BILGI GUVENLIGI RISKLERININ YONETIMI

Transkript

1

2 BILGI GUVENLIGI RISKLERININ YONETIMI 9 Mayis 2015 Istanbul ENCODE Confidential 2

3 Uluslararasi konjunktur, mevcut durum ve ulkemizdeki son 10 yilda yasanan gelismeler saglik sektorunu bilgi guvenliginin yonetisimini yapmaya dogru itmektedir Uluslararasi standartlarin (HIPAA, IHE) gelecekte Turkiye ye adaptasyonunun bekleniyor olmasi Bilgi guvenligi mevzuatlarinin (BDDK, SPK, KGK, SGK) Turkiye de varligi 1 Mayis ta yururluge giren Kisisel Verileri Koruma Kanunu Saglik sektorunun bilgi guvenligi acisindan yuksek risk profili Turkiye deki saglik kurumlarinda gorulen BT ve bilgi guvenligi yonetisimindeki gelistirme ihtiyaclari ENCODE Confidential 3

4 Bunlarin yani sira ayrica uykumuzu kaciran guvenlik riskleriyle de gunbegun mucadele etmek durumundayiz Kisisel verilerin kaybi ve gizliliginin bozulmasi Kuruma ozel gizli bilgilerin calinmasi, gorulmesi veya ifsa edilmesi Siber saldirilar Kurumsal casusluk Guvenlik ihlallerini zamaninda farkedememek Yetkisiz erisimleri anlayamamak ve onleyememek Virus ve malware ler Tasinabilir medya ve aygitlar 5651 riskleri ENCODE Confidential 4

5 Bilgi guvenligi yonetisiminin amaci guvenlik tedbirlerinin buyuk bir kisminin olusmadan evvel onlenebilmesi olmalidir Onleyici tedbirler almak, ihlal olustuktan sonra onunla mucadele etmekten her zaman daha ucuz ve kolaydir. Bazi guvenlik ihlalleri ciddi anlamda sistem, varlik, bilgi ve itibar kaybina yol acabilir ve belli basli kayiplarin parasal anlamda olculebilmesi imkansiz olabilir. Karsilik ver Ihlali Farket ÖNLE Kurumun varliklari ve itibarinin korunmasi ÖNLE Ihlali Farket Karsilik ver Onleyici kontrollerin belirlenmesi Is surecleri ve bilgi guvenligi kontrolleri Mali controller ve yetkilendirmeler Islem talep ve onay surecleri Uygulama kontrolleri ITGC: BT genel kontrolleri Onleyici guc olarak dogru karsilik verme ve mucadelenin kullanimi Sistemler uzerine kurulmus alarm/red flag mekanizmalari Proaktif kontroller Senaryo bazli karsilik ve duzeltme planlari Yetkilendirmelerin dogru olusturulmasi ENCODE Confidential 5

6 Bilgi guvenliginin dogru yonetimi ve yonetisimi icin ana standart ISO27001 olmakla beraber diger standartlarla etkilesimler de gozonunde bulundurulmalidir Biz hangi standartlari kullanmaliyiz? COSO ISO ISO COBIT ISO 9000 Neyin yonetisimi yapilacaktir? ITIL Nasil yonetisim yapilacaktir? TOGAF Yonetisim kapsami ENCODE Confidential 6

7 Saglik kurumlarinin bilgi guvenligi yonetisim kapasitesinin arttirilmasina yonelik hazirlik calismalari yapilmalidir Hedef ortamin tanimlanmasi ve analizi Veri toplama ve testlerin yapilmasi Zayif noktalarin ve risklerin belirlenmesi Ilk tavsiyeler Bulgu kapatma planinin olusturulmasi Bulgularin kapatilmasi Bulgu kapatmalarin kontrolu Guncel tehdit, risk ve BT guvenlik zayifliklariyla ilgili bilgi ve tecrubeler Veri toplama ve testler Belirleme ve tanimlama Kurumdan gelecek geri bildirim Detayli bulgu kapatma tarifleri ve teknik cozumler Sertifikasyon hazirlik kriterleri Dar acidan detayli analiz Ozel arastirmalar Genis acidan analiz Teyit etme Kategorilere ayirma ve onceliklendirme Bilinen bilgi kaynaklarinin taranmasi Zayif nokta ve risklerin belirlenmesi ENCODE Confidential 7

