7 VERİ GÜVENLİĞİ

Trafik kazaları gibi veri ihlalleri de kaçınılmazdır. Yine de bir ulus olarak dijitalleştirilmiş bir öğrenen ekosistemine doğru ilerlememiz de bir gerekliliktir. Buna göre, bu bölüm, öğrenen veri sistemlerinde meydana gelme olasılığını, etkinin zararlarını ve ihlal olasılığını eş zamanlı olarak yönetmede ileriye dönük bir biçimde etkili olabileceğimizi açıklamaktadır. Etkili bir öğrenme mimarisi, mahremiyeti korumak, bireyin aldatmasını önlemek ve dış tehdit aktörleri tarafından izinsiz girişi önlemek için güvenlik gerektirir. Buna göre, üç güvenlik direğinde dengeli bir çaba gerekmektedir: mahremiyet, bütünlük ve erişilebilirlik. Çoğu güvenlik soruşturması mahremiyet ve bütünlüğe odaklanırken, bu verilere erişim zamanında ve iyi bilgilendirilmiş kararlar alınmasını sağlamaktadır. Ayrıca, erişilebilirliğin yetersiz olması durumunda, kullanıcıların güvenlik kontrollerini geçersiz kılma olasılığı yüksektir. Tüm bu endişeler, cihazları ve ağları, kullanıcıları her iyileştirmenin merkezine yerleştirecek şekilde güçlendirerek giderilebilir. Bunu verimli bir şekilde yapmak için veri güvenliği tasarımı, bireylerin ve kuruluşların mevcut ve gelecekteki öğrenme mimarileri içindeki ihlallerin yayılmasını sınırlamasını sağlamalıdır. Bu nedenle, bu bölüm, dağıtık öğrenme ortamlarının siber güvenlikteki gelişmelere ayak uydurabilmesini sağlayacak ilkeleri ve stratejileri açıklamaktadır.

Veri Güvenliği Tehditleri ve Zorluklar

Veri birikimini kucaklayan bir ulusa doğru ilerlerken birkaç konuya değinilmelidir. Hem insanı koruyan unsurları hem de sistemi ve verilerin bütünlüğünü koruma ihtiyacını kabul etmeliyiz. Amerika’da, bir bireyin mahremiyeti temel bir haktır ve güvenlik, mahremiyetin sağladığı itibarı muhafaza etmektedir. Ancak, bir grup öğrenen dürüstlüğü ihlal edecek girişimlerde bulunacaktır. Öğrenenler soruları çalmak veya notları değiştirmek için erişim kontrollerini aşmak gibi çeşitli yollara başvurabilecektir. Ayrıca dış düşmanlar durmadan ulusal kapasiteyi değerlendirmek ve örgütsel önceliklere etki edebilmek için siber saldırı araçlarını kullanmaktadırlar. Son olarak, kaynak yatırımından bağımsız olarak, ihlallerin hem etkisi hem de olabilirliğinde tutarlı artışlar görülmektedir

AMATÖR TEHDİTLER

En ciddi sorun, kötü amaçlı yazılımların giderek daha otomatik hale gelmesidir. Öğrenenlerin cevapları çalmak ve notları değiştirmek için çok az teknik yeteneği olması yeterlidir. En bilinen teknik yayılmayı gerçekleştirme sürecinde saldırganların adım adım yürüyebileceği binlerce ücretsiz öğretici bulunmaktadır.

YABANCI TEHDİTLER

Yabancı rakiplerle ilgili olarak daha geniş sınırda bir zorluk bulunmaktadır. Gelişmiş ısrarcı tehditler giderek daha yetenekli hale geldikçe, güvenliğin eski temel taşları hızla eskimektedir. Bu, ulusumuzun kuantum ve klasik süper hesaplama kabiliyetlerindeki olumsuz gelişmelere ayak uydurmak için yarışması nedeniyle özellikle geçerlidir. Herhangi bir yaygın veri yönetimi sistemi kullanımı bilinen saldırı yöntemlerine dirençli olmalı ve şifreli deneme yanılma, yan kanal ve engelleme saldırılarına karşı emniyetli bir şekilde korunmalıdır.

