F

al irm
tın al
a
ku a a rın
ru lan b
m , ilg
sa IS i
l b O gü
ir sta ve
yö nd nli
ne ar ği
tim tla ni
g
si rına üve
st
em uy nce
id gu
ir n

istiyor musunuz?
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

Bilgi güvenliği risklerinizi

yönetmek ve kontrol altında tutmak
 “
“
BTRWatch Nedir? BTRWatch, bilgi güvenliği yönetimine verdiğiniz önemin
somutlaşmasını ve görünür hale gelmesini sağlar.

Bilgi güvenliği risklerinizi yönetmek ve kontrol altında tutmak istiyorsunuz.

Muhtemelen ofis dokümanları üzerinde risk analizleri yaptınız, bilgi
güvenliği planlarınızı oluşturdunuz ve takip ediyorsunuz.

Ama...
Ofis dokümanlarındaki verilerin güncellikleri ve versiyonlarını takip etmekten,
Farklı kişilerin doldurduğu dokümanları konsolide etmekten,
Farklı dokümanlarda bulunan verileri manuel olarak ilişkilendirmekten (ör: risk
senaryoları ile varlık listelerini, iç denetim bulguları ile düzeltici faaliyetleri, v.b.),
Yazılı olsa bile, risk analizi, iç denetim ve düzeltici faaliyet süreçlerinizi tekrar
tekrar hatırlamaya çalışmaktan yorulduysanız,

Ya da yeni başlıyorsunuz, ISO27001 standardını

incelediniz, ama;
Standardın gereklerini yerine getirecek süreçleri oluşturmakta ve somutlaştırmakta yardıma
ihtiyaç duyuyorsanız,
Danışmanlık için ayırabileceğiniz bütçe sınırlıysa,
Alacağınız danışmanlık hizmetinin kalitesi ve faydasından kuşkulu iseniz,
Personelinize eğitim aldıracaksınız, ama bilgi güvenliği yönetimi ile ilgili bilginin
kurum geneline aktarılamamasından veya kaybedilmesinden endişe duyuyorsanız,

Size somut ve etkili bir önerimiz var:

BTRWatch Bilgi Güvenliği Yönetim Sistemi
Kanıtlanmış BGYS kurulum ve işletim metodu;
BTRWatch, BTRisk’in bilgi güvenliği ihtiyacı yüksek kurumlarda gerçekleştirdiği danışmanlık
çalışmalarının neticesinde oluşturduğu Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum ve işletim
metodunun somutlaşmış halidir. BTRWatch ile ISO27001’e tam uyumlu ve ihtiyaçlarınızla örtüşen bir
bilgi güvenliği yönetim sistemini en verimli biçimde kurabilirsiniz.
BTRWatch, yönetim sisteminizin kurulumunu kolaylaştırır. Barındırdığı süreçler ve kullanım kolaylıkları
sayesinde yönetim sisteminin işletimini de etkinleştirir.

Hazır soru setleri;

ISO27002 dokümanında geçen tüm kontroller, üst seviye ve detaylı olmak üzere, evet veya hayır yanıtları ile
cevaplanabilecek düzeye indirgenmiştir. Bu sayede bilgi güvenliği uzmanlığı üst seviyede olmayan risk analistleri
ve iç denetçiler dahi bilgi güvenliği zafiyetlerini olabildiğince rahat değerlendirebilirler.

ISO27001 standardına uyumu güvence altına almak ve kurulan sistemin ISO31000 Risk Yönetim Standardı’na
uyumunu değerlendirmek için, iç denetimde kullanılmak üzere, BGYS soruları hazır olarak sunulmaktadır. BGYS
soruları en detaylı uyum gereksinimlerine yönelik olup, sorulara verilen yanıtlarla her bir uygunsuzluk net ve
anlaşılır bir biçimde ortaya konulmaktadır.

Hazır varlık kategorileri;

Risk değerlendirmesi aşamasında bilgi varlığı nedir sorusu hayal gücünüzü zorlayabilir. Bilgi varlığı olarak
değerlendirilebilecek çok sayıda varlık kategorisi BTRWatch’un hazır veri setlerinin parçası olarak gelir. Ayrıca her
bir olası bilgi güvenliği zafiyeti ile ilgili varlık kategorileri sizin için ilişkilendirilmiştir.

