IT Risk Power Point

BT DENETİMİ EĞİTİMİ
BÖLÜM 2
Bilgi Teknolojileri Ortamında Riskler ve Olası Etkiler
Kağan Temel
CISA, ISO27001LA
27.5.2016 www.tebit.com.tr 1
BT Süreçleri
BT Risk Değerlendirme için Genel BT süreçleri

 BT Yönetişimi
 BT Kaynak Planlama
 BT Operasyon Yönetimi
 BT Olay ve Problem Yönetimi
 BT Bilgi Güvenliği Planlama
 BT Değişiklik Yönetimi
 BT İş sürekliliği Yönetimi
 BT Yazılım Geliştirme ve Yazılım Tedariği Yönetimi
 BT Hizmet seviyesi Yönetimi
 BT Veri madenciliği ve Raporlama Yönetimi
 BT Versiyon ve Yaygınlaştırma Yönetimi
 BT Bilgi Güvenliği Yönetimi
 BT kapasite Yönetimi
 BT Talep Yönetimi
 BT Varlık Yönetimi
 BT konfigurasyon Yönetimi
 BT Servis Geliştirme Yönetimi
 BT Yedekleme Yönetimi
Risk Yönetimi Organizasyonu
Bilgi Güvenliği Risk Yönetimi- nasıl ?
 Görevlerin ayrılığı– BT operasyonları ile bilgi güvenliği operasyonlarının, politika,

prosedür ve iç kontrollerinin belirlenmesi fonksiyonlarının ayrılması
 BT uzmanlık ve fonksiyonları ile güvenlik uzmanlık ve fonksiyonlarının ayrımı
 Bilgi güvenliği fonksiyon ve ekibine yeterli düzeyde yetkilendirme
 Dağıtık bir yapı yerine merkezi ve bir bütün olarak yönetilen bilgi güvenliği yapısı
 Bilgi varlıklarının tasnif , üretim, saklanma, dağıtım ve takibine yönelik süreçler
 Bilgi güvenliği fonksiyonunun yeni servis ürün geliştirme, talep ve proje yönetimi
süreçleri içerisine etkin bir şekilde yerleştirilmesi
 Bilgi güvenliğinin sadece teknoloji tabanlı süreçler, sistem ve uygulamaları değil ,işe
alım, yer değiştirme, işten ayrılma , şirket dışı bağlantıların(regülatif otoriteler,
devlet, diğer şirketlerle olan ilişkiler), tedarik gibi süreçleri de kapsayacak şekilde
bir bütün olarak değerlendirilmesi
Anahtar Risk Göstergesi
KRI - Key Risk Indicators
Anahtar Risk Göstergesi, risklerin kurumun daha önceden belirlenmiş risk iştahı
seviyesini aşmaması için (risk gerçekleşmeden önce) izlenmesini sağlayacak ölçüm yöntemleridir.
Her bir risk için KRI tanımlamak mümkün değildir. KRI belirleyebilmek için,
• Etkisi yüksek olacak riskleri dikkate almak
• KRI tanımlanması, ölçme ve raporlaması için harcanacak kaynağı dikkate almak
• Tanımlanacak KRI’ ın hassasiyet ve güvenilirlik seviyesini dikkate almak gerekmektedir.
KRI belirlemenin,
• Risk gerçekleşmeden önce haberdar olma
• Risk ile ilgili geçmişe dönük analiz yapabilme
• Risk iştahı ve risk toleransının belirlenmesine katkı sağlama
• Risk yönetiminin daha iyi yapılamasına ve hedeflerin başarılmasına katkı sağlama
gibi faydaları olacaktır.
Anahtar Risk Göstergesi
Örnek KRI
• Zamanında ve bütçesine uygun tamamlanan proje sayısı

