View
7
Download
1
Category
Preview:
Citation preview
Deloitte Siber
Güvenlik Günü
Tehlikenin
Farkında
mısınız?
2 Aralık 2014,
Deloitte Values House-Maslak İstanbul
Program akışı
Member Firms and DTTL: Insert appropriate copyright (Go Header & Footer to edit this text) 2
ProgramKahvaltı
Yönetim Kurulu Gündeminde Siber Güvenlik Cüneyt KırlarOrtak Deloitte Türkiye
Cyber Executive Briefing Roel Van RijsewijkSiber Güvenlik LideriDeloitte Hollanda
10:40-11:00 Kahve Molası
11:00-12:30 Panel Siber Güvenliğin BT Stratejisindeki Önemi
Ali Yılmaz Kumcu (Moderatör)Direktör Deloitte Türkiye
Alper GöğüşKoç HoldingCIO
Abdullah BilginKredi Kayıt BürosuCIO
Önder KaplancıkCarrefourSACIO
12:30-12:40 Kapanış
Siber Güvenlik Günü – 2 Aralık 2014
Yönetim Kurulu Gündeminde
Siber Güvenlik
Cüneyt Kırlar, PMP, CISA, CGEIT
02.12.2014
Deloitte Siber Güvenlik Günü
Siber Güvenlik Günü – 2 Aralık 2014
Gündem
Kapanış
Güncel tehdit görünümü
Geçmiş tecrübelerden yararlanma
Siber savunma tekniklerinin değişmesi
Üst yönetim için noktalar
Siber Güvenlik Günü – 2 Aralık 2014
Güncel tehdit görünümü
Siber Güvenlik Günü – 2 Aralık 2014
Siber güvenlik yönetimi için hükümetler, şirketlere
standartlar hazırlamakta.
Cabinet Office
Gündemde siber güvenlik
Lloyd’s risk index 2013
Siber riskler, dünyada bulunan en yüksek 3 risk
arasına girdi.
Siber güvenlik şirketlerin yönetim kurullarını ve
direktörlerini geceleri uyanık tutan en büyük 2. sebep.
Yönetim kurul üyelerinin %22’si herhangi bir siber
saldırıyı belirleyebilecekleri konusunda güven sahibi.
2013 – Law in the Boardroom (FTI Consulting)
Symantec 2013
Ataklardaki %42 artış, küçük ve orta seviyeli şirketler
için.
Siber Güvenlik Günü – 2 Aralık 2014
2014 Global Risk Haritası Dünya Ekonomik Forumu (World Economic Forum)
Siber ataklar, yerel ve bölgeselin
yanı sıra global seviyede etki
yapmaktadır.
Bütün şirketler risk altındadır.
Symantec yayınladığı bir güvenlik
raporunda küçük ve orta seviyeli
şirketlere yapılan saldırılarda
%42 oranında artış
olduğunu bildirmiştir.
2013 yılında Interpol global
seviyede saniyede12 adet siber güvenlik
kurbanı olduğunu raporlamıştır.
Siber Güvenlik Günü – 2 Aralık 2014
Beş Önemli Gerçek
8
Atak hızları artarken, cevap süreleri kısalmaktadır
Siber zarar parayla ölçülememekte
Her varlığı aynı ölçüde koruyamazsınız
Yüksek duvarlar koruma sağlamaz
Bilgi ağınız saldırıya uğrayacak
Siber Güvenlik Günü – 2 Aralık 2014
Geçmiş tecrübelerden yararlanma
Siber Güvenlik Günü – 2 Aralık 2014
Amacı Gerçekleştirmek Çalmak, zarar vermek, dikkat dağıtmak Çalınan verilerin şifrelenerek tehdit edilme, uzun süre boyunca gizlenerek veri ele geçirme, dijital izleri temizleme
Keşif Bilgi toplama ve zafiyetlerin belirlenmesi İnternet üzerinde araştırma, çağrı merkezlerini arama, sosyal medya üzerinde bilgi toplama vb.
Saldırı Zafiyetlerin hedeflenmesi Belirlenmiş e-posta saldırıları, kullanıcılara güvenilir kaynaktan zararlı dosya gönderimi, ağ, web uygulama veya yazılım zafiyetlerinin istismarı vb.
