pdf 684.6 KB

KPMG Türkiye
Denetim
Komitesi
Enstitüsü
26 Temmuz 2016
© 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International
Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
1
Hakan Aytekin
KPMG Türkiye Risk Yönetimi
Danışmanlığı Bölüm Başkanı,
Şirket Ortağı
© 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International
Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
2
Denetim Komitesinde
Siber Güvenlik
Hakan Aytekin
KPMG Türkiye
Danışmanlık Bölümü Şirket Ortağı
© 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International
Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
3
Siber Güvenlik ve Tehdit - Tanımlar
SİBER TEHTİDLER İLE NEYİ KASTEDİYORUZ?
Siber Tehdit – Bilgi Teknolojileri ve Kurum
Verilerinin Kasıtlı ve Hedeflenmiş Bir Biçimde
Siber Alem Üzerinden Saldırılarak Ele
Geçirilme Riski
Yakın Tarihteki Siber Saldırılar
JP Morgan - 2014
Carbanak Heist – 2015
Dairy Queen Restaurants - 2015
SİBER GÜVENLİK NE DEMEKTİR?
Siber Tehditlerin Oluşturduğu Riskleri
Makul Seviyeye İndirmek İçin Kullanılan
Teknoloji ve İnsan Yönetişim Öğelerinin
Tamamı
© 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International
Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
4
Denetim Komitesi – Siber Güvenlik Trendleri
Bir önceki seneye göre siber güvenlik konusuna
ne kadar daha fazla zaman ayırmalı? (Kişisel
Verilerin Korunması Dahil)
3% 5%
15%
37%
40%
Significantly more time
More time
No change
Less time
N/A
Siber güvenlikle ilgili risk konularına ilişkin
aldığınız bilginin kalitesi ne seviyededir?
10%
41%
49%
Excellent
Generally good
Need improvement
© 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International
Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
5
En yaygın beş siber güvenlik yanılgısı
Yanılgı
Doğru
1
%100 güvenliği sağlamak
zorundayız.
%100 güvenlik doğru bir hedef
olmadığı gibi bunu başarmak
da imkansızdır.
Sınıfının en iyisi teknik
araçlara yatırım yaparsak
güvende oluruz.
Etkin bir siber güvenlik,
teknolojiye sandığınızdan daha
az bağımlıdır.
Elimizdeki silahlar bilgisayar
korsanlarının silahlarından
daha güçlü olmalı.
Güvenlik politikalarınızı,
saldırganların hedeflerine göre
değil kendi
hedeflerinize göre belirlemeniz
gerekir.
2
3
©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International
Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır.
6
En yaygın beş siber güvenlik yanılgısı
Yanılgı
Doğru
4
Siber güvenlik konusunda
mevzuata uyum tamamen
etkin bir izlemeyle
ilgili bir durum.
Öğrenme kabiliyeti en az
izleme kabiliyeti kadar
önemlidir.
Kendimizi siber suçtan
korumak için en iyi
profesyonelleri işe almamız
gerekiyor.
Siber güvenlik sadece bir
departmanın işi değil,
kurumsal bir anlayıştır.
5
©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International
Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır.
7
Siber Güvenlikte Denetim Komitesinin Rolü
Siber Riskleri
Tanımla
Verilerini
Kurtar/Koru
Önlemleri Al
Tespit Et ve
Karşılık Ver
©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International
Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır.
8
Güvenlik Kapasitesi
Siber Güvenlik Olgunluk Modeli
Güçlü koruma
sistemim ve
politikalarım var
Siber güvenlik bizim
için uygun değil
Bunlar hep aldatıcı
konular
Endişelerim var, ancak
ne yapacağımı
bilmiyorum
Nasıl ele
geçirildiğimizi
bilmiyorum
Uygunluğa dair ikinci
dize işlevsel önlemler
Burada
Burada
Olgunlaşmamış
Gelişmekte
Ya da burada
Yatırım
Tehditleri yönetmek
için daha çevik
olmalıyız
Tam güvenlik
hedeflenebilir değil,
risklerimizi
yönetmeliyiz
Tek başımıza başa
çıkamayız
Bir topluluğun
parçasıyız
Gelişmiş
Öncülük Eden
Önceliklerinizin değişmesi…
Kısıtlı farkındalık
Şirket için ne anlama
geldiğinin tartışılması
Geliştirme için yatırım
Kurulların risk
tartışmalarını
detaylandırması
Basit güvenlik
teknolojilerine güven
Destek ve tavsiye için
iletişime geçme
Hedef odaklı teknik
çözümlerin
benimsenmesi
Yapılandırılmış güvenlik
programlarına geçiş
Mevcut olmayan kontrol
ya da uygunluk süreçleri
Temel güvenlik süreçleri
ve politikalar
Uyumluluk ve politikaların
güçlendirilmesi
Güvenlik işlemlerinin
gerçekleştirilmesi
Siber ekosistemin
tedarikçi ve müşterilerle
kurulması
Zeka ile yönetilen
yaklaşımın kuruluşa
yansıtılmasıı
Sorunu teknoloji problemi
olarak görme
Genellikle
düzenlemelerden
kaynaklı endişeler
Güvenlik mimarisinin
başlangıcı
Güvenlik arttırma testleri
Siber direnç
Farkındalık eğitimlerinin
başlangıcı
Erken dönem tedarik
zinciri güvenlik önlemleri
Risk ölçümlendirmesi ve
azaltma stratejisi
Topluluğun parçası
olarak öncülük
Teknolojinin geçerli hale
gelmesi
© 2016 KPMG LLP, a UK limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International
Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
Document Classification: KPMG Confidential
9
Eyleme hazır mısınız?
Teknoloji tek başına yeterli değil!
Önleme
Tespit
Etme
Karşılık
Verme
■
■
■
■
■
Siber suç sorumluluklarının atanması
Siber suç test ve simülasyonları
Periyodik taramalar ve sızma testleri
Yeterli masaüstü güvenliğinin sağlanması
Ağ ayrımının sağlanması
■
■
■
■
■
7/24 kriz organizasyonunun sağlanması
Güvenlik ihlali takip süreçleri
Kritik süreçlerin denetim izi takibinin sağlanması
Siber güvenlik denetimlerinin iç denetim planlarında oluşturulması
Güvenlik ihlallerinin merkezi olarak takip edilmesi
■ Adli analiz yöntemlerinin kullanılması
■ Siber suç müdahale planının oluşturulması
■ Saldırı altındaki IT servislerinin devre dışı bırakılması
©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International
Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır.
10
Siber Olgunluk Değerlendirmesi
Önderlik & Yönetişim
Hukuk &
Uygunluk
İnsan
Faktörleri
İşlemler &
Teknoloji
Bilgi Risk
Yönetimi
İş Sürekliliği
HUKUK VE UYGUNLUK
 3 Fazlı Korunma
 Finansal Risk Devri
 Kanuni Uygunluk
ÖNDERLİK & YÖNETİŞİM
 Siber Anlayış ve Vizyon
 Önderlik/Kurul Sorumlulukları
 Politikalar
İŞLEMLER & TEKNOLOJİ
 Personel Güvenliği
 Fiziksel Güvenlik
 Kimlik & Erişim Yönetimi
 Tehdit & Zafiyet
 Ağ Güvenliği
 Siber Hijyen
 Hizmet Sunumu
 Denetim İzi & Gözetleme
 Mobil & Kablosuz Güvenlik
İNSAN FAKTÖRLERİ
 Kültür
 Eğitim & Farkındalık
 Yetenek Yönetimi
 Uzmanlık Yetenekleri
BİLGİ RİSK YÖNETİMİ
 Bilgi Paylaşımı
 Mimari
 Risk İştahı
 Varlık Yönetimi
İŞ SÜREKLİLİĞİ
 Bilgi Risk Yönetimi Süreçleri
 Siber Güvenlikte İş Sürekliliği  Tedarikçiler
 Paydaş Yönetimi
 İş Etki Analizi & Felaket Kurtarma
 Kriz Yönetimi
©2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International
Cooperative’in tescilli ticari markalarıdır. Tüm hakları saklıdır.
11
Teşekkürler
© 2015 Akis Bağımsız Denetim ve Serbest Muhasebeci Mali Müşavirlik A.Ş., KPMG International Cooperative'in üyesi bir Türk şirketidir. KPMG adı ve KPMG logosu KPMG International Cooperative’in
tescilli ticari markalarıdır. Tüm hakları saklıdır.
Bu dokümanda yer alan bilgiler genel içeriklidir ve herhangi bir gerçek veya tüzel kişinin özel durumuna hitap etmemektedir. Sürekli güncel ve doğru bilgi sunumuna özen gösterilmesine karşın bu bilgiler
her zaman her durumda doğru olmayabilir. Hiç kimse özel durumuna uygun bir uzman görüşü almaksızın , bu dökümanda yer alan bilgilere dayanarak hareket etmemelidir. KPMG International Cooperative
(“KPMG International”) bir İsviçre kuruluşudur. KPMG ağına üye olan bağımsız şirketler, KPMG International’a bağlıdır. KPMG International’ın müşterilere sunduğu herhangi bir hizmet yoktur. Hiçbir üye
şirketin KPMG International’ı veya bir başka üye şirketi, aynı şekilde KPMG International’ın da hiç bir üye şirketi üçüncü şahıslar ile karşı karşıya getirecek zorlayıcı ya da bağlayıcı hiçbir yetkisi yoktur. Tüm
hakları saklıdır.