BAHÇEŞEHİR ÜNİVERSİTESİ Fen Bilimleri Enstitüsü Bilgi Teknolojileri Yüksek Lisans Programı YZM5604 Bilgi Güvenliği Yönetimi Dönem Projesi (2014-2015 Güz YY) ARD Sistem Şirket İncelemesi ve BGYS Kurma Çalışmaları (sürüm 1.57) gerçek dışıdır ve sadece YZM5604 dersi dönem proje uygulaması oluşturmak için senaryolaştırılmıştır. Bu ödev metni, yazarından izin alınmadan kullanılamaz. (C) Orhan Gökçöl Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü, Bilgi Teknolojileri Y. Lisans Programı orhan.gokcol@eng.bahcesehir.edu.tr
1 ARD Sistem Şirket Profili ARD Sistem, iki ayrı alanda uzmanlaşmış bir yüksek teknoloji şirketidir: 1) çeşitli oyun konsolları için oyun programları geliştirmek, 2) Modelleme ve benzetim (simülasyon) sistemleri geliştirmek. ARD Sistem in ana faaliyet alanları olarak şunlar sayılabilir: oyun teknolojileri araştırma ve geliştirme, oyun geliştirme, modelleme ve simülasyon sistemleri geliştirme, ürün destek, satış ve pazarlama, eğitim 1993 yılında kurulmuş olan ARD Sistem, 2006 yılında İstanbul Çekmeköy deki yeni milenyumu çağrıştıran teknolojik altyapısı ve görünümü ile farklılaşan, 20 katlı ve toplam 15,000m 2 kullanım alanı olan (içinde genel müdürlüğün de olduğu) yeni yerleşkesine taşındı. 1993-2001 yılları arasında kişisel bilgisayar oyunları geliştirme konusunda çalışan ARD Sistem, 2001-2008 yılları içerisinde, Nintendo Wii, Sony Playstation ve Microsoft Xbox gibi oyun konsolları üreten ve bu konsollara çeşitli aksesuarlar tedarik eden büyük piyasa oyuncuları için çeşitli oyunlar ve oyun geliştirme kütüphaneleri üreterek kendine kârlı bir pazar oluşturdu. ARD Sistem, 2006 yılına gelindiğinde, üniversitelerdeki Yazılım Mühendisliği Bölümleri nde Oyun Programlama içerikli seçmeli derslere destek vererek ve aktiviteler düzenleyerek geliştirdiği oyun programlama kütüphanelerinin geniş kitlelerce öğrenilip kullanılmasını sağladı. Aynı yıl, grafik donanımları için sürücü (driver) yazılımları geliştirme ve kritik sistemler için müşteriye özel yazılım çözümleri üretme şeklinde tanımlanabilecek iki yeni pazara daha girdi. 2006 yılı sonunda, modelleme ve simülasyon alanında ciddi altyapı yatırımları yaparak bu alanda çalışacak bir birim oluşturdu. 2006-2008 arasında, haptik arayüzlerle de kullanılabilen genel amaçlı bir simülasyon motoru geliştirdi. Bu motoru kullanarak; bir dalış okulu için su altı benzetim yazılımı ve sistemi, Deniz Kuvvetleri eğitim faaliyetlerinde kullanılmak üzere bir denizaltı simülatörü, yabancı bir havayolu şirketi için ise uçuş simülatörü geliştirdi. Çeşitli askeri ve emniyet birimleri için küçük çapta silah sistemleri simülasyonları oluşturdu. Bu alanda edindiği tecrübe ve başarılardan sonra NATO bünyesinde silah sistemlerinin öğretilmesi ile ilgili oluşturulacak simülasyonlar için çeşitli yazılım ve sistem geliştirme ihaleleri aldı. ARD Sistem, sadece benzetim (simülasyon) yazılımları yapmaktadır. Ancak, simülasyon donanımlarının tasarım ve geliştirilmesi konusunda bazı donanım üreticileri ile de çok yakın işbirlikleri bulunmaktadır. ARD Sistem in Türkiye deki yerleşkesi dışında, İTÜ Teknokent yapılanması içinde bir araştırma birimi bulunmaktadır. ARD Sistem in ayrıca; Kanada, Almanya, Azerbeycan, Çin ve Hindistan da satış ve pazarlama ofisleri bulunmaktadır. Tüm üretim Çekmeköy yerleşkesinde yapılmaktadır.
