Upload
doanminh
View
229
Download
3
Embed Size (px)
Citation preview
BT DENETİMİ EĞİTİMİ
BÖLÜM 2 Bilgi Teknolojileri Ortamında Riskler ve Olası Etkiler
Kağan Temel CISA, ISO27001LA
27.5.2016 www.tebit.com.tr 1
27.5.2016 www.tebit.com.tr 2
BT Yönetişimi BT Kaynak Planlama BT Operasyon Yönetimi BT Olay ve Problem Yönetimi BT Bilgi Güvenliği Planlama BT Değişiklik Yönetimi BT İş sürekliliği Yönetimi BT Yazılım Geliştirme ve Yazılım Tedariği Yönetimi BT Hizmet seviyesi Yönetimi BT Veri madenciliği ve Raporlama Yönetimi BT Versiyon ve Yaygınlaştırma Yönetimi BT Bilgi Güvenliği Yönetimi BT kapasite Yönetimi BT Talep Yönetimi BT Varlık Yönetimi BT konfigurasyon Yönetimi BT Servis Geliştirme Yönetimi BT Yedekleme Yönetimi
BT Süreçleri
BT Risk Değerlendirme için Genel BT süreçleri
27.5.2016 www.tebit.com.tr 3
Bilgi Güvenliği Risk Yönetimi- nasıl ?
Görevlerin ayrılığı– BT operasyonları ile bilgi güvenliği operasyonlarının, politika,
prosedür ve iç kontrollerinin belirlenmesi fonksiyonlarının ayrılması
BT uzmanlık ve fonksiyonları ile güvenlik uzmanlık ve fonksiyonlarının ayrımı
Bilgi güvenliği fonksiyon ve ekibine yeterli düzeyde yetkilendirme
Dağıtık bir yapı yerine merkezi ve bir bütün olarak yönetilen bilgi güvenliği yapısı
Bilgi varlıklarının tasnif , üretim, saklanma, dağıtım ve takibine yönelik süreçler
Bilgi güvenliği fonksiyonunun yeni servis ürün geliştirme, talep ve proje yönetimi süreçleri içerisine etkin bir şekilde yerleştirilmesi
Bilgi güvenliğinin sadece teknoloji tabanlı süreçler, sistem ve uygulamaları değil ,işe alım, yer değiştirme, işten ayrılma , şirket dışı bağlantıların(regülatif otoriteler, devlet, diğer şirketlerle olan ilişkiler), tedarik gibi süreçleri de kapsayacak şekilde bir bütün olarak değerlendirilmesi
Risk Yönetimi Organizasyonu
27.5.2016 www.tebit.com.tr 4
Anahtar Risk Göstergesi
KRI - Key Risk Indicators Anahtar Risk Göstergesi, risklerin kurumun daha önceden belirlenmiş risk iştahı seviyesini aşmaması için (risk gerçekleşmeden önce) izlenmesini sağlayacak ölçüm yöntemleridir.
Her bir risk için KRI tanımlamak mümkün değildir. KRI belirleyebilmek için, • Etkisi yüksek olacak riskleri dikkate almak • KRI tanımlanması, ölçme ve raporlaması için harcanacak kaynağı dikkate almak • Tanımlanacak KRI’ ın hassasiyet ve güvenilirlik seviyesini dikkate almak gerekmektedir. KRI belirlemenin, • Risk gerçekleşmeden önce haberdar olma • Risk ile ilgili geçmişe dönük analiz yapabilme • Risk iştahı ve risk toleransının belirlenmesine katkı sağlama • Risk yönetiminin daha iyi yapılamasına ve hedeflerin başarılmasına katkı sağlama gibi faydaları olacaktır.
27.5.2016 www.tebit.com.tr 5
Anahtar Risk Göstergesi
Örnek KRI
• Zamanında ve bütçesine uygun tamamlanan proje sayısı • Beklenen faydadan daha fazlasını sağlamış BT yatırımlarının
yüzdesi • Şifre standartlarına uymayan kullanıcıların yüzdesi • Yetkisiz erişimlerin sayısı • İş ve süreçlere zarar veren güvenlik ihlallerinin sayısı • Eğitim planındaki eğitimleri tamamlamamış olan BT çalışan
yüzdesi • BT operasyon hatalarından dolayı oluşan hizmet kesintisi sayısı
27.5.2016 www.tebit.com.tr 6
1. Ne olabilir? 2. Neden olabilir? 3. Neden bunu önemsiyoruz?
Örnek Risk ifadesi: (Hedefler üzerinde etkisi olan bir olay) neden olabilir/neden olur(herhangi bir aksaklık,kesinti vb) bunun sonucunda da (…
etkileri olur)
Doğru Risk İfadesi Yazmak
Müşteri verisinin hatalı olması ya da ulaşılamaması eksik/yanlış finansal işlemlere neden olabilir ve bu durumda düzenleyici kurumların veya .. yasa ile belirlenmiş finansal hata limitlerinin üzerine çıkabilir.
