Yöneticiler için Bilgi Güvenliği

Transkript

1 Yöneticiler için Bilgi Güvenliği GÜVENLİĞİ SAĞLAMAK İÇİN EN KRİTİK ROL YÖNETİM ROLÜDÜR

2 Tanışma Çağan Cebe Endüstri Mühendisi Barikat Profesyonel Hizmetler - Yönetim Sistemleri Uzmanı 4 Yıl

3 İçerik Siber Olaylar Bilgi Güvenliği ile ilgili Bilmeniz Gerekenler Yöneticilerden Beklentiler Yöneticilere Rehber Olabilecek Standartlar Kritik Noktalar

4 Siber Olaylar ULUSAL VE ULUSLARARASI YAŞANMIŞ OLAYLAR

5 Yaşanmış Olaylar

6 Yaşanmış Olaylar

7 Yaşanmış Olaylar

8 Yaşanmış Olaylar

9 Bilgi Güvenliği ile ilgili Bilmeniz Gerekenler BİLGİ GÜVENLİĞİ İLE İLGİLİ TEMEL KAVRAMLAR

10 Bilgi Varlığı? Sizin için değerli olan ve bilgi taşıyan şeyler

11 Bilgi Güvenliği?

12 Bilgi Güvenliği Olayı?

13 Bilgi Güvenliği Politikaları

14 Bilgi Güvenliği Önlemleri

15 Hacklenmek? Sahibi olduğunuz bilgisayar ve/veya ağlara Bilgisayar korsanları tarafından Çeşitli motivasyon ve amaçlarla izinsiz olarak erişim sağlanması ve/veya ele geçirilmesi

16 Peki Neden Hedefiz? Paramız var, Elektronik ticaret kullanıyoruz, Stratejik bir kurumda çalışan kişileriz, Çalışan ve internete bağlı bir bilgisayarımız var

17 Bilgi Güvenliğinin Boyutları Yetkisiz kişilerin kullanamaması ve öğrenememesi Gizlilik Doğruluğunun ve tamlığının korunması Yetkili kişiler istediğinde erişilebilir ve kullanılabilir olması Bütünlük Erişebilirlik

18 Bilgi Güvenliği Bileşenleri İnsanlar İş Süreçleri Teknoloji

19 Yöneticilerden Beklentiler GÜVENLİK YÖNETİMİ İÇİN YÖNETİCİNİN SORUMLULUKLARI

20 Yöneticilerden Beklentiler Güvenlik Organizasyonu Liderlik İhtiyaçlar

21 Güvenlik Organizasyonu Üst Yönetim BT Yönetim Denetim Güvenlik Yönetimi Olay Müdahale Hukuk Halkla İlişkiler İdari İşler

22 Üst Yönetim Güvenlik organizasyonunu kurmak ve desteklemek Güvenlik ile ilgili yetki ve sorumlulukları belirlemek Güvenlik ile ilgili konulara kaynak sağlamak

23 BT Yönetimi BT sistemlerini güvenli şekilde kurmak ve yönetmek Güvenlik politikalarını uygulamak Güvenlik ve olay müdahale ekipleri ile işbirliği

24 Denetim Bağımsız ve yetkin Güvenlik politikalarına uyum denetimi Güvenlik kontrolleri uygulama denetimi Raporlama

25 Olay Müdahale Sanal Bağımsız ve yetkin Planlı ve organize Olay yönetimi

26 Diğer Birimler Hukuk - Yasal gereklilikler, adli merciler ile koordinasyon Halkla İlişkiler - Acil durumlarda planlı iletişim, kurumsal imaj İdari İşler Fiziksel güvenlik ve altyapı yönetimi

27 Güvenlik Yönetimi Güvenlik politikalarını oluşturma Güvenlik altyapılarını kurma ve yönetme Güvenliği izleme Dünyadaki ve sektördeki gelişmeleri takip etme Yönetimi ve personeli bilinçlendirme Olaylara müdahale konusunda işbirliği

