Boğaziçi Üniversitesi - ETM İş ve BT Strateji

Boğaziçi Üniversitesi - ETM
İş ve BT Strateji Uyumu ile
Bilgi Güvenliği ve İş
Sürekliliğinin Önemi
01.03.2014 - İstanbul
İçindekiler
1.
Tanışma
2.
Deloitte Hakkında
3.
İş ve BT Stratejilerinin Uyumu
4.
İş Sürekliliği
5.
Bilgi Güvenliği
6.
Deloitte Referanslar
7.
İletişim Bilgilerimiz
Tulu Akyol
Tulu Akyol, 2010 yılında katıldığı Deloitte Kurumsal
Risk Hizmetleri B T Risk Hizmetleri Bölümü’nde
Müdür olarak çalışmaktadır.
Tulu Akyol
Müdür,
CISA, ISO 27001 LA
Tulu, yaklaşık 11 senedir farklı organizasyonlar ve
görevlerde
profesyonel
hizmetler
vermektedir.
Çalışma hayatına 2003-2007 yılları aras ında Garanti
Bankası Alternatif Dağıtım Kanalları Bölümü’nde
başlamış olup 2007-2008 yılları arasında HSBC B ank
A.Ş. Teftiş Kurulu Başkanlığı’nda B T Yetkili Müfettiş
Yardımcısı ve 2009-2010 yılları aras ında Eurobank
Tek fen A.Ş. Teftiş Kurulu Başkanlığı’nda B T
Denetçisi olarak görevler almıştır. Çalışma hayat ı
boyunca bir çok uluslararası denetim çalışmalarında
çok uluslu denetim takımlarında bulunmuş veya
takımları yönetmiştir.
Tulu, İş ve Teknoloji sürdürebilirliği stratejileri
alanlarında uzmanlaşmış olup müşterilerine iş
gereksinimleri etki analizleri, teknoloji bağımlılıklarının
tespiti ve bu ihtiyaçları doğrultusunda kurgulanmış B T
destek yatırımlarının uyumluluğu konularında hizmet
vermektedir.
Deloitte bünyesinde birçok denetim ve danışmanlık
hizmetlerinde
bulunmuştur;
bunlar
arasında,
Sarbanes-Oxley (SoX) uyumluluğu, finansal ve yasal
denetimler, kurumsal risk yönetişimi şeklinde
sayılabilir. Bu çalışmalarda genel olarak B T süreç
danışmanlığı, BT kontrollerinin değerlendirilmesi ile
kurumda
bulunan
risklerin
tespit
edilmesi
hizmetlerinde bulunmuştur.
Tulu Akyol, 1982 yılında dünyaya gelmiştir. Tulu eğitimini
Boğaziçi Üniversitesi Mühendislik ve Teknoloji Yönetimi
Yüksek Lisans ve Yıldız Teknik Üniversitesi Matematik
Mühendisliği lisans dereceleriyle tamamlanmıştır. İngilizce,
Almanca ve Yunanca bilmektedir. BT denetim sertifikası
olan CISA ve Bilgi Güvenliği ISO 27001 Baş Denetçi
sertifikalarına sahiptir.
Hizmet verdiği kurumlardan bazıları:
• Turkcell
• Türkiye Cumhuriyeti Merkez Bankası
• T.Garanti Bankası A.Ş.ve İştirakleri
• FinansBank A.Ş. Ve İştirakleri
• The Royal Bank of Scotland ve İştirakleri
• JP Morgan Türkiye A.Ş.
• Asya Katılım Bankası A.Ş.
• Sabancı Holding ve İştirakleri
• Eczacıbaşı Holding ve İştirakleri
• Aselsan
• Roketsan
• Türk Hava Yolları A.Ş.
• Pegasus
• VKV Amerikan Hastanesi
• Sahibinden.com
• ……
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Deloitte Hakkında
Deloitte ’un Hikayesi
Video
Deloitte Global
150’den fazla ülkede, 650 ofis ve 200.000’in üzerinde çalışan ile Fortune 500’de yer alan şirketlerin
%79’una denetim ve danışmanlık hizmetleri vermekteyiz.
Endüstriler Bazında Fortune 500 Şirketlerine Sunulan Hizmetlerimiz
Global Hakimiyetimiz
Am erika
230 Ofis
89.000 çalışan
EMEA
(Avrupa/Orta Doğu / Afrika)
330 Ofis
71.000 çalışan
Asya Pasifik
90 Ofis
41.000 çalışan
%78
%60
%65
%54
%66
%51
%15
%19
Teknoloji,
TMT
MFG
Üretim
Medya ve
Telekomünikasyon
%15
%20
Sağlık ve
LSHC
Finansal
FSI
Hizmetler
İlaç
%13
Denetim
Danışmanlık
Enerji,
E&R
Doğal
%27
Tüketim
CB
Kaynaklar
ve İnşaat
4 yıl üst üste kesintisiz büyüme
$26.6
Deloitte olarak bugünlere nasıl geldik?...