2 Şirket, ISO9001 Kalite Güvence Sistemine sahiptir ve yakın bir tarihte uluslararası bir akreditasyon kurumundan belgesini yenilemiştir. Şirketin ürettiği ürünler için CC (Common Criteria) belgesi vardır. ARD Sistem, yazılım geliştirme konusunda çok tecrübelidir ve SPICE (ISO15504) belgesine sahiptir. Şirket, her türlü müşteri ve ürün kayıtlarını elektronik ortamlarda saklamaktadır. Ayrıca, yeni ürün geliştirme ile ilgili çalışmalar, sözleşmeler ve yazışmalar hem elektronik hem de kâğıt ortamında tutulmakta ve saklanmaktadır. Şirket, yurt içi ve yurt dışındaki birimleri arasında çalışan etkin bir ağ altyapısına sahiptir. Tüm haberleşme güvenlikli olarak ve IP tabanlı yapılmaktadır. Şirket Vizyonu: Yurtiçinde ve yurtdışında ulaşılan başarılı konumu sürekli geliştirerek oyun programlama ve simülasyonlar geliştirme konularında dünyada en iyi olmak, üniversiteler ile her geçen gün artan işbirliklerine devam etmek ve ileri teknoloji bilgisi, dinamik ve yetkin kadrosuyla, girişimci, sağduyulu, müşteri odaklı yaklaşımıyla tüm dünyada mükemmel ve lider bir teknoloji şirketi olmak tır. Şirket Misyonu: Oyun programlama ve benzetimler konusundaki uzmanlığını ar-ge ye yaptığı yatırımlarla ve üniversitelerle yaptığı yakın işbirlikleriyle güçlendiren ARD Sistem in misyonu, oyun teknolojileri, simülasyonlar ve programlama konusunda müşterilerin ihtiyaçlarını dinleyerek ürünler ortaya çıkarmak ve teknolojik altyapısını yaymak ve güçlendirmek için üniversitelerle işbirliği içinde hareket etmektir. Kalite Belgesi: Oyun programlama konusunda çıkarttığı ürünler ve geliştirdiği sistemlerle gerek yurtiçinde gerekse yurtdışında sektörde adından saygınlıkla söz ettiren ARD Sistem, verdiği hizmetlerin her zaman bir adım daha kaliteli olması hedefiyle organizasyonel düzenlemelere de giderek ARD Sistem Kalite Yönetim Sistemini kurdu. QSCInc (Quality Systems Corporation ) tarafından yapılan ISO 9001Kalite Yönetim Sistemi Denetimini başarıyla tamamlayan ARD Sistem, ISO 9001 Kalite Belgesini SIFIR HATA ile 2004 yılında aldı. Belge en son, 2012 yılında yenilendi. ARD Sistem Kalite Politikası: ARD Sistem in üst yönetimi ve tüm çalışanları olarak şirketin Kalite Politikası, müşterilerini ve Pazar ihtiyaçlarını dinleyen ve müşterilerinin isteklerini ve beklentilerini zamanında ve eksiksiz karşılayan; ürün geliştirme ve üretim ile ilgili tüm süreçlerine hâkim bir şekilde kaliteli ürün çıkartan; ar-ge sonuçlarını ürün ve hizmet kalitesini arttırmada kullanan bir hizmeti üstün kalitede sunmaktır.
