Finansal Hizmetler Sektöründe Güvenlik Trendleri Türkiye ve Dünyadaki Son Çalışmalar Cüneyt Kırlar Kurumsal Risk Hizmetleri Lideri 26.02.2013
Katılımcılar Bu yıl gerçekleştirilen araştırma katılımcılarının profilleri şu şekildedir: Chief Security Officers (CSO)/Chief Information Security Officers (CISO) veya görevlendirdikleri kişiler ve güvenlik takımları tarafından yanıtlanmıştır. 39 ülkeden Finansal Hizmetler Sektöründe (FSI) faaliyet gösteren 250 nin üzerinde organizasyonun katılımı bulunmaktadır. Türkiye den de 11 finans kurumu bu araştırmaya katılmıştır. Gelir bakımından sektörün öncüsü 100 global bankanın * 11 i katılımcı olarak yer alır. Gelir bakımından sektörün öncüsü 100 global sigorta organizasyonunun 24 ü katılımcı olarak yer alır. Katılımcıların Sektörü Katılımcıların Personel Sayısı * Dow Jones Companies & Executives derecelendirmesi baz alınmıştır. 2012 Global Financial Services Industry Security Survey: Breaking Barriers 1
Araştırmadaki Önemli Tespitler Birlikte Daha Güçlü Katılımcıların üçte ikisi güvenlik ve iş fonksiyonlarının birbirlerine entegre şekilde çalıştığını düşünmektedir. Katılımcıların yarısından fazlası operasyonel risk yönetimi ile güçlü ilişkileri olduğunu ifade ederken yarısına yakını da kurumsal risk yönetimi ile güçlü ilişkileri olduğunu ve koordineli olarak çalıştıklarını belirtmiştir. Bilgi güvenliği yönetişimi, kimlik ve erişim yönetimi, bilgi güvenliği stratejisi ve yol haritası oluşturulması bu yılın öne çıkan yatırım başlıkları arasındadır. Geçen yıllarla benzer olarak, katılımcılar yetersiz bütçe ayrılmasının (44%) ve tehditlerin karmaşıklığının artmasının, etkili bir bilgi güvenliği programı oluşturulmasının önündeki en büyük engeller olduğunu belirtmiştir. 2
Araştırmadaki Önemli Tespitler Yeni Teknolojilere Adaptasyon: güvenlik yenilikleri Sosyal Medya Katılımcıların 37% si sosyal medya kullanımının artmasıyla beraber şirket politikalarını güncellediklerini, 33% ü ise son kullanıcıları sosyal ağlardaki güvenlik risklerine karşı eğittiklerini söylemiştir. Bulut Bilişim Araştırmaya katılan organizasyonların büyük bir kısmı bulut bilişim teknolojilerini araştırmıştır. Katılımcıların 40% ı hala bulut bilişime geçmediğini ifade etmiştir. Bunun nedeni olarak da teknolojinin henüz olgunlaşmamış olması, güvenlik riskleri ve şirketlerin bu teknolojiye adaptasyon kapasitelerindeki yetersizlik gösterilmiştir. Mobilite Mobilite programlarının bir parçası olarak birçok organizasyon VPN, merkezi cihaz yönetimi ve mobil cihaz yönetim yazılımları gibi uygulamaları hayata geçirmiş ya da geçirmeyi planlamaktadır. Fakat katılımcıların yarısından fazlası henüz mobil cihazlar için veri sızmasını önleme uygulaması, çalışan-müşteri yüz yüze uygulamaları, oltalama önleyici uygulamaları kullanmayı planlamamaktadır. 3
Araştırmadaki Önemli Tespitler Siber Tehditlerin Önlenmesi: Bilgi varlıklarını koruma Bilgi sistemlerini kullanarak yapılan finansal dolandırıcılık, çalışan hataları ve ihmalleri ve veri güvenliği ihlalleri geçen yılın en büyük üç tehdidi olarak kabul edilmiştir. Araştırmaya katılan organizasyonların 49% u açıklıkları aktif olarak yönettiklerini, bu organizasyonların 82% si ise ortamlarını gelişen tehditlere karşı proaktif olarak korumak için yine aktif olarak yeni tehditleri araştırdıklarını iddia etmiştir. Katılımcıların yarısından fazlası organizasyonların bilgi güvenliği sorunlarını daha iyi anlamak ve operasyonları üzerinde daha fazla kontrol sağlamak için Güvenlik Operasyon Merkezleri ni kendilerinin yönettiğini belirtmiştir. 4