27.5.2016 www.tebit.com.tr 7
Risk tanımı
Potansiyel etkiler Gözlemler
Risk yanıtı Risk değerlendirme
Uygulama Parametre tanımlama ekranına yetkisiz erişim
Kurumdan ayrılmış personelin kritik sistemlere erişim yetkisinin bulunması ve mevcut kullanıcıların kullanmakta olduğu şifreler için erişim güvenliğini destekleyecek bir şifre politikasının bulunmaması sistemlere yetkisiz erişimlere, dolayısıyla sistemler üzerinde gerçekleştirilebilecek yetkisiz işlemler yoluyla kritik bilgilerin silinmesine veya değiştirlmesine sebep olabilir. Bu durum yanlış bilgiler kullanılarak hatalı işlemler gerçekleştirilmesine, dolayısıyla gelir kaybı, denetlenen birim memnuniyetsizliği ve regülatif problemlere yol açabilir.
Şifre yapısı için Active Directory ile entegre olunacaktır. Kullanıcı yönetimi için IDM ile entegre olunması planlanmıştır .İnsan Kaynakları Birimi ile koordineli olarak çalışılacak ve işten ayrılan ya da görev tanımı değiştirilmiş olan personelin listesi temin edilerek söz konusu listede yer alan değişikliklere uygun olarak Parametre Tanımlama arayüzüne erişim yetkileri ve işlem yetkileri haftalık olarak gözden geçirilecektir. Şifre zayıflıklarını önleyebilecek şifre parametrelerini belirleyen bir şifre politikasına uygun olarak sistemsel uyarlamalar gerçekleştirilecektir.
Risk seviyesi:YÜKSEK Risk Puanı:0-9 Şirket genelinde merkezi bir kullanıcı yönetimi sürecine geçilmesinin gecikmesi yetkisiz erişim ve bilgi/veri çalınması risklerini artıracaktır.
Parametrelerinin doğruluğuna ilişkin gerçekleştirilen kontrolün hangi seviyede gerçekleştirileceğini belirleyen ve sorumlulukları netleştiren bir düzenleme mevcut değildir. Sebep: Sürecin yeni yapılandırılmış olması ve henüz sorumlulukların tam olarak netleşmemiş olması nedeniyle onay mekanizmasına ilişkin düzenlemeler yapılandırılmamıştır.
Risk Yanıt Dökumanı
27.5.2016 www.tebit.com.tr 8
Risk Analizi Metodolojisi
Süreçleri belirle
Süreç risklerini belirle
Risklerin doğal risk sevilerini
belirle
Azaltıcı faktörleri
değerlendir
Artık riskleri belirle
Risk haritası ve önceliklendirme
Risk yanıtları ve aksiyon takibi
27.5.2016 www.tebit.com.tr 9
Risk Analiz Metodları
Nicel Risk Analiz Metodu Riskin olasılık ve etkisinin istatistik metodlar kullanılarak hesaplanması. Nitel Analize göre çok daha objektif bir yöntemdir. Güvenilebilir doğrulukta ve yeterlilikte Verinin mevcut olduğu ve kıyaslama açısından geçmişe ait verilerin de mevcut olduğu durumlarda uygulanmalıdır. Her risk için uygulanamayabilir. Örn. Sabotaj-saldırı riski, itibar kaybı riski vb. Nitel Risk Analiz Metodu Riskin olasılık ve etkisinin tahmini olarak belirlenmesi. Risk verisine sınırlı veya düşük seviyede ulaşılabildiği durumlarda uygulanmalıdır. Dezavantajları, • Kişisel bakış açısına bağlı(sübjektif), • Yoruma açık olması, • Risk değerlendirme sürecinde standart bir yaklaşımın uygulanmasını zorlaştırmasıdır. Nicel ve Nitel metodun beraber kullanılması Prensip olarak nicel(istatistiki) metod kullanılmakla birlikte veriye erişilemediği durumlarda Nitel yöntemlerinde kullanılmasıdır.
