powerpoint timesaver better charts, tables, and diagrams for ...no:10/1 kat:12 daire:14 - 15...

Deloitte Siber

Güvenlik Günü

Tehlikenin

Farkında

mısınız?

2 Aralık 2014,

Deloitte Values House-Maslak İstanbul

Program akışı

Member Firms and DTTL: Insert appropriate copyright (Go Header & Footer to edit this text) 2

ProgramKahvaltı

Yönetim Kurulu Gündeminde Siber Güvenlik Cüneyt KırlarOrtak Deloitte Türkiye

Cyber Executive Briefing Roel Van RijsewijkSiber Güvenlik LideriDeloitte Hollanda

10:40-11:00 Kahve Molası

11:00-12:30 Panel Siber Güvenliğin BT Stratejisindeki Önemi

Ali Yılmaz Kumcu (Moderatör)Direktör Deloitte Türkiye

Alper GöğüşKoç HoldingCIO

Abdullah BilginKredi Kayıt BürosuCIO

Önder KaplancıkCarrefourSACIO

12:30-12:40 Kapanış

Siber Güvenlik Günü – 2 Aralık 2014

Yönetim Kurulu Gündeminde

Siber Güvenlik

Cüneyt Kırlar, PMP, CISA, CGEIT

02.12.2014

Deloitte Siber Güvenlik Günü


Gündem

Kapanış

Güncel tehdit görünümü

Geçmiş tecrübelerden yararlanma

Siber savunma tekniklerinin değişmesi

Üst yönetim için noktalar


Güncel tehdit görünümü


Siber güvenlik yönetimi için hükümetler, şirketlere

standartlar hazırlamakta.

Cabinet Office

Gündemde siber güvenlik

Lloyd’s risk index 2013

Siber riskler, dünyada bulunan en yüksek 3 risk

arasına girdi.

Siber güvenlik şirketlerin yönetim kurullarını ve

direktörlerini geceleri uyanık tutan en büyük 2. sebep.

Yönetim kurul üyelerinin %22’si herhangi bir siber

saldırıyı belirleyebilecekleri konusunda güven sahibi.

2013 – Law in the Boardroom (FTI Consulting)

Symantec 2013

Ataklardaki %42 artış, küçük ve orta seviyeli şirketler

için.


2014 Global Risk Haritası Dünya Ekonomik Forumu (World Economic Forum)

Siber ataklar, yerel ve bölgeselin

yanı sıra global seviyede etki

yapmaktadır.

Bütün şirketler risk altındadır.

Symantec yayınladığı bir güvenlik

raporunda küçük ve orta seviyeli

şirketlere yapılan saldırılarda

%42 oranında artış

olduğunu bildirmiştir.

2013 yılında Interpol global

seviyede saniyede12 adet siber güvenlik

kurbanı olduğunu raporlamıştır.


Beş Önemli Gerçek

8

Atak hızları artarken, cevap süreleri kısalmaktadır

Siber zarar parayla ölçülememekte

Her varlığı aynı ölçüde koruyamazsınız

Yüksek duvarlar koruma sağlamaz

Bilgi ağınız saldırıya uğrayacak


Geçmiş tecrübelerden yararlanma


Amacı Gerçekleştirmek Çalmak, zarar vermek, dikkat dağıtmak Çalınan verilerin şifrelenerek tehdit edilme, uzun süre boyunca gizlenerek veri ele geçirme, dijital izleri temizleme

Keşif Bilgi toplama ve zafiyetlerin belirlenmesi İnternet üzerinde araştırma, çağrı merkezlerini arama, sosyal medya üzerinde bilgi toplama vb.

Saldırı Zafiyetlerin hedeflenmesi Belirlenmiş e-posta saldırıları, kullanıcılara güvenilir kaynaktan zararlı dosya gönderimi, ağ, web uygulama veya yazılım zafiyetlerinin istismarı vb.

1

İstismar Yetkisiz erişim Hak yükseltilmesi, ağ ve sunucuları izleme & kontrol etme, atak vektörlerinin artırımı, izleri saklama vb.