• Beklenen faydadan daha fazlasını sağlamış BT yatırımlarının
yüzdesi
• Şifre standartlarına uymayan kullanıcıların yüzdesi
• Yetkisiz erişimlerin sayısı
• İş ve süreçlere zarar veren güvenlik ihlallerinin sayısı
• Eğitim planındaki eğitimleri tamamlamamış olan BT çalışan
yüzdesi
• BT operasyon hatalarından dolayı oluşan hizmet kesintisi sayısı
Doğru Risk İfadesi Yazmak
1. Ne olabilir?
2. Neden olabilir?
3. Neden bunu önemsiyoruz?
Örnek Risk ifadesi:
(Hedefler üzerinde etkisi olan bir olay) neden olabilir/neden
olur(herhangi bir aksaklık,kesinti vb) bunun sonucunda da (…
etkileri olur)
Müşteri verisinin hatalı olması ya da ulaşılamaması eksik/yanlış finansal

işlemlere neden olabilir ve bu durumda düzenleyici kurumların veya ..
yasa ile belirlenmiş finansal hata limitlerinin üzerine çıkabilir.
Risk Yanıt Dökumanı
Risk tanımı
Uygulama Parametre tanımlama ekranına yetkisiz erişim
Potansiyel etkiler Gözlemler

Kurumdan ayrılmış personelin kritik sistemlere erişim yetkisinin Parametrelerinin doğruluğuna ilişkin gerçekleştirilen kontrolün
bulunması ve mevcut kullanıcıların kullanmakta olduğu şifreler için hangi seviyede gerçekleştirileceğini belirleyen ve sorumlulukları
erişim güvenliğini destekleyecek bir şifre politikasının bulunmaması netleştiren bir düzenleme mevcut değildir.
sistemlere yetkisiz erişimlere, dolayısıyla sistemler üzerinde Sebep: Sürecin yeni yapılandırılmış olması ve henüz sorumlulukların
gerçekleştirilebilecek yetkisiz işlemler yoluyla kritik bilgilerin tam olarak netleşmemiş olması nedeniyle onay mekanizmasına
silinmesine veya değiştirlmesine sebep olabilir. Bu durum yanlış ilişkin düzenlemeler yapılandırılmamıştır.
bilgiler kullanılarak hatalı işlemler gerçekleştirilmesine, dolayısıyla
gelir kaybı, denetlenen birim memnuniyetsizliği ve regülatif
problemlere yol açabilir.
Risk yanıtı Risk değerlendirme

Şifre yapısı için Active Directory ile entegre olunacaktır. Risk seviyesi:YÜKSEK
Kullanıcı yönetimi için IDM ile entegre olunması planlanmıştır Risk Puanı:0-9
.İnsan Kaynakları Birimi ile koordineli olarak çalışılacak ve işten
ayrılan ya da görev tanımı değiştirilmiş olan personelin listesi temin Şirket genelinde merkezi bir kullanıcı yönetimi sürecine
edilerek söz konusu listede yer alan değişikliklere uygun olarak geçilmesinin gecikmesi yetkisiz erişim ve bilgi/veri çalınması
Parametre Tanımlama arayüzüne erişim yetkileri ve işlem yetkileri risklerini artıracaktır.
haftalık olarak gözden geçirilecektir.
Şifre zayıflıklarını önleyebilecek şifre parametrelerini belirleyen bir
şifre politikasına uygun olarak sistemsel uyarlamalar
gerçekleştirilecektir.
Risk Analizi Metodolojisi
Süreçleri belirle
Risk yanıtları ve Süreç risklerini

aksiyon takibi belirle
Risklerin doğal
Risk haritası ve
risk sevilerini
önceliklendirme
belirle
Azaltıcı
Artık riskleri
faktörleri
belirle
değerlendir
Risk Analiz Metodları
 Nicel Risk Analiz Metodu

Riskin olasılık ve etkisinin istatistik metodlar kullanılarak hesaplanması.
Nitel Analize göre çok daha objektif bir yöntemdir. Güvenilebilir doğrulukta ve yeterlilikte
Verinin mevcut olduğu ve kıyaslama açısından geçmişe ait verilerin de mevcut olduğu
durumlarda uygulanmalıdır. Her risk için uygulanamayabilir. Örn. Sabotaj-saldırı riski,
itibar kaybı riski vb.
 Nitel Risk Analiz Metodu
Riskin olasılık ve etkisinin tahmini olarak belirlenmesi. Risk verisine sınırlı veya
düşük seviyede ulaşılabildiği durumlarda uygulanmalıdır.
Dezavantajları,
• Kişisel bakış açısına bağlı(sübjektif),
• Yoruma açık olması,
• Risk değerlendirme sürecinde standart bir yaklaşımın uygulanmasını
zorlaştırmasıdır.
 Nicel ve Nitel metodun beraber kullanılması
Prensip olarak nicel(istatistiki) metod kullanılmakla birlikte veriye erişilemediği durumlarda
Nitel yöntemlerinde kullanılmasıdır.
Risk Yönetimi-Kaynaklar
Risk Yönetimi Standart ve Çerçeveleri

