bilgi güvenliğini denetim programına almak - kağan temel

BT DENETİMİ

Kağan Temel CISA, ISO27001LA

27.5.2016 www.tebit.com.tr 1


• Yeni teknolojiler, altyapı değişiklik, dönüşüm ve yenilemeleri • BT güvenliği ve gizliliği, siber güvenlik • Personel ve kaynak yetenek ve yeterlilikleri • Altyapı yönetimi • Bulut bilişim • BT nin kurumsal yönetim ile uyumu • Büyük veri ve veri analizi • Proje yönetimi ve değişiklik yönetimi • Regülasyon uyum yönetimi • Bütçe ve maliyet kontrolü

BT organizasyonlarını ve faaliyetlerini etkileyen konular (En yüksek 10)


Planlama Saha

Çalışması/Dokümantasyon

Raporlama/İzleme denetimi

BT DENETİM SÜRECİ


Denetim Konusunun Belirlenmesi

Denetim Amaçlarının Belirlenmesi

Denetim Kapsamının Belirlenmesi

Ön Denetim Çalışmalarının

Yapılması

Prosedürlerin Belirlenmesi

Veri Toplama

Kontrollerin Test

edilmesi

Sonuçların doğrulanma

sı

Sonuçların Dokumante

Edilmesi

Raporda Yer Alacak Tüm

Verilerin Toplanması

Raporun hazırlanması

Raporun İletilmesi

İzleme

PLANLAMA

SAHA ÇALIŞMASI

RAPORLAMA

BT DENETİM SÜRECİ


Denetim Konusu: Bir iş birimi, bir süreç yada sistem ,bir fiziksel lokasyon Denetim Amaçları: SAP sisteminde (SAP Basis modülü) parametrelerin doğru girilip girilmediği ve ilgili kontrollerin varlığı Denetim Kapsamı: SAP sisteminde sadece genel müdürlük sunucu ve uygulaması kapsama alınacaktır, denetim zaman aralığı 1 yıl geriye dönük 1 yıldır. Ön Denetim Faaliyetleri: Risk Analizi yapılması, denetlenen birim ile ilgili bilgi toplanması, regulatif ve uyum ile ilgili gereksinimlerin belirlenmesi, denetim için gereken kaynakların belirlenmesi örneğin,

• Denetimi yapabilmek için gereken yetkinliklerin belirlenmesi • Denetim için gereken çalışma süresinin belirlenmesi • Denetlenecek lokasyonların ve faaliyetlerin belirlenmesi • Denetim ekibinin rol ve sorumluluklarının belirlenmesi • Denetim çalışma planının belirlenmesi • Kontrol testleri için gereken kaynakların belirlenmesi(akış diyagramları, dokumanlar, prosedürler gibi) • İletişim planının ve iletişim kurulacak kişilerin belirlenmesi

Prosedürlerin Belirlenmesi: Denetlenecek birime ait politika, prosedür ve diğer dokümanların temin edilmesi, test scriptlerinin hazırlanması, test sonuçları için değerlendirme kriterlerinin belirlenmesi.

Planlama Safhası


BT Denetçi Yetkinlikleri

• Risk ve tehditleri doğru belirleyebilmek için kurumun faaliyetlerini iyi anlayabilmesi

• BT faaliyetleri, teknolojileri ve bileşenleri ile ilgili yeterli seviyede bilgi sahibi

• Kurumsal risklerle BT riskleri arasındaki ilişkiyi kurabilecek seviyede bilgi sahibi