1
İstismar Yetkisiz erişim Hak yükseltilmesi, ağ ve sunucuları izleme & kontrol etme, atak vektörlerinin artırımı, izleri saklama vb.
2
3
4
İç Organizasyon (Çalışanlar, süreçler,
teknolojiler)
İlişkili Şirketler (Ortaklar, iştirakler, tedarikçiler
ajanslar)
(Stratejik ve finansal
varlıklar, veri & iş
zekası)
İş Değeri
Bir saldırganın tehdit, strateji
ve yöntemlerini anlamak,
kurumlara siber güvenlik
stratejisi ve önlem almak için
bilgi vermektedir.
Kurumlar her adımda güvenlik
kavramını benimseyerek siber
suçluların işini zorlaştırmalıdır.
Bir siber saldırının anatomisi
En zayıf sisteminiz kadar güçlüsünüz.
Siber Güvenlik Günü – 2 Aralık 2014
• Siber suçlular
• Hacktivistler
• Devletler
• Kötü niyetli çalışanlar
• Kötü niyetli tedarikçiler
• Rakipler
• Gelişmiş yalnız hackerlar
• Hassas bilgiler (şirket ve
yönetim raporları, finansal
bilgiler,yatırımcı bilgileri vb.)
• Finansal dolandırıcılık (para
transferi)
• İş yıkımı
• Yaşam tehdidi
Kim saldırabilir?
Neyin peşindeler?
Neler kullanabilirler?
• Oltalama (phishing)
saldırıları
• Yazılım veya donanım
zafiyetleri
• Üçüncü parti farkındalık
eksiklikleri
• Çalınan kullanıcı bilgileri
Siber güvenlik markanız ve itibarınız ile ilgilidir.
Öncelik kurumların risklerini belirlemektedir
Siber Güvenlik Günü – 2 Aralık 2014
Medya saldırıyı duyurdu.
Müşteri güveninde ve
satışlarda düşüş yaşandı.
Marka itibarı ve piyasada
bulunan güven zedelendi.
Target’ın 3. partilerinden
birisine oltalama (phishing)
saldırıları ile birlikte sızıldı –
kullanıcı giriş bilgileri çalındı.
Target’ın CEO, CIO ve
Güvenlik Müdürü istifa etti.
90’dan fazla dava açıldı.
Güvenlik seviyesinin
arttırılması için 61 milyon
dolardan fazla para harcandı.
Saldırganlar kullanıcı giriş
bilgileri ile kurum ağına sızdı
ve Target’ın POS sistemlerine
saldırarak tarihin en büyük
verisini çaldı.
Zafiyetler tespit edildi – Saldırının
fark edilme süresi veri sızıntısını
engellemek için yeterliydi fakat
riskler fark edilemediği ve üst
yönetim tarafından iyi
yönetilmediği için sızıntı
gerçekleşti.
Etkilenen geçerli kredi kartı
numarası
Target’ın yaşadığı güncel zarar
Forrester Research kurumunun
gelecekte ön gördüğü toplam zarar
70M
$1B
$148M
Target veri sızıntısı bir çok gerçeği gündeme
getirdi
• Bütün endüstriler ve şirketler tehlike altında
• Güvenlik eksiklikleri sadece mali kayba yol
açmıyor
• Atakların hızı artarken, fark edilme süreleri artıyor
• Bütün sistemler aynı şekilde korunmamalıdır
• Geleneksel güvenlik yöntemleri yeterli değil
• Güvenli, dikkatli ve dirençli bir sistem için güçlü
risk yönetimi gerekir.
ÖNEMLİ GERÇEKLER
İSTATİSTİKSEL VERİLER
Birkaç ayda başarılı bir markaya
nasıl zarar verilir? 2013 Aralık ayında, Target 100 milyon kullanıcısının kredi kartı
bilgilerinin kendi sistemleri üzerinden çalındığını açıkladı.
Siber Güvenlik Günü – 2 Aralık 2014
Siber savunma tekniklerinin değişmesi
Güvenli. Dikkatli. Dirençli.
