{"id":14277,"date":"2026-02-20T18:33:43","date_gmt":"2026-02-20T15:33:43","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=14277"},"modified":"2026-02-20T18:33:43","modified_gmt":"2026-02-20T15:33:43","slug":"language-of-risk-key-cybersecurity-terms-for-the-board","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/14277\/","title":{"rendered":"Riskler, g\u00fcvenlik a\u00e7\u0131klar\u0131 ve s\u0131f\u0131r g\u00fcven: CISO ve y\u00f6netim kurulunun \u00fczerinde anla\u015fmas\u0131 gereken temel terimler"},"content":{"rendered":"<p>Etkili siber g\u00fcvenlik programlar\u0131 uygulamak ve g\u00fcvenlik ekibinin t\u00fcm i\u015f s\u00fcre\u00e7lerine derinlemesine entegre olmas\u0131n\u0131 sa\u011flamak i\u00e7in, CISO\u2019nun bu \u00e7al\u0131\u015fman\u0131n de\u011ferini \u00fcst y\u00f6netime d\u00fczenli olarak g\u00f6stermesi gerekir. Bu, <a href=\"https:\/\/www.kaspersky.com\/blog\/business-soc-communications\/46753\/\" target=\"_blank\" rel=\"noopener nofollow\">i\u015f d\u00fcnyas\u0131n\u0131n dilini<\/a>\u00a0konu\u015fmay\u0131 gerektirir, ancak bunu deneyenleri tehlikeli bir tuzak beklemektedir.\u00a0 G\u00fcvenlik uzmanlar\u0131 ve y\u00f6neticiler genellikle ayn\u0131 kelimeleri kullan\u0131rlar, ancak tamamen farkl\u0131 anlamlarda. Bazen, bir dizi benzer terim birbirinin yerine kullan\u0131labilir. Sonu\u00e7 olarak, \u00fcst y\u00f6netim, g\u00fcvenlik ekibinin hangi tehditleri azaltmaya \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131, \u015firketin ger\u00e7ek siber dayan\u0131kl\u0131l\u0131k seviyesinin ne oldu\u011funu veya b\u00fct\u00e7e ve kaynaklar\u0131n nereye tahsis edildi\u011fini anlamayabilir. Bu nedenle, \u015f\u0131k g\u00f6sterge panelleri sunmadan veya g\u00fcvenlik programlar\u0131n\u0131n ROI\u2019sini hesaplamadan \u00f6nce, bu \u00f6nemli terminolojik n\u00fcanslar\u0131 detayl\u0131 bir \u015fekilde a\u00e7\u0131kl\u0131\u011fa kavu\u015fturmak faydal\u0131 olacakt\u0131r.<\/p>\n<p>Bu terimleri netle\u015ftirerek ve ortak bir kelime da\u011farc\u0131\u011f\u0131 olu\u015fturarak, CISO ve Y\u00f6netim Kurulu ileti\u015fimi \u00f6nemli \u00f6l\u00e7\u00fcde iyile\u015ftirebilir ve nihayetinde kurulu\u015fun genel g\u00fcvenlik durumunu g\u00fc\u00e7lendirebilir.<\/p>\n<h2>Siber g\u00fcvenlik terminolojisi y\u00f6netim i\u00e7in neden \u00f6nemlidir?<\/h2>\n<p>Terimlerin farkl\u0131 yorumlanmas\u0131 sadece bir rahats\u0131zl\u0131ktan ibaret de\u011fildir; bu olduk\u00e7a \u00f6nemli sonu\u00e7lar do\u011furabilecek bir konudur. Ayr\u0131nt\u0131larla ilgili belirsizlik \u015funlara yol a\u00e7abilir:<\/p>\n<ul>\n<li>Yanl\u0131\u015f y\u00f6nlendirilmi\u015f yat\u0131r\u0131mlar: Y\u00f6netim, bunun \u00e7ok daha b\u00fcy\u00fck bir b\u00fct\u00e7eye sahip uzun vadeli, kapsaml\u0131 bir program\u0131n sadece bir par\u00e7as\u0131 oldu\u011funu fark etmeden <a href=\"https:\/\/www.kaspersky.com\/blog\/zero-trust-transition-practical-advice\/53404\/\" target=\"_blank\" rel=\"noopener nofollow\">s\u0131f\u0131r g\u00fcven<\/a> \u00e7\u00f6z\u00fcm\u00fcn\u00fcn sat\u0131n al\u0131nmas\u0131n\u0131 onaylayabilir. Para harcanmas\u0131na ra\u011fmen, y\u00f6netimin bekledi\u011fi sonu\u00e7lar hi\u00e7bir zaman elde edilemez. Benzer \u015fekilde, bulut ge\u00e7i\u015fi konusunda y\u00f6netim, buluta ge\u00e7i\u015fin t\u00fcm g\u00fcvenlik sorumlulu\u011funu otomatik olarak sa\u011flay\u0131c\u0131ya devretti\u011fini varsayabilir ve bunun sonucunda bulut g\u00fcvenli\u011fi b\u00fct\u00e7esini reddedebilir.