• Control Objectives for Information and Related Technology (COBIT)
• CCTA Risk Assessment and Management
• Dutch A&K Analysis
• EBIOS
• ETSI
• Factor Analysis of Information Risk (FAIR)
• Fundamental Information Risk Management (FIRM)
• Failure Modes and Effects Analysis (FMEA)
• Facilitated Risk Assessment Process (FRAP)
• Information Risk Assessment Methodologies (IRAM)
• ISAMM
• Information Security Forum (ISF) Methods
• ISO TR 13335 (a Technical Report which is a precursor to ISO/IEC 27005);
• ISO/IEC 27001
• ISO/IEC 31000
• IT Grundschutz
• Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacion (MAGERIT)
• MEHARI
• MIGRA
• NIST SP 800-30
• NIST SP 800-39
• NSA IAM / IEM / IA-CMM
• OCTAVE
• Open Source Security Testing Methodology Manual (OSSTMM)
• Practical Threat Analysis (PTA)
• Security Officers Management and Analysis Project (SOMAP)
• Simplified Process for Risk Identification (SPRINT)
Risk analizi ve risk yanıtı süreci
Mevzuat, Tüme
süreçler varım
Risk envanteri,
risk
Tümden
gelim
Risk Analizi
senaryoları
Risk Yanıtı seçme

kriterleri
Risk Belirleme
Risk Yanıtının önceliklendirilmesi
Risk seviyesi
Risk Yanıtı Fayda/maliyet oranı
Risk Etki Matrisi Şablonu
Etki Finansal Hizmet Sürekliliği İtibar Hukuk/Regulasyon

Sadece kurum içi
bilgilendirme ile
1 saaten az hizmet Sadece kurum içinde düzeltilebilecek küçük
1 100.000TL den az kesintisi etki uygunsuzluklar
2 100.000-300.000 1-6 saat
6-12 saat ve birden fazla

3 300.000-1.000.000 bölgede kesinti
4 1.000.000-10.000.000
Kamuoyunda Ciddi Hukuki yaptırımlara
24 saatten fazla ve ülke düzeltilmesi çok zor neden olabilecek
5 10.000.000 TL den fazla genelinde kesinti olumsuz imaj uygunsuzluk
Risk Olasılık Matrisi Şablonu
Puan Olasılık
1 Yılda 1 kez veya daha az
2 Ayda ortalama 1-2
3 Haftada 1-2
4 Günde 1-2
5 Günde 2 den fazla
Risk Puanlama Şablonu
Risk Puanı Risk Seviyesi Risk İşleme

0-5 Çok düşük Risk Kabul
5-10 Düşük Risk Kabul
10-15 Orta Riski azalt
15-20 Yüksek Riski azalt
20-25 Çok yüksek Riskten kaçınma/Risk transfer
ISO27001 BGYS(Bilgi Güvenliği
Yönetim Sistemi)
ISO 27001 BGYS için Risk İşleme Süreci
Kontrollerin EK-A kontrollerinin

Risk İşleme Planı
belirlenmesi belirlenmesi
•Uygun risk •U/B nin
yanıtının •Tasarlanmış •EK-A dan gerekli •EK-A dan oluşturulması
belirlenmesi kontroller belirlen •Risk sahiplerinin
kontrolleri
•Diğer kontrolleri hariç onayının
belirleme
kaynaklardan tutma ve dahil alınması
gelen kontroller etme gerekçeleri
EK-A kontrollerinin
Rsik Yanıtı U/B
belirlenmesi
Yönetim Sistemi)
Denetim öncesi yapılacaklar
 Kontrol listelerinin oluşturulması