• Risk analizi süreci hakkında tecrübe sahibi

• BT kontrollerini test edebilecek seviyede test ve yöntem bilgisi

• Sistem log kayıtlarına erişebilme, kullanıcı erişim kayıtlarına erişebilme, bunların

içeriği ile ilgili sorgulama yapabilecek düzeyde teknik bilgi sahibi

• İşletim sistemleri, veri tabanları ve uygulama parametrelerini görüntüleyebilecek

seviyede teknik bilgi sahibi

• Süreçleri ve kontrolleri dokumante edebilecek seviyede akış diyagram araçlarını

kullanabilme

• Sorgulama ve gözlem yeteneği


BT Denetim Faaliyetlerine Nerden Başlamalıyız • Kurumsal Risk Analizi- BT Risk Analizi yapılması • Öncelikli BT denetim alanlarının belirlenmesi (Risk odaklı Denetim) • Gerekli kaynakların belirlenmesi • BT Denetim ekibinin ve yetkinlik ihtiyaçlarının belirlenmesi • BT denetim sürecinin belirlenmesi • Denetim sürecinde kullanılacak ve rapora girdi sağlayacak tüm çalışma kâğıtları test dokümanları, test prosedürlerinin belirlenmesi • Denetim raporlama formatının belirlenmesi • Çözüm önerilerine ilişkin eylem planı sürecinin belirlenmesi • Pilot denetim uygulanması ( İhtiyaca göre) • İlk yıl BT genel kontrolleri denetimleriyle başlamak • Daha karmaşık yetkinlik gerektiren denetimleri BT denetim ekibinin yetkinliğine göre daha sonraya planlamak


89% 87%

78%

86%

79%

72%

74%

76%

78%

80%

82%

84%

86%

88%

90%

BT GenelKontrolleri

Denetimleri

BT SüreçDenetimleri

UygulamaYazılımları

Denetimleri

BT AltyapıDenetimleri

BT YönetimDenetimleri

BT DENETİM SORUMLULUKLARI EN YÜKSEK 5


20%

27% 25% 25%

35%

0%

5%

10%

15%

20%

25%

30%

35%

40%

Sosyal MedyaDenetimleri

PCI/DSS UyumDenetimleri

İç KontrolDokumantasyon

Sürekli Denetim BT SuistimalDenetimleri

BT DENETİM SORUMLULUKLARI EN DÜŞÜK 5


24%

5%

40% 41%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Dışardan DenetçiKullanıyor

BT denetimini tamamendışarıya yaptırıyor

BT denetimini dışardanbir firma ile beraber

yapıyor

Dış kaynak kullanmıyor

BT DENETİMLERİ KAYNAK KULLANIMI


22%

41%

30%

7%

0%

5%

10%

15%

20%

25%

30%

35%

40%

45%

Önemli Seviyede Ortalama Minimum Hiç Katılmıyor

BT DENETİM BİRİMLERİNİN ÖNEMLİ TEKNOLOJİ PROJELERİNE KATILIM ORANI


30%

10% 8%

11%

27%

14%

0%

5%

10%

15%

20%

25%

30%

35%

BT DENETİM BİRİMLERİNİN PROJELERE KATILIM FAZLARI


25%

19%

26% 30% 31%

0%

5%

10%

15%

20%

25%

30%

35%

İç Denetimbiriminin BT

denetim yetkinliğiyetersiz

Değişik yetkinlikleribir araya getirmek

için

Farklı bakış açısısağlamak için

Kaynak yetersiz Denetçilere dışkaynaklı

denetçilerdenöğrenme fırsatısağlamak için

BT DENETİM DIŞ KAYNAK KULLANIM NEDENLERİ


24%

30%

0%

5%

10%

15%

20%

25%

30%

35%

%20 DEN FAZLA %15-20 ARASI

Toplam İç Denetim Raporları içinde BT Denetim Raporlarının Oranı


Teknik olmayan (özellikle Finansal) denetim alanlarında uygulanması gereken minimum BT kontrolleri

• BT giriş seviyesi kontrolleri

BT politika ve prosedürleri, BT yönetimi, BT personel yeterliliği, BT stratejisi

• Değişiklik Yönetimi kontrolleri

• Bilgi Güvenliği Kontrolleri

• Yedekleme ve veri kurtarma kontrolleri

• BT dış kaynak kullanımı ve BT tedarikçi kontrolleri


• BT Denetiminin kurum içinde bağımsız bir faaliyet olarak yürütülmesini sağlamak

• BT risklerinin ve siber güvenlik risklerinin stratejik seviyede anlaşılması ve düzenli izlenmesini sağlamak

