2. Risk ve Uyumluluk – Regülasyon Ortamı
Basel II
• Quantification of market, credit &
Basel II OpRisk and SOX operational risk capital
Basel II and AML
• Regulatory reporting • Frequency & severity estimates • Single customer / counterparty view related
• Key risk indicators (based on PD, LGD and EAD) to suspicious transactions and risk exposure
• Risk / control self-assessments • Loss data capture • Early warning ML detection, transaction
• Operational improvements in the • Risk self-assessments monitoring & case management data /
financial reporting information chain metrics related to ML operations to feed into
Basel II risk assessment activities
• Risk, governance & compliance
org hierarchies
Sarbanes-Oxley (SOX) • Roles & responsibilities Anti-Money Laundering (AML)
• Process transparency &
workflow support • Due diligence for correspondent & private banking
• CEO/CFO certification of financial reports • Integrated and consistent data accounts for foreign banks, entities & individuals
• Management assessment & auditor capture & mgmt • Requires customer due diligence procedures / programs
attestation of internal controls related to • Control environment to screen new and existing accounts (a.k.a. Know Your
financial reporting ‘value chain’ • Integrated dashboards Customer or KYC)
• Real-time disclosure of material changes • Requires all financial institutions to establish an anti-
• Board composition requirements money laundering program
• Sharing of information / data between government
agencies & financial institutions
SOX and IFRS IFRS and Basel II
• Common accounting entry / data definitions IFRS / IAS39 • Shared valuation / calculation of financial assets
• Consistent accounting and financial reporting using fair value methods
practices e.g. reconciliation process to verify • Valuation methods & principles • Instrument specific tracking of hedge effectiveness
• Prospective and retrospective hedge feeding into Basel II credit risk mitigation
IAS figures with US GAAP and local
effectiveness testing • Provisions for impairment of financial assets and
accounting standards
• Disclosure and presentation of financial links with Basel II’s regulatory capital provisions
• Adequate internal controls to ensure the instruments • Reconciliation between financial & risk data
financial statements provide a true and fair • Alignment between IAS reporting and Basel II Pillar
view of the state of affairs of the company. 3 disclosure requirements
Source : Celent
2
6. COBIT
• PO1 Stratejik IT Plan Tanımlama
• PO2 Bilgi Altyapıısıınıın Tanıımlanmasıı - Data Dictionary, Data
Classification, Data Integrity
• PO3 Teknoloji Yönünün Belirlenmesi
• PO4 IT Süreçlerinin, Organizasyon ve İlişkilerin Tanıımlanmasıı–
ş
Risk, Security & Compliance
• PO5 IT Yatırımlarının Yönetimi
• PO6 İletişim Yönetimi Amaçları ve Yönü
• PO7 IT HR Yönetimi
• PO8 Kalite Yönetimi
• PO9 IT Risks Belirlenmesi ve Yönetimi – Governance,
Assessment, Events, Controls, Action Planning
• PO10 Proje Yönetimi
6
8. ş
IT YönetişimTablosu
GRC Intelligence / EGRCM
100+ önceden tanımlı Risk KPI ları,
Sertifikasyon, Kontroller ve kişiselleştirilmiş hata
raporları
Self-servis analizler ve otomatik uyarılar,
interaktif dashboardlar
GRC Reporting & Analysis
Configure Risk Investigate
Review GRC Monitor All
and Control Troubling
Dashboards Open Issues
KPIs KPIs
8
9. ğ
IT Risk Değerlendirme
GRC Intelligence / EGRCM
•Risk Tanımlama, Analiz, Đzleme, Risk Assess multiple risk
classes and monitor
overall risk health
Önleme Faaliyetlerinin Tanımlanması
Kontrol & Ölçme
EGRCM
• Değerlendirme ve Ölçme Sistemleri
İyileştirme ve İstisna Yönetimi
ş
EGRCM
• İstisnaların Belirlenmesi
• İyileştirme Planlarının Oluşturulması ve
İzlenmesi
9
14. Oracle Identity Manager (OIM)
Kimlik YaşamDatabase Vault Value
ş Döngüsünün Yönetimi
• Heterojen yapılar için kimlik yönetimi
• Kural ve politika tanımlama
• İş akışı desteği Kimlik Self Denetim
ı
• Self servis kimlik ve şifre yönetimi Yönetimi Servis Raporları
• Yönetim delegasyonu Hesapları
Hesapların Yetki Şifre
Senkron. Yönetimi Yönetimi
• Kaçak hesapların takibi
• Entegrasyon teknolojisi Takvim ışlar
İş Akışları
Akış ı
Güvenlik
Politikaları
Politikaları
• Denetleme yetenekleri ve yasal
düzenlemelere uyum Hesap Provizyonlama Sunucusu
• İhtiyaçlara göre şekillendirilebilme ve Uygulama Sunucusu
genişletilebilme yetenekleri
İnsan
LDAP, AD.