QR code uygulamasını kullanabilir ve
tarihçemizi anlatan kısa videomuzu
izleyebilirsiniz.
3,6
10,0
$28.8
4,2
10,3
$31.3
$32.4
4,9
4,9
10,9
11,1
*
Asia Pacific
EMEA
Americas
13,0
FY10
14,3
15,5
16,4
FY11
FY12
FY13Touche Tohmatsu Limited
©2014
Deloitte Turkey,
Member of Deloitte
* Milyar ABD Doları
Deloitte Türkiye
Türkiye’nin önde gelen, müşteri ve sektör odaklı profesyonel hizmet firması olarak 27 yıllık
tecrübemiz, 5 farklı şehirdeki ofisimiz ve 1.350’in üzerinde uzmanımız ile kaliteli ve ayrıcalıklı
hizmetler sunmaktayız.
Türkiye Ofislerimiz
Endüstriyel Yapılanmamız
Deloitte Türkiye’yi sosyal medyada takip edebilirsiniz
www.facebook.com/deloitteturkiye
@deloitteturkiye
Deloitte Turkey
7
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Deloitte Türkiye
Fark yaratan entegre hizmetlerimiz
• Bağımsız Denetim Hizmetleri
• TTK Uyum Hizmetleri
• Finansal Dönüşüm ve Raporlama
Hizmetleri
• Muhasebe Danışmanlığı
Hizmetleri
AuditDenetim
& ERS
• Kurumsal Risk Yönetimi
• Siber Güvenlik
• İç Denetim
• BT Denetimi ve Yönetişimi
• Kurumsal Yönetim
• Veri Koruma ve Mahremiyet
• Etik Hattı
Kurumsal
Risk
Müşterilerimiz
•
•
•
•
Strateji & Operasyonlar
Kurumsal Uygulamalar
Teknoloji Entegrasyonu
İnsan Kaynakları
Danışmanlık
Vergi
Consulting
8
• Birleşme ve Satın Alma / Satış
Danışmanlığı
• Alıcı ve Satıcı Taraf Durum Tespit
Çalışmaları (Due Diligence):
Finansal, Vergi, Hukuki, Ticari, Bilgi
Teknolojileri, İK
• Değerleme Danışmanlığı
• İşlem Sonrası Entegrasyon
Hizmetleri
• Finansal Fizibilite ve Modelleme /
Proje Finansmanı
• Borç Danışmanlığı
Kurumsal
Finansman
 Tam tasdik hizmetleri
 Vergi ve gümrük uyuşmazlıkları
danışmanlık hizmetleri
 KDV / ÖTV iade hizmetleri
 Gümrük ve dış ticaret hizmetleri
 Uluslararası personel çalışma izinleri
ve vergi danışmanlığı hizmetleri
 Yerel / Uluslararası vergi
danışmanlığı hizmetleri
 Transfer fiyatlandırması hizmetleri
 Şirket alım – satımlarında vergi
danışmanlık hizmetleri
 Vergi ve Mali Hukuk Hizmetleri
 Muhasebe Destek Hizmetleri
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Deloitte Türkiye
Kurumsal Risk Hizmetleri
DRT Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş.’nin, Kurumsal Risk Hizmetleri (Enterprise Risk
Services) bölümün kadrosunda bugün 3 Ortak, 14 Müdür ve çeşitli kademelerde denetçilerden oluşan yaklaşık 70 kişilik
bir ekip müşterilerine profesyonel hizmetler vermektedir.
9
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Sayılarla Deloitte Türkiye
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
İş ve BT Stratejilerinin
Uyumu
2- BT Hizmetleri
Değerlendirmesi ve
Teknoloji Eğilimleri
1- İş Ortamı ve Gereksinim
Değerlendirmesi
İş ve BT Stratejilerinin Uyumu nasıl sağlanır?
1 – Business Environment and Requirements
Assessment
Yıkıcı
Teknolojik
Gelişmeler
İş Stratejisi
Kısıtlar
İş
Gereksinimleri
Endüstri
Eğilimleri, İyi
Uygulamalar
BT
Gereksinimleri
Mevcut Durum
Analizi
3- Yol
Haritası
Yaratılması
4– Proje
Yönetişimi
Leverage business strategy as the baseline of the
highest level goals which the IT strategy and
roadmap must support
•
Business and IT requirements define, at a lower
level, what the business requires to enable the
business strategy
•
Industry trends and best practices identify leading
ideas which contribute to a stronger, more innovative
IT strategy.
