bankacılığın yeni çağına hazır mısınız?€¦ · sızma testi siber istihbarat...
TRANSCRIPT
Bankacılığın yeni çağına hazır mısınız?
Mayıs 2020
KPMG Türkiye
kpmg.com.tr
Dış h�zm
et
alımı
İç k
ontro
lde
net�m
Projeyönet�m�
ATM
Varlıkenvanterivesınıflandırma
Yönetmel�kZ�h�n Har�tası
Politika,
süreç ve
prosedür
dokümanları
Dış hizm
et alımı
sürecinin
yönetimi
İz kayıtlarının tak�b�
Ağ güvenl�ğ�
K�ml�k
ve er�ş�m
yönet�m�
Elektronik
bankacılık
Riskyönetimsüreci Organizasyon,
roller ve
sorumluluklar
R�skYönet�m�
Yönetimgözetimi,roller ve
sorumluluklar
Yönet�ş�m
Sistemgeliştirmeve değişiklik
Süreklilik
ve
erişebilirlik
Erişebilirlik
yönetim
ve yedekleme
İç kontrolfaaliyetleri
Birincil ve ikincil
sistemler
BT operasyon
İç denetimfaaliyetleri
Bulgu takibi ve güvence
Personel eğitimi
ve kaynak tahsisi
Değişiklik
yönetimi
Bilg
i mim
arisi Açık bankacılık
Telefon
Mobil
İnternetOrtak hüküm
ler
Veri gizliliği
Veri paylaşımı
Konfigürasyon yön.
Farkındalık artırma
Güvenlik açıkları
ve yama yönetimiSiber olay yönetimi,
sızma testi ve siber
istihbarat paylaşımıSistem
geliş
tirme,
taşım
a ve k
urulum
Fiziksel kontrol
3Bankacılığın yeni çağına hazır mısınız?
Yeni çağın bankacılığının kuralları değişti2007 yılında hayatımıza giren ve bankaların bilgi sistemleri denetiminde çerçeveyi belirleyen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ (İlkeler Tebliği) bu sene itibariyle 13 senelik ömrünü tamamlayarak yerini Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’e (Yönetmelik) bırakıyor. Takvimsel olarak baktığımızda;
• 14 Eylül 2007 İlkeler Tebliği yürürlüğe girdi.
• 25 Aralık 2018 yeni yönetmelik taslağı görüşe açıldı.
• Sektör temsilcileri aracılığıyla sektörün, ilgili kurum ve kuruluşların görüş ve önerileri değerlendirilerek nihai taslak oluşturuldu.
• 15 Mart 2020 yeni yönetmelik yayımlandı.
o Bilgi sistemlerinin yönetimi ile elektronik bankacılık hizmetlerinin sunulmasında gereken kontrollerin düzenlendiği Yönetmelik, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından 31069 sayılı Resmi Gazete’de yayımlandı.
• 01 Temmuz 2020 tarihine kadar bankalara geçiş süreci tanındı.
• Uyum açısından belirlenen hedef tarihte yeni yönetmeliğin yürürlüğe girmesiyle birlikte, İlkeler Tebliği yürürlükten kaldırılacak.
KPMG olarak, bilgi sistemlerinin ve elektronik bankacılık hizmetlerinin yönetiminde güçlü bir yönetişim, risk yönetimi ve bilgi güvenliği yönetimi yapısını temel alıyoruz. Söz konusu yapının kurulmasına yönelik hazırladığımız Yönetmelik Zihin Haritası ile her bir banka özelinde özgün çözümler yaratarak en iyi uygulamaların hayata geçirilmesini hedefliyoruz.
Yönetmelikle önemli değişiklikler ve yenilikler yapıldıMevzuatta ilk kez tanımlanan komiteler ve fonksiyonlarla banka organizasyon yapılarında önemli değişikliklerin gerçekleşeceği görülüyor. Bilgi güvenliği fonksiyonunun üst yönetime bağlı olarak tanımlanması, siber olaylara müdahale tatbikatları ve ikincil merkez üzerinden faaliyetleri sürdürmeye yönelik testlerin vurgulanması, güvenlik ve süreklilik çalışmalarının önceliklendirilmesi anlamına geliyor.
BT dış hizmetlere ilişkin yapılan düzenlemelerle dış hizmetlere ilişkin kontrol ve gözetimin de artırılması öngörülüyor.