<\/li>\n<li>Riski k\u00f6r\u00fc k\u00f6r\u00fcne kabul etmek: \u0130\u015f birimi liderleri, potansiyel etkisini tam olarak anlamad\u0131klar\u0131 siber g\u00fcvenlik risklerini kabul edebilirler.<\/li>\n<li>Y\u00f6netim eksikli\u011fi: Terminolojiyi anlamadan, y\u00f6netim do\u011fru ve zor sorular\u0131 soramaz veya sorumluluk alanlar\u0131n\u0131 etkili bir \u015fekilde da\u011f\u0131tamaz. Bir olay meydana geldi\u011finde, genellikle i\u015fletme sahiplerinin g\u00fcvenli\u011fin tamamen CISO\u2019nun sorumlulu\u011funda oldu\u011funa inand\u0131klar\u0131, ancak CISO\u2019nun i\u015f s\u00fcre\u00e7lerini etkileme yetkisi olmad\u0131\u011f\u0131 ortaya \u00e7\u0131kar.<\/li>\n<\/ul>\n<h2>Siber risk ve BT riski<\/h2>\n<p>Bir\u00e7ok y\u00f6netici, siber g\u00fcvenli\u011fin tamamen teknik bir konu oldu\u011funu ve bu konuyu BT departman\u0131na devredeceklerini d\u00fc\u015f\u00fcn\u00fcr. Siber g\u00fcvenli\u011fin i\u015f d\u00fcnyas\u0131 i\u00e7in \u00f6nemi tart\u0131\u015f\u0131lmaz olsa da ve <a href=\"https:\/\/commercial.allianz.com\/content\/dam\/onemarketing\/commercial\/commercial\/reports\/allianz-risk-barometer-2026.pdf\" target=\"_blank\" rel=\"noopener nofollow\">siber olaylar uzun s\u00fcredir en b\u00fcy\u00fck i\u015f riskleri aras\u0131nda yer alsa da<\/a>, anketler bir\u00e7ok <a href=\"https:\/\/info.immersivelabs.com\/report-2025-cyber-workforce-benchmark-report\" target=\"_blank\" rel=\"noopener nofollow\">kurulu\u015fun hala teknik bilgiye sahip olmayan liderleri siber g\u00fcvenlik tart\u0131\u015fmalar\u0131na dahil etmedi\u011fini<\/a> g\u00f6stermektedir.<\/p>\n<p>Bilgi g\u00fcvenli\u011fi riskleri genellikle \u00e7al\u0131\u015fma s\u00fcresi ve hizmet kullan\u0131labilirli\u011fi gibi BT sorunlar\u0131yla bir araya getirilir.\u00a0 Ger\u00e7ekte, siber risk, i\u015f s\u00fcreklili\u011fi, mali kay\u0131p ve itibar kayb\u0131 ile ba\u011flant\u0131l\u0131 stratejik bir i\u015f riskidir.<\/p>\n<p>BT riskleri genellikle operasyonel niteliktedir ve verimlilik, g\u00fcvenilirlik ve maliyet y\u00f6netimini etkiler. BT olaylar\u0131na yan\u0131t vermek genellikle tamamen BT personeli taraf\u0131ndan ger\u00e7ekle\u015ftirilir. Ancak, b\u00fcy\u00fck siber g\u00fcvenlik olaylar\u0131 \u00e7ok daha geni\u015f bir kapsamdad\u0131r; neredeyse t\u00fcm departmanlar\u0131n kat\u0131l\u0131m\u0131n\u0131 gerektirir ve itibar, mevzuata uygunluk, m\u00fc\u015fteri ili\u015fkileri ve genel finansal sa\u011fl\u0131k dahil olmak \u00fczere bir\u00e7ok y\u00f6nden kurulu\u015f \u00fczerinde uzun vadeli bir etkiye sahiptir.