BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

Transkript

1 BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri Kağan Temel CISA, ISO27001LA

2 EĞİTİMİN AMACI Eğitim Amaçları, Bu eğitim, genel BT denetim konuları, kontrolleri ve bunların uygulanmasına yönelik prensipleri öğretmeyi, Şu ana kadar BT denetimi yapmamış iç denetçilerin denetim faaliyetleri sırasında karşılaşabilecekleri BT denetim alanları ve bunlara ilişkin riskler konusunda temel bir yetkinlik kazandırmayı amaçlamaktadır. Öğrenim Hedefleri, BT Genel bilgisi BT Denetim Yöntemi Genel bilgisi BT Kontrolleri ve Riskleri Genel bilgisi

3 Bilgi Güvenliği Olayları Bir oyun geliştiricisi Ubisoft firmasına ait veritabanına sızarak 58 milyon kullanıcıya ait hesapları, şifreleri ve e-posta adresleri ile birlikte ele geçirdiğini duyurdu. Adobe 2.9 milyon kullancıısına ait kullanıcı adı ve şifrelerin ele geçirildiğini duyurdu. Yahoo! Japonya 22 milyon kullanıcısını şifrelerinin hacklendiğinden dolayı yeni şifreler edinmeleri için uyardı

4 TANIMLAR Gizlilik Bilginin, yetkisiz kişilere veya süreçlere açıklanmama ve kullanılabilirliğinin engellenmesi özelliği. Bütünlük Varlıkların(Bilgi varlıklarının) doğruluğunu ve tamlığını koruma özelliği. Kullanılabilirlik Talep edildiğinde erişilebilir ve kullanılabilir olma özelliği

5 TANIMLAR BİLGİ GÜVENLİĞİ Bilginin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin korunmasıdır. Ek olarak, doğruluk, açıklanabilirlik, inkâr edememe ve güvenilirlik gibi diğer özellikleri de kapsar. Bilgi Güvenliği kurumun hedefleri doğrultusunda gizlilik, bütünlük ve kullanılabilirlik özellikleri arasındaki dengeyi kurmayı gerektirir

6 Bilgi Teknolojilerinin Hayatımızdaki Yeri Bilginin depolanabileceği ortamlar nelerdir? Kağıda basılı veya yazılı Elektronik depolama Posta ile veya elektronik araçlar kullanılarak iletilen Kurumsal videolarda gösterilerek Sözlü olarak karşılıklı konuşmalarda söylenmiş Bilgi hangi formu alırsa alsın veya hangi şekilde paylaşılır veya saklanırsa saklansın, her zaman uygun şekilde korunmalıdır. (ISO 27002) Bilginin yaşam döngüsü boyunca yönetilmesi gerekmektedir

7 Bilgi Teknolojilerinin Hayatımızdaki Yeri Bilgi güvenliği sadece teknik bir konu değildir. Kuruluşun tüm süreçlerini kapsar ve kuruluş için stratejik seviyede bir konudur. Bu sebeple kuruluşun kurumsal yönetiminin bir parçası olmalı ve tüm süreçlere entegre edilmelidir. Bilgiyi koruyabilmek için, bilginin nerede saklandığı, nasıl transfer edildiği, kimlerin erişimi olduğu ve nasıl imha edildiğinin belirlenmesi gerekir

8 Bilgi Teknolojilerinin Hayatımızdaki Yeri Bilginin kullanılabilirliğini ve iş sürekliliğini sağlamak için uygulanan yöntemler Sanallaştırma: Sunucuların cpu, disk ve hafıza gibi sistem kaynaklarını sanal olarak paylaşabildikleri ve sistem kesintisi, etkin kaynak kullanımı ve kolay yönetilebilirlik açısından daha etkin olan olan bir yöntemdir. Cluster: Bir sistemin bir koyasının da farklı bir sistemde çalışmasını sağlayan çözümlerdir. Storage Replikasyonu: Depolama üniteleri arasında verilerin birebir kopyalanmasını ve yedeklemesini sağlayan çözümlerdir. Backup (Yedekleme): Verilerin bir yedeğinin saklanıp gerektiğinde tekrardan alınmasını sağlayan çözümlerdir. Uzak Lokasyon Çözümleri: Asıl veri merkezinin bulunduğu yerden farklı bir yerde kritik bilgi sistemlerinin bir yedeğini tutma. Bulut Bilişim: Kaynakların ortak kullanılmasına dayalı BT mimarisi

