bilgi güvenliğini denetim programına almak - kağan temel
TRANSCRIPT
BT DENETİMİ
Kağan Temel CISA, ISO27001LA
27.5.2016 www.tebit.com.tr 1
27.5.2016 www.tebit.com.tr 2
• Yeni teknolojiler, altyapı değişiklik, dönüşüm ve yenilemeleri • BT güvenliği ve gizliliği, siber güvenlik • Personel ve kaynak yetenek ve yeterlilikleri • Altyapı yönetimi • Bulut bilişim • BT nin kurumsal yönetim ile uyumu • Büyük veri ve veri analizi • Proje yönetimi ve değişiklik yönetimi • Regülasyon uyum yönetimi • Bütçe ve maliyet kontrolü
BT organizasyonlarını ve faaliyetlerini etkileyen konular (En yüksek 10)
27.5.2016 www.tebit.com.tr 3
Planlama Saha
Çalışması/Dokümantasyon
Raporlama/İzleme denetimi
BT DENETİM SÜRECİ
27.5.2016 www.tebit.com.tr 4
Denetim Konusunun Belirlenmesi
Denetim Amaçlarının Belirlenmesi
Denetim Kapsamının Belirlenmesi
Ön Denetim Çalışmalarının
Yapılması
Prosedürlerin Belirlenmesi
Veri Toplama
Kontrollerin Test
edilmesi
Sonuçların doğrulanma
sı
Sonuçların Dokumante
Edilmesi
Raporda Yer Alacak Tüm
Verilerin Toplanması
Raporun hazırlanması
Raporun İletilmesi
İzleme
PLANLAMA
SAHA ÇALIŞMASI
RAPORLAMA
BT DENETİM SÜRECİ
27.5.2016 www.tebit.com.tr 5
Denetim Konusu: Bir iş birimi, bir süreç yada sistem ,bir fiziksel lokasyon Denetim Amaçları: SAP sisteminde (SAP Basis modülü) parametrelerin doğru girilip girilmediği ve ilgili kontrollerin varlığı Denetim Kapsamı: SAP sisteminde sadece genel müdürlük sunucu ve uygulaması kapsama alınacaktır, denetim zaman aralığı 1 yıl geriye dönük 1 yıldır. Ön Denetim Faaliyetleri: Risk Analizi yapılması, denetlenen birim ile ilgili bilgi toplanması, regulatif ve uyum ile ilgili gereksinimlerin belirlenmesi, denetim için gereken kaynakların belirlenmesi örneğin,
• Denetimi yapabilmek için gereken yetkinliklerin belirlenmesi • Denetim için gereken çalışma süresinin belirlenmesi • Denetlenecek lokasyonların ve faaliyetlerin belirlenmesi • Denetim ekibinin rol ve sorumluluklarının belirlenmesi • Denetim çalışma planının belirlenmesi • Kontrol testleri için gereken kaynakların belirlenmesi(akış diyagramları, dokumanlar, prosedürler gibi) • İletişim planının ve iletişim kurulacak kişilerin belirlenmesi
Prosedürlerin Belirlenmesi: Denetlenecek birime ait politika, prosedür ve diğer dokümanların temin edilmesi, test scriptlerinin hazırlanması, test sonuçları için değerlendirme kriterlerinin belirlenmesi.