Kaynakları
Kaynakları
14
15. Oracle Identity Manager (OIM)
Database Vault Value
OIM Tebliğ içerisinde yer alan hangi OIM hangi COBIT hedefleri ile eşleşir?
hedeflerle eşleşir?
Plan and Organise
• Yönetim Gözetimi • PO4 Segregation of Duties
• Görevler Ayrılığı Prensibi
• Yetkilendirme Acquire and Implement
• Denetim İzlerinin Oluşturulması • AI2.4 Application Security and
Availability
Delivery and Support
• DS5 Ensure Systems Security
Monitor and Evaluate
• ME2 Monitor and Evaluate Internal
Control 15
• ME3 Ensure Compliance with
16. Barclays
BUSINESS CHALLENGE ORACLE SOLUTION
• No official record of “who has access to • Implemented OIM as enterprise identity
what” to meet compliance requirements management platform
• No reliable access DB and process for • Enabled self-service account
terminating access when employee leaves management for employees and
firm
managers
• Deployed enterprise-wide integration
methodology and on-boarding, job
change, and termination processes
RESULTS
• 1,000+ applications under centralized management
• Comprehensive “who has access to what” database for compliance and process automation
• Prompt termination of access for all departing employees
• Reduced wait for new resources
16
17. Oracle Access Manager (OAM)
Kimlik Belirleme ve YetkilendirmeValue
Database Vault
• Kurumdaki tüm uygulamalar için ortak kimlik
politikası yönetimi
Kimlik Belirleme
• Şifre, SSL Sertifikaları, akıllı kart, biometrik, vs.
desteği
• Self servis kimlik ve şifre yönetimi
• Denetleme
Yetkilendirme
• Yaygın olarak kullanılan tüm web/uygulama
sunucularına destek
• Yaygın olarak kullanılan tüm dizin sunucularına
destek
Denetleme
17
18. Oracle Entitlement Server (OES)
Database Vault Value
Uygulama İçinde Yetkilendirme Denetimi
ı
• Merkezi Erişim Kuralları Tanımlama ve ar
ıtl rla
y o
rı
Ka p s •
Dağıtma İz l Ra an Er
iş
• ra m e
or • ta im
Ku erf lem Ro nı m ha
• P İz l y la kla
• Yerel Kural Çalıştırma • ön m rı
et a
Oracle im
• Yetki kurallarının tanımlanmasında var olan Devel i
Entitlements
ope
LDAP ve VT yararlanma
rı
r
Server
•
lla
U y nt e
ra
• C/S, Web uygulamalarıyla Entegrasyon Ku a
gu gr
e
ik lam i ile
la as
nl m
m yo
ve anı stem yon
• İz Kayıtlarının Yaratılması
al n
ü
ar
G T Si ras
la
• m g
Id nte
• Raporlar, Performans İzleme • e
18
19. Enterprise User Security (EUS)
Oracle Veritabanı Kimlik DenetimiValue
Database Vault ve Yetkilendirme
ı
• VT Kullanıcı/DBA hesaplarının ve Rollerin
yönetilmesinin kolaylaştırılması
• Merkezi kurum kullanıcısı yönetimi sağlamak
• Dizin Sunucularına aktiflik kazandırmak
• Birden fazla VT, dizin sunucusu entegrasyonu
• Güvenlik açıklarının önlenmesi
• IDM Entegrasyonu ş ş
Merkezleştirilmiş VT Yönetimi
Oracle Directory Entegrasyonu
MS AD Entegrasyonu
Sun Directory Entegrasyonu
19
20. Ministry of Finance Turkey (Muhasebat)
BUSINESS CHALLENGE ORACLE SOLUTION
• The customer was interested in building a • In Q2 2009 customer purchased
complete security infrastructure for their Database Vault, Audit Vault and
environment (including Database Security Enterprise User Security (Directory
and Identity Management) Services) while there was a competition
• They wanted to prevent possible internal against Imperva.