Siber Güvenlik Günü – 2 Aralık 2014
3. Yetenekler
1. Yönetişim & Liderlik
İş Değeri
Tehdit Yönetimi Altyapı Güvenliği Kimlik & Erişim
Yönetimi
Web Uygulama
Güvenliği Veri Koruma İş Gücü Yönetimi
Risk Analitiği Üçüncü Parti
Yönetimi Kriz Yönetimi
Yönetim kurulu Üst yönetim Teknoloji liderleri IT Risk liderleri
2. Organizasyonel Uyarlayıcılar
Prosedürler &
Standartlar Yetenek & Kültür
Risk Belirleme &
Raporlama Paydaş Yönetimi
Siber Risk Yönetimi
Siber Güvenlik Günü – 2 Aralık 2014
Uyanık İhlal ve anomalileri
belirleme & farkındalığı
arttırma
Dirençli Saldırı sonrasında normale
hızlıca geri dönebilme &
zararları düzeltebilme
Eyleme geçirilebilen tehdit
istihbaratı Stratejik organizasyonel yaklaşım
Siber Risk Yönetimi
Giderek güvenli, uyanık ve dirençli olmak için kurumlar geniş kapsamlı değişiklikler yaparak
geleneksel güvenlik anlayışından uzaklaşmalılardır.
Güvenli Bilinen tehditlere karşı
riske göre önceliği
oluşturulmuş kontroller
belirleme & tehditleri
ortaya çıkarma &
endüstride bulunan siber
güvenlik standartlarına
uyma & regülasyonlar
Siber Güvenlik Günü – 2 Aralık 2014
Üst yönetim için anahtar noktalar
Siber Güvenlik Günü – 2 Aralık 2014
Siber güvenlik için yönetim kuruluna öneriler
1 Denetleme komitesinden ayrı olarak IT Risk komitesi oluşturularak IT risklerini de
içeren kurumsal riskler için sorumluluk verilmelidir. IT ve güvenlik yönetişimi ve siber
güvenlik uzmanlığı için yöneticiler atanmalıdır..
4 Güvenlik ve direnç kültürü oluşturmak için hali hazırda bulunan prosedürler
gözden geçirilmelidir. Kurumlar çalışanlarına “Güvenlik benimle başlıyor”
kültürünü aşılamalıdır.
3 Hali hazırda bulunan siber olay tepki planı geliştirilmelidir. Hassas sistemlere
karşı yönelik kontroller arttırılmalıdır.
2 Risk toleransına ve hassas bilgilerin profiline göre, üst yönetimde yer alacak bir
CISO atanmalıdır.
5 Bayiler ve tedarikçiler için gerekli gizlilik ve güvenlik prosedürleri
oluşturulmalıdır.
Siber Güvenlik Günü – 2 Aralık 2014
Siber güvenlik için yönetim kuruluna öneriler
6 Üst yönetimden gizlilik ve güvenlik risklerine dair düzenli raporlar alınmalıdır.
9 Siber güvenlik sigortasının kullanımı ve ihtiyacı yeniden değerlendirilmelidir.
8 Düzenli olarak kurum dışı kaynaklardan güvenlik & gizlilik programları ile ilgili
gözden geçirme yapılmalıdır.
7 Siber güvenlik için gerekli farkındalık kazanılarak gerekli bütçeler ayrılmalıdır.
Siber Güvenlik Günü – 2 Aralık 2014
Son Sözler
Siber Güvenlik Günü – 2 Aralık 2014
• Ataklar büyümeye ve değişmeye devam etmektedir
• Önemli olan güvenlikte derinliktir – tek aşamalı kontroller yeterli değildir
• Sadece teknoloji çözümleri kullanmak, bilgi güvenliğinde gelişmekte olan
problemlere karşı yeterli olmayacaktır
• Fiziksel ve sanal sınırlarınız içerisine giren yeni teknolojiler ile ilgili gerekli
tanımlamalar yapılarak, prosedürler güncellenmelidir
Bu hiç bitmeyecek
bir yarış
Son Sözler
Siber Güvenlik Günü – 2 Aralık 2014
Güvenlik, mahremiyet ve risk yönetimi servislerimiz ile dünyada lider bilgi güvenliği danışmanlık �rması seçildik.