8 ISO27001 standartlariyla uyum sureci, bu yaklasimin onemli bir parcasi olacaktir Mevcut durumun degerlendirilmesi ve risk analizi Tehdit, risk, tehlike ve aciklarin analizi Tehlike-Acik-Risk matrisi olusturulmasi Risk yonetiminin olusturulmasi Mevcut durumla surec gereksinimlerinin arasindaki farkliliklarin analizi Mevcut durumun BT standartlarinin verdigi tavsiyelerle karsilastirilmasi Farklarin tesbit ve analizi Bilgi guvenligi gereklerinin tespit edilmesi Bilgi guvenlik dokumantasyonunun olusturulmasi Kurumun ISO27001 e uygun Guvenlik Politikasi Diger ISO27001 politika, prosedur, form ve dokumanlari Politikalarin kurum icinde yayinlanmasi surecine destek Farkliliklarin giderilmesi icin verilen danismanlik destegi Bilgi guvenligi gereklerini karsilayacak proje ve taktiksel planlarin uretimi Projelerin ve gelistirme calismalarinin baslatilmasi Proje ve gelistirme calismalarina verilecek destek Guvenlik ve farkindalik egitimleri Kullanici farkindaligi egitimleri BT guvenlik yonetici ve teknik egitimleri Diger mutabik kalinacak egitimler Donemsel uyum kontrolleri Donemsel olarak denetim ve bulgularin raporlanmasi Bulgularin kapatilmasi ve bu surece verilecek destek Bulgu kapatmalarinin kontrolu ENCODE Confidential 8

9 Ayni sekilde zayiflik ve sizma (penetrasyon) testleri de bilgi guvenligi aciklarinin kapatilmasi icin zorunluluk arzetmektedir Zayiflik ve sizma testi, temel olarak belirli güvenlik düzeyindeki ihlallerin bulunması ve ardından bu ihlallerin azaltılması, gereken adımların atılmasını sağlamak için var olan güvenlik mekanizmalarını denetleme ve bu mekanizmaları atlatma denemelerinden oluşur. Test kapsamında risklerin, zayıflıkların meydana getirebileceği zararlar, saldırganların ulaşabilecekleri noktaların analizi yapılarak ağ tam bir denetime tabi tutulur. Testlerin olasi kapsami Bulgularin Raporlanmasi Kesif DDoS testleri Sosyal mühendislik testleri Phishing testleri Testlerin Yapilmasi Inceleme MEDIKAL sistem testleri Özel donanım ve gömülü sistem testleri ENCODE Confidential 9

10 1 Mayis 2015 itibariyle kisisel verilerin korunmasi da bilgi guvenligiyle elele yuruyecek yeni bir konsept olarak hayatimiza girmistir Veri Koruma Kurumu Regulasyon Kisisel Verilerin Korunmasi Kanunu Veri Surecleri Veri sahibinin mutabakati Kisisel verinin kaydi Kisisel verinin kullanimi Verinin ucuncu sahislara aktarimi Verinin Turkiye disina cikarilmasi Verinin yok edilmesi Surec ve uygulama kontrolleri Dokuman yonetimi Tedarikcilerin kontrol edilmesi Kontroller Altyapi Veritabani kontrolleri Erisim kontrolleri Fiziksel guvenlik Teknoloji katmani (IDS, IPS, anti-malware, DLP, DB security, server security) Mevcut durumun degerlendirilmesi Gelistirme ve uyum planinin olusturulmasi Implementasyon destegi Implementasyon sonrasi kontroller Uzman Destegi Avrupa Birligi Veri Koruma Kanunu bilgi birikimi ve pratik tecrubesi ENCODE Confidential 10

11 DIJITAL HASTANE konsepti kullanarak amac bilgi guvenligi yonetisimini ulkemizin ve sektorumuzun gerceklerine hizalamaktir Akilli hastane Akilli binalar, akilli teknolojiler (mikro, nano, holograf, 3D, M2M, yapay zeka, giyilebilir teknolojiler, biyomedikal, robot) 5 yildizli konfor Buyuk veri ve bulut teknolojiler Yesil hastane LEED sertifikasi, enerji donusumu Yesil hastane teknolojileri Kaynak: Yasin Keles Saglik Bilisim Dernegi Yonetim Kurulu Baskani Memorial Hastaneleri Grup CIO su Kagitsiz hastane Elektronik order, mobil cihazlar, giyilebilir teknolojiler Bulut sistemler, kisisel saglik takibi kayitlarinin Buyuk veri ve sosyal medya entegrasyonu E-imza, e-recete ve diger e-uygulamalar ENCODE Confidential 11

12 ISO15504 surec yetkinlik modeli mevcut durumun anlasilmasi ve hedeflerin belirlenmesi icin kullanilabilir Optimize edilmis (optimizing) Surec, mevcut ve gelecekteki kurumsal ve BT hedeflerine uygun olarak gelistirilebilmektedir Onceden tahmin edilebilen (predictable) Surec her seferinde onceden tanimlanmis sinirlar dahilinde calistirilmaktadir Standarda oturtulmus (established) Surec tamamen tanimlanmis ve bir standarda oturtulmustur 1 Performed PA Predictable PA.4.1 PA Established PA.3.1 PA Optimizing PA.5.1 PA.5.2 Surec inovasyona aciktir Surec optimize edilmektedir Performans yonetimi yapilmaktadir Kontrol aktiviteleri tamdir Surec bir standarda oturtulmustur Surec tamamen hayata gecirilmistir Yonetilen (managed) 2 Managed Surec yonetilmektedir ve surec urunleri, PA.2.1 Performans yonetim hedefleri bellidir ilgili yonetim prosedurune uygun olarak PA.2.2 Surec urunleri yonetilmektedir guncellestirilmekte, control edilmekte ve yonetilmektedir Isleyen (performed) Surec hayata gecirilmistir ve amaca uygun Islemektedir ve belgelendirilmistir sonuclari vermektedir 0 Incomplete Tam islemeyen (incomplete) Surec hayata gecirilmemistir, amaca uygun sonuclari vermiyordur veya dokumantasyonu tam degildir ENCODE Confidential 12

13 DIJITAL HASTANE alt tanimlarina uygun olarak hedef yetkinlik seviyeleri belirlenerek gerekli aksiyonlar alinabilir Uygunluk alani Yonetisim surecleri (Risk ve kaynak optimizasyonu) Bilgi guvenliginin planlanmasina iliskin surecler (IK, butce, tedarikci, risk ve guvenlik yonetimi planlamasi) Guvenlik politikalarini insa etme ve hayata gecirme surecleri (Program, proje, degisiklik, erisilebilirlik, kapasite ve konfigurasyon yonetimi) Operasyon ve destek surecleri (Vaka, olay, destek talepleri, problem, devamlilik, guvenlik/erisim, ve is surec kontrollerinin yonetimi) Alinmasi gereken surec etkinlik notu AKILLI HASTANE YESIL HASTANE KAGITSIZ HASTANE Kontrol surecleri (Uyum programinin yonetimi, ic kontrollerin denetlenmesi) ENCODE Confidential 13

14 Detayli kapasite gelistirme ve sertifikasyon yaklasimi asagidaki gibi olacaktir Bulgu kapatma plani ve bulgularin kapatilma sureci Donemsel guncelleme denetimleri Belirlenmis kontrollerin hayata gecirilmesi Sertifikasyon oncesi denetim ve degerlendirme Farkindalik programinin hayata gecirilmesi Dokumantasyonun hayata gecirilmesinin planlanmasi ve onaylanmasi KPI ve etkinlik denetimi Dokumantasyonun olusturulmasi 9 11 Sertifikasyon denetimi Bilgi guvenligine verilecek ust yonetim destegi Dokumantasyonun plana uygun olarak hayata gecirilmesi Hayata gecirme faaliyetlerinin kontrolu 1 5 Dokumantasyonun hayata gecirilmesi icin proje ve plan olusturulmasi 2 Bilgi guvenligi sertifikasyon kapsaminin belirlenmesi 3 Risklerin degerlendirilmesi ve risk tablolarinin olusturulmasi Detayli dokumantasyonun olusturulmasi ENCODE Confidential 14

15 Sertifikasyona hazirlik, denetim ve sertifikanin alinmasi sureclerinde uluslararasi prensip ve standartlara uyulmalidir Sertifikasyon programinin sahiplenilmesi Saglik sektorunun bilinclendirilmesi Sertifikasyon zorunlulugunun mevzuata gecirilmesi Danismanla denetcinin ayrilmasi Danismanin ve denetcinin ayri ayri ve kisisel sertifikasyonu Danisman ve denetci icin yillik profesyonel egitim (CPE) zorunlulugu Danisman ve denetciler icin meslek odasi Once on hazirliklar ve hayata gecirme, sonra denetim ve sertifikasyon Sertifikanin donemsel denetimlerle guncellenmesi ENCODE Confidential 15

16 Zamanininiz icin tesekkur ederiz ENCODE IT Management & Consultancy Adres: Tepecik Yolu no.28 D:5, Etiler, Besiktas, Istanbul Tel: Web: