1 / 26

Bilgi Güvenliği Risk Yönetimi

" The diffusion of technology and the commodification of information transforms the role of information into a resource equal in importance to the traditionally important resources of l and , labor and capital " Peter Drucker.

olinda
Download Presentation

Bilgi Güvenliği Risk Yönetimi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. "The diffusion of technology and the commodification of informationtransforms the role of information into a resource equal in importance to the traditionally important resources of land, labor and capital "Peter Drucker

  2. BİLGİ GÜVENLİĞİ RİSK YÖNETİMİ Mustafa KOMUTCISA,CCE,COBIT,ISO 27001LA,BS 25999LA,ISO 9001 LA ISSA Yönetim Kurulu İkinci Başkanı

  3. Bilgi Güvenliği Risk Yönetimi 1984 yılında Amerika’da kuruldu. Dünyanin en büyük Bilgi ve Bilişim Güvenliği derneği. 42 Ülke’de 153 Chapter’a sahip. 70’den fazla ülkede 10.000’den fazla üyesi var. Dünyanın en büyük güvenlik konsorsiyumu. Dünyanın en büyük güvenlik akreditasyon kurulu (ISC)2 ‘in kurucu ortağı ve komite yürütücüsü. Mayıs 2009’da Türkiye Başkanlığı oluşturuldu.(www.issatr.org) ISSA NEDİR ?

  4. Bilgi Güvenliği Risk Yönetimi Genel Bakış – Bilgi Güvenliği Bilgi Güvenliğinin Yapı Taşları ISO 27001 BGYS Bilgi Güvenligi Yönetim Sistemi Bilgi Güvenliği Risk Yönetimi Sürecine Genel bakış • Varlık Sınıflandırması • Risk Değerlendirmesi • Risk Müdahalesi • Risk Azaltılması Risk Yönetimi Risk Yönetimi Uygulamaları AJANDA

  5. Bilgi Güvenliği Risk Yönetimi 1.Genel Bakış -"Bilgi" "Güvenliği"

  6. Bilgi Güvenliği Risk Yönetimi

  7. Bilgi Güvenliği Risk Yönetimi • Bilgi, kurumdaki diğer varlıklar gibi, kurum için önem taşıyan ve bu nedenle de en iyi şekilde korunması gereken bir varlıktır Bilgi Güvenliğinden bahsedebilmek için önce kurum için "Bilgi" nin tanımlanması zorunludur

  8. Stratejik Yön Paydaşlar Direktörler Amaçlar Hedefler Amaçlar Direktörler Yöneticiler Süreçler Prosedürler Süreçler Prosedürler Süreçler Personel Yöneticiler Bilgi Güvenliği Risk Yönetimi İş Hedefleri Sahiplik Sorumluluk Teknoloji (T) T

  9. Paydaşlar Direktörler Amaçlar Hedefler Amaçlar Direktörler Yöneticiler Süreçler Prosedürler Süreçler Prosedürler Süreçler Personel Yöneticiler Bilgi Güvenliği Risk Yönetimi Sorumluluk İş Hedefleri Sahiplik $ Bilgi Bilgi T

  10. Bilgi Güvenliği Risk Yönetimi Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler: • Gizlilik(Confidentiality) –C • Bütünlük(Integrity)-I • Kullanılabilirlik-Elverişlilik (Availability)-A Bilgi Güvenliğinin Yapı Taşları Integrity Bu kavramı CIA değeri olarak tanımlıyoruz Confidentiality Availability

  11. Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişiler, uygulamalar, servisler… tarafından erişilebilir olmasıdır Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunun bütünlüğünü temin edilmesi, bulunduğu ya da iletildiği ortamda içeriğinin bozulmama özelliğidir. Kullanılabilirlik(Elverişlilik):Bilginin, ihtiyaç duyulduğunda yetkili kişilerce ulaşılabilir olması ve bunlarla ilgili unsurlarının temini; ekipmanların, yazılımlar ve diğer bilgi teknolojisi varlıklarının korunmasıdır Bilgi Güvenliği Risk Yönetimi

  12. Yapı Kurumun Politika ve hedeflerine Ulaşmak Kaynaklar Prosedürler Süreçler Bilgi Güvenliği Risk Yönetimi 3. ISO 27001 BGYS Bilgi Güvenligi Yönetim Sistemi