• BT risklerinin teknik detaylardan arındırılmış bir şekilde üst yönetime düzenli olarak aktarılmasını ve anlaşılmasını sağlamak

• BT risklerini etkin bir şekilde belirlemek ve denetlemek için gerekli olan yetkinlikleri iç ve dış kaynaklardan temin etmek

• Yaklaşık toplam denetim raporları içinde %20 oranında BT denetim raporu üretmek

BT denetim faaliyetlerinin verimliliği için,


• Önemli BT ve teknoloji projelerinde özellikle planlama ve tasarım safhalarında BT yetkinliğine sahip iç denetçilerin katılımı

• İç denetim ve BT yetkinliğine sahip iç denetçilerin danışmanlık faaliyetlerini artırarak daha fazla değer üretmesi için üst yönetim ile iletişim

• BT denetim faaliyetlerini yürütürken ilgili standart ve çerçevelerden faydalanmaya dikkat edilmesi

BT Denetimlerinin verimliliği için,


•Sistemlerin,uygulamaların performansı,

•Konfigürasyonların doğruluğu

• Doğal felaketler

• Sistem kesintileri

• Performans sorunları

•Kurum dışından veya içinden bilgi kaynaklarına saldırılar,

•Gereğinden fazla yetkilendirme

•Kayıt tutmama

BT RISK

Güvenlik Erişilebilirlik

Uyum Performans •Politika,prosedürler •Regulatif düzenlemeler •İç kontroller •Olay kanıt kayıtlarının toplanması, otomasyonu

BT RİSKLERİ


BT Risk Değerlendirme için Genel BT süreçleri

BT Yönetişimi

BT Kaynak Planlama

Kullanıcı Erişim Yönetimi

BT Operasyon Yönetimi

BT Olay ve Problem Yönetimi

BT Değişiklik Yönetimi

BT İş sürekliliği Yönetimi

BT Yazılım Geliştirme ve Yazılım Tedariği Yönetimi

BT Hizmet seviyesi Yönetimi

BT Veri madenciliği ve Raporlama Yönetimi

BT Versiyon ve Yaygınlaştırma Yönetimi

BT Bilgi Güvenliği Yönetimi

BT kapasite Yönetimi

BT Talep Yönetimi

BT Varlık Yönetimi

BT konfigürasyon Yönetimi

BT Yedekleme Yönetimi

Zorluk(Karmaşıklık) Seviyesi

1

2

3


1. Ne olabilir? 2. Neden olabilir? 3. Neden bunu önemsiyoruz?

Sistemlerde ortak kullanım için tanımlanmış kullanıcıların olması sistemlere yetkisiz erişimlere sebep olabilir ve bu durumda, bilginin zarar görmesine ve erişimlerin izlenememesine neden olabilir.

Doğru Risk İfadesi Yazmak

Örnek bir BT risk ifadesi


Bilgi Güvenliği Risk Yönetimi

Görevlerin ayrılığı– BT operasyonları ile bilgi güvenliği operasyonlarının,

politika, prosedür ve iç kontrollerinin belirlenmesi fonksiyonlarının ayrılması

BT uzmanlık ve fonksiyonları ile güvenlik uzmanlık ve fonksiyonlarının ayrımı

Bilgi güvenliği fonksiyon ve ekibine yeterli düzeyde yetkilendirme

Bilgi varlıklarının tasnif , üretim, saklanma, dağıtım ve takibine yönelik süreçler

Bilgi güvenliği fonksiyonunun yeni servis ürün geliştirme, talep ve proje yönetimi süreçleri içerisine etkin bir şekilde yerleştirilmesi

Bilgi güvenliğinin sadece teknoloji tabanlı süreçler, sistem ve uygulamaları değil ,işe alım, yer değiştirme, işten ayrılma , kurum dışı bağlantıların(regülatif otoriteler, devlet, diğer kurumlarla olan ilişkiler), tedarik gibi süreçleri de kapsayacak şekilde bir bütün olarak değerlendirilmesi


• Antivirus sistemleri

• IDS

• Firewall

• Altyapı-network segmentasyonu

• Penetrasyon testleri

• Güçlü kimlik doğrulama teknolojileri(Biometrik doğrulama- Parmak izi vb.)

• IPS, DLP, zaafiyet tarama

• BT test, geliştirme ve operasyon sistemlerinin ayrıştırılması

• Veritabanlarındaki İşlemlerin İzlenmesi (Kritik veriler için)

• Uygulama güvenliği testleri

• Güvenlik Bilgi ve Olay Yönetimi (SIEM) sürecini kurmak

• Bilgi güvenliği eğitimleri

İnternet-sosyal medya- bulut bilişim ve siber saldırı kaynaklı riskleri önlemek için aşağıdaki uygulamalar dikkate alınmalıdır


KRI - Key Risk Indicators Anahtar Risk Göstergesi, risklerin kurumun daha önceden belirlenmiş risk iştahı seviyesini aşmaması için (risk gerçekleşmeden önce) izlenmesini sağlayacak ölçüm yöntemleridir.

Her bir risk için KRI tanımlamak mümkün değildir. KRI belirleyebilmek için, • Etkisi yüksek olacak riskleri dikkate almak • KRI tanımlanması, ölçme ve raporlaması için harcanacak kaynağı dikkate almak • Tanımlanacak KRI’ ın hassasiyet ve güvenilirlik seviyesini dikkate almak gerekmektedir. KRI belirlemenin, • Risk gerçekleşmeden önce haberdar olma • Risk ile ilgili geçmişe dönük analiz yapabilme • Risk iştahı ve risk toleransının belirlenmesine katkı sağlama • Risk yönetiminin daha iyi yapılamasına ve hedeflerin başarılmasına katkı sağlama gibi faydaları olacaktır.


Örnek KRI

• Zamanında ve bütçesine uygun tamamlanan proje sayısı • Beklenen faydadan daha fazlasını sağlamış BT yatırımlarının

yüzdesi • Şifre standartlarına uymayan kullanıcıların yüzdesi • Yetkisiz erişimlerin sayısı • İş ve süreçlere zarar veren güvenlik ihlallerinin sayısı • Eğitim planındaki eğitimleri tamamlamamış olan BT çalışan

yüzdesi • BT operasyon hatalarından dolayı oluşan hizmet kesintisi sayısı


Tümden gelim

Tüme varım

Mevzuat, süreçler

Risk envanteri, risk

senaryoları

Ris

k se

viye

si

Fayda/maliyet oranı

Risk Yanıtının önceliklendirilmesi

Risk Yanıtı seçme kriterleri

Risk Belirleme

Risk Analizi

Risk Yanıtı

Risk analizi ve risk yanıtı süreci


•Uygun risk yanıtının belirlenmesi

Risk Yanıtı

•Tasarlanmış kontroller

•Diğer kaynaklardan gelen kontroller

Kontrollerin belirlenmesi

•EK-A dan gerekli kontrolleri belirleme

EK-A kontrollerinin belirlenmesi

•EK-A dan belirlen kontrolleri hariç tutma ve dahil etme gerekçeleri

EK-A kontrollerinin belirlenmesi

•U/B nin oluşturulması

U/B

•Risk sahiplerinin onayının alınması

Risk İşleme Planı

ISO 27001 BGYS için Risk İşleme Süreci


• İnsan Kaynakları Güvenliği • Internet ve Intranet Kaynaklarının Kullanımı • İş Ortakları Hizmet Sağlama

• Kullanımı Tanıma Yetkilendirme

• Risk Yönetimi • Veri Şifreleme Uygulamaları • Veri Yedekleme

• Yazılım Değişikliği Yönetimi • Yazılım Edinme ve Çoğaltma

• Zararlı Yazılımlardan Korunma

• Ağ ve Sistemlerin Güvenli İşletimi • Bilgi Güvenliği Testleri Uygulama

• BGYS Yönetişim ve İşletim Modeli • Bilgi Güvenliği Sürekliliği • Bilgi İçeren Taşınabilir Cihazların Kullanımı • Bilgi İşleme