9 Bilgi Teknolojilerinin Hayatımızdaki Yeri Bulut bilişim bilginin yedeklenmesi ve iş sürekliliği açısından daha az maliyetle daha iyi bir hizmet sağlar. Bulut bilişim hizmet türleri : SaaS Yazılım Hizmeti PaaS Platform (Donanım) Hizmeti IaaS Altyapı Hizmeti Bulut bilişimde riskler: Gizlilik Hukuk-Reulasyon ve standartlara uyum sağlayamama Sürdürülebilirlik

10 Bilgi Teknolojilerinin Hayatımızdaki Yeri Kullanıcı Kimlik ve Erişim Yönetimi Süreci Hesap Oluşturma Yetki ekleme-çıkartma Şifre Yönetimi Rol Yönetimi Kullanıcı isteklerinin ve onay sürecinin yönetimi Kimlik doğrulama Tüm sürecin ve işlemlerin analiz ve raporlanması

11 Bilgi Teknolojilerinin Hayatımızdaki Yeri Rol Tabanlı Erişim Yönetimi Kullanıcılar kurum içindeki görevler için oluşturulmuş rollere atanır Bir kullanıcı birden fazla role atanabilir Kullanıcı atandığı rolün içerdiği tüm erişim yetkilerine sahiptir Rollerin içereceği yetkiler iş birimleri tarafından belirlenir ve düzenli olarak kontrol edilir İş süreçlerine uygun yetkileri içeren roller tanımlanmalı ve gerektiğinde güncellenmelidir

12 Bilgi Teknolojilerinin Hayatımızdaki Yeri Rol Tabanlı Erişim Yönetimi Faydaları Rol tanımını değiştirerek bir kullanıcıya birden fazla yetkiyi daha kolay alma verme Merkezi rol yönetimi sayesinde kullanıcılarda bulunan yetkilerin kontrolunun daha kolay yapılması Daha doğru ve yeterli bir yetkilendirme yapılabilmesi Kurumsal politika ve süreçlere uygun yetkilendirme yapılabilmesi En az yetki( gerektiği kadar yetki) prensibinin uygulanabilmesi Görevlerin ayrılığı ilkesinin daha kolay uygulanabilmesi Daha kolay denetlenebilmesi

13 Bilgi Teknolojilerinin Hayatımızdaki Yeri Erişim ve işlem loglama- izleme Kullanıcı erişimlerinin ve yaptıkları işlemlerin işlem tipi ve riskine göre kayıt altına alınması gerekmektedir. Bu gereklilik kurumsal politika ve prosedürlerden, standartlardan veya kanunlardan (örnek sayılı kanun) kaynaklanabilir. BT ortamında birden çok sistem kayıt üretmektedir. Tüm bu kayıtların eşleştirilebilir ve belirli bir yapıda üretilmesi gerekmektedir. Farklı sistemlerin ürettiği kayıtların birlikte kullanılabilmesi için saat senkronizasyonu çok önemlidir Kayıtların değiştirilemez yapıda üretilmesi gerkmektedir. Tüm sistem kayıtlarının merkezi bir yerde toplanması yönetim kolaylığı sağlamaktadır. Merkezi log yönetimi sürecinin kurulması log yönetimi kolaylaştırmaktadır. Merkezi log yönetimi sayesinde (SIEM) güvenlik olay yönetimi daha kolay yapılabilir

14 Bilgi Teknolojilerinin Hayatımızdaki Yeri İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (5651 sayılı kanun) Erişim sağlayıcılar, sağladığı hizmetlere ilişkin, yönetmelikte belirtilen trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla, Ticarî amaçla olup olmadığına bakılmaksızın bütün toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almakla yükümlüdür

15 BT ORTAMI SÜREÇLER ORGANİZASYON Process People Product Partners SİSTEMLER DIŞKAYNAKLAR

16 BT ORTAMI Bir BT sistem ortamında genel olarak aşağıdaki yapılardan söz edilebilir. Network (Ağ) altyapısı İşletim sistemleri Veri tabanları Uygulama yazılımları