<\/p>\n<h2>Uyumluluk ve g\u00fcvenlik<\/h2>\n<p>Siber g\u00fcvenlik, <a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-nis2-directive\/51536\/\" target=\"_blank\" rel=\"noopener nofollow\">NIS2<\/a> ve <a href=\"https:\/\/www.kaspersky.com\/blog\/gdpr-video\/22476\/\" target=\"_blank\" rel=\"noopener nofollow\">GDPR<\/a> gibi uluslararas\u0131 direktiflerden <a href=\"https:\/\/tr.wikipedia.org\/wiki\/%C3%96deme_Kart%C4%B1_Sekt%C3%B6r%C3%BC_Veri_G%C3%BCvenli%C4%9Fi_Standard%C4%B1_(PCI_DSS)\" target=\"_blank\" rel=\"noopener nofollow\">PCI DSS<\/a> gibi s\u0131n\u0131r \u00f6tesi end\u00fcstri k\u0131lavuzlar\u0131na ve belirli departmanlar\u0131n zorunlu kurallar\u0131na kadar her d\u00fczeyde yasal gerekliliklere entegre edilmi\u015ftir. Sonu\u00e7 olarak, \u015firket y\u00f6netimi genellikle siber g\u00fcvenlik \u00f6nlemlerini uyumluluk kontrol listesi olarak g\u00f6r\u00fcr ve yasal gereklilikler kar\u015f\u0131land\u0131\u011f\u0131nda siber g\u00fcvenlik sorunlar\u0131n\u0131n \u00e7\u00f6z\u00fcld\u00fc\u011f\u00fc kabul edilir. Bu zihniyet, g\u00fcvenlik harcamalar\u0131n\u0131 en aza indirgemek i\u00e7in bilin\u00e7li bir \u00e7abadan (\u201cbizden istenilenden fazlas\u0131n\u0131 yapm\u0131yoruz\u201d) veya samimi bir yanl\u0131\u015f anlamadan (\u201cISO 27001 denetiminden ge\u00e7tik, bu y\u00fczden hacklenemeyiz\u201d) kaynaklanabilir.<\/p>\n<p>Ger\u00e7ekte, uyum, belirli bir zamanda denet\u00e7iler ve devlet d\u00fczenleyicilerinin <strong>asgari<\/strong> gerekliliklerini kar\u015f\u0131lamakt\u0131r. Ne yaz\u0131k ki, b\u00fcy\u00fck kurulu\u015flara y\u00f6nelik b\u00fcy\u00fck \u00f6l\u00e7ekli siber sald\u0131r\u0131lar\u0131n tarihi, \u201cminimum\u201d gereksinimlerin bu ad\u0131 bo\u015funa almad\u0131\u011f\u0131n\u0131 kan\u0131tlamaktad\u0131r. Modern siber tehditlere kar\u015f\u0131 ger\u00e7ek bir koruma sa\u011flamak i\u00e7in, \u015firketler belirli sekt\u00f6rlerin \u00f6zel ihtiya\u00e7lar\u0131na g\u00f6re g\u00fcvenlik stratejilerini ve \u00f6nlemlerini s\u00fcrekli olarak geli\u015ftirmelidir.<\/p>\n<h2>Tehdit, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ve risk<\/h2>\n<p>Bu \u00fc\u00e7 terim genellikle e\u015fanlaml\u0131 olarak kullan\u0131l\u0131r, bu da y\u00f6netimin yanl\u0131\u015f sonu\u00e7lara varmas\u0131na neden olur: \u201cSunucumuzda kritik bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 m\u0131 var? Bu, kritik bir riskimiz oldu\u011fu anlam\u0131na gelir! Panik veya tersine, hareketsizlikten ka\u00e7\u0131nmak i\u00e7in, bu terimleri do\u011fru bir \u015fekilde kullanmak ve birbirleriyle nas\u0131l ili\u015fkili olduklar\u0131n\u0131 anlamak \u00e7ok \u00f6nemlidir.<\/p>\n<p>G\u00fcvenlik a\u00e7\u0131\u011f\u0131; bir zay\u0131fl\u0131k, bir \u201ca\u00e7\u0131k kap\u0131\u201dd\u0131r. Bu, yaz\u0131l\u0131m kodundaki bir hata, yanl\u0131\u015f yap\u0131land\u0131r\u0131lm\u0131\u015f bir sunucu, kilitlenmemi\u015f bir sunucu odas\u0131 veya her e-posta ekini a\u00e7an bir \u00e7al\u0131\u015fan olabilir.<\/p>\n<p>Tehdit, bir olay\u0131n potansiyel nedenidir. Bu; k\u00f6t\u00fc niyetli bir akt\u00f6r, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m veya hatta do\u011fal bir afet olabilir. Tehdit, \u201co a\u00e7\u0131k kap\u0131dan i\u00e7eri girebilecek\u201d olan \u015feydir.