Planlama Safhası
27.5.2016 www.tebit.com.tr 6
BT Denetçi Yetkinlikleri
• Risk ve tehditleri doğru belirleyebilmek için kurumun faaliyetlerini iyi anlayabilmesi
• BT faaliyetleri, teknolojileri ve bileşenleri ile ilgili yeterli seviyede bilgi sahibi
• Kurumsal risklerle BT riskleri arasındaki ilişkiyi kurabilecek seviyede bilgi sahibi
• Risk analizi süreci hakkında tecrübe sahibi
• BT kontrollerini test edebilecek seviyede test ve yöntem bilgisi
• Sistem log kayıtlarına erişebilme, kullanıcı erişim kayıtlarına erişebilme, bunların
içeriği ile ilgili sorgulama yapabilecek düzeyde teknik bilgi sahibi
• İşletim sistemleri, veri tabanları ve uygulama parametrelerini görüntüleyebilecek
seviyede teknik bilgi sahibi
• Süreçleri ve kontrolleri dokumante edebilecek seviyede akış diyagram araçlarını
kullanabilme
• Sorgulama ve gözlem yeteneği
27.5.2016 www.tebit.com.tr 7
BT Denetim Faaliyetlerine Nerden Başlamalıyız • Kurumsal Risk Analizi- BT Risk Analizi yapılması • Öncelikli BT denetim alanlarının belirlenmesi (Risk odaklı Denetim) • Gerekli kaynakların belirlenmesi • BT Denetim ekibinin ve yetkinlik ihtiyaçlarının belirlenmesi • BT denetim sürecinin belirlenmesi • Denetim sürecinde kullanılacak ve rapora girdi sağlayacak tüm çalışma kâğıtları test dokümanları, test prosedürlerinin belirlenmesi • Denetim raporlama formatının belirlenmesi • Çözüm önerilerine ilişkin eylem planı sürecinin belirlenmesi • Pilot denetim uygulanması ( İhtiyaca göre) • İlk yıl BT genel kontrolleri denetimleriyle başlamak • Daha karmaşık yetkinlik gerektiren denetimleri BT denetim ekibinin yetkinliğine göre daha sonraya planlamak
27.5.2016 www.tebit.com.tr 8
89% 87%
78%
86%
79%
72%
74%
76%
78%
80%
82%
84%
86%
88%
90%
BT GenelKontrolleri
Denetimleri
BT SüreçDenetimleri
UygulamaYazılımları
Denetimleri
BT AltyapıDenetimleri
BT YönetimDenetimleri
BT DENETİM SORUMLULUKLARI EN YÜKSEK 5
27.5.2016 www.tebit.com.tr 9
20%
27% 25% 25%
35%
0%
5%
10%
15%
20%
25%
30%
35%
40%
Sosyal MedyaDenetimleri
PCI/DSS UyumDenetimleri
İç KontrolDokumantasyon
Sürekli Denetim BT SuistimalDenetimleri
BT DENETİM SORUMLULUKLARI EN DÜŞÜK 5
27.5.2016 www.tebit.com.tr 10
24%
5%
40% 41%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Dışardan DenetçiKullanıyor
BT denetimini tamamendışarıya yaptırıyor
BT denetimini dışardanbir firma ile beraber
yapıyor
Dış kaynak kullanmıyor
BT DENETİMLERİ KAYNAK KULLANIMI
27.5.2016 www.tebit.com.tr 11
22%
41%
30%
7%
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
Önemli Seviyede Ortalama Minimum Hiç Katılmıyor
BT DENETİM BİRİMLERİNİN ÖNEMLİ TEKNOLOJİ PROJELERİNE KATILIM ORANI
27.5.2016 www.tebit.com.tr 12
30%
10% 8%
11%
27%
14%
0%
5%
10%
15%
20%
25%
30%
35%
BT DENETİM BİRİMLERİNİN PROJELERE KATILIM FAZLARI
27.5.2016 www.tebit.com.tr 13
25%
19%
26% 30% 31%
0%
5%
10%
15%
20%
25%
30%
35%
İç Denetimbiriminin BT
denetim yetkinliğiyetersiz
Değişik yetkinlikleribir araya getirmek
için
Farklı bakış açısısağlamak için
Kaynak yetersiz Denetçilere dışkaynaklı
denetçilerdenöğrenme fırsatısağlamak için
BT DENETİM DIŞ KAYNAK KULLANIM NEDENLERİ
27.5.2016 www.tebit.com.tr 14
24%
30%
0%
5%
10%
15%
20%
25%
30%
35%
%20 DEN FAZLA %15-20 ARASI
Toplam İç Denetim Raporları içinde BT Denetim Raporlarının Oranı
27.5.2016 www.tebit.com.tr 15
Teknik olmayan (özellikle Finansal) denetim alanlarında uygulanması gereken minimum BT kontrolleri
• BT giriş seviyesi kontrolleri
BT politika ve prosedürleri, BT yönetimi, BT personel yeterliliği, BT stratejisi
• Değişiklik Yönetimi kontrolleri
• Bilgi Güvenliği Kontrolleri
