TURKCELL DE BİLGİ GÜVENLİĞİ YOLCULUĞU Berrin Ünsal EROL TÜBİTAK UEKAE BİLGİ TEKNOLOJİLERİ GÜVENLİK KONFERANSI 15-16 Mart 2007 1 / Toplam Saydam Sayısı
Konuşmacı Berrin Ünsal EROL 2004 devam Turkcell İletişim Hizmetleri A.Ş Bilgi Güvenliği Uzmanı Bilgi Güvenliği Yönetim Sistemi Kurulumu 2000-2004 Turkcell İletişim Hizmetleri A.Ş. İş Analizi ve Proje Yönetimi Birimi Yöneticisi 1998-2000 Turkcell İletişim Hizmetleri A.Ş. Proje Yöneticisi. ISO 27001 Denetçi - Baş Denetçilik Süreci Devam Ediyor B.S.c. Matematik Mühendisliği İstanbul Teknik Üniversitesi 2 / Toplam Saydam Sayısı
3 / Toplam Saydam Sayısı
4 / Toplam Saydam Sayısı Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı?
Amerika yı yeniden keşfetmemek! 5 / Toplam Saydam Sayısı
ISO 27001 Nedir? Bilgi güvenliği yönetimi için uluslararası bir standarttır. Bilgi güvenliği yönetim sürecini sistematik bir şekilde kurmak ve işletmek için spesifikasyonlar içerir. İş ve kontrat ilişkilerinde tarafların, birbirlerine karşı bilgi güvenliklerini yönetme kabiliyetini gösteren bir sertifikasyon içermektedir. Akredite sertifikasyon kuruluşları tarafından sertifikalandırmaktadır. Bütün sektör ve endüstrilere uygulanabilir genel yönetim prensipleri ve esnekliği vardır. Vakadan öğrenerek geliştirmeye ve iş sahibi sorumluluğuna vurgu vardır. 6 / Toplam Saydam Sayısı
ISO 27001 in 11 Alanı Yasal Uyumluluk Güvenlik Politikaları Organizasyonel Güvenlik Varlık Ve Risk Yönetimi İş Sürekliliği Bütünlük bilgi Gizlilik Çalışan Güvenliği Vaka Yönetimi Sistem Alımı, Geliştirme ve Bakım Erişilebilirlik Erişim Güvenliği İletişim ve Opr. Yönetimi Fiziksel ve Çevresel Güvenlik 7 / Toplam Saydam Sayısı
Bilgi Güvenliği İçin Sürekli İyileştirme PLANLA İlgili Taraflar BGYS Kurulması İlgili Taraflar UYGULA BGYS Uygulanma ve İşletimi BGYS Bakım ve İyileştirme ÖNLEM AL Bilgi Güvenliği ihtiyaçları ve beklentileri BGYS Takibi ve Gözden Geçirilmesi KONTROL ET Yönetilen Bilgi Güvenliği nin Sonuçları 8 / Toplam Saydam Sayısı
9 / Toplam Saydam Sayısı
Bilgi Güvenliği Politikaları Bilgi Güvenliği Stratejisi Bilgi Güvenliği Yol Haritası 10 / Toplam Saydam Sayısı
Deniz, hava, rüzgar - Regülasyonlar -Yeni gelişmeler ve ihtiyaçlar - Hizmet/servislerdeki güvenlik değişimi Müşteri istekleri Üst Yönetim Desteği! Çalışan Sahipliği (Eğitim&Farkındalık) 11 / Toplam Saydam Sayısı Vaka Yönetimi
Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? 12 / Toplam Saydam Sayısı
Politika Risk İlişkisi Riskler Risk Değerlendirme Politikalar - Politikaların Güncellenmesi Riskler sonucu Organizasyondan gelen talepler 13 / Toplam Saydam Sayısı
Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? Bilgi Güvenliği Yönetim Sistemi 14 / Toplam Saydam Sayısı
Bilgi Güvenliği Yönetim Sistemi Varlık Envanteri Varlıklara bağlı Riskler Risklere bağlı Kontroller Risklere bağlı Politika beyanları 15 / Toplam Saydam Sayısı
Varlıklarımızı Korumalıyız! İş Sahipliği ve Teknik Sahiplik 16 / Toplam Saydam Sayısı
Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? Bilgi Güvenliği Yönetimi Yasal regülasyonlara tabi olanınız var mı? 17 / Toplam Saydam Sayısı
Bilgi Güvenliği Yönetimi REGÜLASYON RİSK DEĞER 18 / Toplam Saydam Sayısı
TURKCELL EKO SİSTEMİ TEDARİKÇİLER TEDARİKÇİLER BAYİİLER BAYİİLER DANIŞMANLAR DANIŞMANLAR TURKCELL GRUP ŞİRKETİ VE GRUP ŞİRKETİ VE İŞTİRAKLER İŞTİRAKLER TAŞERONLAR TAŞERONLAR 19 / Toplam Saydam Sayısı
Bilgi Güvenliği Vakaları ABD Elektrik kesintisi. Bilgisayar korsanları elektrik idaresinin yazılımlarındaki bir açığı kullanarak, enterkonnekte sistem üzerindeki sayısal devre kesicileri uzaktan kumanda etmiş ve sistemin yük paylaşımı ayarlarını bozmuş, aşırı yük altında kalan bazı bileşenler eriyerek büyük maddi hasar oluşmuştur. Bölgede 50 milyon kişinin etkilendiği olayı resmen kabul edilmiş olmasa da El Kaide üstlenmişti. 4 saat içinde kesinti hızla haritada gösterildiği şekilde yayıldı. 20 / Toplam Saydam Sayısı