3 Şirket Birimleri: Genel Merkez: Genel merkezde 1000 civarında kişi çalışmaktadır. Bu kişilerin iş tanımlarına göre dağılımları şöyledir: Kuruluşun küresel fonksiyonunu desteklemek için: 100 kişi (hukuk, insan kaynakları ve diğer destek kadrosu) Yazılım geliştirme: 600 kişi (oyun programlama, oyun kütüphaneleri geliştirme, yazılım test vb gibi, yazılım geliştirme hayat döngüsündeki bütün kademelerde çalışanlar bu sayıya dahildir). Çağrı Merkezi / ürün destek: 100 kişi Bilgi İşlem Merkezi Genel Merkez bünyesinde bulunmaktadır ve üç vardiyalı, 7/24 çalışan toplam 50 kişi istihdam edilmektedir. Satış ve pazarlama biriminde 150 kişi çalışmaktadır. Ar-Ge biriminde 25 kişi çalışmaktadır. Şirketin asıl Ar-Ge kaynağı, Teknokent teki birimleridir. Bu kişilerin belli bir çalışma saati yoktur ve mobil olarak da çalışabilmektedirler. Oyun Konsolu Üreticileri İle Koordinasyon Birimi: 15 kişi çalışmaktadır. Çeşitli oyun konsolu üreticileri ile ilişkileri (ürün uyumluluğu, ürün sertifikası vb) denetleyen bir birimdir. Modelleme ve Simülasyon Birimi: 40 kişi çalışmaktadır. Çeşitli senaryolar dâhilinde sistem modellemesi ve benzetim senaryoları geliştirmektedirler. Yazılım geliştirme ve Ar-Ge bölümleriyle ortak çalışmaktadırlar. Üniversite İlişkileri Birimi: ARD Sistem, özellikle üniversitelerle olan ilişkilerine büyük önem vermektedir. Bu birimde çalışan, tamamı doktoralı 20 kişi vardır. Üniversitelerle ortak projeler gerçekleştirilmesi, üniversitelere ders içeriği desteği, laboratuvar desetği, staj vb gibi alanlarda stratejiler üretilmekte ve uygulanmaktadır. Üniversite İlişkileri Birimi de genel müdürlük yerleşkesindedir. Ancak, çeşitli üniversitelerde bazı araştırma ofisleri de bulunmaktadır. Bu ofislerde çalışanlar ARD Sistem çalışanı değil, ilgili üniversitelerle yapılan anlaşmalar gereği proje temelli çalışmalar yapan akademisyenler ve üniversite destek personelidir. Tüm birimlerde yüksek hızlı ağ bağlantısına sahip (masaüstü) kişisel bilgisayarlar bulunmaktadır. Ayrıca, özellikle Ar-Ge ve yazılım geliştirme birimlerinde taşınabilir bilgisayarlar da yaygın olarak kullanılmaktadır. İTÜ Teknokent Araştırma Birimi: Teknokent bünyesinde, tamamı yüksek lisans ya da doktora yapan kişilerden oluşan 100 kişilik bir araştırma birimi vardır. Modelleme ve benzetim, ARD'nin çok önem verdiği bir araştırma alanıdır. Özellikle Matematik altyapısı olan araştırıcılar; matematiksel modelleme, algoritma geliştirme gibi konularda çalışmakta ve özgün teknolojiler üreterek (yazılım, model) patent ve faydalı model belgesi almaktadırlar. Ayrıca, çeşitli üniversitelerden danışman olarak destek veren 25 tane de doktoralı öğretim üyesi bulunmaktadır. Yurt Dışı Satış ve Pazarlama Ofisleri: Her bir ofiste 10 kişi çalışmaktadır. Sadece satış ve pazarlama yapılmaktadır. Satışı yapılan ürünlerle ilgili destekler Türkiye'den telefon ve elektronik kanallarla verilmektedir. Tüm ofislerin Genel Merkez ile ağ bağlantıları mevcuttur.