• Yedekleme ve veri kurtarma kontrolleri
• BT dış kaynak kullanımı ve BT tedarikçi kontrolleri
27.5.2016 www.tebit.com.tr 16
• BT Denetiminin kurum içinde bağımsız bir faaliyet olarak yürütülmesini sağlamak
• BT risklerinin ve siber güvenlik risklerinin stratejik seviyede anlaşılması ve düzenli izlenmesini sağlamak
• BT risklerinin teknik detaylardan arındırılmış bir şekilde üst yönetime düzenli olarak aktarılmasını ve anlaşılmasını sağlamak
• BT risklerini etkin bir şekilde belirlemek ve denetlemek için gerekli olan yetkinlikleri iç ve dış kaynaklardan temin etmek
• Yaklaşık toplam denetim raporları içinde %20 oranında BT denetim raporu üretmek
BT denetim faaliyetlerinin verimliliği için,
27.5.2016 www.tebit.com.tr 17
• Önemli BT ve teknoloji projelerinde özellikle planlama ve tasarım safhalarında BT yetkinliğine sahip iç denetçilerin katılımı
• İç denetim ve BT yetkinliğine sahip iç denetçilerin danışmanlık faaliyetlerini artırarak daha fazla değer üretmesi için üst yönetim ile iletişim
• BT denetim faaliyetlerini yürütürken ilgili standart ve çerçevelerden faydalanmaya dikkat edilmesi
BT Denetimlerinin verimliliği için,
27.5.2016 www.tebit.com.tr 18
•Sistemlerin,uygulamaların performansı,
•Konfigürasyonların doğruluğu
• Doğal felaketler
• Sistem kesintileri
• Performans sorunları
•Kurum dışından veya içinden bilgi kaynaklarına saldırılar,
•Gereğinden fazla yetkilendirme
•Kayıt tutmama
BT RISK
Güvenlik Erişilebilirlik
Uyum Performans •Politika,prosedürler •Regulatif düzenlemeler •İç kontroller •Olay kanıt kayıtlarının toplanması, otomasyonu
BT RİSKLERİ
27.5.2016 www.tebit.com.tr 19
BT Risk Değerlendirme için Genel BT süreçleri
BT Yönetişimi
BT Kaynak Planlama
Kullanıcı Erişim Yönetimi
BT Operasyon Yönetimi
BT Olay ve Problem Yönetimi
BT Değişiklik Yönetimi
BT İş sürekliliği Yönetimi
BT Yazılım Geliştirme ve Yazılım Tedariği Yönetimi
BT Hizmet seviyesi Yönetimi
BT Veri madenciliği ve Raporlama Yönetimi
BT Versiyon ve Yaygınlaştırma Yönetimi
BT Bilgi Güvenliği Yönetimi
BT kapasite Yönetimi
BT Talep Yönetimi
BT Varlık Yönetimi
BT konfigürasyon Yönetimi
BT Yedekleme Yönetimi
Zorluk(Karmaşıklık) Seviyesi
1
2
3
27.5.2016 www.tebit.com.tr 20
1. Ne olabilir? 2. Neden olabilir? 3. Neden bunu önemsiyoruz?
Sistemlerde ortak kullanım için tanımlanmış kullanıcıların olması sistemlere yetkisiz erişimlere sebep olabilir ve bu durumda, bilginin zarar görmesine ve erişimlerin izlenememesine neden olabilir.
Doğru Risk İfadesi Yazmak
Örnek bir BT risk ifadesi
27.5.2016 www.tebit.com.tr 21
Bilgi Güvenliği Risk Yönetimi
Görevlerin ayrılığı– BT operasyonları ile bilgi güvenliği operasyonlarının,
politika, prosedür ve iç kontrollerinin belirlenmesi fonksiyonlarının ayrılması
BT uzmanlık ve fonksiyonları ile güvenlik uzmanlık ve fonksiyonlarının ayrımı
Bilgi güvenliği fonksiyon ve ekibine yeterli düzeyde yetkilendirme
Bilgi varlıklarının tasnif , üretim, saklanma, dağıtım ve takibine yönelik süreçler
Bilgi güvenliği fonksiyonunun yeni servis ürün geliştirme, talep ve proje yönetimi süreçleri içerisine etkin bir şekilde yerleştirilmesi
Bilgi güvenliğinin sadece teknoloji tabanlı süreçler, sistem ve uygulamaları değil ,işe alım, yer değiştirme, işten ayrılma , kurum dışı bağlantıların(regülatif otoriteler, devlet, diğer kurumlarla olan ilişkiler), tedarik gibi süreçleri de kapsayacak şekilde bir bütün olarak değerlendirilmesi
27.5.2016 www.tebit.com.tr 22
• Antivirus sistemleri
• IDS
• Firewall
• Altyapı-network segmentasyonu
• Penetrasyon testleri
• Güçlü kimlik doğrulama teknolojileri(Biometrik doğrulama- Parmak izi vb.)
