KURUMSAL EĞİTİM, GÜVENLİ YAZILIM GELİŞTİRME

EĞİTİM SÜRESİ ALTERNATİFLERİ

• • Konu Anlatımlı Eğitim: 3 Gün (Tavsiye Edilen)
  • Ders Süresi: 50 dakika
  • Eğitim Saati: 10:00 - 17:00

Her iki eğitim formatında eğitimler 50 dakika + 10 dakika moladır. 12:00-13:00 saatleri arasında 1 saat yemek arasındaki verilir. Günde toplam 6 saat eğitim verilir. 2 günlük formatta 12 saat eğitim verilmektedir.

Eğitimler uzaktan eğitim formatında tasarlanmıştır. Her eğitim için Teams linkleri gönderilir. Katılımcılar bu linklere girerek eğitimlere katılırlar. Ayrıca farklı remote çalışma araçları da eğitmen tarafından tüm katılımlara sunulur. Katılımcılar bu araçları kullanarak eğitimlere katılırlar.

Eğitim içeriğinde GitHub ve Codespace kullanılır. Katılımcılar bu platformlar üzerinden örnek projeler oluşturur ve eğitmenle birlikte eğitimlerde sorulan sorulara ve taleplere uygun içeriğe cevap verir.

Eğitim yapay zeka destekli kendi kendine öğrenme formasyonu ile tasarlanmıştır. Katılımcılar eğitim boyunca kendi kendine öğrenme formasyonu ile eğitimlere katılırlar. Bu eğitim formatı sayesinde tüm katılımcılar gelecek tüm yaşamlarında kendilerini güncellemeye devam edebilecekler ve her türlü sorunun karşısında çözüm bulabilecekleri yeteneklere sahip olacaklardır.

EĞİTİM HEDEFİ

• Temel Güvenlik Bilincini Oluşturmak: Katılımcılar, bilgi güvenliğinin temel ilkelerini, tehdit türlerini ve güvenlik zafiyetlerinin sistemler üzerindeki etkilerini kavrayacaklardır.
• Güvenlik Risklerini Tanımlamak ve Değerlendirmek: Eğitim, risk analizi, tehdit modelleme ve veri koruma gibi konularda katılımcılara yetkinlik kazandırarak, zafiyetlerin önceden belirlenmesini ve önlenmesini amaçlar.
• Uygulama ve Veritabanı Güvenliğini Sağlamak: Katılımcılar, yazılım geliştirme sürecinde güvenlik testlerini uygulamayı, SQL Injection ve XSS gibi saldırılara karşı koruma sağlamayı ve güvenli kod geliştirme pratiklerini öğreneceklerdir.
• Kimlik Doğrulama ve Yetkilendirme Mekanizmalarını Etkin Kullanmak: Güvenli erişim kontrolü, çift faktörlü kimlik doğrulama ve RBAC gibi yetkilendirme yöntemleri hakkında uygulamalı bilgi kazandırılması hedeflenmektedir.
• Şifreleme ve Kriptografi Yöntemlerini Anlamak: Katılımcılar, simetrik/asimetrik şifreleme teknikleri, hashing algoritmaları, dijital imza ve sertifika yönetimi gibi kriptografi uygulamalarını öğreneceklerdir.
• Mobil Platformlarda Güvenliği Sağlamak: Android ve iOS sistemler üzerindeki güvenlik açıklarını tespit etme ve bu açıkları gidermeye yönelik pratik bilgi ve becerilerin kazandırılması hedeflenir.
• Disaster Recovery ve Sistem Yedekliliğini Planlamak: Eğitim, yedekleme stratejileri, felaket kurtarma senaryoları ve iş sürekliliği planlarının oluşturulması üzerine bilgi aktarımını içerir.
• Sistem İzleme ve Loglama Altyapısı Kurmak: Katılımcılar, güvenli hata yönetimi, sistem kayıtlarının tutulması ve log analizi konularında bilgi sahibi olacaklardır.
• Personel Güvenliği ve Farkındalık Kültürü Oluşturmak: Sosyal mühendislik saldırılarına karşı personelin eğitilmesi, kişisel bilgisayar güvenliği ve yasal düzenlemelere uyum konularında farkındalık oluşturulacaktır.
• Kurumsal Güvenlik Politikalarıyla Uyumlu Çalışmak: Katılımcılar, bilgi güvenliği süreçlerini kurumsal politikalarla entegre etme ve standartlara (ör. KVKK, ISO 27001) uyum sağlama konularında yetkinlik kazanacaklardır.