4 SONUÇ: ARD Sistem için, İstikrarlı büyüme ve değer yaratımı ile sektörünün tartışmasız lideri haline gelme, müşterilerin ve çalışanların ilk tercihi olma, vizyonunu gerçekleştirebilmenin en önemli koşulu, müşterilerine ve şirkete ait bilgi varlıklarını en üst düzeyde korumaktadır. ARD Sistem'in yazılım geliştirme süreçleri ISO15504 (SPICE)'a uygundur ve kuruluşun sertifikası vardır. Ayrıca, geliştirdiği bazı ürünlerin güvenli çalışması ile ilgili olarak, ISO15408 (Common Criteria) sertifikalarına sahiptir. ARD Sistem, Bilgi Güvenliği Yönetim Sistemini ISO27001:2014 e göre tesis etmek istemektedir. Bunun için, öncelikle, şirket içinde bir ön çalışma yapılıp bir yol haritası belirlenecektir. Genel Müdür ve üst yönetim ISO27001 e büyük önem vermektedir, çünkü NATO nun gelecek sene açacağını duyurduğu ve yaklaşık bedeli 500Milyon USD olan çeşitli yazılım ve sistem geliştirme ihaleleri için ön şartlardan birisi de, kuruluşun iyi çalışan bir BGYS i olmasıdır. İhalelerin açılmasına yaklaşık 16 ay vardır ve genel müdürlük 13-15 ay içerisinde ISO27001 belgelendirmesinin yapılmasını istemektedir. Şirket içerisinde, bu proje için yeterince eleman ayrılması ve gerekirse yeni eleman alınması veya dışardan destek/servis, eğitim vb alınması konusunda yönetimin tam desteği bulunmaktadır. Bilgi Teknolojilerinden sorumlu genel müdür yardımcısı, ISO27001 e uygun bir BGYS hazırlanması konusunda yetkilendirilmiştir.
5 Yukarıda verilen bilgileri dikkatlice okuyup değerlendirdikten sonra aşağıdaki sorulara cevap vermeniz gerekmektedir: a) ARD Sistem İçin Bir Organizasyon Şeması çiziniz. b) BGYS kurulumu için nasıl bir ekip oluşturmak gerekir? Mevcut organizasyon yapısında değişiklik gerekiyorsa bunun için de bir öneri yapınız. c) Sizce, ARD Sistem için Bilgi Güvenliği Projesi yapılacak pilot kapsam neresi olabilir? Kapsam Dokümanı hazırlayınız. Kapsam dokümanında pilot olarak seçilen bölümün neden seçildiğini (Bu bölümün Bilgi Güvenliği için neden öncelikli olduğunu) anlatınız. Kapsam dışı bırakılan bölümlerin seçilmeme sebeplerini açıklayınız. d) ISO27001 alanlarını ve şirketin genel işleyiş yapısını da göz önüne alarak yapılması gereken hazırlıkları değerlendiriniz ve BGYS kurulması için bir yol haritası (yaklaşık zamanlarla birlikte) çıkartınız. Bu bir Gantt diyagramı olabilir. Yol haritasının sonunda, belgelendirme başvurusu da olacaktır. e) ARD Sistem'in ISO9001 Kalite Güvence Sistemi ve bazı ürünler bazında CC'a sahip olması ISO27001 BGYS kurulum çalışmaları sırasında ne gibi avantajlar sağlayabilir? f) ARD Sistem için bir Bilgi Güvenliği Politika Dökümanı hazırlayınız (Dokümanınız en fazla 1 A4 sayfası uzunluğunda olacaktır). g) Varlık Yönetimi (Asset Management) Süreci ile ilgili dokümanı (prosedür) hazırlayınız. Bu doküman içinde Varlıkların Sınıflandırması nın nasıl yapılacağını, varlıkların nasıl kayıt altına alınacağını (bunun için bir form oluşturulabilir) yazınız. h) Risk Değerlendirme Süreci için bir doküman (prosedür) hazırlayınız. Hangi varlıklar için risk değerlendirme yapılacağını bu