Hazır bilgi güvenliği tehditleri;

Bilgi güvenliği riski için de uygulanabilecek klasik risk formülündeki olasılık bileşenini destekleyen
faktörlerden birisi de tehdit faktörüdür. Tehdit bazı senaryolar için bir aktör diğerleri için olumsuz
durumlardan oluşabilir. Risk analizi konusunda çok sayıda deneyimi olmayan bir analist için risk senaryosuna
uygun tehditleri tahmin etmek zaman kaybettirici olabilir. Bilgi güvenliğine yönelik olarak
değerlendirilebilecek çok sayıda tehdit BTRWatch’un hazır veri setlerinin parçası olarak gelir. Ayrıca her bir
olası bilgi güvenliği zafiyetini hedef alabilecek tehditler sizin için ilişkilendirilmiştir.
Entegre bilgi güvenliği süreçleri;
BTRWatch’un bünyesinde bulunan 4 kritik bilgi güvenliği süreci; risk analizi, iç denetim, olay ve zayıflık yönetimi ile
düzeltici faaliyet yönetimi, birbirleri ile entegre çalışır ve birbirlerini destekler.

Risk analizi ve olay yönetimi modülleri entegrasyonu sayesinde, risk analizi sırasında ilgili varlığın daha önce
maruz kaldığı olay kayıtları görüntülenebilir ve tehdit profili hakkında daha somut bilgilere ulaşılabilir.

İç denetim ve düzeltici faaliyet modülleri entegrasyonu sayesinde, bir önceki iç denetim tarihinden sonra
kapatılmış olan düzeltici faaliyetler etkinlikleri değerlendirilmek üzere uygulama üzerinde denetime dahil edilebilir.

İç denetim planlaması risk analiz sonuçları dikkate alınarak gerçekleştirilebilir.

Düzeltici faaliyet yönetim süreci diğer üç kritik BGYS sürecine entegre olduğu için gereksiz tekrarlar önlenir.
Örneğin risk analizinde belirlenmiş olan bir düzeltici faaliyet bir olay kaydı ile de ilişkilendirilebilir. Benzer şekilde
aynı düzeltici faaliyet bir iç denetim bulgusuna da bağlanabilir. Her bir düzeltici faaliyet kaydı üzerinde düzeltici
faaliyetin kaynakları izlenebilir.

Kurumsal uygulama;
BTRWatch üzerindeki fonksiyonları kullanabilecek çok sayıda kullanıcı rolü oluşturulabilir. BTRisk’in geliştirdiği
BGYS metodu doğrultusunda öngördüğü roller, uygulama üzerinde tanımlı olarak gelir. Rol altyapısı sayesinde
bilgi güvenliği ve iç denetim alanlarında uzman ekipler yönetim rollerini, risk analizi ve iç denetim süreçlerinin
delege edilen kısımlarının atanacağı personel ise analist ve denetçi rollerini üstlenebilir. Böylece aynı anda ve
aynı yönetim sistemi bünyesinde çok sayıda kullanıcı, görevleri paylaşarak farklı coğrafi alan veya kapsamlarda
risk analizi ve iç denetim çalışmalarını eşzamanlı olarak sürdürebilirler.

Risk analizi ve iç denetim yönetimi rolündeki kullanıcılar, görev atanmış analist ve denetçilerin çalışmalarını, özet
grafikler ve listeler üzerinden merkezi olarak izleyebilirler. Ayrıca analist ve denetçiler’in çalışmaları yönetim ekibi
tarafından gözden geçirilebilir, onaylanabilir ve düzeltilmesi için tekrar analist veya denetçilere iade edilebilir. İç
denetçiler izledikleri denetim prosedürlerine ilişkin destekleyici doküman ve kanıtları uygulamaya yükleyebilir ve
yönetim ekibinin dikkatine sunabilir.

Her risk analizi ve iç denetim dönemi saklanır. Dolayısıyla geçmiş dönemlerdeki risk analizi ve iç denetim
sonuçları izlenebilir.

BTRWatch, ISO27001:2013 ve ISO27001:2005, ISO27005

ve (bilgi güvenliği riskleri açısından)
ISO31000 standartları ile uyumludur.
Manuel süreçlerle entegrasyon;
BTRWatch, kritik bilgi güvenliği yönetim süreçlerinin önemli kısmını üzerinde barındırır, diğer manuel ya
da insana dayalı bilgi güvenliği aktivitelerine ise yön verici girdiler üretir.

Örneğin;

BTRWatch üzerinde yürütülen süreçlerin (risk analizi, iç denetim, olay ve zayıflık yönetimi, düzeltici faaliyet
yönetimi) tümünün çıktıları Yönetim Gözden Geçirme (YGG) faaliyetlerinde yapılacak olan
değerlendirmelere ışık tutar.

Politika ve prosedürler, güvenlik altyapısı ve güvenlik operasyonları düzeltici faaliyet sürecinden

etkilenirler. Aktif ve dinamik bir düzeltici faaliyet yönetimi süreci sayesinde kurumun ihtiyaçlarına daha
uygun hale gelirler.