27.5.2016 www.tebit.com.tr 10
Risk Yönetimi Standart ve Çerçeveleri • Control Objectives for Information and Related Technology (COBIT)
• CCTA Risk Assessment and Management
• Dutch A&K Analysis
• EBIOS
• ETSI
• Factor Analysis of Information Risk (FAIR)
• Fundamental Information Risk Management (FIRM)
• Failure Modes and Effects Analysis (FMEA)
• Facilitated Risk Assessment Process (FRAP)
• Information Risk Assessment Methodologies (IRAM)
• ISAMM
• Information Security Forum (ISF) Methods
• ISO TR 13335 (a Technical Report which is a precursor to ISO/IEC 27005);
• ISO/IEC 27001
• ISO/IEC 31000
• IT Grundschutz
• Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT)
• MEHARI
• MIGRA
• NIST SP 800-30
• NIST SP 800-39
• NSA IAM / IEM / IA-CMM
• OCTAVE
• Open Source Security Testing Methodology Manual (OSSTMM)
• Practical Threat Analysis (PTA)
• Security Officers Management and Analysis Project (SOMAP)
• Simplified Process for Risk Identification (SPRINT)
Risk Yönetimi-Kaynaklar
27.5.2016 www.tebit.com.tr 11
Tümden gelim
Tüme varım
Mevzuat, süreçler
Risk envanteri, risk
senaryoları
Ris
k se
viye
si
Fayda/maliyet oranı
Risk Yanıtının önceliklendirilmesi
Risk Yanıtı seçme kriterleri
Risk Belirleme
Risk Analizi
Risk Yanıtı
Risk analizi ve risk yanıtı süreci
27.5.2016 www.tebit.com.tr 12
Etki Finansal Hizmet Sürekliliği İtibar Hukuk/Regulasyon
1 100.000TL den az 1 saaten az hizmet kesintisi
Sadece kurum içinde etki
Sadece kurum içi bilgilendirme ile düzeltilebilecek küçük uygunsuzluklar
2 100.000-300.000 1-6 saat
3 300.000-1.000.000 6-12 saat ve birden fazla bölgede kesinti
4 1.000.000-10.000.000
5 10.000.000 TL den fazla 24 saatten fazla ve ülke genelinde kesinti
Kamuoyunda düzeltilmesi çok zor olumsuz imaj
Ciddi Hukuki yaptırımlara neden olabilecek uygunsuzluk
Risk Etki Matrisi Şablonu
27.5.2016 www.tebit.com.tr 13
Puan Olasılık 1 Yılda 1 kez veya daha az
2 Ayda ortalama 1-2
3 Haftada 1-2
4 Günde 1-2
5 Günde 2 den fazla
Risk Olasılık Matrisi Şablonu
27.5.2016 www.tebit.com.tr 14
Risk Puanı Risk Seviyesi Risk İşleme
0-5 Çok düşük Risk Kabul
5-10 Düşük Risk Kabul
10-15 Orta Riski azalt
15-20 Yüksek Riski azalt
20-25 Çok yüksek Riskten kaçınma/Risk transfer
Risk Puanlama Şablonu
27.5.2016 www.tebit.com.tr 15
•Uygun risk yanıtının belirlenmesi
Rsik Yanıtı
•Tasarlanmış kontroller
•Diğer kaynaklardan gelen kontroller
Kontrollerin belirlenmesi
•EK-A dan gerekli kontrolleri belirleme
EK-A kontrollerinin belirlenmesi
•EK-A dan belirlen kontrolleri hariç tutma ve dahil etme gerekçeleri
EK-A kontrollerinin belirlenmesi
•U/B nin oluşturulması
U/B
•Risk sahiplerinin onayının alınması
Risk İşleme Planı
ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)
ISO 27001 BGYS için Risk İşleme Süreci
27.5.2016 www.tebit.com.tr 16
Kontrol listelerinin oluşturulması • Denetlenecek süreçler • Sürece ait U/B de belirlenmiş kontroller
Riskler belirlenip plan ve sürece uygun olarak gruplanacak, puanlanacak ve risk işleme sürecine uygun olarak aksiyon planları belirlenecektir.
Risk işleme süreci ile birlikte kapsam ve politikaya uygun olarak bilgi
güvenliği amaç ve hedefleri belirlenecektir.