dokümanda anlatınız. ARD Sistem şirketi hangi seviyedeki varlıklar için risk değerlendirme yapılmasını istiyor ve kabul edilebilir risk seviyesi nedir? Gerekiyorsa destekleyici dökümanları hazırlayınız (Risk Özet Tablosu, Risk seviyesini belirleyici soruların yer aldığı form,risk analizinden çıkan aksiyonlar için kimden onay alınacak? Aksiyon listesi vb.). i) ARD Sistem de, Bilgi Güvenliği İhlal Olaylarının nasıl ele alınacağını belirleyiniz ve dokümante ediniz. (Bilgi Güvenliği olaylarında kime haber verilecek vb.) j) Bilgi Sistemlerin sürecindeki dokümantasyon işlerinin kimler tarafından yapılacağını belirleyiniz ve yazılması gereken dokümanlara en az 2 örnek veriniz (yedekleme süreci, anti virüs, sistem kurulum, sistem bakımı vb.)? k) ISO27001 belgelendirme sürecini göz önüne aldığınızda, yukarıdakilere (a..j) ek olarak, başka neler yapılması gerekir? Maddeler halinde yazınız. l) Dışardan destek alınması gereken alanlar (varsa) neler olabilir? Nerelerden destek alınabilir? Kısaca açıklayınız. m) Sertifika denetiminden önce İç Denetim yapılması gerekmektedir. İç denetimi kime yaptıracağınızı belirleyiniz (Şirket içi denetimle ilgili bir bölüme mi? dışardan danışman bir firmaya mı? Neden?) n) Sertifikasyon için kime ve nasıl başvurmak gerekir? Kısaca anlatınız. o) Kendinizi ARD Sistemi denetleyecek denetim firmasının baş denetçisi olarak düşünüp "sertfikasyon denetiminde ziyaret edilecek kapsam ve kapsama destek sağlayacak bölümler için plan yapınız". Hangi saatte kimlerle görüşülecek, vb ile ilgili bir taslak çıkartınız.
6 ÖNEMLİ: Cevaplarınızda herhangi bir ek bilgiye ihtiyaç duyuyorsanız, bununla ilgili bir varsayımda bulunup çözümünüze devam edebilirsiniz. Örneğin, tüm sunucuların Windows 2008 Server olduğu, kartlı geçiş sistemi olduğu, uzaktan erişim için VPN olduğu vb gibi. Ancak, kullandığınız her türlü varsayımı mutlaka belirtmelisiniz. ÖNEMLİ: Senaryoya küçük çaplı ilaveler yapabilirsiniz. ÖNEMLİ: Tüm cevaplarınızı tek bir dökümanda birleştirerek hazırlayınız ve spiral cilt ile ciltletiniz. Dökümanın en başında grup üyelerini tanıtıcı tek bir sayfanın da olması zorunludur. ÖNEMLİ: Projeyi hazırlarken yararlandığınız kaynakları dökümanın en sonunda vermeniz gerekmektedir. DİKKAT! BU BİR GRUP PROJESİDİR. GRUPLAR 2-4 KİŞİLİK OLUŞTURULACAKTIR. 26 KASIM 2014 E KADAR GRUPLARIN OLUŞTURULMASI VE BANA E-POSTA İLE BİLDİRİLMESİ GEREKMEKTEDİR. PROJE TESLİMİ ve DEĞERLENDİRME: 6/13 Ocak 2015 Salı günleri; 18:45-21:30 arası projelerinizi yazılı olarak teslim etmeniz gerekmektedir. Dijital kopyasını da dersin eposta adresine göndereceksiniz. Her grup aynı gün projesini sınıfta sunacaktır. Sunum için 20 dakika süre verilecektir. Proje sunumunda tüm grup üyelerinin hazır bulunması gerekmektedir. Ayrıca, projelerinizle ilgili bir ara değerlendirmeyi de 31 Aralık 2014 tarihinden önce (ofisime gelerek) bana anlatmanızı istiyorum. DEĞERLENDİRME: ARA DEĞERLENDİRME : %10 TÜM EKİBİN PROJEYE KATKISININ OLMASI : %10 SUNUM : %20 PROJE DOKÜMANI : %20 KAPSAM DEĞERLENDİRMESİ : %40 (sorulan herşeyi yapmış olma)