Boğaziçi Üniversitesi - ETM. İş ve BT Strateji Uyumu ile Bilgi Güvenliği ve İş Sürekliliğinin Önemi İstanbul

Transkript

1 Boğaziçi Üniversitesi - ETM İş ve BT Strateji Uyumu ile Bilgi Güvenliği ve İş Sürekliliğinin Önemi İstanbul

2 İçindekiler 1. Tanışma 2. Deloitte Hakkında 3. İş ve BT Stratejilerinin Uyumu 4. İş Sürekliliği 5. Bilgi Güvenliği 6. Deloitte Referanslar 7. İletişim Bilgilerimiz

3 Tulu Akyol Tulu Akyol Müdür, CISA, ISO LA Tulu Akyol, 2010 yılında katıldığı Deloitte Kurumsal Risk Hizmetleri BT Risk Hizmetleri Bölümü nde Müdür olarak çalışmaktadır. Tulu, yaklaşık 11 senedir farklı organizasyonlar ve görevlerde profesyonel hizmetler vermektedir. Çalışma hayatına yılları arasında Garanti Bankası Alternatif Dağıtım Kanalları Bölümü nde başlamış olup yılları arasında HSBC Bank A.Ş. Teftiş Kurulu Başkanlığı nda BT Yetkili Müfettiş Yardımcısı ve yılları arasında Eurobank Tekfen A.Ş. Teftiş Kurulu Başkanlığı nda BT Denetçisi olarak görevler almıştır. Çalışma hayatı boyunca bir çok uluslararası denetim çalışmalarında çok uluslu denetim takımlarında bulunmuş veya takımları yönetmiştir. Tulu, İş ve Teknoloji sürdürebilirliği stratejileri alanlarında uzmanlaşmış olup müşterilerine iş gereksinimleri etki analizleri, teknoloji bağımlılıklarının tespiti ve bu ihtiyaçları doğrultusunda kurgulanmış BT destek yatırımlarının uyumluluğu konularında hizmet vermektedir. Deloitte bünyesinde birçok denetim ve danışmanlık hizmetlerinde bulunmuştur; bunlar arasında, Sarbanes-Oxley (SoX) uyumluluğu, finansal ve yasal denetimler, kurumsal risk yönetişimi şeklinde sayılabilir. Bu çalışmalarda genel olarak BT süreç danışmanlığı, BT kontrollerinin değerlendirilmesi ile kurumda bulunan risklerin tespit edilmesi hizmetlerinde bulunmuştur. Tulu Akyol, 1982 yılında dünyaya gelmiştir. Tulu eğitimini Boğaziçi Üniversitesi Mühendislik ve Teknoloji Yönetimi Yüksek Lisans ve Yıldız Teknik Üniversitesi Matematik Mühendisliği lisans dereceleriyle tamamlanmıştır. İngilizce, Almanca ve Yunanca bilmektedir. BT denetim sertifikası olan CISA ve Bilgi Güvenliği ISO Baş Denetçi sertifikalarına sahiptir. Hizmet verdiği kurumlardan bazıları: Turkcell Türkiye Cumhuriyeti Merkez Bankası T.Garanti Bankası A.Ş.ve İştirakleri FinansBank A.Ş. Ve İştirakleri The Royal Bank of Scotland ve İştirakleri JP Morgan Türkiye A.Ş. Asya Katılım Bankası A.Ş. Sabancı Holding ve İştirakleri Eczacıbaşı Holding ve İştirakleri Aselsan Roketsan Türk Hava Yolları A.Ş. Pegasus VKV Amerikan Hastanesi Sahibinden.com 2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