21 / Toplam Saydam Sayısı Bilgi Güvenliği Vakaları
22 / Toplam Saydam Sayısı Bilgi Güvenliği Vakaları
Nereden Nereye? 1990 lı yılların sonu ve 2000 in başından itibaren insan faktörü çok fazla önem kazanmıştır. Bu durumun daha artacağı beklenmektedir. %50 %50 Güvenlikte Teknoloji Faktörü Güvenlikte İnsan Faktörü 23 / Toplam Saydam Sayısı
24 / Toplam Saydam Sayısı
Bilinçlendirme Programı Yıl boyu sürekli olacak şekilde aylık bazlı temalı bilinçlendirme programı LCD lerde animasyonlar Intracell de kampanyalar Anket, Mini Anketler Habercell de Bilgi Güvenliği Konuları ile ilgili Üst Düzey Yönetici röportajları/mesajları Makale Haber Film gösteri (Multimedya TV) El kitabı/broşür vb.. Bilgi Güvenliği ya da İç İletişim E-posta Bülteni Screen Saver ile iletilecek mesajlar Bilgi Güvenliği Kütüphanesi (Intracell de) 25 / Toplam Saydam Sayısı
Örnek: Bilinçlendirme Programı Tema: Kullanıcı Güvenliği Taşınabilir medya güvenliği ile ilgili animasyon Doküman imhası ile ilgili kampanya(temiz masa temiz ofis) Kullanıcı Güvenliği Mini Anket Evden Güvenli Çalışma (Habercell de yazı) Turkcell Çalışanına Bilgi Güvenliği İletişim Kiti 26 / Toplam Saydam Sayısı
27 / Toplam Saydam Sayısı Örnek - devam
28 / Toplam Saydam Sayısı Örnek: devam
Eğitim Programı e-learning veya b-learning Eğitimleri Genel Bilgi Güvenliği eğitimi Zorunlu, Eğitim sonu geçer not, Her yıl tekrar Spesifik konu bazlı eğitimler ( risk yönetimi eğitimi gibi ) Konu/görev bazlı eğitimler (Sınıfiçi) Teknik Olmayan Teknik Eğitimler 29 / Toplam Saydam Sayısı
Bilgi Güvenliği Materyaller Bilgi güvenliği mesajı her masaya her gün! 30 / Toplam Saydam Sayısı
Özet Müşteri İş İşve ve Teknik Operasyon Bilgi Bilgi Güvenliği Politika Yönetimi Bilgi Bilgi Güvenliği Güvenliği Bilgi BilgiGüvenliği Bilgi Bilgi Güvenliği Güvenliği Risk Risk Yönetimi Yönetimi Vaka Vaka Yönetimi Yönetimi Süreç SüreçDenetimi Bilgi Bilgi Güvenliği Bilinçlendirme ve ve Eğitim Eğitim Genel Genel Bilinçlendirme Bilinçlendirme Kampanyaları Kampanyaları,, Fonsiyonel Fonsiyonel Güvenlik Güvenlik Eğitimleri Eğitimleri İş İşSahipleri Teknik Teknik Sahipler Sahipler Turkcell BGYS Platformu Turkcell Turkcell Risk Risk Değerlendirme Değerlendirme Süreci Süreci Bilgi Bilgi Güvenliği Güvenliği Politikaları Politikaları Turkcell Turkcell BGYS BGYS Kapsam Kapsam Turkcell Turkcell BGYS BGYS Politikası Politikası 31 / Toplam Saydam Sayısı
Tek işi Bilgi Güvenliği olan kişiler ya da bölüm var mı? Bilgi güvenliği Politikalarınız var mı? Bilgi Güvenliği Yönetimi Yasal regulasyonlara tabi olanınız var mı? Güvenlik yapıyoruz ama ne kadar güvenliyiz? 32 / Toplam Saydam Sayısı
Ölçmek ve Yönetmek Bu yıl için takip edeceğimiz KPI larımızı belirledik. 33 / Toplam Saydam Sayısı
Son Söz! Risk altındaki bilgi varlıklarını bulmak, risklerini değerlendirmek, önceliklendirmek ve uygun kontrollerle kontrol etmek. İş sahipleri, aslında bunu hemen her gün yapıyor.iş sahibinin bilmediği gizlilik, doğruluk ve erişilebilirlik risklerine ilişkin bilgi. Gerçekleştirilen işle ilgili tüm riskleri, bilgi güvenliği kapsamında değerlendirmek. Bilgi Güvenliği sadece bir teknoloji konusu değil iş sahibinin konusudur. Üst yönetim desteği çok önemli!!! Bilgi güvenliği genişletilmiş kapsamıyla Üst Yönetimin konusudur. Ancak Üst Yönetimin güvenlik duvarınızdan veya diğer teknoloji çözümlerinizin detaylarından anlamasını bekleyemezsiniz. Planla, Uygula, Kontrol Et, Önlem Al ISO 27001 ve ISO 17799 standartları. Kalite sistemleri ve diğer yönetim standartları ile entegrasyon önemli! 34 / Toplam Saydam Sayısı
35 / Toplam Saydam Sayısı
Sorularınız ve İletişim İçin: Berrin Ünsal Erol berrin.erol@turkcell.com.tr TEŞEKKÜRLER! 36 / Toplam Saydam Sayısı