•
Assessment of the current environment defines the
current state of the IT and business environment.
2 – IT Services Assessment and Technology Trends
•
Etkiler
Etkiler
Etkiler
BT Stratejik Yönlendirmesi
12
•
Yol Haritası
Devreye
Alma
Identifies the IT strategic direction which should be
taken given the implications drawn from the
business and IT requirements, industry trends and
best practices, and the assessment of the current
environment
3 – Define Roadmap
3-5 Senelik
Ana Plan
Devamlı
Gözden
Geçirme
•
Initiatives in the roadmap are identified based on a
gap analysis between the current state and the
previously identified IT strategic direction / end state
•
The initiatives are placed on a roadmap which
accounts for dependencies and duration
4 – Project Governance
•
Defines the guiding principals to manage the overall
roadmap and IT program as it is executed over the
next 3-5 years.
İş ve BT Stratejilerinin Uyumu nasıl sağlanır?
1- İş Ortamı ve
Gereksinim
Değerlendirmesi
2- BT Hizmetleri
Değerlendirmesi ve
Teknoloji Eğilimleri
Çalıştaylar esnasında Kararlar
Üst Düzey Yaklaşım
•
Mevcut Durum Analizini
Yap
•
Farkları Bul ve
Önceliklendir
•
•
•
Anahtar farkları tespit edip öncelikledir
Endüstri eğilimleri ve denklerine odaklan
İş Gereksinimleri ile karşılaştır
Teknolojik Uygunluğu
Değerlendir
•
•
Uygulama fonksiyonlarını ve teknik uygunluğu değerlendir
İş süreçleri ile teknolojik altyapının desteklenebilirliğini araştır
Gelecek Mimariyi Tanımla
•
Farkları Kapatacak
Projeleri Tanımla
•
Devam Eden Projeleri ve
Planları Onaylat
•
•
•
13
Yeni Çalıştaylar Yap
3- Yol Haritası
Yaratılması
4– Proje Yönetişimi
İş birimleri ile görüşerek hedeflerinin ve diğer iş birimleri ile
olan entegrasyonlarının belirlenmesi, bağımlılıkların tespit
edilmesi
Görüşmeler Gerçekleştir
Mevcutta kullanılan uygulamaların iş birimlerini ne derece
desteklediğinin tespiti
• Endüstri eğilimleri ve standartları gözetilerek değerlendir
Gelecek BT mimarisini tanımla
• Gelecek iş Modellerini tanımla
Olası Projeleri ve proje eforunu öngör
• Yol haritasındaki önceliğe göre projeleri planla
Gelecek iş ve T mimarisi için YK ile yakın temasta ol
Mevcut proje yönetimi ve iş yapış şeklini hep iyileştir
Yol haritası mihenk taşlarına uyumlu kal
Özet Adımlar
14
0
Sürekli Gelişim Vizyonu ve Gerekli Yönetim Kurulu Desteği
1
İş Stratejileri
2
İş ve Bilgi Teknolojileri Gereksinimleri
3
Endüstri Eğilimleri ve İyi Uygulamalar
4
Mevcut Durum Analizi
5
Stratejik Yön ve Konsept Hedef
6
Fark Analizi ve Yapılması Gerekenler
7
Yol Haritası
8
Devam Eden Proje Yönetimi Süreci
İş Sürekliliği Nedir?
İş Sürekliliği Yönetimi Nedir?
İş Sürekliliği Yönetimi (İSY): Kurumun kiritik aktivitelerinin tanımlanması, bu
aktivitelerin işlevselliğine yönelik tehditlerin anlaşılması, ya bu tehditlerin izole
edilmesi ya da kurumun hızlı ve etkili bir iş kurtarma yöntemine hazırlanması
Risk Bazlı Yaklaşım:
Kritik iş aktivitelerinin sürekliliğine
yönelen önemli risklere
odaklanmak
İş Sürekliliği Yönetimi Nedir?
Sürdürebilirlik
Kurumun iş
süreçlerine devam
etmesi
Sağlık
ve Güvenlik
Kurumun finansal
sorumluluklarının
korunması
Personelin sağlık ve
güvenliğinin
korunması
Marka İmajı
İşletim Seviyesi (tek ya da çoklu süreç)
Felaket gerçekleşir
Kesintinin Etkisi
Pazardaki satış
kabiliyetinin
korunması
İşletim Seviyesi (tek ya da çoklu süreç)
Felaket gerçekleşir
İşletim
Seviyesi
kaybı
Zam an
Sektörel Rekabet
İş Sürekliliği
Hedefleri
Kurum imajı ve
kredibilitesinin
zedelenmesinin
engellenmesi
İşletim Seviyesi (tek ya da çoklu süreç)
Gelir/Kar
Korunması
İşletim
Seviyesi
kaybı
Zam an
Geri Kurtarma
Felaket gerçekleşir
İşletim
Seviyesi
kaybı
Zam an
Süreklilik Yönetimi
İş Sürekliliği Yönetimi Nedir?