2

3

4

İç Organizasyon (Çalışanlar, süreçler,

teknolojiler)

İlişkili Şirketler (Ortaklar, iştirakler, tedarikçiler

ajanslar)

(Stratejik ve finansal

varlıklar, veri & iş

zekası)

İş Değeri

Bir saldırganın tehdit, strateji

ve yöntemlerini anlamak,

kurumlara siber güvenlik

stratejisi ve önlem almak için

bilgi vermektedir.

Kurumlar her adımda güvenlik

kavramını benimseyerek siber

suçluların işini zorlaştırmalıdır.

Bir siber saldırının anatomisi

En zayıf sisteminiz kadar güçlüsünüz.


• Siber suçlular

• Hacktivistler

• Devletler

• Kötü niyetli çalışanlar

• Kötü niyetli tedarikçiler

• Rakipler

• Gelişmiş yalnız hackerlar

• Hassas bilgiler (şirket ve

yönetim raporları, finansal

bilgiler,yatırımcı bilgileri vb.)

• Finansal dolandırıcılık (para

transferi)

• İş yıkımı

• Yaşam tehdidi

Kim saldırabilir?

Neyin peşindeler?

Neler kullanabilirler?

• Oltalama (phishing)

saldırıları

• Yazılım veya donanım

zafiyetleri

• Üçüncü parti farkındalık

eksiklikleri

• Çalınan kullanıcı bilgileri

Siber güvenlik markanız ve itibarınız ile ilgilidir.

Öncelik kurumların risklerini belirlemektedir


Medya saldırıyı duyurdu.

Müşteri güveninde ve

satışlarda düşüş yaşandı.

Marka itibarı ve piyasada

bulunan güven zedelendi.

Target’ın 3. partilerinden

birisine oltalama (phishing)

saldırıları ile birlikte sızıldı –

kullanıcı giriş bilgileri çalındı.

Target’ın CEO, CIO ve

Güvenlik Müdürü istifa etti.

90’dan fazla dava açıldı.

Güvenlik seviyesinin

arttırılması için 61 milyon

dolardan fazla para harcandı.

Saldırganlar kullanıcı giriş

bilgileri ile kurum ağına sızdı

ve Target’ın POS sistemlerine

saldırarak tarihin en büyük

verisini çaldı.

Zafiyetler tespit edildi – Saldırının

fark edilme süresi veri sızıntısını

engellemek için yeterliydi fakat

riskler fark edilemediği ve üst

yönetim tarafından iyi

yönetilmediği için sızıntı

gerçekleşti.

Etkilenen geçerli kredi kartı

numarası

Target’ın yaşadığı güncel zarar

Forrester Research kurumunun

gelecekte ön gördüğü toplam zarar

70M

$1B

$148M

Target veri sızıntısı bir çok gerçeği gündeme

getirdi

• Bütün endüstriler ve şirketler tehlike altında

• Güvenlik eksiklikleri sadece mali kayba yol

açmıyor

• Atakların hızı artarken, fark edilme süreleri artıyor

• Bütün sistemler aynı şekilde korunmamalıdır

• Geleneksel güvenlik yöntemleri yeterli değil

• Güvenli, dikkatli ve dirençli bir sistem için güçlü

risk yönetimi gerekir.

ÖNEMLİ GERÇEKLER

İSTATİSTİKSEL VERİLER

Birkaç ayda başarılı bir markaya

nasıl zarar verilir? 2013 Aralık ayında, Target 100 milyon kullanıcısının kredi kartı

bilgilerinin kendi sistemleri üzerinden çalındığını açıkladı.


Siber savunma tekniklerinin değişmesi

Güvenli. Dikkatli. Dirençli.