• Denetlenecek süreçler
• Sürece ait U/B de belirlenmiş kontroller
 İç denetim planının oluşturulması
 Denetim yöntemi
• Dokuman inceleme,
• Mülakat,
• Yerinde inceleme
 Düzeltici faaliyet ve düzeltme ve düzeltici aksiyonların gerçekleştirilmesi
sürecini belirlenmesi
 Riskler belirlenip plan ve sürece uygun olarak gruplanacak, puanlanacak ve
risk işleme sürecine uygun olarak aksiyon planları belirlenecektir.
 Risk işleme süreci ile birlikte kapsam ve politikaya uygun olarak bilgi
güvenliği amaç ve hedefleri belirlenecektir.
Yönetim Sistemi)
Bilgi Güvenliği politikasının denetimi

• Dokümante edilmiş bilgi olarak erişilebilir olması,
• Organizasyon içinde iletiminin sağlanması
• İlgili taraflar için erişilebilir olmasını
• Organizasyonun amacına uygun,
• Bilgi güvenlik hedeflerini ya da bilgi güvenlik hedeflerinin oluşturulması
için çerçeveyi içeren (Madde 6.2)
• Bilgi güvenliği yönetim sistemi ile ilgili uygulanabilir gereksinimlerin
karşılanmasına ilişkin taahhütleri içeren,
• Bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi için taahhüt içeren
Yönetim Sistemi)
Risk analizi ve risk işleme süreci planının

denetlenmesi
 İlgili dokümantasyonun varlığı
• Risk değerlendirme süreci,
• Risk işleme plan ve süreci,
• Risk envanteri ve aksiyon planları,
• Bilgi güvenliği hedefleri
 Dokumantasyona uygun çıktıların, denetim kanıtlarının incelenmesi
Yönetim Sistemi)
Eğitim faaliyetlerinin denetimi
 Farkındalık eğitiminin yapılması
 Eğitim kanıtları( katılım kayıtları, eğitim dokumanı
vb.)
Bilgi varlık envanteri 27001:2013 versiyonu gereksinimleri ve varlık sınıfları,
gizlilik, bütünlük, erişilebilirlik, tehdit, açıklık kriterlerine göre varlığı ve
içeriği denetlenmelidir.
Performans ve Sürekli iyileştirme süreci denetimi

 Yönetim gözden geçirme toplantısı kayıtları,
 Düzeltici faaliyet ve düzeltme ve düzeltici aksiyonların gerçekleştirilmesi
sürecine ilişkin kayıtlar ve aksiyonlarının denetimi
 Denetim kanıtları
• YGG toplantı notu,
• DOF süreci ve DOF kayıt ve aksiyonları
Yönetim Sistemi)
Örnek ISO 27001 iç denetim alanları
• İnsan Kaynakları Güvenliği
• Internet ve Intranet Kaynaklarının Kullanımı
• İş Ortakları Hizmet Sağlama
• Kullanımı Tanıma Yetkilendirme
• Risk Yönetimi
• Veri Şifreleme Uygulamaları
• Veri Yedekleme
• Yazılım Değişikliği Yönetimi
• Yazılım Edinme ve Çoğaltma
• Zararlı Yazılımlardan Korunma
• Ağ ve Sistemlerin Güvenli İşletimi
• Bilgi Güvenliği Testleri Uygulama
• BGYS Yönetişim ve İşletim Modeli
• Bilgi Güvenliği Sürekliliği
• Bilgi İçeren Taşınabilir Cihazların Kullanımı
• Bilgi İşleme
• Bilgi Varlıklarının Yönetimi
• Donanım Değişikliklerinin Uygulanması
• Fikri Mülkiyet Haklarının Korunması
• Fiziksel Güvenlik
• Güvenlik İhlalleri Bildirimi ve Müdahalesi
• İlgili Yasa ve Düzenlemelerine Uyum
BT DENETİMİ
BT Risk kaynakları
• Yeterli düzeyde kontrol edilmeyen BT projeleri ve BT harcamaları
• İş ve BT stratejileri arasındaki eşgüdüm sorunları
• Yetersiz BT işlem kapasitesi, performans sorunları
• Veri ve programlara yetkisiz erişim
• Donanım ve yazılım hataları
• Programcı, operatör, vb. teknik personel hataları
• Son kullanıcı hataları
• Doğal felaketler, yangın, su basması, enerji problemleri, vb.
• Sabotaj, terör hareketleri, vb.
• BT iç kontrol ve iç denetim faaliyetlerinin yetersizliği
• Yasalara, standartlara ya da kurumun iç politikalarına uyumsuzluk
Örnek Riskler
BT RİSKLERİ
Veritabanına
Veritabanı yetkisiz erişimler
Bilgi İşlem Daire
Yönetimi ve ve yetersiz
Başkanlığı
Güvenliği veritabanı
performansı
Organizasyonel Birim Süreç Risk
Örnek Riskler
BT RİSKLERİ
Veritabanlarında aktif
durumda olan firma
kullanıcılarının
Bilgi İşlem Daire Veritabanı Yönetimi ve
bulunması. Firma
Başkanlığı Güvenliği
kullanıcıları gizli bilgileri
görebilir, silip, değişiklik
yapabilirler.
Örnek Riskler
BT RİSKLERİ
Veritabanlarında birden
fazla kişinin kullanabildiği
ortak kullanıcılarının
Bilgi İşlem Daire Veritabanı Yönetimi ve
bulunması.Usulsüz
Başkanlığı Güvenliği
işlemlerin hangi kullanıcı
tarafından yapıldığının
tespit edilememesi
Örnek Riskler
BT RİSKLERİ
kullanıcılara gereğinden
fazla rol ve yetkiler
Bilgi İşlem Daire Veritabanı Yönetimi ve verilmesi. Yetkisi dışında
Başkanlığı Güvenliği veri silme, değiştirme,
veritabanından kritik
bilgilerin çekilmesi
Örnek Riskler
BT RİSKLERİ
Veri tabanı kullanıcı