• IPS, DLP, zaafiyet tarama
• BT test, geliştirme ve operasyon sistemlerinin ayrıştırılması
• Veritabanlarındaki İşlemlerin İzlenmesi (Kritik veriler için)
• Uygulama güvenliği testleri
• Güvenlik Bilgi ve Olay Yönetimi (SIEM) sürecini kurmak
• Bilgi güvenliği eğitimleri
İnternet-sosyal medya- bulut bilişim ve siber saldırı kaynaklı riskleri önlemek için aşağıdaki uygulamalar dikkate alınmalıdır
27.5.2016 www.tebit.com.tr 23
KRI - Key Risk Indicators Anahtar Risk Göstergesi, risklerin kurumun daha önceden belirlenmiş risk iştahı seviyesini aşmaması için (risk gerçekleşmeden önce) izlenmesini sağlayacak ölçüm yöntemleridir.
Her bir risk için KRI tanımlamak mümkün değildir. KRI belirleyebilmek için, • Etkisi yüksek olacak riskleri dikkate almak • KRI tanımlanması, ölçme ve raporlaması için harcanacak kaynağı dikkate almak • Tanımlanacak KRI’ ın hassasiyet ve güvenilirlik seviyesini dikkate almak gerekmektedir. KRI belirlemenin, • Risk gerçekleşmeden önce haberdar olma • Risk ile ilgili geçmişe dönük analiz yapabilme • Risk iştahı ve risk toleransının belirlenmesine katkı sağlama • Risk yönetiminin daha iyi yapılamasına ve hedeflerin başarılmasına katkı sağlama gibi faydaları olacaktır.
27.5.2016 www.tebit.com.tr 24
Örnek KRI
• Zamanında ve bütçesine uygun tamamlanan proje sayısı • Beklenen faydadan daha fazlasını sağlamış BT yatırımlarının
yüzdesi • Şifre standartlarına uymayan kullanıcıların yüzdesi • Yetkisiz erişimlerin sayısı • İş ve süreçlere zarar veren güvenlik ihlallerinin sayısı • Eğitim planındaki eğitimleri tamamlamamış olan BT çalışan
yüzdesi • BT operasyon hatalarından dolayı oluşan hizmet kesintisi sayısı
27.5.2016 www.tebit.com.tr 25
Tümden gelim
Tüme varım
Mevzuat, süreçler
Risk envanteri, risk
senaryoları
Ris
k se
viye
si
Fayda/maliyet oranı
Risk Yanıtının önceliklendirilmesi
Risk Yanıtı seçme kriterleri
Risk Belirleme
Risk Analizi
Risk Yanıtı
Risk analizi ve risk yanıtı süreci
27.5.2016 www.tebit.com.tr 26
•Uygun risk yanıtının belirlenmesi
Risk Yanıtı
•Tasarlanmış kontroller
•Diğer kaynaklardan gelen kontroller
Kontrollerin belirlenmesi
•EK-A dan gerekli kontrolleri belirleme
EK-A kontrollerinin belirlenmesi
•EK-A dan belirlen kontrolleri hariç tutma ve dahil etme gerekçeleri
EK-A kontrollerinin belirlenmesi
•U/B nin oluşturulması
U/B
•Risk sahiplerinin onayının alınması
Risk İşleme Planı
ISO 27001 BGYS için Risk İşleme Süreci
27.5.2016 www.tebit.com.tr 27
• İnsan Kaynakları Güvenliği • Internet ve Intranet Kaynaklarının Kullanımı • İş Ortakları Hizmet Sağlama
• Kullanımı Tanıma Yetkilendirme
• Risk Yönetimi • Veri Şifreleme Uygulamaları • Veri Yedekleme
• Yazılım Değişikliği Yönetimi • Yazılım Edinme ve Çoğaltma
• Zararlı Yazılımlardan Korunma
• Ağ ve Sistemlerin Güvenli İşletimi • Bilgi Güvenliği Testleri Uygulama
• BGYS Yönetişim ve İşletim Modeli • Bilgi Güvenliği Sürekliliği • Bilgi İçeren Taşınabilir Cihazların Kullanımı • Bilgi İşleme
• Bilgi Varlıklarının Yönetimi • Donanım Değişikliklerinin Uygulanması • Fikri Mülkiyet Haklarının Korunması • Fiziksel Güvenlik