İSY = İş Sürekliliği Yönetimi
İş: kurumun kritik iş süreçlerinin sürekliliği
•
Sadece BT süreçleri değildir.
•
Kritik iş süreçlerinin operasyonlarının sürekliliği için gerekli BT varlıklarını kapsar.
•
ANCAK: BT sistemlerine ve servislerine artan bağımlılık bu servislerin sürekliliğini kritik hale getirmiştir.
Sürekliliği:
beklenmedik olaylara da cevap verebilecek
•
Servis kurtarmadan çok daha fazlasıdır.
•
İSY, Felaket Kurtarma’yı da içine almakta ancak daha geniş bir kavramdır.
Yönetimi:
•
düzenli ve sürekli bir yönetim aktivitesi
Danışmanlar tarafından bir tek defaya mahsus İş Sürekliliği Planı oluşturma aktivitesi değildir
İş Sürekliliği Yönetimi Nedir?
Felaket Kurtarma
İş Sürekliliği Planlaması
İş Sürekliliği Yönetimi
(Disaster Recovery)
(Business Continuity Planning)
(Business Continuity Management)
Risklerin bertaraf edilmesi için
kurumsal bakış
Sonraki?
Felaket Kurtarma
80lerin ortalasında
iş dünyasında yer
bulmaya başlar. Bu
dönemde
Mainframe
bilgisayarlar ön
plandadıır.
2009 Istanbul İkitelli
sel felaketi
17 Ağustos
Gölcük depremi
Tokyo Metro
Saldırısı
11 Eylül
Saldırısı
2005
Katrina
Kasırgası
Oklahama
Bombalaması
90ların sonlarındaki gelişen
teknoloji ve ekomomi
ortamında İş Sürekliliğine
gerekli önem verilmemiştir.
Dünya Ticaret Merkezi
Bombalaması
80lerin sonu
90ların başı
2008-
90ların ortası
90ların sonu
2000 başı
11 Eylül saldırısı ile risk
yönetimi planlarının
olma olasılığı çok düşük
olan olaylar için de
koruma sağlaması
gerektiği ortaya çıktı.
Orta Doğu ve
Kuzey Afrika
Internet
kesintileri
2006 sonu
2010 başı
Krize hazırlık yöntemleri felaket kurtarmadan iş sürekliliği planlamasına, oradan
da çok daha kapsamlı bir yaklaşım olan İş Sürekliliği Yönetimine doğru
gelişmiştir.
İş Sürekliliği Yönetimi Nedir?
Farklı Amaçlar – Farklı Yaklaşımlar
Felaket Kurtama
Yaklaşım
 Veri kurtarılması ve acil durumda
kullanılmak üzere alternatif
donanımın temini
 Teknolojik kusur ya da hatalardan
kurtarmaya yönelik hazırlık
 Operasyon alanlarının kriz
sonrasında yeniden yapılandırma
“Reactive”
ve
Teknoloji Odaklı
İş Sürekliliği Planlaması
İş Sürekliliği Yönetimi
 Yedekli lokasyonlara dayılı tekil risk  Organizasyonun kritik hedeflerine
yönetim çözümleri
ulaşmasını engelleyebilecek
kesintilere karşı proaktif bir şekilde
 “Bir beden herkese uygundur”
direnç yetisinin oluşturulması
mantığı ile sürekliliğe tüm iş
birimlerinde aynı şekilde
yaklaşmak
 Felekat Kurtarma’dan daha geniş
kapsamlı ve iş operasyonlarını
içermekte
Planlı
ve
Birim Odaklı
 İş kesintleri sonrasında
organizasyonun imajı ve
saygınlığının korunmasına yönelik
kendi kanıtlamış bir yetkinlik sunar
 İş kesintileri sonrasında
organizasyonun kritik ürünleri ve
servislerinin minimum hizmet
seviyelerinde kurtarılması için
denenmiş bir metodoloji sunar.
“Proactive”
ve
Bütüne Odaklı (Holistic)
İş Sürekliliği Yönetimi Nedir?
öngör
yanıtla
kurtar
geri dön
uyarla
Normal İşlem Seviyesi
10 Br
Kabul Edilebilir İşlem Seviyesi
Felaket ve Panik
Normal İşlem Seviyesi
6 Br
Etki Eşiği Analizi
Felaket Kontrol Altında
Kabul Edilebilir İşlem Seviyesi
Felaket Kontrol Altında
Felaket ve Panik
Düzenli İş Sürekliliği Testleri yaparak maruz kalınan etki azaltılabilir.
İş Sürekliliği Yönetimi Nedir?
öngör
yanıtla
kurtar
geri dön
uyarla
Normal İşlem Seviyesi
Felaket Kontrol Altında
Kabul Edilebilir İşlem Seviyesi
Felaket ve Panik
Felaketleri
öngörme
İSP’nin seri bir
şekilde hayata
geçirilebilmesi
Geçici önlemler
için hazırlanılması
Tüm servislerin
normalizasyonu
hazırlığı
Öğrenilen
dersler
Erken uyarı
mekanizması
Acil tepkiler için
hazırlanılması
Beklenmedik olay
planlarının
uygulanması
Kalan artıkları
ortadan
kaldırma
Planların
güncellenmesi
Kurumu
hazırlama
Hızlı bir olay
kontrolüne
hazırlanma
Temel servislerin
hızlı geri
kurtarılması
Kayıpların geri
kurtarımının
koordinasyonu
Yeni planların
oluşturulması /
birleştirilmesi
Neden İş Sürekliliği Yönetimi?
İş ve teknoloji birimleri arasındaki karmaşık koordinasyon sorunları nedeniyle birçok kurum etkili
bir iş sürekliliği planı uygulamakta zorlanmaktadır:
• İş süreçleri artan bir hızla uygulama yazılımlarına ve teknolojiye bağımlı hale gelmiştir
• İş birimlerinin agresif ve karşılaması zor kurtarma hedefleri oluşmuştur
• Kurtarılması gereken süreçlerinin karmaşıklığı hızlı bir şekilde artmıştır
• Kağıt kullanımının azalması veri kaybının etkisini (finansal, vb.) dramatik bir şekilde yükseltmiştir
• Uygulama yazılımları, sistemler ve iş süreçleri arasındaki artan bağımlılıklar kurtarma yöntemlerinin
karmaşıklığını arttırmıştır
İş Sürekliliği Süreci
İş süreçlerinin
yönlendirilmesi
Manuel
süreçler
İş
Network
Normal iş süreci
ve aktiviteleri
BT
Problemi
tanımlama
Kesinti / Olay /
Felaket
Potensiyal
veri kaybı
Kurtarma
süresi
Bilgilendirme ve
iletişim
Ses ve veri ağının
geri kazanımı
Veri tanımlama,
ulaşma, kurtarma
İş
Uygulama
kurtarma
Neden İş Sürekliliği Yönetimi?
Ulusal
Ürün Hatası
Terrör
(Siber dahil)
Kaza/Doğal
Halka İlişkiler
Kötü
Uygulama
(Malpractice)
Adli
Uluslararası
Yıkıcı
Neden İş Sürekliliği Yönetimi?
İş Sürekliliği Yönetimi ve “Dirençli Kurum”
Teknoloji
İş Operasyonları
Sıkça Kullanılan Terimler
Öngörme
Önleme
Cevap
Verme
Direnme
Varlık
Yönetimi
SHE1
HILP 2
Programı
Üst
Yönetimin
Hazırlanması
1: Safety, Health, Environment
2: High Impact Low Probability
3: Single Points of Failure
Kriz
Yönetimi
Acil
Durum
Yönetimi
İş
Sürekliliği
Planlaması
Kurumsal
Risk
Yönetimi
SPOF3
Kurtarma
Bağımlılık
Haritası
Teknoloji
Sürekliliği
Bilgi
Güvenliği
BT
Felaket
Kurtarma
Temel Kavramlar
Kesinti: Kurumun
faaliyetlerinde veya bir sistemin fonksiyonlarında sürekliliğin herhangi bir nedenle
sekteye uğraması.
Felaket/Olağanüstü Durum: Faaliyet
veya sistemlerde uzun süreli kesintiye sebep olabilecek
düzeyde insan, doğa veya diğer faktörlerden kaynaklanan olay
İş Birimleri: Kurumun
iş aktivitelerini ve kritik servislerini sunan birimler
İş Etki Analizi (İEA):
Olası kesintilerin iş süreçlerine ve dolayısıyla kuruma olan etkisinin belirlenmesi
çalışmasıdır.
İş Sürekliliği Yöneticisi: İş sürekliliği
yönetim sistemini (İSYS) yönetecek ana sorumludur.