işlemlerinin
Bilgi İşlem Daire Veritabanı Yönetimi ve loglanmaması. İşlemlerin
Başkanlığı Güvenliği kim tarafından ne zaman
yapıldığının tespit
edilememesi.
Örnek Riskler
BT RİSKLERİ
BT Test, Sürüm Üretim

Bilgi İşlem
ve ortamında
Daire
Yaygınlaştırma yapılan yetkisiz
Başkanlığı
Yönetimi değişiklikler
Örnek Riskler
BT RİSKLERİ
BT Test, Sürüm
Bilgi İşlem Uygulama
ve
Daire öncesi yetersiz
Yaygınlaştırma
Başkanlığı test
Yönetimi
Örnek Riskler
BT RİSKLERİ
Standart bir
BT Değişiklik &
Bilgi İşlem Daire değişiklik yönetimi
Konfigürasyon
Başkanlığı prosedürünün
Yönetimi
olmaması
Örnek Riskler
BT RİSKLERİ
BT Değişiklik &
Bilgi İşlem Daire Değişikliklerin yanlış
Konfigürasyon
Başkanlığı önceliklendirilmesi
Yönetimi
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Değişiklik & Yetkisiz

Daire Konfigürasyon değişikliklerin
Başkanlığı Yönetimi yapılması
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Değişiklik & Yetersiz etki

Daire Konfigürasyon analizi
Başkanlığı Yönetimi yapılması
Örnek Riskler
BT RİSKLERİ
Değişiklik sonrası
BT Değişiklik &
Bilgi İşlem Daire ilgili sistem
Konfigürasyon
Başkanlığı dokumanlarının
Yönetimi
guncellenmemesi
Örnek Riskler
BT RİSKLERİ
Veri kurtarma
Bilgi İşlem
BT Servis işleminin
Daire
Sürekliliği yetersiz
Başkanlığı
yapılması
Örnek Riskler
BT RİSKLERİ
Kritik
Bilgi İşlem Daire BT Servis
kaynakların
Başkanlığı Sürekliliği
kullanılamaması
Örnek Riskler
BT RİSKLERİ
Felaketten
kurtarma
merkezindeki
kritik verilerin
arşivlenmemesi
Örnek Riskler
BT RİSKLERİ
Felaketten
kurtarma
merkezindeki
kritik verilerin
arşivlenmemesi
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem İş kesintisini

BT Servis
Daire gidermede
Sürekliliği
Başkanlığı yetersizlik
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Bilgi

