Deloitte Siber Güvenlik Günü Tehlikenin Farkında mısınız? 2 Aralık 2014, Deloitte Values House-Maslak İstanbul Program akışı Program Kahvaltı Yönetim Kurulu Gündeminde Siber Güvenlik Cüneyt Kırlar Ortak Deloitte Türkiye Cyber Executive Briefing Roel Van Rijsewijk Siber Güvenlik Lideri Deloitte Hollanda 10:40-11:00 Kahve Molası 11:00-12:30 Panel Siber Güvenliğin BT Stratejisindeki Önemi Ali Yılmaz Kumcu (Moderatör) Direktör Deloitte Türkiye Alper Göğüş Koç Holding CIO Abdullah Bilgin Kredi Kayıt Bürosu CIO Önder Kaplancık CarrefourSA CIO 12:30-12:40 Kapanış Member Firms and DTTL: Insert appropriate copyright (Go Header & Footer to edit this text) 2 Yönetim Kurulu Gündeminde Siber Güvenlik Cüneyt Kırlar, PMP, CISA, CGEIT 02.12.2014 Deloitte Siber Güvenlik Günü Siber Güvenlik Günü – 2 Aralık 2014 Gündem Güncel tehdit görünümü Geçmiş tecrübelerden yararlanma Siber savunma tekniklerinin değişmesi Üst yönetim için noktalar Kapanış Siber Güvenlik Günü – 2 Aralık 2014 Güncel tehdit görünümü Siber Güvenlik Günü – 2 Aralık 2014 Gündemde siber güvenlik Siber riskler, dünyada bulunan en yüksek 3 risk arasına girdi. Lloyd’s risk index 2013 Siber güvenlik şirketlerin yönetim kurullarını ve direktörlerini geceleri uyanık tutan en büyük 2. sebep. Yönetim kurul üyelerinin %22’si herhangi bir siber saldırıyı belirleyebilecekleri konusunda güven sahibi. 2013 – Law in the Boardroom (FTI Consulting) Siber güvenlik yönetimi için hükümetler, şirketlere standartlar hazırlamakta. Cabinet Office Ataklardaki %42 artış, küçük ve orta seviyeli şirketler için. Symantec 2013 Siber Güvenlik Günü – 2 Aralık 2014 2014 Global Risk Haritası Dünya Ekonomik Forumu (World Economic Forum) Siber ataklar, yerel ve bölgeselin yanı sıra global seviyede etki yapmaktadır. Bütün şirketler risk altındadır. Symantec yayınladığı bir güvenlik raporunda küçük ve orta seviyeli şirketlere yapılan saldırılarda %42 oranında artış olduğunu bildirmiştir. 2013 yılında Interpol global seviyede saniyede adet 12 siber güvenlik kurbanı olduğunu raporlamıştır. Siber Güvenlik Günü – 2 Aralık 2014 Beş Önemli Gerçek Bilgi ağınız saldırıya uğrayacak Atak hızları artarken, cevap süreleri kısalmaktadır Siber zarar parayla ölçülememekte Her varlığı aynı ölçüde koruyamazsınız Yüksek duvarlar koruma sağlamaz Siber Güvenlik Günü – 2 Aralık 2014 8 Geçmiş tecrübelerden yararlanma Siber Güvenlik Günü – 2 Aralık 2014 Bir siber saldırının anatomisi 1 Keşif Bir saldırganın tehdit, strateji ve yöntemlerini anlamak, kurumlara siber güvenlik stratejisi ve önlem almak için bilgi vermektedir. Bilgi toplama ve zafiyetlerin belirlenmesi İnternet üzerinde araştırma, çağrı merkezlerini arama, sosyal medya üzerinde bilgi toplama vb. 2 Saldırı Zafiyetlerin hedeflenmesi Belirlenmiş e-posta saldırıları, kullanıcılara güvenilir kaynaktan zararlı dosya gönderimi, ağ, web uygulama veya yazılım zafiyetlerinin istismarı vb. 3 İş Değeri Kurumlar her adımda güvenlik kavramını benimseyerek siber suçluların işini zorlaştırmalıdır. (Stratejik ve finansal varlıklar, veri & iş