiteden mezun olmanızın bir esprisi yok. Dünyaca adı bilinen Amerika’daki MIT, Stanford, Harvard gibi okullardan mezun değilseniz üniversitenizi tanımıyorlar. Diplomayı almak için yıllarınızı vermişsiniz, çalışmışsınız ama dünyaya açılmak istediğinizde diplomanız yeterli olmuyor.

Peki aldığınız sertifika sizi o konuda uzman yapıyor mu? Elbette yapmıyor. Ama o sertifikayı elinizde bulunduruyor olmanız bir pozisyon için eleman seçiminde sizi bir adım öne çıkartıyor. Bu böyle…

Sertifikalar konusunda dünyaya baktığınız zaman Çin gibi, Hindistan gibi nüfusu büyük olan ülkelerde yaşayan kişilerin bu sertifikaların peşinde koştuklarını görüyorsunuz. Görünen o ki hangi konuda uzmansanız, çalışıyorsanız o konuya ilişkin sertifikayı almakta fayda var. Ben de 40 yaşımdan sonra sertifikalara yöneldim.


Share


Share

CISA Sınav Sonucu :-)

2007 Aralık ayında CISA sınavına girmeyi planlamıştım ve CISA sertifikası ile ilgili bir blog yazısı yazmıştım. Fakat işlerimin yoğunluğundan ve o sıralar sürdürdüğüm Bilgisayar Mühendisliği yüksek lisans çalışmalarımdan dolayı sınavı iki kere erteledim. 13 Aralık 2008 günü sonunda sınava girebildim. Sınava Yıldız Teknik Üniversitesinde girmiştim. Haftasonu olduğu için kaloriferler yanmıyordu ve oldukça soğuk bir ortamda 4 saat geçirmek zorunda kaldık. Bugün sınav sonuçları belli oldu. Sınavı kazanmışım. Sınava hazırlık icin cok zaman harcayamadım. Çok sıkışık bir zaman diliminde elimdeki kaynakları okuyup olabildiğince çok soru çözmeye çalıştım ve sonunda sınavı başarıyla geçebildim.

Aşağıda listelediğim sınav konuları oldukça geniş ve hepsi başlı başına uzmanlık gerektiriyor. Yıllardır Bilişim ve Telekom sektöründe çalışan birisi olarak bu konuların üzerinde çalışmalarım oldu, bazılarının ise daha detaylı içerisinde oldum. Ama sınava girecekseniz bu konuların hepsini çok daha detaylı incelemek gerekiyor ki bu da çalışan bir insan için kolay değil.

ISACA’nın CISA sertifikası için test ettiği konular:

IS Audit Process
IT Governance
Systems & Infrastructure Life Cycle Management
IT Service Delivery & Support
Protection of Information Assets
Business Continuity & Disaster Recovery

Bu projemi de, biraz gecikmeli de olsa, başarıyla tamamlayabildim. Bu sertifikayı almak isteyen, sınava girecek herkese başarılar diliyorum. Bilgi almak isteyenler olursa memnuniyetle paylaşımda bulunurum.

Share

Microsoft, Kumoku’yu satın aldı…

Kumoku, bilgisayar işletim sistemleri üzerinde Rootkit ataklarını tesbit eden bir teknoloji geliştirdi. Bilindiği gibi rootkit’ler en tehlikeli bilgisayar zararlısı olup, kullanıcının bilgisi dışında, işletim sistemine müdahale ederek kullanıcının bilgilerinin izlenmesine imkan sağlıyor. Böylece hacker rootkit bulaşmış makinayı izleyip diğer ataklarını yapabiliyor. Kumoku 2004 yılında kurulmuş yeni bir firma. Kurucuları arasında akademisyen ve savunma sanayiinden gelen kişiler de var. Önemli sayılabilecek ABD savunma sanayi projelerini sürdürüyorlar. Microsoft, rootkit teknolojisini Forefront ve Windows Live OneCare çözümleri içerisine dahil etmek üzere Kumoku’yu 20 Mart 2008 günü satın aldığını duyurdu. Microsoft birkaç yıldır “security” alanına yatırım yapıp firma satın alıyor ve bu pazarda ben de varım diyor. Bakalım rekabet nasıl şekillenecek? Hep beraber göreceğiz…