Yetkisiz
Daire Güvenliği
erişim
Başkanlığı Yönetimi
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Bilgi Log kayıtlarının

Daire Güvenliği uygun
Başkanlığı Yönetimi yönetilmemesi
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Bilgi Kimlik

Daire Güvenliği yönetiminin
Başkanlığı Yönetimi olmaması
Örnek Riskler
BT RİSKLERİ
Ağ
Bilgi İşlem BT Bilgi
kaynaklarına
Daire Güvenliği
yetkisiz erişim
sağlanması
Örnek Riskler
BT RİSKLERİ
Yetersiz ağ
performansı, ağın
Bilgi İşlem Daire BT Bilgi Güvenliği
erişilebilirliği ve ağ
kaynaklarının
izlenmemesi
Örnek Riskler
BT RİSKLERİ
Problemlerin
Bilgi İşlem
BT Problem zamanında
Daire
Yönetimi tespit ve eskale
Başkanlığı
edilememesi
Örnek Riskler
BT RİSKLERİ
Olay sonrası
problemler için
Bilgi İşlem Daire BT Problem
zamanında
aksiyon
alınamaması
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Yetersiz

Daire Problem problem
Başkanlığı Yönetimi çözümü
Örnek Riskler
BT RİSKLERİ
Süreç
Bilgi İşlem BT Süreçleri
performans
Daire Kalite
ölçümünün
yapılamaması
Örnek Riskler
BT RİSKLERİ
Performans
Bilgi İşlem BT Süreçleri
beklentilerinin
Daire Kalite
sağlıklı
iletilmemesi
Örnek Riskler
BT RİSKLERİ
Temel
Bilgi İşlem
BT Süreçleri performans
Daire
Kalite Yönetimi göstergelerinin
Başkanlığı
eksikliği
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Kayıt, Olay Kayıt saklama

Daire ve Alarm politikasının
Başkanlığı Yönetimi olmaması
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Kayıt, Olay

Kayıtların
Daire ve Alarm
üretilememesi
Örnek Riskler
BT RİSKLERİ
Risk önem
seviyelerine göre
Bilgi İşlem Daire BT Kayıt, Olay ve alarm türleri ve
Başkanlığı Alarm Yönetimi seviyelerinin uygun
bir şekilde
sınıflandırılmaması
Örnek Riskler
BT RİSKLERİ
BT olaylarının
Bilgi İşlem Daire önemlerine
BT Yardım Masası
Başkanlığı uygun kategorize
edilmemesi
Örnek Riskler
BT RİSKLERİ
Zamanında problem
çözümünün
Bilgi İşlem Daire sağlanması için
BT Yardım Masası
Başkanlığı gerekli performans
ölçüm uygulamasının
eksikliği
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem Ölçme

Servis Seviyesi
Daire yöntemlerinin
Yönetimi
Başkanlığı yetersiz olması
Örnek Riskler
BT RİSKLERİ
Onaylı servis seviyesi

Bilgi İşlem Daire Servis Seviyesi sözleşmelerine
Başkanlığı Yönetimi uyumun yeterince
kontrol edilememesi
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem BT Yetersiz

Daire Kapasite kapasite
Başkanlığı Yönetimi planlaması
Örnek Riskler
BT RİSKLERİ
Kapasite
Bilgi İşlem Daire darboğazlarının
BT Kapasite Yönetimi
Başkanlığı öngörülememesinden
dolayı hizmet kesintisi
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem İş planlarına

BT Kapasite
Daire göre yatırım
Yönetimi
Başkanlığı yapılmaması
Örnek Riskler
BT RİSKLERİ
İş gereksinimlerine
Bilgi İşlem Daire BT Uygulamaları uygun bir tasarım
Başkanlığı Geliştirme dokümanın
hazırlanmaması
Örnek Riskler
BT RİSKLERİ
Tasarım
Bilgi İşlem Daire BT Uygulamaları dokümanına
Başkanlığı Geliştirme uygun geliştirme
yapılamaması
Örnek Riskler
BT RİSKLERİ
Uygulama
Bilgi İşlem Daire BT Uygulamaları geliştirmelerinin
Başkanlığı Geliştirme zamanında
yapılamaması
Örnek Riskler
BT RİSKLERİ
Bilgi İşlem Veri Ambarı & Veri kalitesi ve