4 Deloitte Hakkında

5 Deloitte un Hikayesi Video

6 Deloitte Global 150 den fazla ülkede, 650 ofis ve in üzerinde çalışan ile Fortune 500 de yer alan şirketlerin %79 una denetim ve danışmanlık hizmetleri vermekteyiz. Global Hakimiyetimiz Endüstriler Bazında Fortune 500 Şirketlerine Sunulan Hizmetlerimiz Amerika 230 Ofis çalışan EMEA (Avrupa/Orta Doğu / Afrika) 330 Ofis çalışan Asya Pasifik 90 Ofis çalışan %78 %60 %65 %66 %15 %19 %15 %20 %51 %13 %54 %27 TMT MFG Üretim LSHC Sağlık ve Finansal FSI E&R Enerji, CB Teknoloji, Medya ve Telekomünikasyon İlaç Hizmetler Denetim Danışmanlık Doğal Kaynaklar ve İnşaat Tüketim Deloitte olarak bugünlere nasıl geldik?... QR code uygulamasını kullanabilir ve tarihçemizi anlatan kısa videomuzu izleyebilirsiniz. 4 yıl üst üste kesintisiz büyüme $31.3 $32.4 $28.8 $26.6 4,9 4,9 4,2 3,6 10,9 11,1 10,3 10,0 13,0 14,3 15,5 16,4 * Asia Pacific EMEA Americas FY10 FY11 FY12 FY Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited * Milyar ABD Doları

7 Deloitte Türkiye Türkiye nin önde gelen, müşteri ve sektör odaklı profesyonel hizmet firması olarak 27 yıllık tecrübemiz, 5 farklı şehirdeki ofisimiz ve in üzerinde uzmanımız ile kaliteli ve ayrıcalıklı hizmetler sunmaktayız. Türkiye Ofislerimiz Endüstriyel Yapılanmamız Deloitte Türkiye yi sosyal medyada takip edebilirsiniz 7 Deloitte Turkey 2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

8 Deloitte Türkiye Fark yaratan entegre hizmetlerimiz Bağımsız Denetim Hizmetleri TTK Uyum Hizmetleri Finansal Dönüşüm ve Raporlama Hizmetleri Muhasebe Danışmanlığı Hizmetleri Audit Denetim & ERS Kurumsal Risk Kurumsal Risk Yönetimi Siber Güvenlik İç Denetim BT Denetimi ve Yönetişimi Kurumsal Yönetim Veri Koruma ve Mahremiyet Etik Hattı Müşterilerimiz 8 Strateji & Operasyonlar Kurumsal Uygulamalar Teknoloji Entegrasyonu İnsan Kaynakları Danışmanlık Consulting Birleşme ve Satın Alma / Satış Danışmanlığı Alıcı ve Satıcı Taraf Durum Tespit Çalışmaları (Due Diligence): Finansal, Vergi, Hukuki, Ticari, Bilgi Teknolojileri, İK Değerleme Danışmanlığı İşlem Sonrası Entegrasyon Hizmetleri Finansal Fizibilite ve Modelleme / Proje Finansmanı Borç Danışmanlığı Kurumsal Finansman Vergi Tam tasdik hizmetleri Vergi ve gümrük uyuşmazlıkları danışmanlık hizmetleri KDV / ÖTV iade hizmetleri Gümrük ve dış ticaret hizmetleri Uluslararası personel çalışma izinleri ve vergi danışmanlığı hizmetleri Yerel / Uluslararası vergi danışmanlığı hizmetleri Transfer fiyatlandırması hizmetleri Şirket alım satımlarında vergi danışmanlık hizmetleri Vergi ve Mali Hukuk Hizmetleri Muhasebe Destek Hizmetleri 2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

9 Deloitte Türkiye Kurumsal Risk Hizmetleri DRT Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş. nin, Kurumsal Risk Hizmetleri (Enterprise Risk Services) bölümün kadrosunda bugün 3 Ortak, 14 Müdür ve çeşitli kademelerde denetçilerden oluşan yaklaşık 70 kişilik bir ekip müşterilerine profesyonel hizmetler vermektedir Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