Bu eğitim, katılımcılara yalnızca Agile yönetim metodolojilerini öğretmekle kalmayacak, aynı zamanda bu bilgileri gerçek projelerde uygulama becerisi kazandırarak, daha verimli ve çevik projeler yürütmelerini sağlayacaktır.

EĞİTİM İÇERİĞİ

Modül 1: Temel Güvenlik Unsurları

• • Güvenlik Kavramı: Güvenliğin temel ilkeleri ve önemi. Bilgi güvenliğinin temel unsurları ve yazılımda güvenliğin rolü. Güvenlik tehditlerinin tanımlanması, risk analizi ve güvenlik açıklarının sınıflandırılması.
  • Tehdit Modelleme: Tehdit modellemesi nedir, nasıl yapılır? Tehdit analizi yöntemleri, yazılım projelerinde güvenlik açıklarını önceden tahmin etme ve risk değerlendirme süreçleri.
  • Şifre Stratejileri: Güçlü şifrelerin oluşturulması, şifre yönetim araçları ve en iyi uygulamalar. Şifre kırılmasına karşı alınacak önlemler ve modern şifreleme standartları.
  • Erişim Kontrolü (Access Control): Erişim kontrolü kavramı, izinler, roller ve grupların yönetimi. Yetkilendirme mekanizmaları ve güvenli erişim modelleri.
  • Hesap ve Oturum Yönetimi: Hesap yönetimi süreçleri, oturum açma ve sürekliliği güvenliği. Oturum yönetiminde kullanılan teknikler ve saldırılara karşı koruma yöntemleri.
  • Veri Güvenliği: Veri güvenliğinin sağlanması, verilerin şifrelenmesi, veri erişimi kontrolü ve veri bütünlüğünün korunması.
  • Disaster Recovery (Felaket Kurtarma): Felaket kurtarma planları oluşturma, yedekleme ve geri yükleme süreçlerinin güvenliği, kurtarma sürekliliğinin sağlanması ve test edilmesi.
  • Veri Korunumu (Data Protection): Kişisel verilerin korunması, veri koruma yasaları ve uyum süreçleri, veri şifreleme ve erişim kontrolü uygulamaları.
  • Veri Giriş Doğrulama (Input Validation): Güvenli yazılım geliştirmede girdi doğrulama prensipleri, güvenli kodlama teknikleri, hata yönetimi ve güvenli girdi kontrolü yaklaşımları.
  • Girdi Denetimi Stratejileri: Güvenli girdi filtreleme yöntemleri, girdi doğrulama ve sanitasyon teknikleri.
  • Beyaz Liste ve Kara Liste Kullanımı: Whitelisting ve Blacklisting kavramları, uygulamalarda güvenlik amaçlı kullanım senaryoları.
  • HTTP Durum Kodları: HTTP durum kodlarının anlamları ve güvenlik ile ilişkisi, doğru hata iletimi stratejileri.
  • Hata Yönetimi (Error Handling): Güvenlik açıklarına yol açmayan hata mesajları, hata yönetim stratejileri ve loglama uygulamaları.
  • Uzaktan Yönetim (Remote Administration): Güvenli uzaktan erişim yöntemleri, VPN ve şifreli bağlantı kullanımı.
  • Sunucu Yapılandırması: Web ve uygulama sunucularında güvenlik yapılandırmaları, servis yönetimi ve güvenli bağlantı noktaları.
  • Sistem Kayıtları (System Logging): Sistem loglarının önemi, yönetimi ve güvenliği, kayıt tutma stratejileri.
  • Bileşen Güvenliği (Caching, Pooling): Sistem bileşenlerinde güvenlik önlemleri, caching ve pooling uygulamalarında dikkat edilmesi gerekenler.

Modül 2: Saldırı ve İzleme Yöntemleri

• • İş Mantığı Saldırıları: İş mantığı saldırılarının tanımı, örnekleri ve yazılımda bu saldırılara karşı alınacak önlemler.
  • Footprinting: Footprinting teknikleri, saldırganların bilgi toplama yöntemleri ve istenmeyen erişimlerin önlenmesi.
  • Sosyal Mühendislik (Social Engineering): Sosyal mühendislik saldırılarının çeşitleri, riskleri ve korunma yöntemleri.
  • Vulnerability Yönetimi: Güvenlik açıklarının tespiti, zafiyet tarama araçları ve açıkların giderilme süreçleri.
  • Brute Force Atakları: Brute force saldırılarının tanımı, işleyişi ve korunma stratejileri.
  • DDoS Atakları: Dağıtık Hizmet Engelleme (DDoS) saldırıları, tespiti ve korunma yöntemleri.
  • Cross Site Scripting (XSS): XSS saldırılarının türleri, nasıl gerçekleştirildiği ve etkili korunma teknikleri.
  • SQL Injection: SQL enjeksiyon saldırılarının tanımı, riskleri ve güvenli kodlama yaklaşımlarıyla korunma yöntemleri.

Modül 3: Yazılım

• • Yazılım Geliştirme Yöntemleri: Güvenli yazılım geliştirme yaşam döngüsü, prensipler ve süreçler.
  • Yazılım Kalitesi: Yazılım kalitesinin önemi, kalite standartları ve güvenlik testlerinin rolü.
  • Kod Analizi: Statik ve dinamik kod analiz araçları, güvenlik açıklarının tespiti ve yönetimi.
  • Yazılım Testleri: Güvenlik testleri, penetrasyon testleri ve sızma testleri metodolojileri.
  • Veritabanı Güvenliği: Veritabanı erişim kontrolü, şifreleme ve güvenlik önlemleri.
  • Prepared Statements: SQL enjeksiyonu önlemek için prepared statements kullanımı ve güvenlik faydaları.
  • ORM Çözümleri: Entity Framework, NHibernate vb. araçlarda güvenlik yaklaşımları.
  • Regular Expressions: Güvenli regex kullanımı ve hatalı inputların önlenmesi.
  • Captcha Kullanımı: Bot saldırılarını önlemek için captcha teknikleri ve uygulama stratejileri.
  • Web Servis Güvenliği: REST ve SOAP servislerinin güvenliği, kimlik doğrulama ve yetkilendirme yöntemleri.
  • Ajax Güvenliği: Ajax uygulamalarında karşılaşılan güvenlik açıkları ve koruma yöntemleri.
  • Şifre Saklama Stratejileri: Güvenli şifre saklama yöntemleri, hashing ve salt kullanımı.
  • Kod Kaynak Güvenliği: Kaynak kodlarının güvenliği, sürüm kontrol sistemleri ve erişim yönetimi.

Modül 4: Kimlik Doğrulama

• • Kimlik Doğrulama Çeşitleri: Temel kimlik doğrulama yöntemleri, çift faktörlü kimlik doğrulama (2FA) ve güncel yaklaşımlar.
  • Kimlik Doğrulama Stratejileri: Güvenli kimlik doğrulama süreçleri, token tabanlı ve oturum yönetimi uygulamaları.
  • OpenID ve Token: OpenID Connect protokolü, JWT ve token tabanlı kimlik doğrulama modelleri.

Modül 5: Yetkilendirme

• • Yetkilendirme Yöntemleri: Role-based access control (RBAC), attribute-based access control (ABAC) ve diğer yetkilendirme protokolleri.
  • .NET Membership: .NET üyelik sistemi ve güvenlik yönetimi.
  • Forceful Browsing: Forceful browsing saldırılarının tanımı ve güvenli gezinti yöntemleri.
  • Directory Browsing: Dizin tarama riskleri ve güvenlik önlemleri.

Modül 6: Kriptoloji (Cryptography)

• • Şifreleme (Encryption): Şifreleme türleri, simetrik ve asimetrik algoritmalar ve temel şifreleme kavramları.
  • Şifreleme Algoritmaları: AES, RSA, DES gibi yaygın algoritmaların teknik detayları ve kullanım alanları.
  • Hashing ve Algoritmaları: Hash fonksiyonları, kullanımları ve güvenlik önemi.
  • Dijital İmza: Dijital imza kavramı, çalışma prensibi ve uygulama örnekleri.
  • Sertifikalar ve Sertifika Sunucuları: Sertifika yönetimi, SSL/TLS yapısı ve güvenlik mekanizmaları.