Daire İş Zekası veri bütünlüğü
Başkanlığı Yönetimi eksikliği
Örnek Riskler
BT RİSKLERİ
Veri modeli ve
Bilgi İşlem Daire Veri Ambarı & İş
veri mimarisinin
Başkanlığı Zekası Yönetimi
doğru olmaması
Örnek Riskler
BT RİSKLERİ
Raporların
Bilgi İşlem Daire Veri Ambarı & İş zamanında ve
Başkanlığı Zekası Yönetimi doğru bir şekilde
üretilememesi
Örnek Riskler
BT RİSKLERİ
İşletim sistem yazılımı yamalarının

uygulanması (veya
uygulanmaması) konusunda
uygun seviyede onay
Bilgi İşlem Daire Başkanlığı Operasyon mekanizmasının olmaması
Yetkisiz erişim
Bilgi kaybı
Hizmet kesintisi
Örnek Riskler
BT RİSKLERİ
Ortak kullanım için

tanımlanmış kullanıcıların
olması
Bilgi İşlem Daire Başkanlığı Operasyon Yetkisiz erişim
Bilgi kaybı
Bilgiye erişim işlemlerinin
izlenememesi
Örnek Riskler
BT RİSKLERİ
Şifre politikasının yetersiz

olması, kullanıcıların
şifrelerinin yayınlanmış şifre
politikasına uygun olmaması
Bilgi İşlem Daire Başkanlığı Operasyon Yetkisiz erişim
Bilgi kaybı
Bilgiye erişim işlemlerinin
izlenememesi
Örnek Riskler
BT RİSKLERİ
Yeni şifrelerin
kullanıcılara telefonla
Bilgi İşlem Daire bildirilmesi, şifrelerin
Operasyon
Başkanlığı ilgisiz kişilere ulaşması
ve sistemlere yetkisiz
erişim
Örnek Riskler
BT RİSKLERİ
Lisanssız ve
Bilgi İşlem
Konfigürasyon uygun olmayan
Daire
Yönetimi yazılım
Başkanlığı
kullanımı
Örnek Riskler
BT RİSKLERİ
IP adres
Bilgi İşlem
planlaması ve
Daire Ağ Yönetimi
IP dağıtımının
Başkanlığı
yapılmaması
Örnek Riskler
BT RİSKLERİ
IP adres kulanıcı
eşleştirmesinin
yapılmaması-yasal takip
Bilgi İşlem Daire Başkanlığı Ağ Yönetimi veya inceleme durumunda
hangi IP den işlemin kim
tarafından yapıldığının
tespit edilememesi
Örnek Riskler
BT RİSKLERİ
Kablosuz ağ erişim
noktalarında düşük
sevide güvenlik
Bilgi İşlem Daire
Ağ Yönetimi uygulanması-kablosuz ağ
Başkanlığı
üzerinden yerel alan ağ
kaynalarına yetkisiz
erişimlerin yapılabilmesi
Örnek Riskler
BT RİSKLERİ
Ağ altyapısındaki
cihazların yedeksiz
Bilgi İşlem Daire olarak çalışması-
Ağ Yönetimi
Başkanlığı problem durumunda
sistem kesintisi
süresini artıracaktır.
Örnek Riskler
BT RİSKLERİ
Sistem Yöneticisi
rolunun çok fazla
Bilgi İşlem Daire
Kullanıcı Yönetimi yada gereğinden
Başkanlığı
fazla kişiye
verilmiş olması
Örnek Riskler
BT RİSKLERİ
Kullanıcılara
Bilgi İşlem
Kullanıcı gereğinden
Daire
Yönetimi fazla yetki
Başkanlığı
tanımlanması
Örnek Riskler
BT RİSKLERİ
Sunucularda
yüksek yetkili
Bilgi İşlem Daire Sunucu işletimi ve
kullanıcılarla (root)
Başkanlığı güvenliği
işlemlerin
yapılması
Örnek Riskler
BT RİSKLERİ
Sunucularda
tanımlı
kullanıcıların onay
sürecinden
geçmemiş olması
Örnek Riskler
BT RİSKLERİ
Sunucularda
Bilgi İşlem Sunucu
onaysız
Daire işletimi ve
scriptlerin
çalışması
Örnek Riskler
BT RİSKLERİ
Yüksek yetkili
kullanıcı işlemlerinin
ve kritik komutların
log kayıtlarının
tutulmaması
Örnek Riskler
BT RİSKLERİ
Sunucular için
Bilgi İşlem Daire Sunucu işletimi standart bir şifre
Başkanlığı ve güvenliği politikasının
bulunmaması
Örnek Riskler
BT RİSKLERİ
Sunucularda
uzaktan bağlantı
sağlayacak
servislerin açık
olması
Örnek Riskler
BT RİSKLERİ
Sunucu log
kayıtlarının
Daire işletimi ve
değiştirilebilir
olması
Örnek Riskler
BT RİSKLERİ
Sunucu işletim
sistemlerinde
Daire işletimi ve
onaysız yama
uygulanması
Örnek Riskler
BT RİSKLERİ
Sunucuların hizmet
seviyelerinin ve
peformans
göstergelerinin
belirlenmemiş olması
Örnek Riskler
BT RİSKLERİ
Sunucuların
yedeklenmemesi
veya yedeklerin
düzenli olarak test
edilmemesi
Örnek Riskler
BT RİSKLERİ
Veritabanlarında
tanımlı kurum dışı(
Bilgi İşlem Daire Veritabanı işletimi ve tedarikçi)
Başkanlığı güvenliği kullanıcılarının
işlemlerinin takip
edilmemesi
TEŞEKKÜRLER
Kağan Temel
CISA,ISO27001LA
Kaan.temel@tebit.com.tr
0 533 164 48 89
TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.

IT Risk Power Point

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

IT Risk Power Point

Uploaded by

Copyright:

Available Formats

BT DENETİMİ EĞİTİMİ

BT Risk Değerlendirme için Genel BT süreçleri

Bilgi Güvenliği Risk Yönetimi- nasıl ?

 Görevlerin ayrılığı– BT operasyonları ile bilgi güvenliği operasyonlarının, politika,

KRI - Key Risk Indicators

• Zamanında ve bütçesine uygun tamamlanan proje sayısı

Müşteri verisinin hatalı olması ya da ulaşılamaması eksik/yanlış finansal

Potansiyel etkiler Gözlemler

Risk yanıtı Risk değerlendirme

Risk yanıtları ve Süreç risklerini

 Nicel Risk Analiz Metodu

Risk Yönetimi Standart ve Çerçeveleri

Risk Yanıtı seçme

Risk Yanıtının önceliklendirilmesi

Etki Finansal Hizmet Sürekliliği İtibar Hukuk/Regulasyon

2 100.000-300.000 1-6 saat

6-12 saat ve birden fazla

2 Ayda ortalama 1-2

5 Günde 2 den fazla

Risk Puanı Risk Seviyesi Risk İşleme

5-10 Düşük Risk Kabul

10-15 Orta Riski azalt

15-20 Yüksek Riski azalt

20-25 Çok yüksek Riskten kaçınma/Risk transfer

ISO 27001 BGYS için Risk İşleme Süreci

Kontrollerin EK-A kontrollerinin

 Kontrol listelerinin oluşturulması

Bilgi Güvenliği politikasının denetimi

Risk analizi ve risk işleme süreci planının

 Dokumantasyona uygun çıktıların, denetim kanıtlarının incelenmesi

Performans ve Sürekli iyileştirme süreci denetimi

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Veri tabanı kullanıcı

Organizasyonel Birim Süreç Risk

BT Test, Sürüm Üretim

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Bilgi İşlem BT Değişiklik & Yetkisiz

Organizasyonel Birim Süreç Risk

Bilgi İşlem BT Değişiklik & Yetersiz etki

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Bilgi İşlem İş kesintisini

Bilgi İşlem BT Bilgi

Bilgi İşlem BT Bilgi Log kayıtlarının

Organizasyonel Birim Süreç Risk

Bilgi İşlem BT Bilgi Kimlik

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk

Bilgi İşlem BT Yetersiz

Organizasyonel Birim Süreç Risk

Organizasyonel Birim Süreç Risk