zekası) İstismar Yetkisiz erişim Hak yükseltilmesi, ağ ve sunucuları izleme & kontrol etme, atak vektörlerinin artırımı, izleri saklama vb. İç Organizasyon (Çalışanlar, süreçler, teknolojiler) İlişkili Şirketler 4 Amacı Gerçekleştirmek (Ortaklar, iştirakler, tedarikçiler ajanslar) Çalmak, zarar vermek, dikkat dağıtmak Çalınan verilerin şifrelenerek tehdit edilme, uzun süre boyunca gizlenerek veri ele geçirme, dijital izleri temizleme Siber Güvenlik Günü – 2 Aralık 2014 En zayıf sisteminiz kadar güçlüsünüz. Öncelik kurumların risklerini belirlemektedir Kim saldırabilir? Neyin peşindeler? Neler kullanabilirler? • • • • • • • Siber suçlular Hacktivistler Devletler Kötü niyetli çalışanlar Kötü niyetli tedarikçiler Rakipler Gelişmiş yalnız hackerlar • Hassas bilgiler (şirket ve yönetim raporları, finansal bilgiler,yatırımcı bilgileri vb.) • Finansal dolandırıcılık (para transferi) • İş yıkımı • Yaşam tehdidi • Oltalama (phishing) saldırıları • Yazılım veya donanım zafiyetleri • Üçüncü parti farkındalık eksiklikleri • Çalınan kullanıcı bilgileri Siber güvenlik markanız ve itibarınız ile ilgilidir. Siber Güvenlik Günü – 2 Aralık 2014 Birkaç ayda başarılı bir markaya nasıl zarar verilir? 2013 Aralık ayında, Target 100 milyon kullanıcısının kredi kartı bilgilerinin kendi sistemleri üzerinden çalındığını açıkladı. Target’ın 3. partilerinden birisine oltalama (phishing) saldırıları ile birlikte sızıldı – kullanıcı giriş bilgileri çalındı. Etkilenen geçerli kredi kartı Zafiyetler tespit edildi – Saldırının fark edilme süresi veri sızıntısını engellemek için yeterliydi fakat riskler fark edilemediği ve üst yönetim tarafından iyi yönetilmediği için sızıntı gerçekleşti. Saldırganlar kullanıcı giriş bilgileri ile kurum ağına sızdı ve Target’ın POS sistemlerine saldırarak tarihin en büyük verisini çaldı. ÖNEMLİ GERÇEKLER İSTATİSTİKSEL VERİLER 70M numarası $148M Target’ın yaşadığı güncel zarar Forrester Research kurumunun $1B gelecekte ön gördüğü toplam zarar Medya saldırıyı duyurdu. Target veri sızıntısı bir çok gerçeği gündeme getirdi • Bütün endüstriler ve şirketler tehlike altında • Güvenlik eksiklikleri sadece mali kayba yol açmıyor • Atakların hızı artarken, fark edilme süreleri artıyor • Bütün sistemler aynı şekilde korunmamalıdır • Geleneksel güvenlik yöntemleri yeterli değil • Güvenli, dikkatli ve dirençli bir sistem için güçlü risk yönetimi gerekir. Müşteri güveninde ve satışlarda düşüş yaşandı. Marka itibarı ve piyasada bulunan güven zedelendi. Target’ın CEO, CIO ve Güvenlik Müdürü istifa etti. 90’dan fazla dava açıldı. Güvenlik seviyesinin arttırılması için 61 milyon dolardan fazla para harcandı. Siber Güvenlik Günü – 2 Aralık 2014 Siber savunma tekniklerinin değişmesi Güvenli. Dikkatli. Dirençli. Siber Güvenlik Günü – 2 Aralık 2014 Siber Risk Yönetimi İş Değeri 1. Yönetişim & Liderlik Yönetim kurulu Üst yönetim Teknoloji liderleri IT Risk liderleri 3. Yetenekler Tehdit Yönetimi Web Uygulama Güvenliği Risk Analitiği Altyapı Güvenliği Veri Koruma Üçüncü Parti Yönetimi Kimlik & Erişim Yönetimi İş Gücü Yönetimi Kriz Yönetimi 2. Organizasyonel Uyarlayıcılar Prosedürler & Standartlar Siber Güvenlik Günü – 2 Aralık 2014 Yetenek & Kültür Risk Belirleme & Raporlama Paydaş Yönetimi Siber Risk Yönetimi Giderek güvenli, uyanık ve dirençli olmak için kurumlar geniş kapsamlı değişiklikler yaparak geleneksel güvenlik anlayışından uzaklaşmalılardır. Güvenli Bilinen tehditlere karşı riske göre önceliği oluşturulmuş kontroller belirleme & tehditleri ortaya çıkarma & endüstride bulunan siber güvenlik standartlarına uyma & regülasyonlar Uyanık İhlal ve anomalileri belirleme & farkındalığı arttırma Eyleme geçirilebilen tehdit istihbaratı Siber Güvenlik Günü – 2 Aralık 2014 Dirençli Saldırı sonrasında normale hızlıca geri dönebilme & zararları düzeltebilme Stratejik organizasyonel yaklaşım Üst yönetim için anahtar noktalar Siber Güvenlik Günü – 2 Aralık 2014 Siber güvenlik için yönetim kuruluna öneriler 1 Denetleme komitesinden ayrı olarak IT Risk komitesi oluşturularak IT risklerini de içeren kurumsal riskler için sorumluluk verilmelidir. IT ve güvenlik yönetişimi ve siber güvenlik uzmanlığı için yöneticiler atanmalıdır.. 2 Risk toleransına ve hassas bilgilerin profiline göre, üst yönetimde yer alacak bir CISO atanmalıdır. 3 Hali hazırda bulunan siber olay tepki planı geliştirilmelidir. Hassas sistemlere karşı yönelik kontroller arttırılmalıdır. 4 Güvenlik ve direnç kültürü oluşturmak için hali hazırda bulunan prosedürler gözden geçirilmelidir. Kurumlar çalışanlarına “Güvenlik benimle başlıyor” kültürünü aşılamalıdır. 5 Bayiler ve tedarikçiler oluşturulmalıdır. Siber Güvenlik Günü – 2 Aralık 2014 için gerekli gizlilik ve güvenlik prosedürleri Siber güvenlik için yönetim kuruluna öneriler 6 7 8 Üst yönetimden gizlilik ve güvenlik risklerine dair düzenli raporlar alınmalıdır. 9 Siber güvenlik sigortasının kullanımı ve ihtiyacı yeniden değerlendirilmelidir. Siber güvenlik için gerekli farkındalık kazanılarak gerekli bütçeler ayrılmalıdır. Düzenli olarak kurum dışı kaynaklardan güvenlik & gizlilik programları ile ilgili gözden geçirme yapılmalıdır. Siber Güvenlik Günü – 2 Aralık 2014 Son Sözler Siber Güvenlik Günü – 2 Aralık 2014 Son Sözler • Ataklar büyümeye ve değişmeye devam etmektedir • Önemli olan güvenlikte derinliktir – tek aşamalı kontroller yeterli değildir • Sadece teknoloji çözümleri kullanmak, bilgi güvenliğinde gelişmekte olan problemlere karşı yeterli olmayacaktır • Fiziksel ve sanal sınırlarınız içerisine giren yeni teknolojiler ile ilgili gerekli tanımlamalar yapılarak, prosedürler güncellenmelidir Bu hiç bitmeyecek bir yarış Siber Güvenlik Günü – 2 Aralık 2014 Neden Deloitte? Güvenlik, mahremiyet ve risk yönetimi servislerimiz ile dünyada lider bilgi güvenliği danışmanlık firması seçildik. Gartner ranks Deloitte #1 for Information Security Consulting Services Worldwide, based on market share, in 2013 Source: Gartner, Market Share Analysis: Information Security Consulting, Worldwide, 2013, Jacqueline Heng, Lawrence Pingree, 16 May 2014 Forrester Research, Forrester WaveTM: Information Security Consulting Services Q1 2013”, Ed Ferrara and Andrew Rose, February 1, 2013 Deloitte Üye Firmalarının Yetki Belgeleri ISC2 ISACA BSI IAPP Uzmanlıklar Siber Güvenlik Günü 1,500 üzerinde CISSP sertifikasına sahip çalışan 2,000 üzerinde CISA, CISM, & CGEIT sertifikasına sahip çalışan 150 üzerinde eğitimli sistem denetçisi (Lead System Auditor) Mahremiyet sertifikalı uygulayıcılar Geniş yelpazede alan spesifik sertifikalar – 2 Aralık 2014 “ Deloitte, müşterilerinden olağanüstü geribildirim almasının yanı sıra kapsamlı ve entegre hizmet önerilerine sahip şirket olarak belirlendi. Forrester raporu ayrıca, Deloitte’u bilgi güvenliği alanında derin teknik bilgi ve küresel etkinliği ile vurgularken; güvenlik ve risk danışmanlığı hizmeti veren birinci sınıf şirket olarak konumluyor.” Daha fazla bilgi için Deloitte Türkiye Cüneyt Kırlar Kurumsal Risk Hizmetleri Lideri Ortak [email protected] İstanbul Ofisi www.deloitte.com.tr İstanbul +90 (212) 366 60 00 Ankara Ofisi Armada İş Merkezi A Blok Kat:7 No:8 Söğütözü, Ankara 06510 +90 (312) 295 47 00 İzmir Ofisi Punta Plaza 1456 Sok. No:10/1 Kat:12 Daire:14 - 15 Alsancak, İzmir +90 (232) 464 70 64 Bursa Ofisi Zeno Center İş Merkezi Odunluk Mah. Kale Cad. No:10 d Nilüfer, Bursa +90 (224) 324 25 00 /deloitteturkiye /company/deloitte-turkey /deloitteturkiye /company/deloitte-turkey Çukurova Ofisi Günep Panorama İş Merkezi Reşatbey Mah. Türkkuşu Cad. Bina No:1 B Blok Kat:7 Seyhan, Adana +90 (322) 237 11 00 Deloitte, denetim, vergi, danışmanlık ve kurumsal finansman alanlarında, birçok farklı endüstride faaliyet gösteren özel ve kamu sektörü müşterilerine hizmet sunmaktadır. Dünya çapında farklı bölgelerde 150’den fazla ülkede yer alan global üye firma ağı ile Deloitte, müşterilerinin iş dünyasında karşılaştıkları zorlukları aşmalarına destek olmak ve başarılarına katkıda bulunmak amacıyla dünya standartlarında yüksek kaliteli hizmetler sunmaktadır. Deloitte, 200.000’i aşan uzman kadrosu ile kendini mükemmelliğin standardı olmaya adamıştır. Deloitte; İngiltere mevzuatına göre kurulmuş olan Deloitte Touche Tohmatsu Limited (“DTTL”) şirketini, üye firma ağındaki şirketlerden ve ilişkili tüzel kişiliklerden bir veya birden fazlasını ifade etmektedir. DTTL ve her bir üye firma ayrı ve bağımsız birer tüzel kişiliktir. DTTL (“Deloitte Global” olarak da anılmaktadır) müşterilere hizmet sunmamaktadır. DTTL ve üye firmalarının yasal yapısının detaylı açıklaması www.deloitte.com/about adresinde yer almaktadır. Bu belgede yer alan bilgiler sadece genel bilgilendirme amaçlıdır ve Deloitte Touche Tohmatsu Limited, onun üye firmaları veya ilişkili kuruluşları (bütün olarak Deloitte Network) tarafından profesyonel bağlamda herhangi bir tavsiye veya hizmet sunmayı amaçlamamaktadır. Deloitte Network bünyesinde bulunan hiçbir kuruluş, bu belgede yer alan bilgilerin üçüncü kişiler tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir. © 2014. Daha fazla bilgi için Deloitte Türkiye (Deloitte Touche Tohmatsu Limited üye şirketi) ile iletişime geçiniz.