İç denetim planının oluşturulması Denetim yöntemi
• Dokuman inceleme, • Mülakat, • Yerinde inceleme
Düzeltici faaliyet ve düzeltme ve düzeltici aksiyonların gerçekleştirilmesi sürecini belirlenmesi
Denetim öncesi yapılacaklar
ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 17
Bilgi Güvenliği politikasının denetimi • Dokümante edilmiş bilgi olarak erişilebilir olması, • Organizasyon içinde iletiminin sağlanması • İlgili taraflar için erişilebilir olmasını • Organizasyonun amacına uygun, • Bilgi güvenlik hedeflerini ya da bilgi güvenlik hedeflerinin oluşturulması için çerçeveyi içeren (Madde 6.2) • Bilgi güvenliği yönetim sistemi ile ilgili uygulanabilir gereksinimlerin karşılanmasına ilişkin taahhütleri içeren, • Bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi için taahhüt içeren
ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 18
Risk analizi ve risk işleme süreci planının denetlenmesi İlgili dokümantasyonun varlığı
• Risk değerlendirme süreci, • Risk işleme plan ve süreci, • Risk envanteri ve aksiyon planları, • Bilgi güvenliği hedefleri
Dokumantasyona uygun çıktıların, denetim kanıtlarının incelenmesi
ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 19
Eğitim faaliyetlerinin denetimi Farkındalık eğitiminin yapılması Eğitim kanıtları( katılım kayıtları, eğitim dokumanı
vb.)
Bilgi varlık envanteri 27001:2013 versiyonu gereksinimleri ve varlık sınıfları, gizlilik, bütünlük, erişilebilirlik, tehdit, açıklık kriterlerine göre varlığı ve içeriği denetlenmelidir.
Performans ve Sürekli iyileştirme süreci denetimi Yönetim gözden geçirme toplantısı kayıtları, Düzeltici faaliyet ve düzeltme ve düzeltici aksiyonların gerçekleştirilmesi sürecine ilişkin kayıtlar ve aksiyonlarının denetimi Denetim kanıtları
• YGG toplantı notu, • DOF süreci ve DOF kayıt ve aksiyonları
ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 20
• İnsan Kaynakları Güvenliği
• Internet ve Intranet Kaynaklarının Kullanımı
• İş Ortakları Hizmet Sağlama
• Kullanımı Tanıma Yetkilendirme
• Risk Yönetimi
• Veri Şifreleme Uygulamaları
• Veri Yedekleme
• Yazılım Değişikliği Yönetimi
• Yazılım Edinme ve Çoğaltma
• Zararlı Yazılımlardan Korunma
• Ağ ve Sistemlerin Güvenli İşletimi
• Bilgi Güvenliği Testleri Uygulama
• BGYS Yönetişim ve İşletim Modeli
• Bilgi Güvenliği Sürekliliği
• Bilgi İçeren Taşınabilir Cihazların Kullanımı
• Bilgi İşleme
• Bilgi Varlıklarının Yönetimi
• Donanım Değişikliklerinin Uygulanması
• Fikri Mülkiyet Haklarının Korunması
• Fiziksel Güvenlik
• Güvenlik İhlalleri Bildirimi ve Müdahalesi
• İlgili Yasa ve Düzenlemelerine Uyum
Örnek ISO 27001 iç denetim alanları
ISO27001 BGYS(Bilgi Güvenliği Yönetim Sistemi)
27.5.2016 www.tebit.com.tr 21
• Yeterli düzeyde kontrol edilmeyen BT projeleri ve BT harcamaları • İş ve BT stratejileri arasındaki eşgüdüm sorunları • Yetersiz BT işlem kapasitesi, performans sorunları • Veri ve programlara yetkisiz erişim • Donanım ve yazılım hataları • Programcı, operatör, vb. teknik personel hataları • Son kullanıcı hataları • Doğal felaketler, yangın, su basması, enerji problemleri, vb. • Sabotaj, terör hareketleri, vb. • BT iç kontrol ve iç denetim faaliyetlerinin yetersizliği • Yasalara, standartlara ya da kurumun iç politikalarına uyumsuzluk
BT DENETİMİ
BT Risk kaynakları
27.5.2016 www.tebit.com.tr 22
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veritabanı Yönetimi ve
Güvenliği
Veritabanına yetkisiz erişimler
ve yetersiz veritabanı
performansı
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 23
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veritabanı Yönetimi ve Güvenliği
Veritabanlarında aktif durumda olan firma
kullanıcılarının bulunması. Firma
kullanıcıları gizli bilgileri görebilir, silip, değişiklik
yapabilirler.