Sızma testleri ve farkındalık eğitimleri, etkili bir risk analiz faaliyetinin sonuçlarını esas alarak, güvenlik
ihtiyacının yoğun olduğu alanlara odaklanabilirler. Bu sayede kurum kaynakları daha etkili kullanılır ve risk
olasılıkları en aza indirilebilir.

Olay yönetim sürecinin aktif biçimde işletilmesi halinde, tutulan olay ve zayıflık kayıtlarının ışığında, sızma
testi ve farkındalık eğitimleri tehdit olasılığının yüksek olduğu alanlara odaklanabilir.

BTRWatch üzerinde yürütülen kritik bilgi güvenliği yönetim süreçleri, sadece diğer süreçlere girdi
sağlamaz. Aynı zamanda bu süreçlerden doğacak çıktıları bünyesine alarak manuel süreçlerle tam bir
entegrasyon gerçekleştirir.

Örneğin;

Politika ve prosedürlerde belirtilen ve ISO27002 dokümanında yer almayan kontroller kontrol sorularına
eklenerek, risk analizi ve iç denetim süreçlerine dahil edilir.

Güvenlik altyapısındaki değişiklikler varlık envanterine yansıtılarak risk analizine dahil edilir.

Güvenlik operasyonları sırasında tespit edilen ve karşılaşılan güvenlik olayları kayıt altına alınarak gerekli
önlemlerin alınması için düzeltici faaliyet süreci tetiklenir.

Sızma testleri sonucunda bulunulan açıklıklar zayıflık kaydı olarak ele alınır, gerekli düzeltici faaliyet süreci
başlatılır.

Yönetim Gözden Geçirme (YGG) sürecinin sonucu olarak belirlenen gereksinimler, gereksinim kaydı olarak
kaydedilir. Yine yönetim tarafından gözlenen zayıflıklar zayıflık olarak kaydedilir. Belirlenen zayıflık ve
gereksinimlerin gereği olan faaliyetler düzeltici faaliyet sürecinde takip edilir.
Pratik çözümler;
Her bir risk senaryosu için gereksiz tekrarı
önleyebilmek amacıyla, varlıklar ve tehditler,
ilgili risk senaryosuna özel biçimde
gruplanabilir. Bununla birlikte belli varlıkların,
zafiyetlerin, tehditlerin geçtiği risk senaryoları
raporlama imkanları sayesinde filtrelenebilir.
Böylece gruplanmış olsalar dahi belli bir varlık
veya tehdidin dahil edildiği senaryolar
listelenebilir.

Risk analizleri ve iç denetimler dönemsel olarak gerçekleştirilir. Geçmiş

dönem risk analiz senaryolarından mevcut dönemde geçerli olanları
mevcut döneme aktarılabilir.

Bir önceki dönemden mevcut döneme risk senaryolarının aktarımı sırasında, eğer aktarılan risk senaryosu ile
ilgili bir düzeltici faaliyet planlanmış ve mevcut dönem başlamadan tamamlanmış ise, bu durum zafiyet
düzeyine ve dolayısıyla risk değerine otomatik olarak yansıtılır.

Zafiyetleri belirlemek için kullanılan sorular ISO27002 dokümanı ile paralel biçimde hazırlanmıştır. Her bir kontrol
alanı için bir üst düzey soru ve kontrolün niteliğine bağlı olarak değişen sayıda detaylı soru bulunmaktadır.
BGYS’nin kurulumu aşamasında yapılacak çalışmanın ağırlığı nedeniyle üst düzey sorular seviyesinde çalışma
yapılabilir. Ancak BGYS olgunlaştıkça ve kontrol altyapısı da iyileştikçe daha detaylı kontrol alanlarına inilebilir.

Risk analizi sırasında mevcut kontrol altyapısına, kontrol eksikliklerine ve tespit edilen kontrol eksiklikleri için
uygulanmasına karar verilen düzeltici faaliyetlere ilişkin pek çok veri oluşur. Bu veriler standart
gereksinimlerinden olan uygulanabilirlik bildirgesinin hazırlanması için otomatik olarak toplanıp raporlanır.
Uzman ekip üzerinde çalışmak üzere bu ham verileri bir ofis dokümanı olarak indirebilir.

Kuruma özel kontrol soruları, varlık kategorileri, tehditler ve risk ifadeleri kullanıcılar tarafından yüklenebilir ve
bunlar arasındaki ilişkiler kurulabilir. Bu sayede BTRWatch’un risk analistlerini destekleyici altyapısı özel ihtiyaçlar
için de kullanılabilir.

Risk analizi sırasında bir kullanıcıya atanmış olan kontrol soruları, kullanıcının işten ayrılması veya projeye iştirak
edememesi halinde farklı bir kullanıcıya kaydırılabilir. Böylece girilmiş olan verilerin tekrar girilmesine gerek
kalmadan senaryoların geliştirilmesine devam edilebilir.
BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

www.btrisk.com