SOSYAL MÜHENDİSLİK

Bir kuruluşun öğrenme mimarisinin değeri asla küçümsenmemelidir. Uzman düzeyde sosyal mühendislik, tüm toplumların davranışlarının manipüle edilmesiyle sonuçlanabilir. Nüfusları kontrol etmek amacıyla aldatma ve propaganda tekniklerinin kullanımı konusunda derin ve kapsamlı bir bilgi birikimi mevcuttur.

Bu tür manipülasyonlar, bireysel düzeyde güven oluşturma sanatı yoluyla gerçekleşir ve benzer teknikler kullanılarak geniş kitlelere ölçeklenebilir. Yüzyıllardır süregelen Rus askerî düşüncesi ve hükûmet destekli sosyal mühendislik deneyimleri, bize маскировка (maskirovka) kavramını kazandırmıştır. Bu terim, kabaca “maskeli balo”, “kılık değiştirme” veya “aldatma” olarak çevrilebilir ve yansıtıcı kontrol (reflexive control) anlayışını da kapsar.

Yansıtıcı kontrol, bir kişi ya da toplumun, karşı taraf için en faydalı olanı özgür iradesiyle seçmesini sağlamak amacıyla (çoğunlukla doğru bilgi kullanılarak) stratejik yönlendirme sanatıdır. Seçilmiş gerçeklerin dikkatli bir şekilde sunulması, bireylerin veya toplumların algısını dönüştürebilir. Ayrıca, güvenilir bir bağlamda ustalıkla tasarlanmış bir yanlış bilgi, orantısız düzeyde ağ etkileri yaratabilir.

Bir birey, başka birinin çıkarları doğrultusunda hareket etmeye ikna edilebildiği gibi, kurumlar da benzer şekilde manipüle edilebilir. Toplumsal düzeyde bu tür yönlendirmeler, politik iradenin şekillenmesine ve nihayetinde kamu politikalarının belirlenmesine etki eder.

YATIRIM MODELLERİ

Bilgi güvenliği ekonomisine ilişkin son araştırmalar, bilgi güvenliğine yapılacak optimal yatırım düzeylerini değerlendirmeye yardımcı olacak modeller geliştirmeye odaklanmıştır. Bu modeller genellikle, beklenen parasal kayıplar, değerlendirilen güvenlik açıkları ve ihlal olasılıkları gibi unsurları dikkate alan bir optimizasyon fonksiyonu oluşturmak için risk yönetimi stratejilerini uygular. Bu modellerin bazıları, güvenlik ihlallerinin bulaşıcı etkilerini hesaba katmaktadır; ancak, ekonomik açıdan en uygun yatırım miktarlarının nasıl tahsis edilmesi gerektiği konusunda net bir yönlendirme sunmamaktadır.

GÜNCEL EN İYİ UYGULAMALARIN ÖZETİ

Siber uzay, zamanla saldırganların orantısız maliyet avantajıyla faaliyet gösterdiği ve yıpratma stratejileriyle üstünlük sağlamaya çalıştığı asimetrik bir savaş alanına dönüşmüştür. Bu sorunlar karmaşık görünse de, dağıtık öğrenme mimarilerinin mahremiyetini, bütünlüğünü ve erişilebilirliğini yüksek maliyetlere gerek kalmadan koruyabilen özel ve etkili uygulamalar mevcuttur. Güvenlik açısından en kritik uygulamalardan biri, standartların, gereksinimlerin, protokollerin ve süreçlerin düzenli olarak gözden geçirilmesini gerektirmektedir. Etkili siber güvenlik, bu belgenin kapsamı dışında kalan teknik özelliklerin ayrıntılı biçimde incelenmesini gerektirir. Bu çalışmada kapsamlı bir inceleme yerine, mevcut dağıtık öğrenme protokollerindeki bazı güvenlik açıkları ele alınmaktadır. Bu bölümün amacı iki yönlüdür: İlki, kısa vadeli iyileştirmeleri desteklemek; ikincisi ise, dağıtık öğrenme mimarilerinde uygun maliyetli güvenilirliği sağlayacak sürdürülebilir güvenlik uygulamalarını teşvik etmektir. Bu bölümün sonunda sunulan uygulama planı, yapılandırılmış bir risk yönetimi sürecinin ardından sıralı görev listeleri oluşturulmasına olanak tanıyan, ek gözden geçirme ve uygulamalı doğrulama adımlarını içeren bir süreç önermektedir..