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 24
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veritabanı Yönetimi ve Güvenliği
Veritabanlarında birden fazla kişinin kullanabildiği
ortak kullanıcılarının bulunması.Usulsüz
işlemlerin hangi kullanıcı tarafından yapıldığının
tespit edilememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 25
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veritabanı Yönetimi ve Güvenliği
kullanıcılara gereğinden fazla rol ve yetkiler
verilmesi. Yetkisi dışında veri silme, değiştirme, veritabanından kritik
bilgilerin çekilmesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 26
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veritabanı Yönetimi ve Güvenliği
Veri tabanı kullanıcı işlemlerinin
loglanmaması. İşlemlerin kim tarafından ne zaman
yapıldığının tespit edilememesi.
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 27
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Test, Sürüm ve
Yaygınlaştırma Yönetimi
Üretim ortamında
yapılan yetkisiz değişiklikler
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 28
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Test, Sürüm ve
Yaygınlaştırma Yönetimi
Uygulama öncesi yetersiz
test
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 29
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Değişiklik & Konfigürasyon
Yönetimi
Standart bir değişiklik yönetimi
prosedürünün olmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 30
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Değişiklik & Konfigürasyon
Yönetimi
Değişikliklerin yanlış önceliklendirilmesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 31
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Değişiklik & Konfigürasyon
Yönetimi
Yetkisiz değişikliklerin
yapılması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 32
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Değişiklik & Konfigürasyon
Yönetimi
Yetersiz etki analizi
yapılması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 33
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Değişiklik & Konfigürasyon
Yönetimi
Değişiklik sonrası ilgili sistem
dokumanlarının guncellenmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 34
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Servis Sürekliliği
Veri kurtarma işleminin yetersiz
yapılması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 35
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Servis Sürekliliği
Kritik kaynakların
kullanılamaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 36
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Servis Sürekliliği
Felaketten kurtarma
merkezindeki kritik verilerin
arşivlenmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 37
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Servis Sürekliliği
Felaketten kurtarma
merkezindeki kritik verilerin
arşivlenmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 38
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Servis Sürekliliği
İş kesintisini gidermede yetersizlik
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 39
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Bilgi Güvenliği Yönetimi
Yetkisiz erişim
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 40
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Bilgi Güvenliği Yönetimi
Log kayıtlarının uygun
yönetilmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 41
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Bilgi Güvenliği Yönetimi
Kimlik yönetiminin
olmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 42
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Bilgi Güvenliği Yönetimi
Ağ kaynaklarına
yetkisiz erişim sağlanması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 43
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Bilgi Güvenliği Yönetimi
Yetersiz ağ performansı, ağın erişilebilirliği ve ağ
kaynaklarının izlenmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 44
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Problem Yönetimi
Problemlerin zamanında
tespit ve eskale edilememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 45
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Problem Yönetimi
Olay sonrası problemler için
zamanında aksiyon
alınamaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 46
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Problem Yönetimi
Yetersiz problem çözümü
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 47
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Süreçleri Kalite
Yönetimi
Süreç performans ölçümünün
yapılamaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 48
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Süreçleri Kalite
Yönetimi
Performans beklentilerinin
sağlıklı iletilmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 49
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Süreçleri Kalite Yönetimi
Temel performans
göstergelerinin eksikliği
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 50
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Kayıt, Olay ve Alarm Yönetimi
Kayıt saklama politikasının
olmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 51
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Kayıt, Olay ve Alarm Yönetimi
Kayıtların üretilememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 52
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Kayıt, Olay ve Alarm Yönetimi
Risk önem seviyelerine göre alarm türleri ve
seviyelerinin uygun bir şekilde
sınıflandırılmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 53
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Yardım Masası
BT olaylarının önemlerine
uygun kategorize edilmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 54
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Yardım Masası
Zamanında problem çözümünün
sağlanması için gerekli performans
ölçüm uygulamasının eksikliği
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 55
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Servis Seviyesi Yönetimi
Ölçme yöntemlerinin yetersiz olması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 56
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Servis Seviyesi Yönetimi
Onaylı servis seviyesi sözleşmelerine
uyumun yeterince kontrol edilememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 57
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Kapasite Yönetimi