3. Yetenekler

1. Yönetişim & Liderlik

İş Değeri

Tehdit Yönetimi Altyapı Güvenliği Kimlik & Erişim

Yönetimi

Web Uygulama

Güvenliği Veri Koruma İş Gücü Yönetimi

Risk Analitiği Üçüncü Parti

Yönetimi Kriz Yönetimi

Yönetim kurulu Üst yönetim Teknoloji liderleri IT Risk liderleri

2. Organizasyonel Uyarlayıcılar

Prosedürler &

Standartlar Yetenek & Kültür

Risk Belirleme &

Raporlama Paydaş Yönetimi

Siber Risk Yönetimi


Uyanık İhlal ve anomalileri

belirleme & farkındalığı

arttırma

Dirençli Saldırı sonrasında normale

hızlıca geri dönebilme &

zararları düzeltebilme

Eyleme geçirilebilen tehdit

istihbaratı Stratejik organizasyonel yaklaşım

Siber Risk Yönetimi

Giderek güvenli, uyanık ve dirençli olmak için kurumlar geniş kapsamlı değişiklikler yaparak

geleneksel güvenlik anlayışından uzaklaşmalılardır.

Güvenli Bilinen tehditlere karşı

riske göre önceliği

oluşturulmuş kontroller

belirleme & tehditleri

ortaya çıkarma &

endüstride bulunan siber

güvenlik standartlarına

uyma & regülasyonlar


Üst yönetim için anahtar noktalar


Siber güvenlik için yönetim kuruluna öneriler

1 Denetleme komitesinden ayrı olarak IT Risk komitesi oluşturularak IT risklerini de

içeren kurumsal riskler için sorumluluk verilmelidir. IT ve güvenlik yönetişimi ve siber

güvenlik uzmanlığı için yöneticiler atanmalıdır..

4 Güvenlik ve direnç kültürü oluşturmak için hali hazırda bulunan prosedürler

gözden geçirilmelidir. Kurumlar çalışanlarına “Güvenlik benimle başlıyor”

kültürünü aşılamalıdır.

3 Hali hazırda bulunan siber olay tepki planı geliştirilmelidir. Hassas sistemlere

karşı yönelik kontroller arttırılmalıdır.

2 Risk toleransına ve hassas bilgilerin profiline göre, üst yönetimde yer alacak bir

CISO atanmalıdır.

5 Bayiler ve tedarikçiler için gerekli gizlilik ve güvenlik prosedürleri

oluşturulmalıdır.


Siber güvenlik için yönetim kuruluna öneriler

6 Üst yönetimden gizlilik ve güvenlik risklerine dair düzenli raporlar alınmalıdır.

9 Siber güvenlik sigortasının kullanımı ve ihtiyacı yeniden değerlendirilmelidir.

8 Düzenli olarak kurum dışı kaynaklardan güvenlik & gizlilik programları ile ilgili

gözden geçirme yapılmalıdır.

7 Siber güvenlik için gerekli farkındalık kazanılarak gerekli bütçeler ayrılmalıdır.


Son Sözler


• Ataklar büyümeye ve değişmeye devam etmektedir

• Önemli olan güvenlikte derinliktir – tek aşamalı kontroller yeterli değildir

• Sadece teknoloji çözümleri kullanmak, bilgi güvenliğinde gelişmekte olan

problemlere karşı yeterli olmayacaktır

• Fiziksel ve sanal sınırlarınız içerisine giren yeni teknolojiler ile ilgili gerekli

tanımlamalar yapılarak, prosedürler güncellenmelidir

Bu hiç bitmeyecek

bir yarış

Son Sözler


Güvenlik, mahremiyet ve risk yönetimi servislerimiz ile dünyada lider bilgi güvenliği danışmanlık �rması seçildik.

BSI

ISC2

Uzmanlıklar

ISACA

IAPP

150 üzerinde eğitimli sistem denetçisi (Lead System Auditor)

1,500 üzerinde CISSP serti�kasına sahip çalışan

Geniş yelpazede alan spesi�k serti�kalar

2,000 üzerinde CISA, CISM, & CGEIT serti�kasına sahip çalışan

Mahremiyet serti�kalı uygulayıcılar

Deloitte Üye Firmalarının Yetki Belgeleri

“ Deloitte, müşterilerinden olağanüstü geribildirim almasının yanı sıra kapsamlı ve entegre hizmet

önerilerine sahip şirket olarak belirlendi. Forrester raporu ayrıca, Deloitte’u bilgi güvenliği alanında derin

teknik bilgi ve küresel etkinliği ile vurgularken; güvenlik ve risk danışmanlığı hizmeti veren birinci sınıf şirket

olarak konumluyor.”