İlkeler Tebliği ile Yönetmelik arasındaki farklar incelendiğinde, İlkeler Tebliği’ndeki birçok madde için kapsamın genişletilerek detaylı şekilde ele alındığı görülüyor. Detaylandırılan kapsam, uyum gereklilikleri için daha net bir yol çizmekle birlikte stratejik düşünmeyi de zorunlu hale getiriyor.
Yönetmelik ile detaylandırılan veya ilk defa ele alınan bölümlerin incelenmesi sonucunda, İlkeler Tebliği ile Yönetmelik arasındaki farkları gösteren grafiği sizler için sunduk.
İnternet Bankacılığı
B�lg� Güvenl�ğ� Yönet�m�
E-Bankacılık Ortak Hükümler
Sürekl�l�k ve Er�şeb�l�rl�k
S�stem Gel�şt�rme ve Değ�ş�kl�k
İç Kontrol ve İç Denet�m
R�sk Yönet�m�
Dış H�zmet Alımı
Yönet�ş�m
Telefon Bankacılığı
Mob�l Bankacılık
Açık Bankacılık Serv�sler�
Yönetmel�kİlkeler Tebl�ğ�
5
71
26
25
22
16
13
11
11
7
3
2
37
29
0
0
0
0
0
24
3
5
5
7
İlkeler Tebliği ve Yönetmelik farkları
4 Bankacılığın yeni çağına hazır mısınız?
Bankacılıkta dönüşüm süreci başladıKPMG olarak, bankacılığın dönüşüm sürecinde bilgi sistemlerinin yönetimine ilişkin tüm bileşenler için politika, prosedür, sorumluluk ve karar mekanizmalarını içeren yönetişim; uyum ve kontrol çalışmaları kapsamında ise iç kontrol ve iç denetim gerekliliklerinden oluşan bir çerçeve tasarladık.
Dijitalleşme kavramının da etkisiyle dijital kanallar için getirilen detaylı hükümler ve bir ilk olan açık bankacılık servisleri çerçevedeki önemli bir değişikliği oluşturuyor. Müşteri veya müşteri adına hareket eden taraf ile banka arasındaki iletişimin uçtan uca güvenli iletişimini hedefleyerek dünya bankacılık sistemine giriş yapan açık bankacılık servisleri dahil tüm dijital kanalların hassas veri yönetimi başta olmak üzere bilgi sistemleri ile olan etkileşimi kaçınılmaz.
D�j�tal kanallar
B�lg� s�stemler�
Çevr�mdışı kanallar
Arka of�s
R�skyönet�m�
Güvenl�kyönet�m�
S�stemgel�şt�rme
ve değ�ş�kl�kyönet�m�
Sürekl�l�k veer�ş�leb�l�rl�k
yönet�m�
Dışh�zmet
Yönet�ş�m
İç kontrol ve �ç denet�m
Bilgi sistemleri ve elektronik bankacılık hizmetleri çerçevesi
5Bankacılığın yeni çağına hazır mısınız?
Veriden iş süreçlerine doğru ilerleyerek; bankacılık faaliyetlerinde kullanılan ana ve referans veri, işlemsel veri, vb. verilerin bankanın bilgi sistemleri üzerinde taşınması, saklanması, iletimi ve işlenmesi ile birlikte iş süreçlerindeki öncelikli gelişim alanlarının belirlenmesi ve aksiyon alınması
Aşağıdan yukarıya
Bilgi varlığı
İş süreçleri
Bilgi sistemleri
Veri
İş süreçlerinden veriye doğru ilerleyerek; süreç içerisindeki tüm verilerin belirlenen öncelikli gelişim alanları kapsamında bilgi sistemleri üzerinde gelişim alanlarına ilişkin iyileştirmelerin yapılarak verinin daha etkin yönetiminin sağlanması
Yukarıdan aşağıya
Tanım
Sahiplik
Görece değeri
Organizasyon, rol ve sorumluluklar
Güvenlik sınıfı
Varlık envanteri
Konum
Bankacılık yeni çağında daha fazla servis noktası sağlamak için teknolojisine üst düzey yetkinlikler kazandırıyor. Geliştirilen bilgi sistemleri, bir yandan yetkinliklerini arttırırken bir yandan da tehditlerin çeşitliliği ve etkileşim noktası artıyor. Yönetmelik tam olarak bu noktada devreye giriyor. Temel yönetişim ve kontrol prensiplerine ek olarak, özellikle de dijital bankacılık için detaylandırdığı yöntemler ile bilgi sistemlerinin daha güvenilir olmasını ve erişim sürekliliğini sağlamaya yönelik tasarlanmış.