Bilgi güvenliğine ilişkin konuların raporlandığı yönetim seviyesindeki sorumlu kimdir? Raporlama yapısı organizasyonlar arasında farklılık gösterse de öne çıkan ilk üç cevabın CIO, CEO, CRO/Yönetim Kurulu şeklinde olduğu görülmüştür. Türkiye de ise Güvenlik Komitesi, CEO ve CIO yanıtları öne çıkmaktadır. Öne Çıkanlar Türkiye de bilgi güvenliğine ilişkin olayların kurulmuş bir komite üzerinden yürütülmesi diğer ülkelere oranla daha yaygındır. 5
Organizasyonunuzda kaç tane bilgi güvenliği profesyoneli çalışmaktadır? Çoğu organizasyonun bilgi güvenliği fonksiyonuna özel çalışan personeli bulunmakta ve bu sayı büyük oranda 1-5 tam zamanlı çalışan ile sınırlanmaktadır. Türkiye de de benzer bir tablo ortaya çıkmıştır. Türkiye deki katılımcıların 60% ı 1-5 tam zamanlı çalışan ile bilgi güvenliği operasyonlarını sürdürdüğünü ifade etmiştir. Öne Çıkanlar Bilgi güvenliği profesyoneli istihdamı ve kullanımı açısından Türkiye, dünya ile benzer bir ortalamaya sahiptir. 6
Organizasyonunuz dokümante edilmiş ve onaylanmış bilgi güvenliği stratejisine sahip mi? Organizasyonların büyük bir çoğunluğu dokümante edilmiş ve onaylanmış bir bilgi güvenliği stratejisine sahip olmanın önemini ve değerini anlamıştır. Türkiye de de organizasyonların 70% i dokümante edilmiş ve onaylanmış bir bilgi güvenliği stratejisine sahip olduğunu, 10% u ise bilgi güvenliği stratejisi oluşturduklarını ancak onaylatmadıklarını ifade etmiştir. Öne Çıkanlar Bilgi güvenliği stratejisinin oluşturulması ve onaylatılması konusunda Türkiye, dünya ile benzer bir ortalamaya sahiptir. 7
2012 yılında organizasyonunuzun en önemli üç güvenlik önceliğini belirtiniz. Öne Çıkanlar Bilgi güvenliği yönetişimi, kimlik ve erişim yönetimi, bilgi güvenliği stratejisi ve yol haritası en önemli üç başlık olarak yer almıştır. 8
2012 yılında organizasyonların güvenlik öncelikleri şu şekilde belirtilmiştir: 1 Bilgi Güvenliği Yönetişimi 4 2 Kimlik ve Erişim Yönetimi 5 Veri Koruma Bilgi Güvenliğinin Ölçümlenmesi ve Raporlanması 3 Bilgi Güvenliği Stratejisi ve Yol Haritası 6 Bilgi Güvenliği Eğitim ve Farkındalık Çalışmaları 7 Bilgi Güvenliği Yasal Düzenlemelere ve Mevzuata Uyum 9
Organizasyonunuzda tüm BT bütçesinin yüzde kaçı bilgi güvenliği yatırımlarına ayrılmış durumdadır? Verilen yanıtlar arasında 36,2% oranla tüm BT bütçesinin 1-3% arasında olan kısmının bilgi güvenliği yatırımlarına ayırdığı ifade edilmiştir. Organizasyonların 20,4% ü gibi büyük bir oran ise bu konuda detay verememiştir. Bu durum bütçedeki yatırım kalemleri arasında bilgi güvenliğinin ayrı bir başlıkta yer almadığının göstergesidir. Türkiye de ise organizasyonların %50 si benzer tüm BT bütçesinin 1-3% arasında olan kısmının bilgi güvenliği yatırımlarına ayırdığı ifade edilmiştir. Türkiye deki en dikkat çekici sonuç tüm BT bütçesinin 10% unu bilgi güvenliği yatırımlarına ayırmış olduğunu belirten organizasyonların oranı olan %10 dur. Öne Çıkanlar Artan karmaşık ataklarla ve gerçekleşen/gerçekleşebilecek güvenlik ihlalleriyle baş etmek için organizasyonlar bilgi güvenliği konusuna yatırım yapmalıdır. Organizasyonların 32,6% sının 4% ve üzeri oranında yatırımı önemlidir. 10
