Bilgi Güvenliğinde Sık Yapılan Hatalar

  • 1,124 views
Uploaded on

Kurumlarda Bilgi Güvenliği kurarken ve sertifikasyonunda sık yapılan hatalar. …

Kurumlarda Bilgi Güvenliği kurarken ve sertifikasyonunda sık yapılan hatalar.

Murat Lostar'ın ISTSEC'11'de (3/6/2011) yaptığı sunum.

More in: Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,124
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
3

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1.
  • 2. Kurumlarda Bilgi Güvenliği Standart Uygulama Hataları
  • 3. Lostar Hakkında
    Hizmetlerimiz
    Bilgi Güvenliği
    Bilişim Güvenliği
    GAP Analizi, ISO 27001 Yönetim Sistemi, Güvenli Yazılım Geliştirme, Teknik Denetimler (Internet/Intranet/DoS/Application/Process Security CheckUp),
    Suistimal İnceleme ve Adli Bilişim (Computer Forensics) , PCI-DSS
    Danışmanlık
    Eğitim
    Denetim
    BT Yönetişimi
    GAP Analizi, CobiT, Val IT, ITIL, ISO 20000, SoX Uyumluluk, Hukuki Uyumluluk, Olay Yönetimi, Değişim Yönetimi, Problem Yönetimi, Varlıkların Sahipliği / Kritikliği BT Dışkaynak Kontrat Danışmanlığı/Denetimi
    Uzmanlık Alanlarımız
    İş Sürekliliği
    BT Sürekliliği
    GAP Analizi, BS 25999; BS 25777; NFPA 1600; İş Sürekliliği Yönetimi (BCM), BT Felaketten Kurtulma (DRM), Olağanüstü Durum Merkezi, Tatbikat Yönetimleri
    Employee Security Awareness Methodology – ESAM
    www.guvenlik.info; GSU; IBU; SU; Açık Radyo; ISACA-Ist
    Diğer
    +Geçici Personel +Yazılım Geliştirme
  • 4. Proje Odağımız ne olmalı?
    Yanlış: Bilgi Güvenliği
    Doğru: Bilgi Güvenliği Yönetim Sistemi
    Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ) Döngüsü
    Varlık, Risk, Doküman, Kayıt, Olay, DÖF, Değişim, İç Denetim
  • 5. Politikaları Kim Yazmalı?
    BGYS Departmanı
    Kalite Departmanı
    İş Birimi
    Danışmanlar
  • 6. Risk Analiz Yöntemi
    Risk
    Varlık
    Tehdit
    Açıklık (Zafiyet)
    Etki
    Olasılık
    Basit
    Düşük – Orta – Yüksek
    1, 2, 3, 4
    Karmaşık
    Formül
    1..10
  • 7. Çalışanlar Politikaları Biliyor mu?
    Çalışanlar politikaları neden okusun?
    Politikalar nerede yayınlanıyor?
  • 8. Tüm Kurallara Uyuluyor mu?
    Çalışanlar kurallara neden uysun?
    Otomatik / Elle Yapılan Kontroller
    Tespit / Engelleyici Kontroller
    Yapılacaktır / Yapar (Geniş zaman, etken)
  • 9. Politikalar ve ‘Üst Yönetim’
    Yönetimin bağlığı
    Bazıları daha eşit
    Üst Yönetim
    Orta Yönetim
    Yönetim Asistanı

  • 10. Verileri Sınıflaması
    Benim işim en önemli!
    Benim varlığım ‘kritik’, ‘çok gizli’, vb.
  • 11. Riskleri kim belirler?
    Bilgi güvenliği departmanı
    Varlık sahibi
    Varlık emanetçisi
    Varlık kullanıcısı
    Danışman
  • 12. BGYS Dokümanları
    Diğer yönetim sistemleri dokümanları ve doküman yönetim sistemi
    IT dokümantasyon zayıflıkları
    Entegre yönetim
  • 13. Hatalar
    Bilgi güvenliğine odaklanmak
    İşi ve süreçleri bilmeyenlere politika yazdırmak
    Karmaşık risk analiz yöntemi kullanmak
    Kullanıcıların politikaları okuyacaklarını varsaymak
    Uygulanamaz politikalar yazmak
    Politikaların ‘üst yönetim’i bağlamaması
    Verileri sınıflaması: Hepsi ‘çok gizli’
    Riskleri ‘bilgi güvenliği departmanının’ yazması
    Farklı standartlar için ayrı dokümanlar yazılması
  • 14. Web: www.lostar.com.tr
    Tel: +90(212)224 9004
    Twt: @lostar