• Güvenlik İhlalleri Bildirimi ve Müdahalesi • İlgili Yasa ve Düzenlemelerine Uyum
Örnek ISO 27001 İç Denetim Alanları
27.5.2016 www.tebit.com.tr 28
69%
16% 8% 7%
0%
10%
20%
30%
40%
50%
60%
70%
80%
İç denetim genel riskanalizi kapsamında
yapılmakta
İç denetim içinde genelrisk analizi dışında ayrıca
yapılmakta
İç denetim dışında başkabir birim tarafından
yapılmakta
Yapılmıyor
BT Denetimi Risk Analizi
27.5.2016 www.tebit.com.tr 29
16%
2%
13% 10%
55%
4% 0% 0%
10%
20%
30%
40%
50%
60%
Sürekli Aylık Çeyrekte bir 6 ayda bir Yıllık 6-12 ay arası Hiç
BT Risk Analizi Sıklığı
27.5.2016 www.tebit.com.tr 30
Risk Yönetimi Standart ve Çerçeveleri • Control Objectives for Information and Related Technology (COBIT) • CCTA Risk Assessment and Management • Dutch A&K Analysis • EBIOS • ETSI • Factor Analysis of Information Risk (FAIR) • Fundamental Information Risk Management (FIRM) • Failure Modes and Effects Analysis (FMEA) • Facilitated Risk Assessment Process (FRAP) • Information Risk Assessment Methodologies (IRAM) • ISAMM • Information Security Forum (ISF) Methods • ISO TR 13335 (a Technical Report which is a precursor to ISO/IEC 27005); • ISO/IEC 27001 • ISO/IEC 31000 • IT Grundschutz • Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT) • MEHARI • MIGRA • NIST SP 800-30 • NIST SP 800-39 • NSA IAM / IEM / IA-CMM • OCTAVE • Open Source Security Testing Methodology Manual (OSSTMM) • Practical Threat Analysis (PTA) • Security Officers Management and Analysis Project (SOMAP) • Simplified Process for Risk Identification (SPRINT)
27.5.2016 www.tebit.com.tr 31
67%
34%
46%
32%
7%
20%
0%
10%
20%
30%
40%
50%
60%
70%
80%
COBIT COSO ISO ITIL NIST CSF BASEL III
BT RİSK ANALİZİNDE KULLANILAN STANDARTLAR
27.5.2016 www.tebit.com.tr 32
• Üst yönetim ile BT risk yönetiminin önemi ve düzenli yapılması gerekliliği hakkında bilgilendirme yapılması
• BT risk analizinin en az 3 ayda bir yapılmasını hedeflemek • BT risk analizi faaliyetleri ile risk yönetimi çalışmaları arasındaki bağlantıyı kurmak • BT risk analizi çalışmalarını kuruma uygun bir çerçeveye göre yapmak (COBIT,
COSO gibi.)
BT Risk Analizi verimliliği için önemli konular,
27.5.2016 www.tebit.com.tr 33
Information Systems Audit and Control Association (ISACA) ve IT Governance Institute (ITGI) tarafından 1996 yılında yayınlanmıştır.
Yöneticilere, denetçilere ve BT kullanıcılarına bilgi teknolojilerinden maksimum fayda alınması ve kurum içinde BT yönetişimi ve kontrolü geliştirmek için genel olarak kabul görmüş ölçümler, göstergeler, süreçler ve lider uygulamalar sunar.
Kurum içinde etkin bir iç kontrol sistemi ya da çatısı kurabilmek adına aşağıdaki ihtiyaçlara cevap verir:
• İş gereksinimleri ile BT arasında bağlantı kurulması • BT aktivitelerinin genel kabul görmüş süreç modelleri içinde organize
edilmesi • Kullanılacak önemli BT kaynaklarının belirlenmesi • Yönetim kontrol hedeflerinin tanımlanması
COBIT
27.5.2016 www.tebit.com.tr 34
5 ana alan, 37 süreç (COBIT 5)
27.5.2016 www.tebit.com.tr 35
TEŞEKKÜRLER
Kağan Temel CISA,ISO27001LA [email protected] 0 533 164 48 89 TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.