KPMG olarak, Yönetmelik uyumunu sağlamak ve yeni çağın bankacılığına ayak uydurmak için ilk adımı belirledik. Yaklaşımımız verinin güvenliğini sağlamak ve erişim sürekliliği için gerekli yönetişim ve kontrol prensiplerini belirlemek. Veri, sırasıyla bilgi varlıklarını, bilgi sistemlerini ve iş süreçlerimizin temelini oluşturuyor. Hedef yaklaşımımızda belirlediğimiz aşağıdan-yukarıya / yukarıdan-aşağıya ilerleme yöntemi ile veri özelinden iş süreçlerine giderek öncelikli gelişim alanlarını hızlıca belirleyebiliyor, bir yandan da iş süreçlerinden veriye ilerleyerek eksiksiz bir çözümün uygulanabilmesini sağlayabiliyoruz.
Veri ve iş süreçleri odaklı bilgi varlığı yönetimi öne çıktı
6 Bankacılığın yeni çağına hazır mısınız?
Kurumsal mimari çerçevesi ile uçtan uca çözüm hedeflendiBankanın hedef ve stratejileri ile IT sistemleri arasındaki ilişkiyi yöneten ve kullanılması gereken teknolojilere yön veren yapı olarak tanımlanan kurumsal mimarinin sadece bugünü değil, gelecek planlarını da desteklemesi gerekiyor.
KPMG olarak kurumsal mimari çerçevesi yaklaşımımız; iş, bilgi, uygulama ve teknoloji alanlarında gruplanarak banka genelinde bir sinerji oluşmasına altyapı sağlıyor; zamanında ve gerekli işlevsellik düzeyine sahip bir bilgi sistemi için uçtan uca çözüm sunuyor.
Bilgi, bir banka için değeri olan ve bu nedenle de uygun yönetişimin ve kontrol prensiplerinin belirlenmesi gereken bir varlık olduğundan; bilgi varlığı kurumsal mimari çerçevesi yaklaşımımız için merkez kabul ediliyor. Temelinde veri ve iş süreçleri bulunan bilgi varlığı üzerine inşa edilen her bir mimari yapıyla bir kurumsal mimari oluşturuluyor ve bütünleşik kullanımı ile maksimum fayda sağlanıyor.
Bankacılık için hem yeniliklerin değerlendirilmesi hem de söz konusu düzenlemelere uyum sağlanması kapsamında sunduğumuz çözümü esas alarak bir kurumsal mimari tasarımın oluşturulması ve uygulanmasıyla birlikte de sürdürülebilir bir kurumsal mimari çerçevesi hazırlıyoruz.
Bilgi varlığı
İş süreçleri
Bilgi sistemleri
Veri
İş mimarisi
Kurumsal mimari çerçevesi
Analitik mimari
Veri mimarisi
Uygulama mimarisi
Entegrasyon mimarisi
Teknoloji mimarisi
Güvenlik mimarisi
Bilgi
Uygulama
Teknoloji
İş
Bilgi sistemleri ve elektronik bankacılık hizmetleri çerçevesi
7Bankacılığın yeni çağına hazır mısınız?
Bilgi sistemleri bileşenlerine bütünleşik çözüm yaklaşımımız
9Bankacılığın yeni çağına hazır mısınız?