<\/p>\n<p>Risk, potansiyel kay\u0131pt\u0131r. Bu, ba\u015far\u0131l\u0131 bir sald\u0131r\u0131 olas\u0131l\u0131\u011f\u0131n\u0131n ve bunun sonucunda kurulu\u015fun kaybedece\u011fi \u015feylerin (etki) k\u00fcm\u00fclatif de\u011ferlendirmesidir.<\/p>\n<p>Bu unsurlar aras\u0131ndaki ba\u011flant\u0131lar en iyi \u015fekilde a\u015fa\u011f\u0131daki basit form\u00fclle a\u00e7\u0131klanabilir:<\/p>\n<p>Risk = (Tehdit \u00d7 Zay\u0131f Nokta) \u00d7 Etki<\/p>\n<p>Bu durum \u015fu \u015fekilde a\u00e7\u0131klanabilir. Eski bir sistemde maksimum \u00f6nem derecesine sahip kritik bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ke\u015ffedildi\u011fini hayal edin. Ancak, bu sistem t\u00fcm a\u011flardan ba\u011flant\u0131s\u0131 kesilmi\u015f, izole bir odada bulunmakta ve sadece \u00fc\u00e7 adet g\u00fcvenlik kontrol\u00fcnden ge\u00e7mi\u015f \u00e7al\u0131\u015fan taraf\u0131ndan y\u00f6netilmektedir. Bir sald\u0131rgan\u0131n ona ula\u015fma olas\u0131l\u0131\u011f\u0131 neredeyse s\u0131f\u0131rd\u0131r. \u00d6te yandan, muhasebe sistemlerinde iki fakt\u00f6rl\u00fc kimlik do\u011frulaman\u0131n olmamas\u0131, hem sald\u0131r\u0131 olas\u0131l\u0131\u011f\u0131n\u0131n y\u00fcksek olmas\u0131 hem de potansiyel zarar\u0131n b\u00fcy\u00fck olmas\u0131 nedeniyle ger\u00e7ek ve y\u00fcksek bir risk olu\u015fturmaktad\u0131r.<\/p>\n<h2>Olay m\u00fcdahalesi, felaket kurtarma ve i\u015f s\u00fcreklili\u011fi<\/h2>\n<p>Y\u00f6netimin g\u00fcvenlik krizleri alg\u0131s\u0131 genellikle fazla basitle\u015ftirilmi\u015ftir: \u201cFidye yaz\u0131l\u0131mlar\u0131na yakalan\u0131rsak, BT Felaket Kurtarma plan\u0131n\u0131 etkinle\u015ftirir ve Yedekleme ve Geri Y\u00fckleme\u2019den yararlan\u0131r\u0131z.\u201d Ancak, bu kavramlar\u0131 ve s\u00fcre\u00e7leri birbirine kar\u0131\u015ft\u0131rmak son derece tehlikelidir.<\/p>\n<p>Olay M\u00fcdahalesi (IR), g\u00fcvenlik ekibinin veya uzman y\u00fcklenicilerin sorumlulu\u011fundad\u0131r. Onlar\u0131n g\u00f6revi; tehdidi yerelle\u015ftirmek, sald\u0131rgan\u0131 a\u011fdan atmak ve sald\u0131r\u0131n\u0131n yay\u0131lmas\u0131n\u0131 engellemektir.<\/p>\n<p>Felaket Kurtarma (DR), bir BT m\u00fchendisli\u011fi g\u00f6revidir. Olay m\u00fcdahalesi tamamland\u0131ktan sonra sunucular\u0131 ve verileri yedeklemelerden geri y\u00fckleme i\u015flemidir.<\/p>\n<p>\u0130\u015f S\u00fcreklili\u011fi (BC), \u00fcst y\u00f6netim i\u00e7in stratejik bir g\u00f6revdir. Bu plan, \u015firketin ana sistemleri hala \u00e7evrimd\u0131\u015f\u0131 durumdayken m\u00fc\u015fterilere hizmet vermeye, mallar\u0131 sevk etmeye, tazminat \u00f6demelerine ve bas\u0131nla ileti\u015fim kurmaya devam etmesini sa\u011flamay\u0131 ama\u00e7lamaktad\u0131r.<\/p>\n<p>Y\u00f6netim yaln\u0131zca kurtarma i\u015flemine odaklan\u0131rsa, \u015firket en kritik kesinti d\u00f6nemi i\u00e7in bir eylem plan\u0131ndan yoksun kalacakt\u0131r.<\/p>\n<h2>G\u00fcvenlik bilinci ve g\u00fcvenlik k\u00fclt\u00fcr\u00fc<\/h2>\n<p>Her seviyedeki liderler bazen sadece g\u00fcvenlik e\u011fitimi vermekle sonu\u00e7lar\u0131n garanti edilece\u011fini varsayarlar: \u201c\u00c7al\u0131\u015fanlar y\u0131ll\u0131k s\u0131navlar\u0131n\u0131 ge\u00e7tiler, art\u0131k kimlik av\u0131 ba\u011flant\u0131lar\u0131na t\u0131klamayacaklard\u0131r\u201d. Ne yaz\u0131k ki, yaln\u0131zca \u0130K ve BT taraf\u0131ndan d\u00fczenlenen e\u011fitimlere g\u00fcvenmek yeterli olmayacakt\u0131r. Verimlilik, ekibin davran\u0131\u015f\u0131n\u0131 de\u011fi\u015ftirmeyi gerektirir ve bu, i\u015fletme y\u00f6netiminin kat\u0131l\u0131m\u0131 olmadan imkans\u0131zd\u0131r.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.com.tr\/enterprise-security\/security-awareness?icid=tr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____ksa___\" target=\"_blank\" rel=\"noopener\">Fark\u0131ndal\u0131k<\/a> bilgidir. Bir \u00e7al\u0131\u015fan, kimlik av\u0131n\u0131n ne oldu\u011funu bilir ve karma\u015f\u0131k \u015fifrelerin \u00f6nemini anlar.<\/p>\n<p>G\u00fcvenlik k\u00fclt\u00fcr\u00fc, davran\u0131\u015f kal\u0131plar\u0131n\u0131 ifade eder. Bir \u00e7al\u0131\u015fan\u0131n stresli bir durumda veya kimse izlemedi\u011finde yapt\u0131\u011f\u0131 \u015feydir. K\u00fclt\u00fcr; testlerle de\u011fil, <a href=\"https:\/\/www.kaspersky.com.tr\/blog\/no-blame-cybersecurity-culture\/13679\/\" target=\"_blank\" rel=\"noopener\">hatalar\u0131n g\u00fcvenli bir \u015fekilde rapor edilebildi\u011fi <\/a>\u00a0ve potansiyel olarak tehlikeli durumlar\u0131n tespit edilip \u00f6nlenmesinin al\u0131\u015fkanl\u0131k haline geldi\u011fi bir ortamla \u015fekillenir. Bir \u00e7al\u0131\u015fan ceza almaktan korkarsa, olay\u0131 gizleyecektir. Sa\u011fl\u0131kl\u0131 bir k\u00fclt\u00fcrde, \u015f\u00fcpheli bir posta SOC\u2019ye bildirilir veya bilgisayar\u0131n\u0131 kilitlemeyi unutan bir i\u015f arkada\u015f\u0131na bu konuda uyar\u0131da bulunulur, b\u00f6ylece savunma zincirinde aktif bir halka haline gelinir.<\/p>\n<h2>Tespit ve \u00f6nleme<\/h2>\n<p>\u0130\u015f d\u00fcnyas\u0131n\u0131n liderleri genellikle modas\u0131 ge\u00e7mi\u015f \u201ckale duvar\u0131\u201d kategorileriyle d\u00fc\u015f\u00fcn\u00fcrler: \u201cPahal\u0131 koruma sistemleri sat\u0131n ald\u0131k, bu y\u00fczden bizi hacklemenin bir yolu olmamal\u0131.\u201d Bir olay meydana gelirse, bu CISO\u2019nun ba\u015far\u0131s\u0131z oldu\u011fu anlam\u0131na gelir. Uygulamada, sald\u0131r\u0131lar\u0131n %100\u2019\u00fcn\u00fc \u00f6nlemek teknik olarak imkans\u0131z ve ekonomik olarak \u00e7ok pahal\u0131d\u0131r. Modern strateji; siber g\u00fcvenlik ve i\u015f etkinli\u011fi aras\u0131ndaki denge \u00fczerine kuruludur. Dengeli bir sistemde, tehdit alg\u0131lama ve \u00f6nlemeye odaklanan bile\u015fenler birlikte \u00e7al\u0131\u015f\u0131r.<\/p>\n<p>\u00d6nleme; otomatikle\u015ftirilmi\u015f, toplu sald\u0131r\u0131lar\u0131 engeller.<\/p>\n<p>Tespit ve M\u00fcdahale, \u00f6nleme ara\u00e7lar\u0131n\u0131 atlatmay\u0131 ba\u015faran veya g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 istismar eden daha profesyonel, hedefli sald\u0131r\u0131lar\u0131 tespit etmeye ve etkisiz hale getirmeye yard\u0131mc\u0131 olur.<\/p>\n<p>G\u00fcn\u00fcm\u00fczde siber g\u00fcvenlik ekibinin temel amac\u0131, tam bir g\u00fcvenlik garantisi vermek de\u011fil, sald\u0131r\u0131lar\u0131 erken a\u015famada tespit etmek ve i\u015f \u00fczerindeki etkisini en aza indirmektir. Burada ba\u015far\u0131y\u0131 \u00f6l\u00e7mek i\u00e7in sekt\u00f6r genellikle Ortalama Tespit S\u00fcresi (MTTD) ve <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mean-time-to-respond-mttr\/\" target=\"_blank\" rel=\"noopener\">Ortalama Yan\u0131t S\u00fcresi<\/a> (MTTR) gibi \u00f6l\u00e7\u00fctleri kullan\u0131r.<\/p>\n<h2>S\u0131f\u0131r g\u00fcven felsefesi ve s\u0131f\u0131r g\u00fcven \u00fcr\u00fcnleri<\/h2>\n<p>IT altyap\u0131s\u0131n\u0131n t\u00fcm bile\u015fenleri i\u00e7in \u201casla g\u00fcvenme, her zaman do\u011frula\u201d anlam\u0131na gelen <a href=\"https:\/\/www.kaspersky.com\/blog\/zero-trust-transition-practical-advice\/53404\/\" target=\"_blank\" rel=\"noopener nofollow\">s\u0131f\u0131r g\u00fcven<\/a> kavram\u0131, kurumsal g\u00fcvenlikte uzun s\u00fcredir ilgili ve etkili olarak kabul edilmektedir. A\u011f\u0131n zaten g\u00fcvenli\u011fi ihlal edildi\u011fi varsay\u0131m\u0131yla, her eri\u015fim iste\u011fi i\u00e7in kimli\u011fin (kullan\u0131c\u0131 hesaplar\u0131, cihazlar ve hizmetler) ve ba\u011flam\u0131n s\u00fcrekli olarak do\u011frulanmas\u0131n\u0131 gerektirir.<\/p>\n<p>Ancak, bir g\u00fcvenlik \u00e7\u00f6z\u00fcm\u00fcn\u00fcn ad\u0131nda \u201cs\u0131f\u0131r g\u00fcven\u201d ifadesinin bulunmas\u0131, bir kurulu\u015fun bu \u00fcr\u00fcn\u00fc sat\u0131n alarak bir gecede bu yakla\u015f\u0131m\u0131 benimseyebilece\u011fi anlam\u0131na gelmez.<\/p>\n<p>S\u0131f\u0131r g\u00fcven, \u201ca\u00e7abilece\u011finiz\u201d bir \u00fcr\u00fcn de\u011fildir; mimari bir strateji ve uzun vadeli bir d\u00f6n\u00fc\u015f\u00fcm yolculu\u011fudur. S\u0131f\u0131r g\u00fcven uygulamas\u0131n\u0131 hayata ge\u00e7irmek i\u00e7in, kimlik ve cihazlar\u0131n s\u00fcrekli olarak do\u011frulanmas\u0131n\u0131 sa\u011flamak \u00fczere eri\u015fim s\u00fcre\u00e7lerinin yeniden yap\u0131land\u0131r\u0131lmas\u0131 ve BT sistemlerinin iyile\u015ftirilmesi gerekir. S\u00fcre\u00e7leri de\u011fi\u015ftirmeden yaz\u0131l\u0131m sat\u0131n almak \u00f6nemli bir etki yaratmayacakt\u0131r.<\/p>\n<h2>Bulut g\u00fcvenli\u011fi ile buluttaki g\u00fcvenlik<\/h2>\n<p>BT hizmetlerini AWS veya Azure gibi bulut altyap\u0131s\u0131na ta\u015f\u0131rken, genellikle toplam risk transferi yan\u0131lsamas\u0131 ortaya \u00e7\u0131kar: \u201cSa\u011flay\u0131c\u0131ya \u00f6deme yap\u0131yoruz, dolay\u0131s\u0131yla g\u00fcvenlik art\u0131k onlar\u0131n sorunu\u201d. Bu tehlikeli bir yan\u0131lg\u0131d\u0131r ve Ortak Sorumluluk Modeli olarak bilinen kavram\u0131n yanl\u0131\u015f yorumlanmas\u0131d\u0131r.<\/p>\n<p><strong>Bulut<\/strong> <strong>g\u00fcvenli\u011fi<\/strong>, sa\u011flay\u0131c\u0131n\u0131n sorumlulu\u011fundad\u0131r. Veri merkezlerini, fiziksel sunucular\u0131 ve kablolamay\u0131 korur.<\/p>\n<p><strong>Buluttaki<\/strong> <strong>g\u00fcvenlik <\/strong>ise, m\u00fc\u015fterinin sorumlulu\u011fundad\u0131r.<\/p>\n<p>Bulut projeleri i\u00e7in b\u00fct\u00e7eler ve bunlar\u0131n g\u00fcvenlik y\u00f6nleri ile ilgili tart\u0131\u015fmalar, ger\u00e7ek hayattan \u00f6rneklerle desteklenmelidir. Sa\u011flay\u0131c\u0131, m\u00fc\u015fterinin \u00e7al\u0131\u015fanlar\u0131 taraf\u0131ndan yap\u0131land\u0131r\u0131lan ayarlara g\u00f6re veri taban\u0131n\u0131 yetkisiz eri\u015fimden korur. \u00c7al\u0131\u015fanlar bir veri taban\u0131n\u0131 a\u00e7\u0131k b\u0131rak\u0131rsa veya zay\u0131f parolalar kullan\u0131rsa ve y\u00f6netici paneli i\u00e7in iki fakt\u00f6rl\u00fc kimlik do\u011frulama etkinle\u015ftirilmezse, sa\u011flay\u0131c\u0131 yetkisiz ki\u015filerin bilgileri indirmesini engelleyemez. Bu, <a href=\"https:\/\/www.scworld.com\/brief\/unsecured-amazon-s3-bucket-exposes-webwork-data\" target=\"_blank\" rel=\"noopener nofollow\">\u00e7ok s\u0131k rastlanan bir durumdur<\/a>. Bu nedenle, bu projelerin b\u00fct\u00e7esi, \u015firket taraf\u0131nda bulut g\u00fcvenlik ara\u00e7lar\u0131n\u0131 ve yap\u0131land\u0131rma y\u00f6netimini hesaba katmal\u0131d\u0131r.<\/p>\n<h2>Zay\u0131f nokta taramas\u0131 ve s\u0131zma testi<\/h2>\n<p>Liderler genellikle siber hijyen kapsam\u0131na giren otomatik kontrolleri, sofistike sald\u0131r\u0131lara kar\u015f\u0131 dayan\u0131kl\u0131l\u0131k a\u00e7\u0131s\u0131ndan BT varl\u0131klar\u0131n\u0131 de\u011ferlendirmekle kar\u0131\u015ft\u0131r\u0131rlar: \u201cHer hafta taray\u0131c\u0131y\u0131 \u00e7al\u0131\u015ft\u0131r\u0131yorsak neden hackerlara pentest i\u00e7in para \u00f6deyelim?\u201d<\/p>\n<p>Zay\u0131f nokta taramas\u0131, belirli bir BT varl\u0131klar\u0131 listesini bilinen g\u00fcvenlik a\u00e7\u0131klar\u0131 a\u00e7\u0131s\u0131ndan kontrol eder. Basit\u00e7e s\u00f6ylemek gerekirse bir g\u00fcvenlik g\u00f6revlisinin, ofisin pencere ve kap\u0131lar\u0131n\u0131n kilitli olup olmad\u0131\u011f\u0131n\u0131 kontrol etmek i\u00e7in devriye gezmesi gibi bir \u015feydir.<\/p>\n<p>S\u0131zma testi (pentesting), zay\u0131f noktalar\u0131 kullanarak ger\u00e7ek d\u00fcnyada bir ihlal olas\u0131l\u0131\u011f\u0131n\u0131 de\u011ferlendirmek i\u00e7in yap\u0131lan manuel bir de\u011ferlendirmedir. Bu benzetmeyi s\u00fcrd\u00fcrmek gerekirse, bu, ofise girmeye \u00e7al\u0131\u015fmak i\u00e7in uzman bir h\u0131rs\u0131z tutmak gibidir.<\/p>\n<p>Biri di\u011ferinin yerini almaz; ger\u00e7ek g\u00fcvenlik durumunu anlamak i\u00e7in bir i\u015fletmenin her iki araca da ihtiyac\u0131 vard\u0131r.<\/p>\n<h2>Y\u00f6netilen varl\u0131klar ve sald\u0131r\u0131 y\u00fczeyi<\/h2>\n<p>Yayg\u0131n ve tehlikeli bir yan\u0131lg\u0131, BT ve g\u00fcvenli\u011fin sahip oldu\u011fu koruma kapsam\u0131 ve genel g\u00f6r\u00fcn\u00fcrl\u00fck ile ilgilidir. Toplant\u0131larda s\u0131k\u00e7a duyulan bir s\u00f6z \u015fudur: \u201cDonan\u0131mlar\u0131m\u0131z\u0131n do\u011fru bir envanter listesi var.\u201d Sahip oldu\u011fumuz her \u015feyi koruyoruz.<\/p>\n<p>Y\u00f6netilen BT varl\u0131klar\u0131, BT departman\u0131n\u0131n sat\u0131n ald\u0131\u011f\u0131, yap\u0131land\u0131rd\u0131\u011f\u0131 ve raporlar\u0131nda g\u00f6rebildi\u011fi \u00f6\u011felerdir.<\/p>\n<p>Sald\u0131r\u0131 y\u00fczeyi; sald\u0131rganlar\u0131n eri\u015febilece\u011fi her \u015feydir yani \u015firkete girilebilecek her t\u00fcrl\u00fc potansiyel giri\u015f noktas\u0131d\u0131r. Buna, \u00e7al\u0131\u015fanlar\u0131n i\u015flerini h\u0131zland\u0131rmak veya basitle\u015ftirmek i\u00e7in resmi protokolleri atlatarak kendi ba\u015flar\u0131na ba\u015flatt\u0131klar\u0131 her \u015fey, yani <a href=\"https:\/\/www.kaspersky.com.tr\/blog\/shadow-it-as-a-threat\/8121\/\" target=\"_blank\" rel=\"noopener\">G\u00f6lge BT<\/a> (bulut hizmetleri, ki\u015fisel mesajla\u015fma uygulamalar\u0131, test sunucular\u0131 vb.) dahildir. \u00c7o\u011fu zaman, g\u00fcvenlik ekibi varl\u0131\u011f\u0131ndan haberdar olmad\u0131\u011f\u0131 \u015feyleri koruyamad\u0131\u011f\u0131 i\u00e7in, sald\u0131r\u0131lar\u0131n giri\u015f noktas\u0131 bu \u201cg\u00f6r\u00fcnmez\u201d varl\u0131klar olur.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial-leadgen\">\n","protected":false},"excerpt":{"rendered":"<p>\u00c7al\u0131\u015fanlar\u0131n s\u0131kl\u0131kla farkl\u0131 veya yanl\u0131\u015f yorumlad\u0131\u011f\u0131 temel siber g\u00fcvenlik terimlerini a\u00e7\u0131kl\u0131yoruz.<\/p>\n","protected":false},"author":2722,"featured_media":14278,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1726,1194],"tags":[2796,1270,2848,519,1656,901,2799,2241,2475],"class_list":{"0":"post-14277","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-enterprise","8":"category-business","9":"tag-ciso","10":"tag-egitim","11":"tag-guvenlik-kulturu","12":"tag-ipuclari-2","13":"tag-isletme","14":"tag-riskler","15":"tag-siber-dayaniklilik","16":"tag-sifir-guven","17":"tag-strateji"},"hreflang":[{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/14277\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/30162\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/25231\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/13204\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/30035\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/31853\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/30466\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/41263\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/55258\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/23625\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/24739\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/33202\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/35922\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/35579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.tr\/blog\/tag\/strateji\/","name":"strateji"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/14277","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=14277"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/14277\/revisions"}],"predecessor-version":[{"id":14280,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/14277\/revisions\/14280"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media\/14278"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=14277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=14277"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=14277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}