• Bilgi Varlıklarının Yönetimi • Donanım Değişikliklerinin Uygulanması • Fikri Mülkiyet Haklarının Korunması • Fiziksel Güvenlik

• Güvenlik İhlalleri Bildirimi ve Müdahalesi • İlgili Yasa ve Düzenlemelerine Uyum

Örnek ISO 27001 İç Denetim Alanları


69%

16% 8% 7%

0%

10%

20%

30%

40%

50%

60%

70%

80%

İç denetim genel riskanalizi kapsamında

yapılmakta

İç denetim içinde genelrisk analizi dışında ayrıca

yapılmakta

İç denetim dışında başkabir birim tarafından

yapılmakta

Yapılmıyor

BT Denetimi Risk Analizi


16%

2%

13% 10%

55%

4% 0% 0%

10%

20%

30%

40%

50%

60%

Sürekli Aylık Çeyrekte bir 6 ayda bir Yıllık 6-12 ay arası Hiç

BT Risk Analizi Sıklığı


Risk Yönetimi Standart ve Çerçeveleri • Control Objectives for Information and Related Technology (COBIT) • CCTA Risk Assessment and Management • Dutch A&K Analysis • EBIOS • ETSI • Factor Analysis of Information Risk (FAIR) • Fundamental Information Risk Management (FIRM) • Failure Modes and Effects Analysis (FMEA) • Facilitated Risk Assessment Process (FRAP) • Information Risk Assessment Methodologies (IRAM) • ISAMM • Information Security Forum (ISF) Methods • ISO TR 13335 (a Technical Report which is a precursor to ISO/IEC 27005); • ISO/IEC 27001 • ISO/IEC 31000 • IT Grundschutz • Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT) • MEHARI • MIGRA • NIST SP 800-30 • NIST SP 800-39 • NSA IAM / IEM / IA-CMM • OCTAVE • Open Source Security Testing Methodology Manual (OSSTMM) • Practical Threat Analysis (PTA) • Security Officers Management and Analysis Project (SOMAP) • Simplified Process for Risk Identification (SPRINT)


67%

34%

46%

32%

7%

20%

0%

10%

20%

30%

40%

50%

60%

70%

80%

COBIT COSO ISO ITIL NIST CSF BASEL III

BT RİSK ANALİZİNDE KULLANILAN STANDARTLAR


• Üst yönetim ile BT risk yönetiminin önemi ve düzenli yapılması gerekliliği hakkında bilgilendirme yapılması

• BT risk analizinin en az 3 ayda bir yapılmasını hedeflemek • BT risk analizi faaliyetleri ile risk yönetimi çalışmaları arasındaki bağlantıyı kurmak • BT risk analizi çalışmalarını kuruma uygun bir çerçeveye göre yapmak (COBIT,

COSO gibi.)

BT Risk Analizi verimliliği için önemli konular,


Information Systems Audit and Control Association (ISACA) ve IT Governance Institute (ITGI) tarafından 1996 yılında yayınlanmıştır.

Yöneticilere, denetçilere ve BT kullanıcılarına bilgi teknolojilerinden maksimum fayda alınması ve kurum içinde BT yönetişimi ve kontrolü geliştirmek için genel olarak kabul görmüş ölçümler, göstergeler, süreçler ve lider uygulamalar sunar.

Kurum içinde etkin bir iç kontrol sistemi ya da çatısı kurabilmek adına aşağıdaki ihtiyaçlara cevap verir:

• İş gereksinimleri ile BT arasında bağlantı kurulması • BT aktivitelerinin genel kabul görmüş süreç modelleri içinde organize

edilmesi • Kullanılacak önemli BT kaynaklarının belirlenmesi • Yönetim kontrol hedeflerinin tanımlanması

COBIT


5 ana alan, 37 süreç (COBIT 5)


TEŞEKKÜRLER

Kağan Temel CISA,ISO27001LA [email protected] 0 533 164 48 89 TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.

mailto:[email protected]

bilgi güvenliğini denetim programına almak - kağan temel

Documents