Gelecek Öğrenme Ekosistem Uygulama Katmanları

Veri güvenliği, genel bilgi teknolojileri alanına kıyasla sürekli gelişen ve olgunlaşmış bir disiplindir. Bu alandaki en iyi uygulamalar, yaygın işletim sistemleri, sunucular ve ağ teknolojileri üzerine inşa edilmiş dağıtık öğrenme mimarilerini temel alır. Ancak, gelecekteki öğrenme ekosistemi; özgün birlikte çalışabilir veri biçimlerine, taşıma katmanlarına, arayüzlere ve depolama çözümlerine ihtiyaç duyacaktır. Bu bağlamda xAPI ve Kafka, bu gereksinimlere örnek olarak gösterilebilir.

DENEYİM UYGULAMA PROGRAMLAMA ARAYÜZÜ

xAPI, çevrim içi ve çevrim dışı öğrenme deneyimlerine ilişkin verilerin toplanmasını sağlayan birlikte çalışabilirlik özelliklerine sahip bir teknolojidir. Farklı öğrenme teknolojilerinden elde edilen veriler için standart bir veri yapısı ve sözlük sunar. Basitlik ve esneklik ilkeleriyle tasarlanan xAPI, gelecekteki öğrenme ekosisteminde öğrenmenin aktarımı ve değerlendirilmesi için temel bir yapı sağlar. Örnek uygulama alanları arasında gerçek dünya etkinlikleri, deneyimsel öğrenme, sosyal öğrenme, simülasyonlar, mobil öğrenme, sanal ortamlar ve ciddi oyunlar yer alır.

xAPI belirtimine uygun sistemler; insanlar, öğrenme içerikleri ve diğer bileşenler arasındaki etkileşim verilerini kaydeder. Bu etkileşimler herhangi bir yerde gerçekleşebilir ve genellikle öğrenme fırsatlarını işaret eder. Kayıt süreci, xAPI teknik belirtiminin bir parçası olan Öğrenme Kayıt Ambarı’na (ÖKA) ifadelerin iletilmesini içerir. Her bir ÖKA, kaydedilen xAPI ifadelerini diğer ÖKA’larla ve çeşitli öğrenme teknolojileriyle paylaşabilir (erişim kontrolleri izin verdiği ölçüde).

xAPI belirtimi, bir dizi uygulama katmanı aracılığıyla bu birlikte çalışabilirliği mümkün kılar.:

xAPI Birlikte Çalışabilirlik Uygulaması

xAPI Birlikte Çalışabilirlik Uygulaması: Dört Katman

xAPI, öğrenme verilerinin farklı sistemler arasında birlikte çalışabilir şekilde aktarılmasını sağlayan bir standarttır. Bu yapı dört temel katmandan oluşur:

Her bir katman ve genel yapı, kurumları gereksiz bilgi riskiyle karşı karşıya bırakmadan güvenilir bir uygulama ortamı sağlamalıdır. Bu durum, xAPI tarafından izlenen geniş kapsamlı öğrenme etkileşimlerinin standartlaştırılması açısından özel bir önem taşır.

Herhangi bir güvenlik değerlendirmesi, mevcut kontrollerin sistematik bir analiziyle başlar. Yapılan ön değerlendirme, acil olarak ele alınması gereken birkaç güvenlik açığının bulunduğunu ortaya koymaktadır.

KAFKA

Apache Kafka, büyük ölçekli veri değişimlerini işleyebilen mesaj odaklı bir katman yazılım sistemidir. Başlangıçta LinkedIn tarafından mesaj toplama ve analiz amacıyla geliştirilmiş olup, günümüzde yüksek hacimli ve değişken oranlı mesaj akışlarını gerçek zamanlı olarak işleyebilme kapasitesiyle tanınmaktadır.

Kafka’nın temel özellikleri arasında veri bölümleme (partitioning), çoğaltma (replication) ve hataya dayanıklılık (fault tolerance) yer alır. Bu özellikler, sistemi büyük veri ortamlarında dağıtık mesajlaşma için ideal hale getirir. Kafka genellikle güvenilir ve asenkron mesaj alışverişine olanak tanıyan birleşik bir platform olarak kullanılır.

Öğrenme süreçlerinde kullanılabilecek diğer mesaj tabanlı katman yazılım örnekleri, ISO/IEC 19464 standardına dayanan Gelişmiş Mesaj Kuyruklama Protokolü 1.0 (AMQP 1.0) çerçevesinde geliştirilmiştir. Bu protokol, daha küçük sistemler için optimize edilmiş çeşitli uygulama seçenekleri sunar.

Öne çıkan örnekler arasında şunlar yer alır:

• •ActiveMQ
• •Apache Qpid
• •RabbitMQ

Bu sistemler, güvenilir ve ölçeklenebilir mesajlaşma altyapıları sunarak öğrenme teknolojilerinde veri iletimi ve entegrasyon süreçlerini destekler..

GELECEK ÖĞRENME EKOSİSTEMİNDE VERİ GÜVENLİĞİ VİZYONU

Standartlar ve en iyi uygulamalar zamanla değiştikçe, dağıtık öğrenme mimarisi içindeki sistem ve uygulamaların da bu değişime uyum sağlaması gerekir. Bu durum, öğrenen verilerinin güvenliğini sürekli ve pratik biçimde değerlendirecek teorik bir yönelime ihtiyaç duyulduğunu göstermektedir.

İnsanlar tarafından geliştirilen hiçbir sistem tamamen ele geçirilemez değildir; öte yandan veri paylaşımı da kaçınılmazdır. Dağıtık öğrenme bağlamında bu, örneğin bir öğrenenin sınav yanıtlarına erişmek amacıyla veri akışının kötü niyetli biçimde ele geçirilmesi riskinin tamamen ortadan kaldırılamayacağı anlamına gelir. Aynı şekilde, karmaşık saldırıların bilgiye erişmesini veya veriyi değiştirmesini tamamen engellemek de mümkün değildir. Ancak, (a) başarılı saldırı olasılığını azaltmak ve (b) bir ihlal durumunda etkilerini sınırlamak için koruyucu önlemler geliştirmek mümkündür.

Bu bağlamda, “Normal Kaza Teorisi”nin temel ilkesi şudur: Bir sistem karmaşık, sıkı biçimde birbirine bağlı ve yıkıcı potansiyele sahipse, teknolojik arızalar kaçınılmazdır. az olduğunu savunur; örnek olarak emniyet kemeri, tamponlar, refüjler verilebilir.

Bu nedenle, tanımlama, erişim kontrolü, yetkilendirme, denetim, ağ bölümlendirme, sınır uygulamaları, uç nokta korumaları, şifreleme ve işlem güvenliği gibi bileşenler arasındaki bağımlılıkların neden olabileceği olası başarısızlıkları göz önünde bulundurmak gerekir.

Normal Kaza Teorisi’nin varsayımları şunlardır:

• İnsanlar hata yapar.
• Küçük kazalar büyük kazalara dönüşme eğilimindedir.
• Sorunların kaynağı çoğunlukla teknolojinin kendisi değil, onun organizasyondu.

Normal Kaza Teorisi ve örgütsel güvenilirlik üzerine yapılan güncel araştırmalar, güvenlik ihlallerinin kaçınılmaz olduğunu kabul eden ve bu ihlallerin yayılmasını önlemeyi amaçlayan stratejilerin tasarlanması gerektiğini ortaya koymaktadır. En iyi çabalara rağmen, dağıtık öğrenme mimarileri içindeki sistemler ya tehlikeye girmiştir ya da gelecekte bu riskle karşı karşıya kalacaktır. Bu nedenle temel hedef, bu etkilerin en aza indirilmesidir. Dağıtık öğrenme bağlamında, pratik bir çözüm olarak ağ ve organizasyon segmentasyonu yoluyla veri göllerinin ayrıştırılması önerilmektedir. Her departman veya kurum, ayrı içerik ağları sağlamalı ve bu ağlar içinde her öğrenen türü için ayrıştırılmış bölümler oluşturmalıdır. Bu yaklaşım, ihlallerin yayılmasını kontrol altına alırken, aynı zamanda içerik blok zinciri oluşturarak veri bütünlüğünün korunmasına katkı sağlar. Buna ek olarak, merkezi olarak yönetilen sendikalaşma ve içeriğe abonelik sistemleri, kurumsal öncelikleri ve stratejik hedefleri açığa çıkarabilecek veri kümelerinin toplanmasını engelleyerek gizliliğin korunmasına yardımcı olur.

Bu bölümün devamında, kısa vadede ağ ve uç nokta korumalarını güçlendirmek, uzun vadede ise güvenliğin sürdürülebilirliğini sağlamak amacıyla ele alınması gereken bazı özel güvenlik endişeleri detaylandırılacaktır.

Donanım Ağları

ir kuruluşun bilgi depolama ve erişim sisteminin yüksek teknik kapasitesi, Yetkisiz Erişim Algılama Sistemi (YEAS) ve Saldırı Sezme Sistemi (SSS) gibi bileşenlerin ihlal tespiti açısından etkili şekilde kullanılmasına olanak tanır. YEAS ve SSS sistemlerinin çoğu ağ trafiğini izlerken, ana sistem düzeyinde gerçekleştirilen anomali saptama, sınav yanıtlarına erişme veya notları değiştirme gibi yetkisiz girişimleri tespit edebilir ve raporlayabilir. Ayrıca, uzlaşma göstergelerini belirlemek amacıyla ağ kayıtlarını ve veri akışlarını açık biçimde izleyen çeşitli Güvenlik Olayı ve Olay Yönetimi (GOOY) araçları piyasada mevcuttur. Bu araçların entegrasyonu, güvenlikle ilgili tehditlere karşı farkındalığı artırabilir, algılama sürelerini kısaltabilir ve kurumsal ihtiyaçlara yönelik yanıt süreçlerini iyileştirebilir. Dağıtık öğrenme sistemlerinde veri akışları, tek yönlü valf mantığıyla tasarlanmalıdır. Veri gölleri, Günün Bütününde Etkin Yanıt (GBEY) sistemleri ve kurumsal Güvenlik Operasyon Merkezleri (GOM) tarafından sürekli olarak denetlenmeli ve korunmalıdır. Bu merkezler, günün her saatinde canlı yanıt verebilecek şekilde yapılandırılmalıdır. Kendi savunma altyapısını sürdüremeyecek kadar küçük ölçekli kuruluşlar için, çeşitli Yönetilen Güvenlik Hizmetleri Sağlayıcıları (YGHS) tarafından GOM yetenekleri sunulmaktadır. Bu hizmetler, küçük kurumların güvenlik altyapılarını dış kaynaklarla güçlendirmelerine olanak tanır..

SON TEKNOLOJİ ÜRÜNÜ GÜVENLİK

Kerberos protokolü bağlamında, xAPI ve Kafka standartlarının daha kapsamlı bir şekilde incelenmesi, mevcut güvenlik mimarisine zarif ve etkili bir alternatif sunma potansiyeline sahiptir. Ayrıca, xAPI’nin API yapısı içerisinde sağlam bir güvenlik katmanının entegre edilmesi, içerik sağlayıcılar ile dağıtık öğrenme sunucuları arasında kimlik doğrulama mekanizmalarının daha sade ve soyut bir biçimde uygulanmasına olanak tanıyabilir.

Kerberos, Massachusetts Teknoloji Enstitüsü tarafından kampüs içi iletişimde ağ kimlik doğrulama protokolü olarak geliştirilmiştir. Bu protokolün temel gücü, güvenli olmayan bir ağ üzerinden bile güvenli iletişim sağlayacak şekilde tasarlanmış olmasıdır. Özellikle, oturum doğrulama sürecinde şifreler hiçbir zaman ağ üzerinden iletilmez. Her veri aktarımı, gizli bir anahtar kullanılarak şifrelenir ve saldırganlar, şifreleme anahtarını ele geçirmeden veya temel şifreleme algoritmasını kırmadan bir servise yetkisiz erişim sağlayamaz.

Kerberos, ayrıca bir saldırganın meşru iletişimleri gizlice dinleyip yeniden ilettiği “tekrarlama saldırılarına” karşı koruma sağlamak üzere tasarlanmıştır. Protokol, simetrik anahtar şifrelemesi kullanır; bu da onu cihaz düzeyinde hesaplama açısından verimli kılar ve sınırlı kaynaklara sahip cihazlarda kullanım için uygun hale getirir. Simetrik anahtar kullanımı, aynı zamanda bir Genel Anahtar Altyapısı (PKI) içindeki Sertifika Yetkilisi’nin olası güvenlik açıklarına karşı esneklik sağlar.

Son olarak, Kerberos açık kaynak kodlu bir uygulamaya sahiptir ve bu özelliği sayesinde devlet sistemlerine entegrasyonu kolaylaştırır; bu entegrasyon, merkezi olmayan yapılar için ritüel bir uyum süreci gerektirmeden gerçekleştirilebilir..

DONANIM CİHAZLARI

Bir cihazı güvenli hale getirmenin en etkili yolu, bir saldırganın bu sistemi nasıl tehlikeye atabileceğini öngörmek amacıyla saldırgan bakış açısıyla düşünmektir. Saldırı-savunma tatbikatları sayesinde güvenlik uzmanları, hangi açıkların en kritik istismarlara yol açtığını belirleyebilir ve bu açıkları gidermeye yönelik stratejiler geliştirebilir.

Düzenli olarak gerçekleştirilen sızma testleri, her cihaz ve ağda mevcut olan güvenlik açıklarını ortaya çıkarır. Dağıtık öğrenme mimarileri bağlamında, özellikle kişiselleştirilmiş öğrenme veri depolarına erişim sağlayan cihazlar (örneğin ortak anahtar depoları, etki alanı denetleyicileri, sertifika yetkilileri ve kimlik doğrulama sunucuları) ile değerlendirme materyallerini barındıran içerik depoları (örneğin yanıt anahtarlarını içeren sistemler) için bu testler kritik öneme sahiptir.

SOSYAL GÜÇLENME: DAYANIŞMA GELİŞTİRME

Öğrenme yönetimi, sosyal güçlenme kavramının ayrılmaz bir parçasıdır. Ağ ve cihaz güçlendirme çabalarından tasarruf etmek için, ilgili eğitim müdahaleleri ile birlikte kuruluş içindeki insan davranışlarının açık bir değerlendirmesi gereklidir. Güvenlik açısından, sosyal güçlenme kurumsal esnekliği geliştirme fırsatıdır, çünkü insanlar teknik kontrollerin tasarımının arkasındaki “neden”i ve veri ihlallerini nasıl önleyebilecekleri ve içerebileceklerini öğrenmeye başlarlar. Sosyal güçlenmenin en önemli bileşeni, yine de en iyi uygulamaların kültürünü oluşturan kuruluşun bunu benimsemesidir.

Uygulama Önerileri

Genel olarak, gelecekteki öğrenme ekosisteminde güvenlik uygulama planı dört aşamadan oluşmalıdır. Bu planın yapılandırılmış bir versiyonu, siber güvenlik yeteneklerini genişletmenin ve ileriye dönük iyileştirmeleri sağlamanın en hızlı ve maliyet etkin yolunu sunar.

FAZ 1: GÜVENLİK GEREKSİNİMLERİNİ TANIMLAMA

Güvenlik ihtiyacı açıktır; ancak hangi standartların uygulanacağı belirsiz olabilir. Bu nedenle, güvenlik gereksinimleri mühendisliği sürecin ilk adımıdır. Bu adım, sistemler arası birlikte çalışabilirlik gereksinimlerine disiplinli bir bakış sunar. Mevcut güvenlik prosedürleri tanımlanmalı, stres testleri uygulanmalı, eksik kalan koruma alanları belirlenmeli ve içerik sağlayıcılarla işbirliği içinde saldırı-savunma tatbikatları gerçekleştirilmelidir. Bu süreç, en kritik ve etkili güvenlik iyileştirmelerine öncelik verilmesini sağlayarak kaynakların ekonomik kullanımını destekler.

FAZ 2: GÜVENLİĞİ ÖĞRENME FAALİYETLERNE ENTEGRE ETME

Yeni süreçleri öğrenmek, sürekli gelişimi geleceğe taşımak için en uygun yoldur. Faz 1 uygulamaları sırasında güvenlik mühendisliği süreçlerinin izlenmesi ve değerlendirilmesi, gerçek dağıtık öğrenme mimarilerinden elde edilen bireysel ve kurumsal öğrenme çıktıları sağlar. Faz 1 ve 2’nin entegrasyonu, maliyet etkinliği yaratır. Bu öğrenme faaliyetleri, güvenlik teknolojilerine dair süreçlerin anlaşılmasını destekler ve gelecekteki güvenlik gelişimlerine zemin hazırlar.

FAZ 3: GÜVENLİK POLİTİKALARI VE STANDARTLARI TASLAĞINI OLUŞTURMA.

Kısa vadede belirli güvenlik protokollerini ve kabul edilebilir teknolojileri yönetmenin yanı sıra, uzun vadeli süreç odaklı bir yaklaşım geliştirme fırsatı da vardır. Örneğin, yıllık güvenlik açığı değerlendirmesi için üçüncü taraf denetim talep edilmesi, askerî (ör., FM 3-19.30.2) ve finansal (ör., 23 NYCRR 500) sektörlerde yaygın bir uygulamadır. Taslak güvenlik politikaları ve standartları, hem ürün hem de süreç odaklı ihtiyaçları kapsayarak öğrenme ekosisteminde kalıcı güvenlik sağlamaya yönelik bir çerçeve sunmalıdır..

• Ağlar: Öğrenen verilerinin korunmasında ilk adım ağ güçlendirmesidir. Bu, veri biçimleri, havuzları ve taşıma katmanları (ör., xAPI, XML ve Kafka) ile ilgili Kerberos tabanlı alternatiflerin test edilmesi, geliştirilmesi ve dağıtımını içerebilir.
• Cihazlar: Dosya okuma, yazma ve yürütme işlevleri nedeniyle cihaz sağlamlaştırma zorluklar barındırır. Bu adım, ajans standartlarının sistematik gözden geçirilmesini ve cihaz bağlantısı için asgari standartların belirlenmesini içerir.
• İnsanlar: Sosyal güçlendirme, özellikle teknik personel için zordur. İnsan kaynaklı siber saldırı vektörlerini önlemek için davranışsal politika ve standartlar geliştirilmelidir. Örneğin, AR 381-12 gibi mevcut askerî güvenlik protokolleri incelenerek en iyi uygulamalar belirlenebilir.

FAZ 4: Hazırlık Beklentileri ve Risk Yönetimi

Hiçbir güvenlik planı riski tamamen ortadan kaldıramaz. Teknolojik değişimin hızlanması, özellikle veri toplayan, depolayan ve işleyen sistemler için bu durumu daha da kritik hale getirir. Bu aşama, gelecekteki teknolojik gelişmeler ışığında mevcut güvenlik bulgularını, kontrolleri ve kalıcı riskleri değerlendirmeyi amaçlar. Faz 4’ün çıktısı, Faz 3’te geliştirilen politika ve standartların ne zaman güncellenmesi gerektiğine dair bir değerlendirme içermelidir. Ayrıca, analiz sürecinde ortaya çıkabilecek varsayımlar, bulgular ve uyarı göstergeleri açıkça listelenmelidir.