BSI
ISC2
Uzmanlıklar
ISACA
IAPP
150 üzerinde eğitimli sistem denetçisi (Lead System Auditor)
1,500 üzerinde CISSP serti�kasına sahip çalışan
Geniş yelpazede alan spesi�k serti�kalar
2,000 üzerinde CISA, CISM, & CGEIT serti�kasına sahip çalışan
Mahremiyet serti�kalı uygulayıcılar
Deloitte Üye Firmalarının Yetki Belgeleri
“ Deloitte, müşterilerinden olağanüstü geribildirim almasının yanı sıra kapsamlı ve entegre hizmet
önerilerine sahip şirket olarak belirlendi. Forrester raporu ayrıca, Deloitte’u bilgi güvenliği alanında derin
teknik bilgi ve küresel etkinliği ile vurgularken; güvenlik ve risk danışmanlığı hizmeti veren birinci sınıf şirket
olarak konumluyor.”
Neden Deloitte?
Forrester Research, Forrester WaveTM: Information Security Consulting Services Q1 2013”, Ed Ferrara and Andrew Rose, February 1, 2013
Gartner ranks Deloitte #1 for Information Security Consulting Services Worldwide, based on market share, in 2013
,
Source: Gartner, Market Share Analysis: Information Security Consulting, Worldwide, 2013, Jacqueline Heng, Lawrence Pingree16 May 2014
Deloitte, denetim, vergi, danışmanlık ve kurumsal finansman alanlarında, birçok farklı endüstride faaliyet gösteren özel ve kamu sektörü müşterilerine hizmet sunmaktadır. Dünya çapında farklı bölgelerde 150’den fazla ülkede yer alan global üye firma ağı ile Deloitte, müşterilerinin iş dünyasında karşılaştıkları zorlukları aşmalarına destek olmak ve başarılarına katkıda bulunmak amacıyla dünya standartlarında yüksek kaliteli hizmetler sunmaktadır. Deloitte, 200.000’i aşan uzman kadrosu ile kendini mükemmelliğin standardı olmaya adamıştır.
Deloitte; İngiltere mevzuatına göre kurulmuş olan Deloitte Touche Tohmatsu Limited (“DTTL”) şirketini, üye firma ağındaki şirketlerden ve ilişkili tüzel kişiliklerden bir veya birden fazlasını ifade etmektedir. DTTL ve her bir üye firma ayrı ve bağımsız birer tüzel kişiliktir. DTTL (“Deloitte Global” olarak da anılmaktadır) müşterilere hizmet sunmamaktadır. DTTL ve üye firmalarının yasal yapısının detaylı açıklaması www.deloitte.com/about adresinde yer almaktadır.
Bu belgede yer alan bilgiler sadece genel bilgilendirme amaçlıdır ve Deloitte Touche Tohmatsu Limited, onun üye firmaları veya ilişkili kuruluşları (bütün olarak Deloitte Network) tarafından profesyonel bağlamda herhangi bir tavsiye veya hizmet sunmayı amaçlamamaktadır. Deloitte Network bünyesinde bulunan hiçbir kuruluş, bu belgede yer alan bilgilerin üçüncü kişiler tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.
© 2014. Daha fazla bilgi için Deloitte Türkiye (Deloitte Touche Tohmatsu Limited üye şirketi) ile iletişime geçiniz.
www.deloitte.com.tr
Deloitte Türkiye
İstanbul Ofisi
İstanbul+90 (212) 366 60 00
Ankara OfisiArmada İş MerkeziA Blok Kat:7 No:8Söğütözü, Ankara06510+90 (312) 295 47 00
İzmir OfisiPunta Plaza 1456 Sok.No:10/1 Kat:12 Daire:14 - 15 Alsancak, İzmir+90 (232) 464 70 64
Bursa OfisiZeno Center İş MerkeziOdunluk Mah. Kale Cad. No:10 d Nilüfer, Bursa+90 (224) 324 25 00
Çukurova OfisiGünep Panorama İş Merkezi Reşatbey Mah. Türkkuşu Cad. Bina No:1 B Blok Kat:7 Seyhan, Adana+90 (322) 237 11 00
/deloitteturkiye
/deloitteturkiye
/company/deloitte-turkey
/company/deloitte-turkey
Daha fazla bilgi için
Cüneyt KırlarKurumsal Risk Hizmetleri LideriOrtakckirlar@deloitte.com
Recommended