Neden Deloitte?

Forrester Research, Forrester WaveTM: Information Security Consulting Services Q1 2013”, Ed Ferrara and Andrew Rose, February 1, 2013

Gartner ranks Deloitte #1 for Information Security Consulting Services Worldwide, based on market share, in 2013

,

Source: Gartner, Market Share Analysis: Information Security Consulting, Worldwide, 2013, Jacqueline Heng, Lawrence Pingree16 May 2014

Deloitte, denetim, vergi, danışmanlık ve kurumsal finansman alanlarında, birçok farklı endüstride faaliyet gösteren özel ve kamu sektörü müşterilerine hizmet sunmaktadır. Dünya çapında farklı bölgelerde 150’den fazla ülkede yer alan global üye firma ağı ile Deloitte, müşterilerinin iş dünyasında karşılaştıkları zorlukları aşmalarına destek olmak ve başarılarına katkıda bulunmak amacıyla dünya standartlarında yüksek kaliteli hizmetler sunmaktadır. Deloitte, 200.000’i aşan uzman kadrosu ile kendini mükemmelliğin standardı olmaya adamıştır.

Deloitte; İngiltere mevzuatına göre kurulmuş olan Deloitte Touche Tohmatsu Limited (“DTTL”) şirketini, üye firma ağındaki şirketlerden ve ilişkili tüzel kişiliklerden bir veya birden fazlasını ifade etmektedir. DTTL ve her bir üye firma ayrı ve bağımsız birer tüzel kişiliktir. DTTL (“Deloitte Global” olarak da anılmaktadır) müşterilere hizmet sunmamaktadır. DTTL ve üye firmalarının yasal yapısının detaylı açıklaması www.deloitte.com/about adresinde yer almaktadır.

Bu belgede yer alan bilgiler sadece genel bilgilendirme amaçlıdır ve Deloitte Touche Tohmatsu Limited, onun üye firmaları veya ilişkili kuruluşları (bütün olarak Deloitte Network) tarafından profesyonel bağlamda herhangi bir tavsiye veya hizmet sunmayı amaçlamamaktadır. Deloitte Network bünyesinde bulunan hiçbir kuruluş, bu belgede yer alan bilgilerin üçüncü kişiler tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.

© 2014. Daha fazla bilgi için Deloitte Türkiye (Deloitte Touche Tohmatsu Limited üye şirketi) ile iletişime geçiniz.

www.deloitte.com.tr

Deloitte Türkiye

İstanbul Ofisi

İstanbul+90 (212) 366 60 00

Ankara OfisiArmada İş MerkeziA Blok Kat:7 No:8Söğütözü, Ankara06510+90 (312) 295 47 00

İzmir OfisiPunta Plaza 1456 Sok.No:10/1 Kat:12 Daire:14 - 15 Alsancak, İzmir+90 (232) 464 70 64

Bursa OfisiZeno Center İş MerkeziOdunluk Mah. Kale Cad. No:10 d Nilüfer, Bursa+90 (224) 324 25 00

Çukurova OfisiGünep Panorama İş Merkezi Reşatbey Mah. Türkkuşu Cad. Bina No:1 B Blok Kat:7 Seyhan, Adana+90 (322) 237 11 00

/deloitteturkiye

/deloitteturkiye

/company/deloitte-turkey

/company/deloitte-turkey

Daha fazla bilgi için

Cüneyt KırlarKurumsal Risk Hizmetleri [email protected]

powerpoint timesaver better charts, tables, and diagrams for ...no:10/1 kat:12 daire:14 - 15...

Documents