  13. Bilgi Güvenliği Risk Yönetimi Bilgi Güvenliği Yönetimi

  14. Bilgi Güvenliği Risk Yönetimi BGYS uygulamasında ISO 27001 tarafından kapsanan alanlar 133 Kontrol -10 Etki alanı

  15. Bilgi Güvenliği Risk Yönetimi 4. Bilgi Güvenliği Risk Yönetimi Sürecine Genel bakış

  16. Bilgi Güvenliği Risk Yönetimi Yönetimsel Şirketin itibarı İş devamlılığı Acil Durumlardan Kurtulma İş kaybı riski Bilginin gizlilik, bütünlük, elverişlilik unsuru Müşteriler gözünde güven kaybı Yasalara uygunluk Güvenliğin maliyeti • Güvenlik Önlemleri • Teknik • Prosedürel • Fiziksel • Mantıksal önlemler • Personel • Yönetimsel BGYS risk analizi

  17. Bilgi Güvenliği Risk Yönetimi Risk Assesment Gross Risk Net Risk

  18. Bir kuruluşu risk ile ilgili olarak kontrol etmek ve yönlendirmek amacıyla kullanılan koordineli faaliyetler .[ISO/IEC Guide 73](TS_ISO_IEC_27001 # 3.14.) Risk = Varlığın Değeri x Zayıflık x Tehdit x Oluşma Olasılığı Risk yönetimi, potansiyel risklerin sistematik olarak değerlendirilerek, olası zararların etkisini azaltıcı yönde, verilere dayalı karar vermeyi sağlayan yönetimi ifade eder. (İç Denetçilerin Çalışma Usul ve Esasları Hakkında Yönetmelik, Madde 4) 5. Risk Yönetimi Bilgi Güvenliği Risk Yönetimi

  19. Kesin matematiksel, bilimsel ve evrensel bir risk standardı puanlama için bulunmamaktadır. Risk assesment süreci tümü ile subjective tir. Aynı kavram veya varlık üzerindeki riskin CIA değerleri farklı olabilir Ölçüm kriterine göre BG risk etkisi İş Sürekliliği için farklı olabilir. Varlık envanterindeki «bilgi» yerine çoğu zaman şirketlerin ERP deki bilgileri anlaşılmakta ve RM bunlara göre yapılmaktadır Risk eksperi gibi profesyonel bir disiplin yoktur. Çoğunlukla Sigorta metodolojisi baz alınmaktadır. Bilgi Güvenliği kavramı farkındalık aktiviteleri olmadan hiç bir ilerme göstermemektedir. Ancak sonuçta farkındalıkta teknik bilgi olmadan yetersiz kalmaktadır. Risk ençok konuşulan popüler bir konu olduğu kadarda en az bilinen bir konu olarak var olmaya devam etmektedir. 6. Risk Yönetimi Uygulamaları Bilgi Güvenliği Risk Yönetimi

  20. Sektörde son derece profesyonel tool lar bulunmakta ancak yönetimi zor ve entegrasyon sonucunda şirketlerin kendi legacy leri bu toollarin clientı durumuna dönüşmektedir. En basit şekli ile Excel de hazırlanan RA tabloları gerçek toollardan çok daha verimli olmaktadır. Varlik envanteri herzaman güncellenme gereği operasyonel iş gerektirmekte, kaynaklar bu konuda herzaman mevcut olamamaktadır. Bilgi Güvenliği Risk Yönetimi

  21. “Instead of trying to anticipate low-probability, high-impact events, weshould reduce our vulnerability to them.Riskmanagement, we believe, should be about lessening the impact of what we don’t understand—not a futileattempt to develop sophisticated techniques and stories that perpetuate our illusions of being able to understandand predict the social and economic environment.” • Nassim N. Taleb, Daniel G. Goldstein, and Mark W. Spitznager“The Six Mistakes Executives Make in Risk Management,” Harvard Business Review. ÜÇÜNCÜ BİR YOL Bilgi Güvenliği Risk Yönetimi

  22. Bilgi Güvenliği Risk Yönetimi

  23. Control Maturity Bilgi Güvenliği Risk Yönetimi

  24. Risklerin azaltılması kadar "yönetilebilmesi"risk yönetiminin hedefidir. SONUÇ Bilgi Güvenliği Risk Yönetimi

  25. Katılımınız için çok teşekkürler

More Related