Risk Analizi: Kurumun
karşı karşıya kalabileceği tehditleri tanımlayıp kurumun riskleri en aza indirmek
için ne gibi kontroller oluşturduğunun analizidir.
Acil Durum Ekipleri: Felaket
durumunda görev yapmak üzere oluşturulmuş ekiplerdir. Her ekibin bir
ekip amiri, gerekirse ekip amir yardımcısı ve yeterli sayıda personeli bulunmaktadır. Ekiplerin yönetimi,
ekiplerin rol ve sorumlulukları Darüşşafaka Koruma ve Güvenlik Planı’nda yer almaktadır.
BT Kurtarma Ekibi: Teknoloji
ve ekipman kaynaklarında oluşan teknik hasarın tespit edilmesinden ve
kurtarılmasından sorumlu olan ekiptir.
Temel Kavramlar
İş Kurtarma Ekipleri: İş Sürekliliği
Planlarının ve test senaryolarının geliştirilmesine ve uygulanmasına
katkı sağlarlar. Olağanüstü durum halinde kendi süreçleri ile ilgili kurtarma planlarının yönetiminden
sorumludurlar.
Geri Kurtarma Zaman Hedefi (Recovery Time Objective - RTO): Felaketin
olduğu
andan itibaren minimum fonksiyonalitenin geri kazanılması için geçecek maksimum süre ne kadardır?
Kesintiye uğrayan sürecin ne kadar süre sonra çalışır hale getirileceğine dair hedef süredir.
Kurtarma Noktası Hedefi/Kayıp Veri Noktası (Recovery Point Objective RPO): Felaketin olduğu andan ne kadar süre öncesine ait veriye erişmek gerekir? Kesintiye uğrayan
sürecin veya BT bileşeninin ne kadarlık veri kaybına tahammül edilebileceğini gösterir.
Felaket
/ Olay
Disaster
Normal
Normal
Operations
Operasyonlar
Systems
& Data
Sistem & Veri
Kurtarılması
Recovery
Data
Veri
Back-up
Yedekleme
Cycle
Döngüsü
RPO
Data
Loss
Veri Kaybı
RTO
Functionality
Fonksiyonalite Loss
Kaybı
Business
processes
İş Süreçlerinin
Kurtarılması
operational
Temel Kavramlar
RPO (Recovery Point Objective) = Kurtarma Veri Hedefi
Kesintinin Etkisi
RPO
RTO (Recovery Time Objective) = Kurtarma Süre Hedefi
RTO
Tolerans
Seviyesi
Veri
Kaybı(t)
Gün
Saat
Saat - Dakika
0-Dakika
0-Saniy e
Saniy e-Dakika
Saat-Gün
Geri Dönme/
Tedarik Etme
Yedekleme
Yedekleme
Çatısı
‘’Electronic
Journaling’’
Stand-By
Veri Tabanı
‘’Cold
Standby’’
‘’Warm
Standby’’
‘’Hot
Standby’’
Semi-Synch
Mirroring
Çözümün Maliyeti
Gün-Haf ta
Kesintinin
Süresi (t)
Synch’s
Mirroring
Aktif /
Aktif
Çözümün Maliyeti
Yönetimden Beklentiler
İSY organizasyon yapısının ve rol/sorumlulukların belirlenmesi
İş Etki Analizi fazı sonrasında yönetim görüşünün verilmesi
Risk Analizi fazı sonunda yönetim görüşünün verilmesi
İSY farkındalık ve kültürünün oluşturulması için kurumsal destek
Bilgi Güvenliği
Bilgi Güvenliği Nedir?
Bilgi güvenliğinin bileşenleri
Günümüzde bilgiye sürekli erişimi sağlamak ve bu bilginin son
kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları
tarafından ele geçirilmeden güvenli bir şekilde sunulması zorunluluk
haline gelmiştir.
Erişilebilirlik
– Bilgi veya bilgi sistemlerinin sürekli kullanıma hazır ve kesintisiz çalışır
durumda olmasıdır.
Bütünlük
– Bilginin yetkili kişiler dışında değiştirilmesinin ve silinmesinin
önlenmesidir.
Gizlilik
– Önemli ve hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline
geçmesinin önlenmesi ve sadece erişim yetkisi verilmiş kişilerce
erişilebilir olduğunun garanti altına alınmasıdır.
31
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Nedir?
Ülkemizde bilgi güvenliğine
verilen önem
• Bilgi güvenliği BT seviyesinde yönetilmekte
• Bilgi güvenliği genellikle ağ güvenliği olarak algılanmakta
• Bilgi güvenliği ile fiziksel güvenlik arasındaki iletişim sınırlı
• Bilgi güvenliği yönetim sistemi, veri güvenliği, güvenlik testi gibi projeler
ertelenmekte
• Bilgi güvenliği bilinçlendirmesine az kaynak ayrılmakta
• Uygulanabilir bir iş sürekliliği planlamasına sahip olan kurumlar az
32
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Nedir?