threats regarding Database Security and • This is the first deal involving both
secure their audit logs in order to follow the Database Vault and Audit Vault in Turkey.
5651 Regulation in Turkey. • Active-active OID for EUS with the
metadata repository residing on the RAC
database.
RESULTS
• Database Vault will be used to protect the sensitive data against internal threats.
• Also, customer will be able to monitor user actions and achieve the security of audit log data by
the implementation of Audit Vault with EUS.
20
21. Oracle Adaptive Risk Manager
Database Vault Value
• Web trafiğinin gerçek zamanlı olarak
izlenebilmesi, normal kullanıcı hareketlerinin
profillerinin oluşturulması
• Kural motoru tanımlamalarına göre
hareketlerin ve içeriklerin değerlendirilmesi
• Doğrulama için ek sorular sorabilme
• Potansiyel bir tehdit sırasında işlemi bloke
etme ya da yöneticiyi uyarma
• Denetim verileri üzerinden çevrim-dışı
araştırma yapma
21
22. Oracle Adaptive Strong Authenticator
Database Vault Value
• Kişiselleştirilmiş resimlerle çift taraflı
doğrulama
• Sanal Doğrulama araçları, şifreleri ve PIN
kodlarını, key logger, OCR, vb.
programlara karşı korur.
• Koruyucuların, tarayıcı üzerindeki yerini
gelişigüzel değiştirebilir
22
23. Sekerbank Turkey
BUSINESS CHALLENGE ORACLE SOLUTION
• Customer had a Credit Card Fraud System • Customer examined 3 vendors and chose
implemented by Oracle partner SmartSoft, to use Oracle Adaptive Access
but no solution for internet banking. Management in May 2009.
• Customer was interested to increase the • This is the first OAAM deal in Turkey and
level of Security in the web banking the second sale of Internet fraud
channel and also other channels. prevention solution in Eastern Europe.
• Customer asked to meet regulatory • Sekerbank also selected OAAM to meet
compliance and track online transactions their multiple application integration
for potential fraud by Deloitte. requirements
RESULTS
• Expected results are an increase of the level of Security especially in the web banking channel
and to save money lost in web banking
• Implementation planned for HY2 2009 and will take up to 6 months, with Adaptive Risk
Manager for Internet banking
23
24. Oracle Access Management
Database Vault Value
OAAM hangi COBIT hedefleri ile
eşleşir?
Kurumsal ve Internet Çözümleri İçin;
Acquire and Implement
• Yönetim Gözetimi
• AI2.4 Application Security and
• Kimlik Doğrulama Availability
• Yetkilendirme
• Güvenlik Kontrol Sürecinin Takip Delivery and Support
Edilmesi ve Yönetilmesi
• DS5 Ensure Systems Security
• Kimlik Doğrulama
• Denetim İzlerinin Oluşturulması
Monitor and Evaluate
• ME2 Monitor and Evaluate Internal
Control
• ME3 Ensure Compliance with
24
External Requirements
25. ı
IDM Referansları
se Vault Value
• Eximbank
• Şekerbank
• Turkcell
• Ülker
• IBB, ISKI
• Milli Eğitim Bakanlığı, Maliye Bakanlığı - Muhasebat
• Makine Kimya Endüstrisi
• Noterler Birliği
25