10 Sayılarla Deloitte Türkiye 2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

11 İş ve BT Stratejilerinin Uyumu

12 4 Proje Yönetişimi 3- Yol Haritası Yaratılması 2- BT Hizmetleri Değerlendirmesi ve Teknoloji Eğilimleri 1- İş Ortamı ve Gereksinim Değerlendirmesi İş ve BT Stratejilerinin Uyumu nasıl sağlanır? Yıkıcı Teknolojik Gelişmeler Endüstri Eğilimleri, İyi Uygulamalar İş Stratejisi İş Gereksinimleri BT Gereksinimleri Mevcut Durum Analizi Etkiler Etkiler Etkiler Kısıtlar 1 Business Environment and Requirements Assessment Leverage business strategy as the baseline of the highest level goals which the IT strategy and roadmap must support Business and IT requirements define, at a lower level, what the business requires to enable the business strategy Industry trends and best practices identify leading ideas which contribute to a stronger, more innovative IT strategy. Assessment of the current environment defines the current state of the IT and business environment. 2 IT Services Assessment and Technology Trends Identifies the IT strategic direction which should be taken given the implications drawn from the business and IT requirements, industry trends and best practices, and the assessment of the current environment BT Stratejik Yönlendirmesi 3 Define Roadmap Yol Haritası 3-5 Senelik Ana Plan Initiatives in the roadmap are identified based on a gap analysis between the current state and the previously identified IT strategic direction / end state The initiatives are placed on a roadmap which accounts for dependencies and duration Devreye Alma Devamlı Gözden Geçirme 4 Project Governance Defines the guiding principals to manage the overall roadmap and IT program as it is executed over the next 3-5 years. 12

13 Yeni Çalıştaylar Yap Çalıştaylar esnasında Kararlar İş ve BT Stratejilerinin Uyumu nasıl sağlanır? Üst Düzey Yaklaşım 1- İş Ortamı ve Gereksinim Değerlendirmesi Görüşmeler Gerçekleştir Mevcut Durum Analizini Yap İş birimleri ile görüşerek hedeflerinin ve diğer iş birimleri ile olan entegrasyonlarının belirlenmesi, bağımlılıkların tespit edilmesi Mevcutta kullanılan uygulamaların iş birimlerini ne derece desteklediğinin tespiti Endüstri eğilimleri ve standartları gözetilerek değerlendir 2- BT Hizmetleri Değerlendirmesi ve Teknoloji Eğilimleri Farkları Bul ve Önceliklendir Teknolojik Uygunluğu Değerlendir Anahtar farkları tespit edip öncelikledir Endüstri eğilimleri ve denklerine odaklan İş Gereksinimleri ile karşılaştır Uygulama fonksiyonlarını ve teknik uygunluğu değerlendir İş süreçleri ile teknolojik altyapının desteklenebilirliğini araştır 3- Yol Haritası Yaratılması Gelecek Mimariyi Tanımla Gelecek BT mimarisini tanımla Gelecek iş Modellerini tanımla 4 Proje Yönetişimi Farkları Kapatacak Projeleri Tanımla Olası Projeleri ve proje eforunu öngör Yol haritasındaki önceliğe göre projeleri planla Devam Eden Projeleri ve Planları Onaylat Gelecek iş ve T mimarisi için YK ile yakın temasta ol Mevcut proje yönetimi ve iş yapış şeklini hep iyileştir Yol haritası mihenk taşlarına uyumlu kal 13

14 Özet Adımlar 0 Sürekli Gelişim Vizyonu ve Gerekli Yönetim Kurulu Desteği 1 İş Stratejileri 2 İş ve Bilgi Teknolojileri Gereksinimleri 3 Endüstri Eğilimleri ve İyi Uygulamalar 4 Mevcut Durum Analizi 5 Stratejik Yön ve Konsept Hedef 6 Fark Analizi ve Yapılması Gerekenler 7 Yol Haritası 8 Devam Eden Proje Yönetimi Süreci 14

15 İş Sürekliliği Nedir?

16 İş Sürekliliği Yönetimi Nedir? İş Sürekliliği Yönetimi (İSY): Kurumun kiritik aktivitelerinin tanımlanması, bu aktivitelerin işlevselliğine yönelik tehditlerin anlaşılması, ya bu tehditlerin izole edilmesi ya da kurumun hızlı ve etkili bir iş kurtarma yöntemine hazırlanması Risk Bazlı Yaklaşım: Kritik iş aktivitelerinin sürekliliğine yönelen önemli risklere odaklanmak

17 İş Sürekliliği Yönetimi Nedir? Marka İmajı Kurum imajı ve kredibilitesinin zedelenmesinin engellenmesi Sağlık ve Güvenlik Personelin sağlık ve güvenliğinin korunması Sürdürebilirlik Kurumun iş süreçlerine devam etmesi İş Sürekliliği Hedefleri Gelir/Kar Korunması Kurumun finansal sorumluluklarının korunması Sektörel Rekabet Pazardaki satış kabiliyetinin korunması İşletim Seviyesi (tek ya da çoklu süreç) İşletim Seviyesi (tek ya da çoklu süreç) İşletim Seviyesi (tek ya da çoklu süreç) Felaket gerçekleşir Felaket gerçekleşir Felaket gerçekleşir İşletim Seviyesi kaybı İşletim Seviyesi kaybı İşletim Seviyesi kaybı Zaman Zaman Zaman Kesintinin Etkisi Geri Kurtarma Süreklilik Yönetimi