Share

IDC Security Roadshow – Türkiye

IDC Security Roadshow etkinlikleri her sene düzenleniyor. Security Roadshow 2008 yılı programında bu etkinlik 24 ülkede gerçekleştirilecek, 13 Şubat tarihinde Belgrad’da başlayıp 18 Kasım’da Dubai’de son etkinlik yapılacak. İstanbul programı ise gelecek hafta, 19 Şubat Salı günü, Swiss Otel Neuchatel konferans salonunda gerçekleştirilecek. Bu sene İstanbul programının konusu “IT Security, Storage and Business Continuity”. Ben iki yıldır katılıyorum.IDC her sene “security” konusunda dünyaca ünlü bir kişiyi etkinliğe getiriyor. Bu sene de Marcus Ranum etkinliğin davetlisi olacakmış. Kendisi proxy firewall ve ticari firewall’un yaratıcısı olarak ün yapmış “security” konusunda uzman bir kişi…

Diğer taraftan Türkiye’den de “security” konusunda faaliyet gösteren ana firmaların ülke müdürleri sunumları ile etkinliğe katılacaklar. Geçen senelerde olduğu gibi bu sene de oldukça verimli bir etkinlik olacağına eminim, ben katılacağım. Kayıt ve ayrıntılı bilgiye IDC CEMA linkinden ulaşabilirsiniz…

Share

Random.JS Toolkit Truva Atı

Bilişim Güvenliği konusunda üye olduğum haber bültenlerinden bugün gelen bir habere göre Aralık ayında “Random.JS Toolkit” truva atı, ABD’de güvenli olduğu kabul edilen, 10.000 web sitesini etkilemiş. Haberin kaynağı da bir gateway (geçit kapısı) üreticisi olan Finjan. Finjan’ın zararlı kod araştırma merkezi (Malicious Code Research Center – MCRC) Random.JS’ni n çok sinsi bir truva atı olduğunu ve bulaştığı makinadan kötü çocuklara internet üzerinden geriye bilgi gönderdiğini tesbit etmiş.

Bu truva atı tarafından doküman, şifre, web sitesi sörf alışkanlıkları gibi hassas bilgilerin çalınabileceğini ortaya koymuşlar. Random.JS’nin tesbit edilmemek ve yayılmak için farklı metodları varmış. Anti virüs kontrollerini atlatabiliyor ve zararlı kodu yasal sitelerde saklayabiliyormuş. Random.JS, bir javascript kodu ve her ulaşıldığında şekil değiştiriyormuş. Bundan dolayı geleneksel virüs kontrol programları truva atını tesbit edemiyormuş. Random.JS web sayfasına, kullanacağı zaralı komut dosyasını aktif bir şekilde gömüyormuş. Rastgele bir dosya adı veriyor ve kullanıcı kirlenmiş dosyayı bir kere alınca, bir sonraki isteklerde o sayfaya başvuru yapılmamasını sağlıyormuş. Bu da daha sonra yapılacak forensics çalışmalarında zararlı kodun tesbit edilmemesini sağlıyormuş. Random.JS Toolkit, yüksek teknoloji suçları içerisinde yeni trendin bir örneği olarak gösteriliyor ve güvenilir web sitelerinin altını kazacağı düşünülüyor.

Share

Virüs, Solucan ve Truva Atı..?


Hepimizin duyduğu, hemen her gün karşı karşıya kalabileceğimiz önemli bir konu. Bu bilgisayar zararlıları arasında bazı farklar var. Nedir bunlar?