Yetersiz kapasite
planlaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 58
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Kapasite Yönetimi
Kapasite darboğazlarının
öngörülememesinden dolayı hizmet kesintisi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 59
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
BT Kapasite Yönetimi
İş planlarına göre yatırım yapılmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 60
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Uygulamaları Geliştirme
İş gereksinimlerine uygun bir tasarım
dokümanın hazırlanmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 61
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Uygulamaları Geliştirme
Tasarım dokümanına
uygun geliştirme yapılamaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 62
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
BT Uygulamaları Geliştirme
Uygulama geliştirmelerinin
zamanında yapılamaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 63
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Veri Ambarı & İş Zekası Yönetimi
Veri kalitesi ve veri bütünlüğü
eksikliği
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 64
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veri Ambarı & İş Zekası Yönetimi
Veri modeli ve veri mimarisinin doğru olmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 65
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veri Ambarı & İş Zekası Yönetimi
Raporların zamanında ve
doğru bir şekilde üretilememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 66
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı Operasyon
İşletim sistem yazılımı yamalarının uygulanması (veya
uygulanmaması) konusunda uygun seviyede onay
mekanizmasının olmaması
Yetkisiz erişim
Bilgi kaybı
Hizmet kesintisi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 67
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı Operasyon
Ortak kullanım için tanımlanmış kullanıcıların
olması
Yetkisiz erişim
Bilgi kaybı
Bilgiye erişim işlemlerinin izlenememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 68
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı Operasyon
Şifre politikasının yetersiz olması, kullanıcıların
şifrelerinin yayınlanmış şifre politikasına uygun olmaması
Yetkisiz erişim
Bilgi kaybı
Bilgiye erişim işlemlerinin izlenememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 69
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Operasyon
Yeni şifrelerin kullanıcılara telefonla bildirilmesi, şifrelerin
ilgisiz kişilere ulaşması ve sistemlere yetkisiz
erişim
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 70
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Konfigürasyon Yönetimi
Lisanssız ve uygun olmayan
yazılım kullanımı
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 71
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı Ağ Yönetimi
IP adres planlaması ve IP dağıtımının yapılmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 72
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı Ağ Yönetimi
IP adres kulanıcı eşleştirmesinin
yapılmaması-yasal takip veya inceleme durumunda
hangi IP den işlemin kim tarafından yapıldığının
tespit edilememesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 73
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Ağ Yönetimi
Kablosuz ağ erişim noktalarında düşük
sevide güvenlik uygulanması-kablosuz ağ üzerinden yerel alan ağ
kaynalarına yetkisiz erişimlerin yapılabilmesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 74
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Ağ Yönetimi
Ağ altyapısındaki cihazların yedeksiz olarak çalışması-
problem durumunda sistem kesintisi
süresini artıracaktır.
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 75
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Kullanıcı Yönetimi
Sistem Yöneticisi rolunun çok fazla yada gereğinden
fazla kişiye verilmiş olması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 76
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Kullanıcı Yönetimi
Kullanıcılara gereğinden fazla yetki
tanımlanması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 77
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Sunucularda yüksek yetkili
kullanıcılarla (root) işlemlerin yapılması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 78
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Sunucularda tanımlı
kullanıcıların onay sürecinden
geçmemiş olması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 79
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Sunucu işletimi ve güvenliği
Sunucularda onaysız
scriptlerin çalışması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 80
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Yüksek yetkili kullanıcı işlemlerinin ve kritik komutların
log kayıtlarının tutulmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 81
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Sunucular için standart bir şifre
politikasının bulunmaması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 82
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Sunucularda uzaktan bağlantı
sağlayacak servislerin açık
olması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 83
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Sunucu işletimi ve güvenliği
Sunucu log kayıtlarının
değiştirilebilir olması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 84
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire
Başkanlığı
Sunucu işletimi ve güvenliği
Sunucu işletim sistemlerinde onaysız yama uygulanması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 85
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Sunucuların hizmet seviyelerinin ve
peformans göstergelerinin
belirlenmemiş olması
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 86
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Sunucu işletimi ve güvenliği
Sunucuların yedeklenmemesi veya yedeklerin
düzenli olarak test edilmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 87
Organizasyonel Birim Süreç Risk
Bilgi İşlem Daire Başkanlığı
Veritabanı işletimi ve güvenliği
Veritabanlarında tanımlı kurum dışı(
tedarikçi) kullanıcılarının
işlemlerinin takip edilmemesi
Örnek Riskler
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 88
TEŞEKKÜRLER
Kağan Temel CISA,ISO27001LA [email protected] 0 533 164 48 89 TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.