Organizasyonunuzun bilgi güvenliği bütçesinin yıldan yıla değişimini nasıl ifade edersiniz? Organizasyonların 38,6% sı bilgi güvenliği bütçesinin 1-5% arasında arttığını ifade etmiştir. Organizasyonların 27% si gibi büyük bir oran ise bu konuda detay verememiştir. Bu durum bütçedeki yatırım kalemleri arasında bilgi güvenliğinin ayrı bir başlıkta yer almadığının göstergesidir. Organizasyonların yalnızca 15.1% i bütçelerindeki azalıştan bahsetmiştir. Türkiye de ise organizasyonların %50 si bilgi güvenliği bütçesinin 1-5% arasında arttığını ifade etmiştir. Türkiye deki en dikkat çekici sonuç bilgi güvenliği bütçesinin azaldığını belirten organizasyonların yalnızca 10% olmasıdır. Öne Çıkanlar Ekonomideki sıkıntılı döneme ve kurumsal bütçe kesintilerine rağmen, bilgi güvenliği bütçeleri artış gösterdiği görülmüştür. 11
Organizasyonunun aşağıda belirtilen konulardan hangilerini üçüncü tarafların kontrolüne bırakmıştır? Üçüncü tarafların kontrolüne bırakılan konular arasında Açıklık Taraması ve Sızma Testleri açık ara öne çıkmaktadır. Diğer öne çıkan konular şu şekildedir: Altyapı Güvenlik Teknolojileri E-posta filtreleme Tehdit Yönetimi ve İzleme Servisleri DDOS (Servis Kesintisi Saldırısı) Koruma Türkiye de Açıklık Taraması ve Sızma Testleri ile DDOS (Servis Kesintisi Saldırısı) Koruma konularının ezici bir ağırlığı bulunmaktadır. Türkiye de diğer konular genellikle iç kaynak kullanımı ile yönetilmektedir. Öne Çıkanlar Son dönemde Türkiye de gerçekleşen saldırıların büyük çoğunluğu servis kesintisi saldırılarıdır (DDOS), bu nedenle Türkiye de bu konuda özel bir hassasiyet oluşmuştur. 12
Organizasyonunuzda son 12 ay içerisinde bilgi teknolojileri ile ilgili tespit edilen en önemli beş denetim bulgusu nedir? Türkiye deki organizasyonların çoğunda yazılımcıların üretim ortamına erişimi konusunda denetim bulgusuna sahip olduğu görülmüştür. Diğer öne çıkan konular denetim bulguları şu şekildedir: Görevler ayrılığı ilkesinin uygulanmaması Erişim yetkilerinin fazla verilmesi Denetim izlerinin/iz kayıtlarının yönetimi Güvenlik farkındalık programlarının bulunmaması Güvenlik politikaları ve standartlarının işletilmemesi Öne Çıkanlar Türkiye de de özellikle görevler ayrılığı ve erişim yetkileri ile ilgili bulgulaırn öne çıktığını gözlemlemekteyiz. 13
Neden Deloitte? Güvenlik, mahremiyet ve risk yönetimi servislerimiz ile dünyada lider bilgi güvenliği danışmanlık firması seçildik. Global Tecrübe Yetkin ve farklı sektörlerde tecrübeli ekipler, yüksek kalitede iş Dikey tecrübe Taahhütlerini yerine getirme yeteneği İnovasyona yatırım Müşteri bazında %8 büyüme Forrester Research, Forrester Wave TM : Information Security Consulting Services Q1 2013, Ed Ferrara and Andrew Rose, February 1, 2013 ISC 2 ISACA BSI IAPP Uzmanlıklar Deloitte Üye Firmalarının Yetki Belgeleri 1,100 üzerinde CISSP sertifikasına sahip çalışan 2,000 üzerinde CISA, CISM, & CGEIT sertifikasına sahip çalışan 150 üzerinde eğitimli sistem denetçisi (Lead System Auditor) Mahremiyet sertifikalı uygulayıcılar Geniş yelpazede alan spesifik sertifikalar Deloitte, müşterilerinden olağanüstü geribildirim almasının yanı sıra kapsamlı ve entegre hizmet önerilerine sahip şirket olarak belirlendi. Forrester raporu ayrıca, Deloitte u bilgi güvenliği alanında derin teknik bilgi ve küresel etkinliği ile vurgularken; güvenlik ve risk danışmanlığı hizmeti veren birinci sınıf şirket olarak konumluyor.