Virus:

Bir bilgisayar virüsü, kullanıcının bilgisi ya da izini olmaksızın bilgisayarın işleyişini değiştiren küçük bir program. Bir virüs kendini çalıştırabilmeli ve kopyalayabilmeli. Bazı virüsler bilgisayara, programlara zarar vererek, bazı dosyaları silerek veya en kötüsü sabit diski formatlayarak zarar verebiliyorlar. Diğer bazıları ise zarar vermek üzere tasarlanmamış, sadece kendilerini kopyalayarak varlıklarını yazı, görüntü ya da ses olarak gösterebiliyor. Bu bazıları iyi huylu olmalarına rağmen problem çıkartabiliyor. Bilgisayarın belleğini meşgul edip, düzensiz davranışlarından dolayı bilgisayarın kilitlenmesine sebep olabiliyorlar. Virüslerin, bilgisayardaki etki alanları ve noktalarına göre değişen birkaç tipi var.

Truva Atı:

Truva atları sahtekar. İlk bakışta faydalı görünen programlar ama bilgisayara yüklendikten sonra zarar veriyorlar. Virüs ile arasındaki fark, truva atları kendilerini kopyalamıyorlar. Evet zararlı kod içeriyorlar ve tetiklendikleri zaman verinin kaybolmasına ya da çalınmasına sebep oluyorlar. Truva atlarını, bilgisayarınıza gelen e-posta eklerini açarak ya da internetten bazı dosyaları indirerek davet edebilirsiniz 😉

Solucan:

Kendi kendini kopyalayan bir program. Diğer noktalara ulaşmak için bilgisayar ağını kullanıyor ve bunu kullanıcı müdahelesi olmadan yapabiliyor. Virüs’lerin tersine kendini bir başka programa bağlamasına gerek yok. Solucanlar band genişliğini kullanarak bilgisayar ağı performansı düşürebiliyorlar. Bununla beraber virüsler bilgisayar üzerindeki dosyalara zarar veriyorlar.

Peki bunlardan korunmak için ne yapmak lazım? Internetten bilmediğimiz programları indirip çalıştırmamak iyi fikir… Her gelen e-postanın ekinde bulunan dosyaları da açmamak lazım. İşletim sistemini (çoğu insan Windows kullanıyor) güncel tutmak lazım. Windows işletim sistemi için her gün birçok açık yayınlanıyor. Mutlaka ve mutlaka bir AV (anti virus) programı kullanmak gerekiyor. Bilgisayara her yeni eklenecek dosyanın, virüs tarayıcısı tarafından incelendikten sonra yüklenmesinde fayda var.

Çevremde gözlemlediğim şey, insanların canı yanmadan bu tür kontrollere / önlemlere kulak kabartmaması. Ne zaman ki kişinin başına bir şey geliyor, zarar görüyor, işte o zaman hızlıca çözüm bulmaya çalışıyor. Bununla birlikte her şey tekrar düzene girince yeniden birçok nokta göz ardı edilmeye başlıyor 😉

Share

Bilgilerimizin Güvenliği

Gün geçtikçe önemi artan bilgi güvenliği artık sadece kurumsal değil bireysel olarak da karşımıza çıkıyor. Güvenlik, genel anlamda, incelenmesi gereken bir konu… Maalesef bir insanın başına geldiği zaman önemi anlaşılıyor. Bu konuda bilincimiz de çok iyi değil. Günümüzde yaşamımızın hemen her aşamasında teknolojiyi bir şekilde kullanıyoruz. Yeni teknolojiler bizler hareket halindeyken de bize yardımcı oluyor.

Bunun en önemli göstergelerinden bir tanesi de taşınabilir bilgisayarlar. Son birkaç yıldır notebook fiyatları oldukça düştü ve satışları patladı. Bankalar da kredi kartlarının kullanımını arttırmak üzere taksit imkanları sağlayınca notebook sayısı arttı. Bu da ciddi bir güvenlik ihtiyacını ortaya çıkarttı. Ne kadar farkındayız, tartışılır. Evet, güvenlik diyince ne anlıyoruz? Bilgisayarımıza kurduğumuz, Antivirus-Antispyware-Antiphishing vs koruma yazılımları yeterli mi? Çok önemli bir başka nokta gündeme geliyor? Bütün bilgilerimizi notebook içerisinde taşıyoruz. Hem kendimize ait hem de çalıştığımız şirkete ait dosyalar, iletişim içerisinde olduğumuz kişilerin telefon numaraları, adresleri… Birçok değerli veri ve bilgi… Hatta bilgisayar özelliklerine sahip yetenekli cep telefonu-smart phone-kullanıyorsak onun da içerisinde bu bilgiler yer alabiliyor. Tehlike bir anlamda ikiye katlanıyor.

Büyük şehirlerde, otomobillerden notebook çalınması hemen her gün duyduğumuz sıradan bir olay haline geldi. Notebook içerisindeki bilgilerimiz, notebook’un fiziksel maddi değerinden çok daha önemli. Bu değerli bilgilerimizi korumak için notebook şifreleme çözümlerini kullanmakta fayda var. Peki bu konuda ne yapıyoruz? Sanırım bir şey yapmıyoruz! Benim çevremde de bir şifreleme çözümü kullanan arkadaşım yok. Vurguladığım gibi henüz arabamıza hırsız girip bagajdan notebook’umuz çalınmadı onun için herhalde… Bu konuda ücreti karşılığında satın alınabilecek çözümler ile birlikte ücretsiz açık kaynak kodlu çözümler de mevcut. Ücretli çözümleri burada listelemeyeceğim, reklama girer 😉

Birkaç ücretsiz çözümü paylaşmak istiyorum.

TrueCrypt
FreeOTFE
CompuSec

Share

PDF spam…

Her gün aldığımız spam mesajlar biçim değiştirdiler. Şu sıralar bana gelenlerin %10’unun ekinde PDF dosyalar bulunuyor. Spam mesajı gönderen, mesajını o ekli dosya içerisine yerleştirmiş. Gelenin spam oldugunu, ilkinde neymiş bu? dedikten sonra ;-)), anlıyorsunuz ve doğal olarak ekli dosyayı açıp bakmıyorsunuz, siliyorsunuz.

Ama iş, silmek için az da olsa zaman ayırıyorsunuz, spam filtresi işe yaramıyor. İş yerlerimizdeki profesyonel anti spam çözümlerin dışında evlerimizde de anti spam araçları kullanıyoruz. Bu araçlar, bilinen spam e-postaları gayet güzel sınıflandırıyor ve bizi bir yükten kurtarıyor(du)! Spam e-postalar eklerinde PDF dosyalarla gelmeye başlayınca, şu anda kullanılan spam filtrelerinden geçmeyi başardılar. Onlar da posta kutumuza rahatça düşüyorlar.

Zamanla bu tarz PDF spam mesajların artması başka bir sorunu ortaya çıkaracak. Doğal olarak bu mesajların boyutları daha büyük. Gözlemleyebildiğim kadarı ile eki ile birlikte mesajın 8-15KB büyüklüğü var. Günlük PDF spam e-postaların sayısı artarsa ciddi sıkıntılar baş gösterecek. Bu konuda antivirus/antispam üreticileri nasıl bir çözüm bulacaklar bakalım?…

Share

Fortify artık Türkiye’de…

13.Haziran.2007’de Istanbul Point Otel’de düzenlediğimiz etkinlik ile PRO-G ve FORTIFY birlikteliğini duyurduk.

Bizim açımızdan oldukça başarılı ve yüksek katılımlı bir etkinlik oldu. Ertesi gün de birkaç kuruma gidip Fortify SCA’nın kaynak kodu nasıl ve ne kadar hızlı inceleyebildiğini görme ve güvenlik açıklarını kurumlara gösterme imkanımız oldu. Arkasından 15.Haziran.2007’de de Ankara’da bir tanışma toplantısı düzenledik. Ben katılamadım ama arkadaşlarımdam aldığım haberlere göre Ankara’da da katılımcılar konuya çok ilgi göstermiş. Fortify, yazılım güvenliği oldukça güçlü bir firma. Yazılım güvenliği konusunu daha çok konuşuyor olacağız.

Share