TURKCELL DE BİLGİ GÜVENLİĞİ YOLCULUĞU

Transkript

1 TURKCELL DE BİLGİ GÜVENLİĞİ YOLCULUĞU Berrin Ünsal EROL TÜBİTAK UEKAE BİLGİ TEKNOLOJİLERİ GÜVENLİK KONFERANSI Mart / Toplam Saydam Sayısı

2 Konuşmacı Berrin Ünsal EROL 2004 devam Turkcell İletişim Hizmetleri A.Ş Bilgi Güvenliği Uzmanı Bilgi Güvenliği Yönetim Sistemi Kurulumu Turkcell İletişim Hizmetleri A.Ş. İş Analizi ve Proje Yönetimi Birimi Yöneticisi Turkcell İletişim Hizmetleri A.Ş. Proje Yöneticisi. ISO Denetçi - Baş Denetçilik Süreci Devam Ediyor B.S.c. Matematik Mühendisliği İstanbul Teknik Üniversitesi 2 / Toplam Saydam Sayısı

3 3 / Toplam Saydam Sayısı

4 4 / Toplam Saydam Sayısı Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı?

5 Amerika yı yeniden keşfetmemek! 5 / Toplam Saydam Sayısı

6 ISO Nedir? Bilgi güvenliği yönetimi için uluslararası bir standarttır. Bilgi güvenliği yönetim sürecini sistematik bir şekilde kurmak ve işletmek için spesifikasyonlar içerir. İş ve kontrat ilişkilerinde tarafların, birbirlerine karşı bilgi güvenliklerini yönetme kabiliyetini gösteren bir sertifikasyon içermektedir. Akredite sertifikasyon kuruluşları tarafından sertifikalandırmaktadır. Bütün sektör ve endüstrilere uygulanabilir genel yönetim prensipleri ve esnekliği vardır. Vakadan öğrenerek geliştirmeye ve iş sahibi sorumluluğuna vurgu vardır. 6 / Toplam Saydam Sayısı

7 ISO in 11 Alanı Yasal Uyumluluk Güvenlik Politikaları Organizasyonel Güvenlik Varlık Ve Risk Yönetimi İş Sürekliliği Bütünlük bilgi Gizlilik Çalışan Güvenliği Vaka Yönetimi Sistem Alımı, Geliştirme ve Bakım Erişilebilirlik Erişim Güvenliği İletişim ve Opr. Yönetimi Fiziksel ve Çevresel Güvenlik 7 / Toplam Saydam Sayısı

8 Bilgi Güvenliği İçin Sürekli İyileştirme PLANLA İlgili Taraflar BGYS Kurulması İlgili Taraflar UYGULA BGYS Uygulanma ve İşletimi BGYS Bakım ve İyileştirme ÖNLEM AL Bilgi Güvenliği ihtiyaçları ve beklentileri BGYS Takibi ve Gözden Geçirilmesi KONTROL ET Yönetilen Bilgi Güvenliği nin Sonuçları 8 / Toplam Saydam Sayısı

9 9 / Toplam Saydam Sayısı

10 Bilgi Güvenliği Politikaları Bilgi Güvenliği Stratejisi Bilgi Güvenliği Yol Haritası 10 / Toplam Saydam Sayısı

11 Deniz, hava, rüzgar - Regülasyonlar -Yeni gelişmeler ve ihtiyaçlar - Hizmet/servislerdeki güvenlik değişimi Müşteri istekleri Üst Yönetim Desteği! Çalışan Sahipliği (Eğitim&Farkındalık) 11 / Toplam Saydam Sayısı Vaka Yönetimi

12 Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? 12 / Toplam Saydam Sayısı

13 Politika Risk İlişkisi Riskler Risk Değerlendirme Politikalar - Politikaların Güncellenmesi Riskler sonucu Organizasyondan gelen talepler 13 / Toplam Saydam Sayısı

14 Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? Bilgi Güvenliği Yönetim Sistemi 14 / Toplam Saydam Sayısı

15 Bilgi Güvenliği Yönetim Sistemi Varlık Envanteri Varlıklara bağlı Riskler Risklere bağlı Kontroller Risklere bağlı Politika beyanları 15 / Toplam Saydam Sayısı

16 Varlıklarımızı Korumalıyız! İş Sahipliği ve Teknik Sahiplik 16 / Toplam Saydam Sayısı

17 Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? Bilgi Güvenliği Yönetimi Yasal regülasyonlara tabi olanınız var mı? 17 / Toplam Saydam Sayısı

18 Bilgi Güvenliği Yönetimi REGÜLASYON RİSK DEĞER 18 / Toplam Saydam Sayısı

19 TURKCELL EKO SİSTEMİ TEDARİKÇİLER TEDARİKÇİLER BAYİİLER BAYİİLER DANIŞMANLAR DANIŞMANLAR TURKCELL GRUP ŞİRKETİ VE GRUP ŞİRKETİ VE İŞTİRAKLER İŞTİRAKLER TAŞERONLAR TAŞERONLAR 19 / Toplam Saydam Sayısı

20 Bilgi Güvenliği Vakaları ABD Elektrik kesintisi. Bilgisayar korsanları elektrik idaresinin yazılımlarındaki bir açığı kullanarak, enterkonnekte sistem üzerindeki sayısal devre kesicileri uzaktan kumanda etmiş ve sistemin yük paylaşımı ayarlarını bozmuş, aşırı yük altında kalan bazı bileşenler eriyerek büyük maddi hasar oluşmuştur. Bölgede 50 milyon kişinin etkilendiği olayı resmen kabul edilmiş olmasa da El Kaide üstlenmişti. 4 saat içinde kesinti hızla haritada gösterildiği şekilde yayıldı. 20 / Toplam Saydam Sayısı

21 21 / Toplam Saydam Sayısı Bilgi Güvenliği Vakaları

22 22 / Toplam Saydam Sayısı Bilgi Güvenliği Vakaları

23 Nereden Nereye? 1990 lı yılların sonu ve 2000 in başından itibaren insan faktörü çok fazla önem kazanmıştır. Bu durumun daha artacağı beklenmektedir. %50 %50 Güvenlikte Teknoloji Faktörü Güvenlikte İnsan Faktörü 23 / Toplam Saydam Sayısı

24 24 / Toplam Saydam Sayısı

25 Bilinçlendirme Programı Yıl boyu sürekli olacak şekilde aylık bazlı temalı bilinçlendirme programı LCD lerde animasyonlar Intracell de kampanyalar Anket, Mini Anketler Habercell de Bilgi Güvenliği Konuları ile ilgili Üst Düzey Yönetici röportajları/mesajları Makale Haber Film gösteri (Multimedya TV) El kitabı/broşür vb.. Bilgi Güvenliği ya da İç İletişim E-posta Bülteni Screen Saver ile iletilecek mesajlar Bilgi Güvenliği Kütüphanesi (Intracell de) 25 / Toplam Saydam Sayısı

26 Örnek: Bilinçlendirme Programı Tema: Kullanıcı Güvenliği Taşınabilir medya güvenliği ile ilgili animasyon Doküman imhası ile ilgili kampanya(temiz masa temiz ofis) Kullanıcı Güvenliği Mini Anket Evden Güvenli Çalışma (Habercell de yazı) Turkcell Çalışanına Bilgi Güvenliği İletişim Kiti 26 / Toplam Saydam Sayısı

27 27 / Toplam Saydam Sayısı Örnek - devam

28 28 / Toplam Saydam Sayısı Örnek: devam

29 Eğitim Programı e-learning veya b-learning Eğitimleri Genel Bilgi Güvenliği eğitimi Zorunlu, Eğitim sonu geçer not, Her yıl tekrar Spesifik konu bazlı eğitimler ( risk yönetimi eğitimi gibi ) Konu/görev bazlı eğitimler (Sınıfiçi) Teknik Olmayan Teknik Eğitimler 29 / Toplam Saydam Sayısı

30 Bilgi Güvenliği Materyaller Bilgi güvenliği mesajı her masaya her gün! 30 / Toplam Saydam Sayısı

31 Özet Müşteri İş İşve ve Teknik Operasyon Bilgi Bilgi Güvenliği Politika Yönetimi Bilgi Bilgi Güvenliği Güvenliği Bilgi BilgiGüvenliği Bilgi Bilgi Güvenliği Güvenliği Risk Risk Yönetimi Yönetimi Vaka Vaka Yönetimi Yönetimi Süreç SüreçDenetimi Bilgi Bilgi Güvenliği Bilinçlendirme ve ve Eğitim Eğitim Genel Genel Bilinçlendirme Bilinçlendirme Kampanyaları Kampanyaları,, Fonsiyonel Fonsiyonel Güvenlik Güvenlik Eğitimleri Eğitimleri İş İşSahipleri Teknik Teknik Sahipler Sahipler Turkcell BGYS Platformu Turkcell Turkcell Risk Risk Değerlendirme Değerlendirme Süreci Süreci Bilgi Bilgi Güvenliği Güvenliği Politikaları Politikaları Turkcell Turkcell BGYS BGYS Kapsam Kapsam Turkcell Turkcell BGYS BGYS Politikası Politikası 31 / Toplam Saydam Sayısı

32 Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? Bilgi Güvenliği Yönetimi Yasal regulasyonlara tabi olanınız var mı? Güvenlik yapıyoruz ama ne kadar güvenliyiz? 32 / Toplam Saydam Sayısı

33 Ölçmek ve Yönetmek Bu yıl için takip edeceğimiz KPI larımızı belirledik. 33 / Toplam Saydam Sayısı

34 Son Söz! Risk altındaki bilgi varlıklarını bulmak, risklerini değerlendirmek, önceliklendirmek ve uygun kontrollerle kontrol etmek. İş sahipleri, aslında bunu hemen her gün yapıyor.iş sahibinin bilmediği gizlilik, doğruluk ve erişilebilirlik risklerine ilişkin bilgi. Gerçekleştirilen işle ilgili tüm riskleri, bilgi güvenliği kapsamında değerlendirmek. Bilgi Güvenliği sadece bir teknoloji konusu değil iş sahibinin konusudur. Üst yönetim desteği çok önemli!!! Bilgi güvenliği genişletilmiş kapsamıyla Üst Yönetimin konusudur. Ancak Üst Yönetimin güvenlik duvarınızdan veya diğer teknoloji çözümlerinizin detaylarından anlamasını bekleyemezsiniz. Planla, Uygula, Kontrol Et, Önlem Al ISO ve ISO standartları. Kalite sistemleri ve diğer yönetim standartları ile entegrasyon önemli! 34 / Toplam Saydam Sayısı

35 35 / Toplam Saydam Sayısı

36 Sorularınız ve İletişim İçin: Berrin Ünsal Erol TEŞEKKÜRLER! 36 / Toplam Saydam Sayısı