18 İş Sürekliliği Yönetimi Nedir? İSY = İş Sürekliliği Yönetimi İş: kurumun kritik iş süreçlerinin sürekliliği Sadece BT süreçleri değildir. Kritik iş süreçlerinin operasyonlarının sürekliliği için gerekli BT varlıklarını kapsar. ANCAK: BT sistemlerine ve servislerine artan bağımlılık bu servislerin sürekliliğini kritik hale getirmiştir. Sürekliliği: beklenmedik olaylara da cevap verebilecek Servis kurtarmadan çok daha fazlasıdır. İSY, Felaket Kurtarma yı da içine almakta ancak daha geniş bir kavramdır. Yönetimi: düzenli ve sürekli bir yönetim aktivitesi Danışmanlar tarafından bir tek defaya mahsus İş Sürekliliği Planı oluşturma aktivitesi değildir

19 Risklerin bertaraf edilmesi için kurumsal bakış İş Sürekliliği Yönetimi Nedir? Felaket Kurtarma (Disaster Recovery) İş Sürekliliği Planlaması (Business Continuity Planning) İş Sürekliliği Yönetimi (Business Continuity Management) Sonraki? Felaket Kurtarma 80lerin ortalasında iş dünyasında yer bulmaya başlar. Bu dönemde Mainframe bilgisayarlar ön plandadıır. Dünya Ticaret Merkezi Bombalaması Tokyo Metro Saldırısı Oklahama Bombalaması 17 Ağustos Gölcük depremi 90ların sonlarındaki gelişen teknoloji ve ekomomi ortamında İş Sürekliliğine gerekli önem verilmemiştir. 11 Eylül Saldırısı 11 Eylül saldırısı ile risk yönetimi planlarının olma olasılığı çok düşük olan olaylar için de koruma sağlaması gerektiği ortaya çıktı Katrina Kasırgası Istanbul İkitelli sel felaketi Orta Doğu ve Kuzey Afrika Internet kesintileri 80lerin sonu 90ların başı 90ların ortası 90ların sonu 2000 başı 2006 sonu 2010 başı Krize hazırlık yöntemleri felaket kurtarmadan iş sürekliliği planlamasına, oradan da çok daha kapsamlı bir yaklaşım olan İş Sürekliliği Yönetimine doğru gelişmiştir.

20 Yaklaşım İş Sürekliliği Yönetimi Nedir? Farklı Amaçlar Farklı Yaklaşımlar Felaket Kurtama İş Sürekliliği Planlaması İş Sürekliliği Yönetimi Veri kurtarılması ve acil durumda kullanılmak üzere alternatif donanımın temini Teknolojik kusur ya da hatalardan kurtarmaya yönelik hazırlık Operasyon alanlarının kriz sonrasında yeniden yapılandırma Yedekli lokasyonlara dayılı tekil risk yönetim çözümleri Bir beden herkese uygundur mantığı ile sürekliliğe tüm iş birimlerinde aynı şekilde yaklaşmak Felekat Kurtarma dan daha geniş kapsamlı ve iş operasyonlarını içermekte Organizasyonun kritik hedeflerine ulaşmasını engelleyebilecek kesintilere karşı proaktif bir şekilde direnç yetisinin oluşturulması İş kesintleri sonrasında organizasyonun imajı ve saygınlığının korunmasına yönelik kendi kanıtlamış bir yetkinlik sunar İş kesintileri sonrasında organizasyonun kritik ürünleri ve servislerinin minimum hizmet seviyelerinde kurtarılması için denenmiş bir metodoloji sunar. Reactive ve Teknoloji Odaklı Planlı ve Birim Odaklı Proactive ve Bütüne Odaklı (Holistic)

21 6 Br Etki Eşiği Analizi 10 Br İş Sürekliliği Yönetimi Nedir? öngör yanıtla kurtar geri dön uyarla Normal İşlem Seviyesi Kabul Edilebilir İşlem Seviyesi Felaket Kontrol Altında Felaket ve Panik Normal İşlem Seviyesi Kabul Edilebilir İşlem Seviyesi Felaket Kontrol Altında Felaket ve Panik Düzenli İş Sürekliliği Testleri yaparak maruz kalınan etki azaltılabilir.

22 İş Sürekliliği Yönetimi Nedir? öngör yanıtla kurtar geri dön uyarla Normal İşlem Seviyesi Kabul Edilebilir İşlem Seviyesi Felaket Kontrol Altında Felaket ve Panik Felaketleri öngörme İSP nin seri bir şekilde hayata geçirilebilmesi Geçici önlemler için hazırlanılması Tüm servislerin normalizasyonu hazırlığı Öğrenilen dersler Erken uyarı mekanizması Acil tepkiler için hazırlanılması Beklenmedik olay planlarının uygulanması Kalan artıkları ortadan kaldırma Planların güncellenmesi Kurumu hazırlama Hızlı bir olay kontrolüne hazırlanma Temel servislerin hızlı geri kurtarılması Kayıpların geri kurtarımının koordinasyonu Yeni planların oluşturulması / birleştirilmesi

23 Neden İş Sürekliliği Yönetimi? İş ve teknoloji birimleri arasındaki karmaşık koordinasyon sorunları nedeniyle birçok kurum etkili bir iş sürekliliği planı uygulamakta zorlanmaktadır: İş süreçleri artan bir hızla uygulama yazılımlarına ve teknolojiye bağımlı hale gelmiştir İş birimlerinin agresif ve karşılaması zor kurtarma hedefleri oluşmuştur Kurtarılması gereken süreçlerinin karmaşıklığı hızlı bir şekilde artmıştır Kağıt kullanımının azalması veri kaybının etkisini (finansal, vb.) dramatik bir şekilde yükseltmiştir Uygulama yazılımları, sistemler ve iş süreçleri arasındaki artan bağımlılıklar kurtarma yöntemlerinin karmaşıklığını arttırmıştır İş Sürekliliği Süreci İş süreçlerinin yönlendirilmesi Manuel süreçler İş Network Normal iş süreci ve aktiviteleri Problemi tanımlama Bilgilendirme ve iletişim Ses ve veri ağının geri kazanımı İş BT Kesinti / Olay / Felaket Veri tanımlama, ulaşma, kurtarma Uygulama kurtarma Potensiyal veri kaybı Kurtarma süresi

24 Neden İş Sürekliliği Yönetimi? Ulusal Uluslararası Yıkıcı Ürün Hatası Terrör (Siber dahil) Kaza/Doğal Halka İlişkiler Kötü Uygulama (Malpractice) Adli

25 Teknoloji İş Operasyonları Neden İş Sürekliliği Yönetimi? İş Sürekliliği Yönetimi ve Dirençli Kurum Sıkça Kullanılan Terimler Öngörme Önleme Direnme Cevap Verme Kurtarma SHE 1 HILP 2 Programı Kurumsal Risk Yönetimi SPOF 3 1: Safety, Health, Environment 2: High Impact Low Probability 3: Single Points of Failure Varlık Yönetimi Bağımlılık Haritası Üst Yönetimin Hazırlanması Teknoloji Sürekliliği Kriz Yönetimi İş Sürekliliği Planlaması Bilgi Güvenliği Acil Durum Yönetimi BT Felaket Kurtarma

26 Temel Kavramlar Kesinti: Kurumun faaliyetlerinde veya bir sistemin fonksiyonlarında sürekliliğin herhangi bir nedenle sekteye uğraması. Felaket/Olağanüstü Durum: Faaliyet veya sistemlerde uzun süreli kesintiye sebep olabilecek düzeyde insan, doğa veya diğer faktörlerden kaynaklanan olay İş Birimleri: Kurumun iş aktivitelerini ve kritik servislerini sunan birimler İş Etki Analizi (İEA): Olası kesintilerin iş süreçlerine ve dolayısıyla kuruma olan etkisinin belirlenmesi çalışmasıdır. İş Sürekliliği Yöneticisi: İş sürekliliği yönetim sistemini (İSYS) yönetecek ana sorumludur. Risk Analizi: Kurumun karşı karşıya kalabileceği tehditleri tanımlayıp kurumun riskleri en aza indirmek için ne gibi kontroller oluşturduğunun analizidir. Acil Durum Ekipleri: Felaket durumunda görev yapmak üzere oluşturulmuş ekiplerdir. Her ekibin bir ekip amiri, gerekirse ekip amir yardımcısı ve yeterli sayıda personeli bulunmaktadır. Ekiplerin yönetimi, ekiplerin rol ve sorumlulukları Darüşşafaka Koruma ve Güvenlik Planı nda yer almaktadır. BT Kurtarma Ekibi: Teknoloji ve ekipman kaynaklarında oluşan teknik hasarın tespit edilmesinden ve kurtarılmasından sorumlu olan ekiptir.