28 Güvenlik Yönetiminde Roller Güvenlik Yöneticisi Güvenlik Sistemleri Yönetimi Güvenlik İzleme Görevler Güvenlik ayrılığı organizasyonu ve yetkinlikler konusunda başkta ABD olmak üzere birçok Bilmesi gereken ülke ciddi yatırımlar ile ar-ge çalışmaları yapmaktadır. Barikat olarak bizde bu konuda bazı çalışmalar yapmaktayız. Konu hakkında detaylı bilgi almak için Ar-Ge ekibimizle görüşebilirsiniz

29 Tüm Personel En zayıf halka Farkındalık Politika ve kurallara uyum Motivasyon ve teşvik

30 Liderlik Güvenliğin önemini ve önceliğini vurgulamak Politikaları duyurmak ve uyum konusunda örnek olmak Diğer yöneticileri güvenlik konusuna liderlik etmelerini teşvik etmek

31 Liderlere Öneriler Güvenlik istiyoruz ama kuralları ilk yönetim olarak siz çiğniyor ve korunmuyorsunuz. Bu şekilde güvenlik sağlanamaz Güvenlik ile kullanılabilirlik/performans isteklerini dengelemelisiniz Halen ülkemizde güvenlik üst yönetime bağlı (bağımsız) bir organizasyon değil Güvenliği şansa bırakmayın, metodolojik bir yaklaşım benimseyin

32 İhtiyaçlar Doğru kaynak planlama için risk değerlendirme Yeterli sayıda, yetkinlikte ve yedekli personel Yetkinlikleri artırmak ve farkındalık için eğitim Güvenlik politikalarına uygun ve güncel teknoloji En temel ihtiyaç doğru güvenlik yaklaşımı

33 Yöneticilere Rehber Olabilecek Standartlar ULUSLARARASI STANDARTLAR EN İYİ UYGULAMALARDAN OLUŞTURULUR

34 Rehber Standartlar Ulusal/Uluslararası organizasyonların yayınları Güvenlik yönetim için yol haritası ve rehberlik Sistemin etkinliğini ölçmek için metrikler Başarısı kanıtlanmış en iyi uygulamalar ile sistematik yaklaşımın harmanlanması Malesef ülkemizin henüz böyle bir çalışması yok

35 ISO Bilgi Güvenliği Yönetim Sistemi En yaygın bilgi güvenliği yönetim sistemi standardıdır. Risk değerlendirmeye dayalı bir yönetim sistemi Hedef bazlı yönetim Güvenlik için sistematik bir yaklaşım sunar Yönetim sistemi için standart maddeleri içerir Güvenlik önlemleri için kontrol maddelerini içerir

36 ISO İş Sürekliliği Yönetim Sistemi Toplumsal güvenlik standardı olarak ifade edilir En yaygın iş sürekliliği yönetim sistemi standardıdır İş etki analizine ve risk değerlendirmeye dayalı bir yönetim sistemi Hedef bazlı ve stratejik yönetim İş sürekliliği için sistematik bir yaklaşım

37 ISO Bilgi Teknolojileri Hizmet Yönetim Sistemi Nam-ı diğer ITIL standardı Bilgi güvenliği, iş sürekliliği standartları ile entegre olabilir BT hizmetlerinin etkin şekilde gerçekleştirilmesi için gereksinimleri belirler Hedef bazlı ve stratejik yönetim BT hizmet yönetimi için süreç bazlı yaklaşım

38 O-ISM3 Açık Bilgi Güvenliği Yönetim Olgunluk Modeli Herkese açık bir standart Bilgi güvenliği yönetimi için bir olgunluk modeli Bilgi güvenliği yönetimine süreç bazlı bir yaklaşım Bilgi güvenliği için birçok faktörü bir arada kullanmayı hedefler Uluslararası yönetim sistemi standartları ile entegre edilebilir

39 Güvenlik Yönetiminde Kritik Noktalar En zayıf halka olan personeli bilinçlendirin Üst yönetimi destek için ikna edin İhtiyaçlar için kaynakları hazır bulundurun Sistematik güvenlik yönetimi için rehberiniz standartlar En temel ihtiyaç metodolojik güvenlik yaklaşımı

40 Sorularınız ve Önerileriniz

41 Teşekkürler ÖZEL SORULARINIZ VE AKLINIZA GELEN KONULARI ÇÖZÜM MASASINDA SORABİLİRSİNİZ