Modül 7: Mobil Yazılım Güvenliği

• • Mobil Cihazlarda Güvenlik Açıkları: Mobil cihazlarda yaygın güvenlik açıkları ve bunlara karşı alınacak önlemler.
  • Gömülü Cihazlar (Embedded): Gömülü sistemlerde güvenlik uygulamaları ve risk yönetimi.
  • Ofis Cihazları Güvenliği: Yazıcı, fotokopi gibi ofis cihazlarının güvenliği.
  • Basılı Belge Güvenliği: Fiziksel belge güvenliği ve bilgi sızıntısı önlemleri.
  • Android Cihazlarda Güvenlik: Android platformunda güvenlik özellikleri ve uygulamalar.
  • iOS Cihazlarda Güvenlik: iOS platformunda güvenlik önlemleri ve standartları.

Modül 8: Personel Bilgi Güvenliği

• • Personel Farkındalık Yaratma: Güvenlik farkındalığı eğitimlerinin önemi ve uygulanması.
  • Kişisel Bilgisayar Güvenliği: Bireysel kullanıcıların bilgisayar güvenliği için dikkat etmesi gerekenler.
  • Yasal Mevzuat: Bilgi güvenliği ile ilgili yasal düzenlemeler ve uyum süreçleri.

EĞİTİM YÖNETİMİ

• Teorik Bilgi Aktarımı: Bilgi güvenliği, siber tehditler, kriptografi ve güvenli yazılım geliştirme gibi temel kavramlar detaylı olarak anlatılır.
• Senaryo Tabanlı Uygulamalar: Gerçek dünyadan alınan vaka analizleri ile saldırı simülasyonları, güvenlik açıklarının analizi ve çözüm uygulamaları yapılır.
• Etkileşimli Tartışmalar: Katılımcıların aktif olarak yer aldığı oturumlarla, kurumsal güvenlik süreçleri, sızma testi senaryoları ve risk değerlendirme yaklaşımları tartışılır.
• Proje Tabanlı Öğrenme: Eğitimin sonunda katılımcılar, öğrendikleri kavramları kullanarak mini bir “Güvenlik Denetimi ve Zafiyet Analizi” projesi hazırlarlar.

HEDEF KİTLE

1. Sistem ve Ağ Yöneticileri: Kurumsal altyapılarda güvenlik açıklarını analiz etmek ve önlemler geliştirmek isteyen teknik personel.
2. Yazılım Geliştiriciler: Uygulamalarında güvenli kodlama prensiplerini uygulamak isteyen geliştiriciler.
3. DevOps / SRE Uzmanları: CI/CD süreçlerinde güvenlik kontrolleri uygulamak isteyen mühendisler.
4. Bilgi Güvenliği Uzmanları: Kurumsal güvenlik politikalarını oluşturmak ve yönetmek isteyen güvenlik profesyonelleri.
5. BT Denetçileri ve Risk Yöneticileri: Bilgi güvenliği standartlarını değerlendirmek ve risk yönetimi süreçlerini geliştirmek isteyen uzmanlar.
6. Proje Yöneticileri: Yazılım projelerinde güvenlik odaklı yaklaşım geliştirmek isteyen yöneticiler.
7. Üst Düzey Yöneticiler: Organizasyon genelinde bilgi güvenliği farkındalığını artırmak isteyen karar vericiler.
8. Yeni Mezunlar ve Stajyerler: Güvenlik odaklı yazılım geliştirme veya sistem yönetimi kariyeri hedefleyen genç profesyoneller.
9. Danışmanlar: Müşterilerine bilgi güvenliği, yasal mevzuat uyumu ve teknik çözüm konularında rehberlik sunmak isteyen danışmanlar.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Temel ağ ve işletim sistemi bilgisine sahip olunması beklenir (özellikle Linux).
• Yazılım geliştirme veya sistem yönetimi deneyimi önerilir, ancak zorunlu değildir.
• Güvenlik kavramlarına ilgi duyan ve öğrenmeye açık bir bakış açısına sahip olunmalıdır.
• Eğitim boyunca aktif katılım ve örnek senaryolara yönelik katkı sağlanması teşvik edilir.