27 Temel Kavramlar İş Kurtarma Ekipleri: İş Sürekliliği Planlarının ve test senaryolarının geliştirilmesine ve uygulanmasına katkı sağlarlar. Olağanüstü durum halinde kendi süreçleri ile ilgili kurtarma planlarının yönetiminden sorumludurlar. Geri Kurtarma Zaman Hedefi (Recovery Time Objective - RTO): Felaketin olduğu andan itibaren minimum fonksiyonalitenin geri kazanılması için geçecek maksimum süre ne kadardır? Kesintiye uğrayan sürecin ne kadar süre sonra çalışır hale getirileceğine dair hedef süredir. Kurtarma Noktası Hedefi/Kayıp Veri Noktası (Recovery Point Objective - RPO): Felaketin olduğu andan ne kadar süre öncesine ait veriye erişmek gerekir? Kesintiye uğrayan sürecin veya BT bileşeninin ne kadarlık veri kaybına tahammül edilebileceğini gösterir. Normal Normal Operasyonlar Operations Felaket Disaster / Olay Veri Data Yedekleme Back-up Döngüsü Cycle RPO Data Veri Kaybı Loss Systems Sistem & Veri & Data Recovery Kurtarılması RTO Functionality Fonksiyonalite Loss Kaybı Business İş Süreçlerinin processes operational Kurtarılması

28 Temel Kavramlar Kesintinin Etkisi RPO (Recovery Point Objective) = Kurtarma Veri Hedefi RTO (Recovery Time Objective) = Kurtarma Süre Hedefi RPO RTO Tolerans Seviyesi Veri Kaybı(t) Gün Yedekleme Saat Saat - Dakika Yedekleme Çatısı Electronic Journaling Stand-By Veri Tabanı Çözümün Maliyeti Semi-Synch Mirroring 0-Dakika Synch s Mirroring 0-Saniy e Saniy e-dakika Saat-Gün Gün-Haf ta Aktif / Aktif Hot Standby Warm Standby Geri Dönme/ Tedarik Etme Cold Standby Çözümün Maliyeti Kesintinin Süresi (t)

29 Yönetimden Beklentiler İSY organizasyon yapısının ve rol/sorumlulukların belirlenmesi İş Etki Analizi fazı sonrasında yönetim görüşünün verilmesi Risk Analizi fazı sonunda yönetim görüşünün verilmesi İSY farkındalık ve kültürünün oluşturulması için kurumsal destek

30 Bilgi Güvenliği

31 Bilgi Güvenliği Nedir? Bilgi güvenliğinin bileşenleri Günümüzde bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması zorunluluk haline gelmiştir. Erişilebilirlik Bilgi veya bilgi sistemlerinin sürekli kullanıma hazır ve kesintisiz çalışır durumda olmasıdır. Bütünlük Bilginin yetkili kişiler dışında değiştirilmesinin ve silinmesinin önlenmesidir. Gizlilik Önemli ve hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmesinin önlenmesi ve sadece erişim yetkisi verilmiş kişilerce erişilebilir olduğunun garanti altına alınmasıdır Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

32 Bilgi Güvenliği Nedir? Ülkemizde bilgi güvenliğine verilen önem Bilgi güvenliği BT seviyesinde yönetilmekte Bilgi güvenliği genellikle ağ güvenliği olarak algılanmakta Bilgi güvenliği ile fiziksel güvenlik arasındaki iletişim sınırlı Bilgi güvenliği yönetim sistemi, veri güvenliği, güvenlik testi gibi projeler ertelenmekte Bilgi güvenliği bilinçlendirmesine az kaynak ayrılmakta Uygulanabilir bir iş sürekliliği planlamasına sahip olan kurumlar az Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

33 Bilgi Güvenliği Nedir? Gelişmiş ülkelerle farkın nedenleri Üretilen bilgi değerinin (gelişmiş ülkelere nazaran) düşüklüğü Konu ile ilgili düzenlemelerin yetersizliği Kurumsal bilginin sahibinin bilgi teknolojileri bölümleri olduğu inancı Bilginin mahremiyetine olan hassasiyetimizin gelişmiş ülkelere nazaran düşüklüğü Şirketler ile ilgili güvenlik olaylarının yayınlanmasından sakınılması Teknolojinin zaafiyet gösterme ihtimalini değerlendirilememesi Süreç zaafiyetlerinin riskinin anlaşılamaması Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

34 Bilgi Güvenliği Nedir? BİLGİ Bilgi güvenliğini tehditleri Bilgi güvenliği tehdit kaynakları: Eğlence ve kendini tatmin amaçlı saldıranlar Tehdit kaynağı varlıklara zarar verme olasılığı olan olaylar ve durumlar olarak tanımlanabilir. En bilinen tehdit kaynakları; doğal tehditler, çevresel tehditler ve insan kaynaklı tehditlerdir. Ticari casuslar Politik / Terör amaçlı saldırganlar Kin duyan çalışanlar, müşteriler, iş ortakları Kasıtsız tehditler (Yetersiz personel, insan hataları, BT süreçlerinin yetersizliği, doğal ve çevresel tehditler) Bilgi güvenliği saldırıları yeni bir soğuk savaş taktiği olarak ortaya çıkıyor Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

35 Bilgi Güvenliği Nedir? Bilgi güvenliğini tehditleri Tehdit ve Saldırı Trendleri ve Etkileri: Kötü amaçlı yazılımların bulaşması (malware infection) en çok karşılaşılan saldırı türüdür, phising (avlama) saldırıları ise ikinci sırada yer almaktadır (%67,1, CSI Security Survey 2010) Mobil bankacılık ataklarının artış göstereceği öngörülmektedir (McAfee 2012 Threat Predictions) Kurumların iç tehditlere yönelik kendilerini yeterince güvenli hissetmemesi, veri sızmasına karşı önlemlerin öncelik kazanmasına neden olmaktadır, IAM sonrası ikinci öncelik (Deloitte GFSI Security Survey 2010) 2010 yılı içerisinde güvenlik açıklıklarından dolayı zararı yaklaşık $ 250K ve daha az olan katılımcılar tüm katılımcıların %22 sidir (Deloitte GFSI Security Survey 2010) Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

36 Deloitte Siber Güvenlik Bilgi Güvenliği ve İş Sürekliliğinin Önemi Video

37 Bilgi Güvenliği Nedir? Bilgi güvenliğini tehlikeye atacak açıklıklar En çok karşılaşılan açıklıklar: Parolası olmayan ya da zayıf parolalı kullanıcı hesapları Güvenilir yedekleme politikalarının olmaması Cihazlarda açık tutulan/unutulan servisler ve ayarlar Fitrelenmeyen ve denetlenmeyen iletişimler Loglama yapılmaması Fiziksel güvenlik önlemlerinin yeterince alınmaması (kasıtlı ve kasıtsız saldırılar için) Lisanssız program kullanımı Hatalı Kablosuz Ağ ve VPN Yapılandırması Değerli varlıklar (yazılım, donanım, veri vs. gibi) sadece değerleri geçerli olduğu sürece korunmalıdır Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

38 Bilgi Güvenliği Yönetim Sistemi ISO ve BGYS Kuruluşun tüm iş riskleri kapsamında yazılı bir BGYS in oluşturulması, gerçekleştirilmesi, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve geliştirilmesi için gereksinimlerini belirten ISO standardına Deloitte un yaklaşımı aşağıdaki gibidir: ISO27002 Kontrol Alanları Güvenlik Politikası Bilgi Güvenlği Organizasyonu PLANLA UYGULA Erişim Kontrolü Varlık Yönetimi İnsan Kaynakları Fiziksel ve Çevresel Güvenliği Güvenlik Haberleşme ve İşletim Yönetimi Bilgi Sistemleri Edinim, Geliştirme ve Bakım HAZIRLAN Bilgi Güvenliği İhlal Olayı Yönetimi ÖNLEM AL KONTROL ET İş Sürekliliği Yönetimi Uyum Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