Yönetişim
Sistem geliştirme ve değişiklik yönetimi Süreklilik ve erişebilirlik yönetimi BS dış hizmetGüvenlik yönetimiRisk yönetimi
İç kontrol ve iç denetim
Yönetim gözetimi
Politika ve standartlar
İç kontrol ve iç denetim organizasyon yapısının tesisi
İç denetim sıklığı ve döngüsünün belirlenmesi
İç kontrol sonucu eksikliklerin giderilmesi
Kritik BS servislerinin, süreçlerin, varlıkların kontrolü
İç kontrol toplantılarında öneri sunulması
Personel eğitimi ve kaynak tahsisi
İç denetim kapsam belirlenmesi
Bulgu takibi ve güvence sağlanması
Kapsam belirlenmesi
Risklerin analizi
Tehdit ve güvenlik açıklarının tespiti
Risklerin belirlenmesi
Risk etki hesaplamasının yapılması
Varlıkların risk olasılıklarının ve etki değerlerinin
belirlenmesi
Riskin derecelendirilmesi
Risklere aksiyon belirleme
Riskin azaltılması
Riskten kaçınma
Riskin kabulü
Riskin transferi
Risk değerlendirme raporu
İzleme ve gözden geçirme
Proje yönetimi
Uygulama kontrolleri
Değişiklik yönetimi
Sistem geliştirme, taşıma ve kurulum
Bilgi mimarisinin tanımlanması
Veri gizliliği
Veri paylaşımı
Bütünlük kontrolleri
Siber olay yönetimi
Siber güvenlik tatbikatı
Güvenlik açıkları ve yama yönetimi
Sızma testi
Siber istihbarat paylaşımı
Kimlik ve erişim yönetimi
İz kayıtlarının oluşturulması ve takibi
Ağ güvenliği
Güvenlik konfigürasyon yönetimi
Fiziksel güvenlik kontrolleri
BT operasyon yönetimi
Erişebilirlik yönetimi ve yedekleme
İş hedeflerinin belirlenmesi
İş etki analizi
Felaket senaryolarının testi
Süreklilik testlerinin yönetimi
Dış hizmet gözetim mekanizmasının
oluşturulması
Dış hizmet alanlarının belirlenmesi
İletişim bilgilerinin ilgililerle paylaşılması
Dış hizmet seviyesine uyumun takibi
Dış hizmet sözleşmesine uyumun takibi
Birim/fonksiyon
Veri sözlüğü
Sorumluluklar
Varlık envanteri
Organizasyon/komiteler
Süreçler/prosedürler
Roller/sorumluluklar
Veri envanteri
İş planları
Risk envanteri
KPMG olarak sizlere ne tür hizmetler sunabiliriz?
Yönetmelik’e uyum seviyesi değerlendirilerek mevcut durum analizinin gerçekleştirilmesi, eksikliklerin belirlenmesi ve iyileştirme alanlarının ortaya çıkarılması
Tasarım ve iyileştirme kapsamında oluşturulan mimari tasarımdaki alanların önceliklendirilmesi, önceliklendirilen her bir alan için çözümün hayata geçirilmesi ve Yönetmelik maddelerine uyumun sağlanması
Yönetmelik’e uyumun sürdürülebilirliğinin sağlanması amacıyla düzenli olarak izlemenin sağlanması ve periyodik kontrollerin gerçekleştirilmesi
KPMG Kurumsal Mimari Çerçevesi referans alınarak, değerlendirme sonucunda belirlenen konu başlıkları için Yönetmelik’e uyumun detay planlamasının yapılması ve mimari tasarımın oluşturulması
Değerlendirme
Uygulama
Tasarım ve iyileştirme
İzleme ve kontrol
10 Bankacılığın yeni çağına hazır mısınız?
Emin Alper KaraçarŞirket Ortağı,BT Lideri ve Kamu Sektörü LideriDanışmanlık [email protected]
Gökhan Mataracı Direktör,Veri ve Analitik LideriDanışmanlık [email protected]
Servet GözelDirektör,Bilgi Teknolojileri Danışmanlığı[email protected]
İletişim:
Bu dokümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Doğru ve zamanında bilgi sağlamak için çalışmamıza rağmen, bilginin alındığı tarihte doğru olduğu veya gelecekte olmaya devam edeceği garantisi yoktur. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın, bu dokümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative (“KPMG International”) bir İsviçre kuruluşudur. KPMG ağına üye olan bağımsız firmalar, KPMG International’a bağlıdır. KPMG International’ın müşterilere sunduğu herhangi bir hizmet yoktur. Hiçbir üye firmanın KPMG International’ı veya bir başka üye firmayı, aynı şekilde KPMG International’ın da hiç bir üye firmayı üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı ya da bağlayıcı hiçbir yetkisi yoktur. Tüm hakları saklıdır.
© 2020 KPMG Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative’in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır. Türkiye’de basılmıştır.
İstanbulİş Kuleleri Kule 3 Kat 1-9 34330 Levent İstanbul T : +90 212 316 6000
AnkaraThe Paragon İş Merkezi Kızılırmak Mah. Ufuk Üniversitesi Cad. 1445 Sok. No:2 Kat:13 Çukurambar 06550 AnkaraT: +90 312 491 7231
İzmirHeris Tower, Akdeniz Mah. Şehit Fethi Bey Cad. No:55 Kat:21 Alsancak 35210 İzmirT: +90 232 464 2045
kpmg.com.trkpmgvergi.com
Detaylı bilgi için:KPMG TürkiyeClients & [email protected]