Gelişmiş ülkelerle farkın
nedenleri
• Üretilen bilgi değerinin (gelişmiş ülkelere nazaran) düşüklüğü
• Konu ile ilgili düzenlemelerin yetersizliği
• Kurumsal bilginin sahibinin bilgi teknolojileri bölümleri olduğu inancı
• Bilginin mahremiyetine olan hassasiyetimizin gelişmiş ülkelere nazaran
düşüklüğü
• Şirketler ile ilgili güvenlik olaylarının yayınlanmasından sakınılması
• Teknolojinin zaafiyet gösterme ihtimalini değerlendirilememesi
• Süreç zaafiyetlerinin riskinin anlaşılamaması
33
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Nedir?
BİLGİ
Bilgi güvenliğini tehditleri
Bilgi güvenliği tehdit kaynakları:
• Eğlence ve kendini tatmin amaçlı saldıranlar
Tehdit kaynağı varlıklara zarar verme
olasılığı olan olaylar ve durumlar
olarak tanımlanabilir. En bilinen tehdit
kaynakları; doğal tehditler, çevresel
tehditler ve insan kaynaklı tehditlerdir.
• Ticari casuslar
• Politik / Terör amaçlı saldırganlar
• Kin duyan çalışanlar, müşteriler, iş ortakları
• Kasıtsız tehditler (Yetersiz personel, insan hataları, BT süreçlerinin
yetersizliği, doğal ve çevresel tehditler)
Bilgi güvenliği saldırıları yeni bir soğuk savaş taktiği olarak ortaya çıkıyor
34
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Nedir?
Bilgi güvenliğini tehditleri
Tehdit ve Saldırı Trendleri ve Etkileri:
• Kötü amaçlı yazılımların bulaşması (malware infection) en çok karşılaşılan saldırı türüdür, phising (avlama) saldırıları ise
ikinci sırada yer almaktadır (%67,1, CSI Security Survey 2010)
• Mobil bankacılık ataklarının artış göstereceği öngörülmektedir (McAfee 2012 Threat Predictions)
• Kurumların iç tehditlere yönelik kendilerini yeterince güvenli hissetmemesi, veri sızmasına karşı önlemlerin öncelik
kazanmasına neden olmaktadır, IAM sonrası ikinci öncelik (Deloitte GFSI Security Survey 2010)
• 2010 yılı içerisinde güvenlik açıklıklarından dolayı zararı yaklaşık $ 250K ve daha az olan katılımcılar tüm katılımcıların
%22’sidir (Deloitte GFSI Security Survey 2010)
35
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Deloitte Siber Güvenlik – Bilgi Güvenliği ve İş Sürekliliğinin Önemi
Video
Bilgi Güvenliği Nedir?
Bilgi güvenliğini tehlikeye
atacak açıklıklar
En çok karşılaşılan açıklıklar:
• Parolası olmayan ya da zayıf parolalı kullanıcı hesapları
• Güvenilir yedekleme politikalarının olmaması
• Cihazlarda açık tutulan/unutulan servisler ve ayarlar
• Fitrelenmeyen ve denetlenmeyen iletişimler
• Loglama yapılmaması
• Fiziksel güvenlik önlemlerinin yeterince alınmaması (kasıtlı ve
kasıtsız saldırılar için)
• Lisanssız program kullanımı
• Hatalı Kablosuz Ağ ve VPN Yapılandırması
Değerli varlıklar (yazılım, donanım, veri vs. gibi) sadece değerleri geçerli olduğu sürece korunmalıdır
37
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Yönetim Sistemi
ISO 27001 ve BGYS
Kuruluşun tüm iş riskleri kapsamında yazılı
bir BGYS’in oluşturulması, gerçekleştirilmesi,
işletilmesi, izlenmesi, gözden geçirilmesi,
sürdürülmesi
ve
geliştirilmesi
için
gereksinimlerini
belirten
ISO
27001
standardına Deloitte’un yaklaşımı aşağıdaki
gibidir:
ISO27002 Kontrol Alanları
Güvenlik Politikası
Bilgi Güvenlği Organizasyonu
Varlık Yönetimi
İnsan Kaynakları Fiziksel ve Çevresel Haberleşme ve
Güvenliği
Güvenlik
İşletim Yönetimi
PLANLA
UYGULA
HAZIRLAN
Bilgi Güvenliği İhlal Olayı Yönetimi
ÖNLEM
AL
38
Erişim Kontrolü
Bilgi Sistemleri
Edinim, Geliştirme
ve Bakım
İş Sürekliliği Yönetimi
KONTROL
ET
Uyum
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Yönetim Sistemi
BGYS’nin sağlayacağı faydalar
• Etkin bir risk yönetiminin sağlanması
• Kurumsal saygınlığın korunması ve artışı
• İş sürekliliğinin sağlanması
• Bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğinin
korunması
• Personelin farkındalık düzeyinin yükseltilmesi ve önemli
güvenlik konularında bilgilendirilmesi
• Bilgi sistemleri kaynaklarını kötü amaçlı olarak kullanma
ve/veya kaynakları suistimal edilmesinin engellenmesi
• Personelin zan altında kalmasının engellenmesi
39
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Bilgi Güvenliği Olayları
Gerçekleşmiş Bilgi Güvenliği Olayları - 1
Son dönemlerde
gerçekleşmiş dünyada
dikkate değer yüksek
profilde bulunan bilgi
güvenliği olayları.
40
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
İstatistiklerle Bilgi Güvenliği
Bilgi güvenliği hakkında..
• 2010 yılında gerçekleşen bilgi güvenliği olaylarının yüzde 53’üne kötü niyetli olmayan kullanıcılar neden olmuşken, 2011
yılında bu oran yüzde 43’e gerilemiştir (InfoWatch Global Data Leakage & Insider Threats Report 2011)
• Kurum dışına sızan verilerin yüzde 92,4’ü kişisel veriler iken yüzde 3,2’si ticari sır olarak beyan edilmiştir
(InfoWatch Global Data Leakage & Insider Threats Report 2011)
• Symantec, " State of Enterprise Security: 2010" çalışmasında IT’nin gördüğü en önemli riskler arasında %42 ile Siber
Ataklar yer alır
• Veri sızıntılarına neden olan kaynakların başında yüzde 19,1 ile basılı dokümanlar , yüzde 13,9 ile kişisel
bilgisayarlar, yüzde 13,6 ile Web’e yapılan izinsiz yüklemelerdir (InfoWatch Global Data Leakage & Insider Threats
Report 2011)
• Yasal düzenlemelerin kurumların güvenlik programlarını olumlu yönde etkilediği ifade edilmektedir (CSI Security Survey
2010)
• Katılımcıların %51,1’i bulut bilişime henüz geçmediğini söylerken, %10’u ise bulut bişime geçmenin yanı sıra buluta özel
güvenlik araçlarını da kullandıklarını ifade etmektedir (CSI Security Survey 2010)
41
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Gelecekte Bilgi Güvenliği
Günümüzden geleceğe..
Zararlı yazılımlar daha gelişmiş kriptografik ve polimorfik özelliklere
sahip olacak.Tespitleri daha zor olacak.
Siber saldırılar Türkiye’yi daha çok etkileyecek. İnternet şirketlerinin
oranı bugünden çok daha fazla olacak. Kamu hizmetlerinin büyük kısmı
Internet ortamına taşınacak.
Ulusal güvenlik ürünleri ve ulusal güvenlik değerlendirmelerinin
yapılması çok daha önemli olacak.
Çok uzak olmayan gelecekte ülkelerin siber savaş yapan daha büyük
(küçük çapta var) düzenli siber orduları olacak.
Kablosuz ve Hücresel sistem kullanımlarının artmasıyla izole sistem
kalmayacak.Siber saldırılar evimizdeki eşyalara kadar girecek.
Günümüzde güvenli sayılan güvenlik algoritmalarının kırılma süreleri
zaman içerisinde düşecek. (UAKAE)
42
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Referanslarımızdan
Çünkü bilgi sistemleri risklerini biliyoruz…
Bağımsız Bilgi Sistemleri Denetimi Referanslarımız
BT Denetimi Referanslarımız
44
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Çünkü iş risklerini biliyoruz…
İç Denetim Referanslarımız
Kurumsal Risk Yönetimi Referanslarımız
45
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Çünkü bilgi güvenliğini biliyoruz…
Bilgi Güvenliği Yönetimi ve ISO27001 Referanslarımız
Güvenlik Denetimi Referanslarımız
46
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Çünkü bilgi sistemleri yönetimini biliyoruz…
İş Sürekliliği Referanslarımız
BT Yönetişimi Referanslarımız
47
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited
Deloitte TR
www.deloitte.com.tr
0212 3666000
Tulu Akyol
[email protected]
0532 5540508
©2014 Deloitte Turkey, Member of Deloitte Touche Tohmatsu Limited

Download Report