39 Bilgi Güvenliği Yönetim Sistemi BGYS nin sağlayacağı faydalar Etkin bir risk yönetiminin sağlanması Kurumsal saygınlığın korunması ve artışı İş sürekliliğinin sağlanması Bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğinin korunması Personelin farkındalık düzeyinin yükseltilmesi ve önemli güvenlik konularında bilgilendirilmesi Bilgi sistemleri kaynaklarını kötü amaçlı olarak kullanma ve/veya kaynakları suistimal edilmesinin engellenmesi Personelin zan altında kalmasının engellenmesi Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

40 Bilgi Güvenliği Olayları Gerçekleşmiş Bilgi Güvenliği Olayları - 1 Son dönemlerde gerçekleşmiş dünyada dikkate değer yüksek profilde bulunan bilgi güvenliği olayları Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

41 İstatistiklerle Bilgi Güvenliği Bilgi güvenliği hakkında yılında gerçekleşen bilgi güvenliği olaylarının yüzde 53 üne kötü niyetli olmayan kullanıcılar neden olmuşken, 2011 yılında bu oran yüzde 43 e gerilemiştir (InfoWatch Global Data Leakage & Insider Threats Report 2011) Kurum dışına sızan verilerin yüzde 92,4 ü kişisel veriler iken yüzde 3,2 si ticari sır olarak beyan edilmiştir (InfoWatch Global Data Leakage & Insider Threats Report 2011) Symantec, " State of Enterprise Security: 2010" çalışmasında IT nin gördüğü en önemli riskler arasında %42 ile Siber Ataklar yer alır Veri sızıntılarına neden olan kaynakların başında yüzde 19,1 ile basılı dokümanlar, yüzde 13,9 ile kişisel bilgisayarlar, yüzde 13,6 ile Web e yapılan izinsiz yüklemelerdir (InfoWatch Global Data Leakage & Insider Threats Report 2011) Yasal düzenlemelerin kurumların güvenlik programlarını olumlu yönde etkilediği ifade edilmektedir (CSI Security Survey 2010) 41 Katılımcıların %51,1 i bulut bilişime henüz geçmediğini söylerken, %10 u ise bulut bişime geçmenin yanı sıra buluta özel güvenlik araçlarını da kullandıklarını ifade etmektedir (CSI Security Survey 2010) 2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

42 Gelecekte Bilgi Güvenliği Günümüzden geleceğe.. Zararlı yazılımlar daha gelişmiş kriptografik ve polimorfik özelliklere sahip olacak.tespitleri daha zor olacak. Siber saldırılar Türkiye yi daha çok etkileyecek. İnternet şirketlerinin oranı bugünden çok daha fazla olacak. Kamu hizmetlerinin büyük kısmı Internet ortamına taşınacak. Ulusal güvenlik ürünleri ve ulusal güvenlik değerlendirmelerinin yapılması çok daha önemli olacak. Çok uzak olmayan gelecekte ülkelerin siber savaş yapan daha büyük (küçük çapta var) düzenli siber orduları olacak. Kablosuz ve Hücresel sistem kullanımlarının artmasıyla izole sistem kalmayacak.siber saldırılar evimizdeki eşyalara kadar girecek. Günümüzde güvenli sayılan güvenlik algoritmalarının kırılma süreleri zaman içerisinde düşecek. (UAKAE) Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

43 Referanslarımızdan

44 Çünkü bilgi sistemleri risklerini biliyoruz Bağımsız Bilgi Sistemleri Denetimi Referanslarımız BT Denetimi Referanslarımız Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

45 Çünkü iş risklerini biliyoruz İç Denetim Referanslarımız Kurumsal Risk Yönetimi Referanslarımız Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

46 Çünkü bilgi güvenliğini biliyoruz Bilgi Güvenliği Yönetimi ve ISO27001 Referanslarımız Güvenlik Denetimi Referanslarımız Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

47 Çünkü bilgi sistemleri yönetimini biliyoruz İş Sürekliliği Referanslarımız BT Yönetişimi Referanslarımız Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

48 Deloitte TR Tulu Akyol

49 2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited