SAP Güvenlik Çözümleri

Kaan Günay (Deloitte, Kurumsal Risk Hizmetleri)

© SAP 2009 / Page 2

1. Güvenlik İhtiyaçları Erişim Yönetimi Görevler Ayrılığı İhtiyacı

2. Güvenlik Metrikleri

3. Güvenliğin Süreç ve Organizasyon Boyutu

Agenda

© SAP 2009 / Page 3

2008 Deloitte Küresel Güvenlik Anketi

2008 yılında 32 ülkeden 200’ün üzerinde finansal kurum

Türkiye’den 15 banka ve 1 sigorta şirketiTürkiye’den katılan bankalara 30.09.2008 itibariyle aktif

büyüklük baz alındığında bankacılık sektörünün %49,7’sini temsil ediyor.

© SAP 2009 / Page 4

2008 Küresel Güvenlik Araştırması – Top 10 Denetim bulguları

Son 12 ay içinde iç/dış denetimlerde ortaya en çok çıkan bulgular

© SAP 2009 / Page 5

Erişim Kontrolü – Fazla verilmiş haklarÖrnek – Rol Tabanlı Erişim Kontrolü

© SAP 2009 / Page 6

Görevler Ayrılığı İhtiyacı

Tedarikçilerinizin banka bilgilerini kim değiştirebilir?Ödeme sürecinde kimler yetkili?İskonto uygulama yetkisi kimlerde var?Satın alma talebi oluşturma yetkisi kimlerde var?Kaç kişi kritik personel ve iş bilgisini değiştirebilir?SAP sisteminiz yetkisiz değişikliklere karşı ne kadar iyi

korunuyor?SAP sistemindeki bilgileriniz erişilebilirlik ve gizlilik

açısından ne kadar iyi korunuyor?SAP sisteminin yönetiminde BT personeli içerisinde

görevler ayrılığı uygulayabiliyor musunuz?

Peki ya custom ve endüstri çözümlerindeki transactionlar?

© SAP 2009 / Page 7

Görevler Ayrılığı İhtiyacı

Hangi kaynakları kullanmalıyız?Her şirket için SoD gereklilikleri ve riskleri aynı mıdır?

© SAP 2009 / Page 8

Görevler Ayrılığı İhtiyacı ve Erişim Kontrolü

Sistem verilerini toplamaVerileri analiz etmekEtkin şekilde raporlamak

Güvenlik MetrikleriCFO vs. CIO

© SAP 2009 / Page 9

Şirketinizin karlılığını nasıl ölçersiniz? EBITDAŞirketinizin nakit akışını nasıl ölçersiniz? Working capital /

turnover / Debt-Cash ratioŞirket yatırımlarınızın geri dönüşünü nasıl ölçersiniz? ROI

Peki ya şirketinizin ve sistemlerinizin güvenliğini nasıl ölçersiniz?

Güvenlik Metrikleri

© SAP 2009 / Page 10

Fiyat? Bugünkü fiyat?Son 1 senede ne kadar kazandırmış? Benzer hisselerin performansı nasıl? Önümüzdeki dönem beklentiler neler?

Eğer bir hisseye yatırım yapacaksanız neye bakarsınız?

Güvenlik Metrikleri

© SAP 2009 / Page 11

Kritik haklara sahip kullanıcılarKritik SoD çakışmalarıKritik güvenlik parametreleri

Sistemleriniz için güvenlik kriterleri oluşturmak

?

Güvenlik Metrikleri

© SAP 2009 / Page 12

Sistemleriniz için güvenlik kriterleri oluşturmak

Güvenliğin BoyutlarıTeknoloji, Süreç, Organizasyon

Süreç Teknoloji

Organizasyon

Bir güvenlik kontrolünü etkin bir şekilde hayata geçirebilmek için 3 boyutu da sağlamamız gerekir.

Güvenliğin BoyutlarıISO/IEC 27002:2005 

İletişim veOperasyonYönetimi

Bilgi SistemleriTedarik,

Geliştirmeve Bakımı

Uyum

Fiziksel veÇevreselGüvenlik

İş SürekliliğiYönetimi

ErişimKontrolü

İnsan KaynaklarıGüvenliği

Güvenlik Politikası

Bilgi GüvenliğiOlay Yönetimi

Bilgi GüvenliğiOrganizasyonu

Varlık Yönetimi