17 BT ORTAMI Uygulama yazılımları, Kurumun, iş fonksiyonlarını yerine getirebilmesi için: İşlemlerin başlatılması ve yetkilendirilmesi Veri dosyaların güncellenmesi Veri sorgulamalarının yapılması Rapor oluşturulması gibi işlemleri yapan yazılımlardır

18 BT ORTAMI Veri tabanları, Kurumun verilerinin, uygulama yazılımlarının kullanabileceği şekilde tutulduğu elektronik veri ortamlarıdır. Veri tabanını oluşturan, işletimini ve devamlılığını sağlayan yazılıma veri tabanı yönetim sistemi adı verilmektedir. Veri tabanı yönetim sistemi, işletim sistemi ile birlikte verilerin depolamasını, veriler arası iletişimi ve verilerin uygulamalar tarafından erişilebilirliğini sağlamaktadır

19 BT ORTAMI

20 BT ORTAMI İşletim sistemi, uygulama yazılımları, Veri tabanı Yönetim Sistemleri (VTYS) ve donanımlar arasındaki iletişimi yöneten yazılımlardır. İşletim sistemleri aynı zamanda bilgi güvenliği katmanı olarak değerlendirilebilir

21 BT ORTAMI Birden fazla bilgisayar veya iletişim cihazını, bilgi alışverişi yapabilmeleri ve farklı kaynakları paylaşabilmeleri için, kablolar veya radyo dalgaları kanalıyla birbirine bağlayan yapıya ağ denir. Ağlarla ilgili olarak, aşağıdaki başlıklar BT denetimleri açısından öne çıkmaktadır, İnternet güvenliği Uzaktan erişim Ağ kullanıcıları kimlik yönetimi

22 BT ORTAMI

23 BT ORTAMI BT Yönetişim Modeli

24 BT ORTAMI BT Süreçler 5 ana alan, 37 süreç (COBIT 5)

25 BT ORTAMI Genel BT süreçleri BT Yönetişimi BT Kaynak Planlama BT Operasyon Yönetimi BT Olay ve Problem Yönetimi BT Bilgi Güvenliği Planlama BT Değişiklik Yönetimi BT İş sürekliliği Yönetimi BT Yazılım Geliştirme ve Yazılım Tedariği Yönetimi BT Hizmet seviyesi Yönetimi BT Veri madenciliği ve Raporlama Yönetimi BT Versiyon ve Yaygınlaştırma Yönetimi BT Bilgi Güvenliği Yönetimi BT kapasite Yönetimi BT Talep Yönetimi BT Varlık Yönetimi BT konfigurasyon Yönetimi BT Servis Geliştirme Yönetimi BT Yedekleme Yönetimi

26 BT ORTAMI BT ile ilgili Standart ve Çerçeveler COBIT 5 ISO27001/ISO27002 ITIL ISO20000 (BS15000) SysTrust/WebTrust SAC/eSAC COSO ISO İş sürekliliği ISO Risk Yönetimi PMI PRINCE2 CMMI PCI/DSS

27 BT ORTAMI COBIT Information Systems Audit and Control Association (ISACA) ve IT Governance Institute (ITGI) tarafından 1996 yılında yayınlanmıştır. Yöneticilere, denetçilere ve BT kullanıcılarına bilgi teknolojilerinden maksimum fayda alınması ve kurum içinde BT yönetişimi ve kontrolü geliştirmek için genel olarak kabul görmüş ölçümler, göstergeler, süreçler ve lider uygulamalar sunar. Kurum içinde etkin bir iç kontrol sistemi ya da çatısı kurabilmek adına aşağıdaki ihtiyaçlara cevap verir: İş gereksinimleri ile BT arasında bağlantı kurulması BT aktivitelerinin genel kabul görmüş süreç modelleri içinde organize edilmesi Kullanılacak önemli BT kaynaklarının belirlenmesi Yönetim kontrol hedeflerinin tanımlanması

28 BT ORTAMI Bir BT ortamında bulunabilecek görevler ve sorumluluklar: Sistem analistleri Uygulama geliştiricileri Yardım masası ve destek grubu Son kullanıcı Veri giriş personeli Bilgisayar operatörü Veritabanı yöneticisi Ağ yöneticisi Sistem yöneticisi Güvenlik yöneticisi Sistem programcısı Kalite kontrol grubu

29 TEŞEKKÜRLER Kağan Temel CISA,ISO27001LA TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti