SİBER GÜVENLİK  l  DOSYA






                 piyasaya açılan Stroz Friedberg; Zürih,   tır), Transfer (Riski Transfer Et), Res-  Dördüncüsü “Parasallaştırma”.  Değer-
                 Londra, Dubai ve Singapur’da merkezler   pond (Mücadele Et).      lendirme, Test ve Geliştirme aşamala-
                 açmış. Aon ise siber riskler alanında bil-  İlki, “İnceleme/Değerlendirme”.  Bu kı-  rından sonra çözümleri hayata geçirmek
                 gi birikimini hızlıca artırabilmek için bir   sımda şirkette değerlendirmeyi kim oku-  mutlaka zaman alacaktır; zira yazılım
                 tür piyasa araştırmasına çıkmış ve Stroz   yacak ise, ona göre 3-4 şekilde servis   versiyon güncelleme yapmak, yamaları
                 Friedberg ile birlikte müşterilere hizmet   veriyoruz. Tam teşekküllü yapılacak ra-  güncellemek, açıkları kapatmak bir geliş-
                 vermenin çok iyi bir çözüm  olacağını   porlama; “Tam teşekküllü , hem üst yöne-  tirme zamanı gerektirir. Bu sıradaki ma-
                 düşünerek satın alma kararını vermiş.   timi bilgilendirme, hem de sigortalamaya   ruziyetin TL’ye çevrilmesi, CFO, CIO ya
                 Dünyaca ünlü bağımsız araştırma şirke-  karşı tüm verileri topladığımız bir uygu-  da Üst Yönetim’in aksiyon almasını ko-
                 ti Forester’ın 2017 yılı 3.çeyrek değer-  lamadır. Yanında “Teşhis/Tanı Aracı”,  “   laylaştırmaktadır.  Sunduğumuz çıktıların
                 lendirmesinde tüm hizmet çatısı dikkate   İçerideki Risk Değerlendirmesi “ gibi hiz-  özü, “iş durmasına sebep olması yüzün-
                 alındığında Stroz Friedberg dünyanın 17   metler var. Siber savunmada zincirin en   den veya kişisel bilgilerin ifşası nedeniyle
                 büyük siber güvenlik firmasından ilk 5   zayıf halkası çalışanlardır. İçerideki siber   ceza alma riskinden dolayı  X TL kadarlık
                 arasında yer aldı. Türkiye’deki Aon müş-  tehlike algı seviyesi düşük ise, ya da kötü   bir riskin üzerinde duruyorsunuz, isterse-
                 terilerine Stroz Friedberg ürün ve servis-  niyetli çalışanların olduğu durumlarda in-  niz 6 aylık ya da 1 senelik poliçe ile bu
                 leri ile hizmet veriyoruz.       san unsuru en zayıf halka olarak ön plana   riski “transfer edelim” şeklindedir. Bu
                                                  çıkıyor.  Otomasyona önem veren ve iç   noktada Risk Transferi söz konusu oluyor
                 Endüstriyel ortamlardaki risk ve teh-  verimliliği artırmak isteyen sanayicile-  ki bu da 5. servisimiz.
                 dit  kavramlarını  açar  mısınız?  Aon,   rimiz kendi tedarikçilerine de aynı şeyi   Cyber Enterprise Solution, Cyber Capti-
                 endüstri dünyasında risklerin belir-  dikte ettiriyorlar. Dolayısıyla “Üçüncü   ve Program, tescilli geliştirdiğimiz Peer
                 lenmesi, ortaya çıkarılması, tanımla-  Taraf Risk Değerlendirmesi” endüstride   Benchmarking, Client Treaty, Reinsu-
                 nıp ölçülmesi için ne tür hizmetler ve   önem kazanıyor. Alt Servisleri özetlemek
                 çözümler sunuyor? 2018 gündeminizi   gerekirse; Cyber Diagnostic Tool, Cyber   rance Capacity bu kapsamda verilen alt
                 anlatır mısınız?                 Coverage Gap Analysis, Cyber 360° Sui-  servislerdir.
                                                                                   Son olarak “Mücadele”, saldırıya karşı
                 Hem endüstri hem de finans sektörle-  te of Solutions olarak adlandırabiliriz.
                 rinde çalışmış birisi olarak her iki alanı   İkincisi “Test”. Bu alandaki servisler;   müdafa aksiyonlarının müşteri ile beraber
                 karşılaştırdığımda hepsinin altyapısının   Stroz Friedberg Penetration & Sosyal   alınmasındır.
                 operasyonel sistemler üzerinde döndüğü-  Mühendislik Testi, Kırmızı Takım Testi,
                 nü gördüm. Aon olarak müşterilerimizin   Uygulama Testleri, Uygulama Kodu İn-
                 operasyonel sistemlerdeki veri korunma-  celemesi, Tehdit Avcılığı şeklinde ortaya
                 sı konularında savunma mekanizmasını   çıkıyor.
                 değerlendiriyor, eksikleri buluyor, bu   Ağ ve Bulut Güvenliği servisleri yine en-
                 eksiklerin kapanmasına yardımcı oluyor,   düstri ile çok yakından ilgili.
                 saldırı  anında  defansa  yardım ediyor,   Tehdit Avcılığı; bu serviste müşterimize
                 kapanması kısa sürede mümkün değilse   “şu anda farkında olmadığınız ve içerde
                 sigortacı  arkadaşlarla  altına  bir  sigorta   yeşermekte olan X tane saldırı var” şek-
                 “safety net” kuruyoruz.          linde tespit yapabiliyoruz.
                 Bankacılık sistemleri, günlük operasyon-  Üçüncüsü  “Geliştirme/İyileştirme”. “Si-
                 larını ya kendi geliştirdikleri, ya dışarı-  gortayı düşünürüz, ancak bizim için ope-
                 dan aldıkları, ya da ikisini birlikte yapıp   rasyonlar çok stratejik, maruziyeti nasıl
                 entegre ettikleri sistemler ile çalıştırıyor-  kapatabiliriz” diyen CISO’ya (Chief In-
                 lar. Bu sistemleri de ya müşterilere ya da   formation Security Officer) doğrudan   Tüm üretim sürecinin birbiri ile bağlantılı
                 üçüncü kişilere açıyorlar.       tavsiye verebiliyoruz. Stroz Friedberg   olacağı bir gelecekten bahsediyoruz. Hem
                 Endüstride de durum hiç farklı değil. Üre-  Incident Response (Saldırıya Yanıt), IR   fabrika içinde dikey entegrasyon hem de
                 tim ve tedarik zinciri sistemler üzerinden   Planning & Playbook, Tabletop Exercise,   fabrikalar arasında yatay entegrasyon,
                 işliyor. Endüstride üretimi SCADA’lar   CISO/Board Advisory;  mevcut IT siste-  üretim süreçlerinden toplanacak verilerin
                 üzerinden kontrol eden ICS’ler var (In-  mindeki eksiklikleri iyileştirmek için ver-  bulut ortamında işlenmesi, analizi, üretim
                 dustrial control system).   Bizim işimiz   diğimiz alt hizmetlerdir.   ortamlarının da saldırılara çok daha fazla
                 bu sistemlere penetrasyonları, saldırıları
                 önlemek olduğu için hepsine aynı şekilde
                 servis edebiliyoruz.
                 Sunmuş olduğunuz servis hizmetlerini
                 anlatır mısınız okuyucularımız için?
                 Riskleri değerlendirme konusunda paket
                 ürünlerimiz var. Orta ölçekte ya da işi çok
                 harcıâlem olan firmalarda doğrudan paket
                 ürünlerle servis veriyoruz.
                 Servisleri 6 başlık altında topladık, bun-
                 lar:   Assess (Değerlendir), Test (Test Et),
                 Improve (Geliştir), Quantify (Parasallaş-
                                                                                           ST ENDÜSTRİ 4.0 ŞUBAT 2018 | 47