ı
COBIT Yol Haritası

Evrim AKPINAR & Huseyin OZEL
Risk ve Uyumluluk – Regülasyon Ortamı
                                                                Basel II
           ...
Analitik Zorluklar

Performans                                                            Uyumluluk
Org. Performans değerl...
Risk Tipine Göre Yönetim
               Operasyonel, HR ve IT ilişkili riskler dağıtık yönetilmelidirler.




            ...
ığı……Düşünmeye değer
                           ığı
        Birçok kurumun yaptığı    ş         ğ




                    ...
COBIT
• PO1 Stratejik IT Plan Tanımlama
• PO2 Bilgi Altyapıısıınıın Tanıımlanmasıı - Data Dictionary, Data
    Classificat...
IT Governance- Oracle Bakış Açısı



                                                                 GRC Intelligence

  ...
ş
  IT YönetişimTablosu
  GRC Intelligence / EGRCM
         100+ önceden tanımlı Risk KPI ları,
         Sertifikasyon, Ko...
ğ
IT Risk Değerlendirme
GRC Intelligence / EGRCM
•Risk Tanımlama, Analiz, Đzleme, Risk        Assess multiple risk
       ...
İlkelerin Bildirimi ve Onaylanması
                                  ı
 • İlkelerin hazırlığı ve bildirimi,
   dashboardla...
Otomatik Kontrol
                                                                                Konfigürasyon Kontrol Ara...
ş
                  Oracle ile GRC Gelişimi
                                                                              ...
ı ı
Entegre Risk ve Uyumluluk Altyapısı
                Capital Management/Basel II/Solvency II/BI

         Dashboards   ...
Oracle Identity Manager (OIM)
   Kimlik YaşamDatabase Vault Value
            ş  Döngüsünün Yönetimi



• Heterojen yapıla...
Oracle Identity Manager (OIM)
                  Database Vault Value
OIM Tebliğ içerisinde yer alan hangi   OIM hangi COBI...
Barclays

BUSINESS CHALLENGE                             ORACLE SOLUTION
 • No official record of “who has access to      ...
Oracle Access Manager (OAM)
      Kimlik Belirleme ve YetkilendirmeValue
                    Database Vault

• Kurumdaki t...
Oracle Entitlement Server (OES)
                 Database Vault Value
     Uygulama İçinde Yetkilendirme Denetimi


      ...
Enterprise User Security (EUS)
     Oracle Veritabanı Kimlik DenetimiValue
                  Database Vault ve Yetkilendir...
Ministry of Finance Turkey (Muhasebat)


BUSINESS CHALLENGE                                  ORACLE SOLUTION
 • The custom...
Oracle Adaptive Risk Manager
     Database Vault Value
                   • Web trafiğinin gerçek zamanlı olarak
         ...
Oracle Adaptive Strong Authenticator
         Database Vault Value
                    • Kişiselleştirilmiş resimlerle çif...
Sekerbank Turkey


BUSINESS CHALLENGE                                 ORACLE SOLUTION
• Customer had a Credit Card Fraud S...
Oracle Access Management
                 Database Vault Value
                                        OAAM hangi COBIT he...
ı
              IDM Referansları
                     se Vault Value
• Eximbank
• Şekerbank
• Turkcell
• Ülker
• IBB, ISKI...
Soru - Cevap




               26
27
6. ŞİFRE




YAŞINDA

             28
Upcoming SlideShare
Loading in …5
×

Grc Fsi Oracle Day Short 2

976 views
888 views

Published on

Published in: Business, Economy & Finance
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
976
On SlideShare
0
From Embeds
0
Number of Embeds
27
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Grc Fsi Oracle Day Short 2

  1. 1. ı COBIT Yol Haritası Evrim AKPINAR & Huseyin OZEL
  2. 2. Risk ve Uyumluluk – Regülasyon Ortamı Basel II • Quantification of market, credit & Basel II OpRisk and SOX operational risk capital Basel II and AML • Regulatory reporting • Frequency & severity estimates • Single customer / counterparty view related • Key risk indicators (based on PD, LGD and EAD) to suspicious transactions and risk exposure • Risk / control self-assessments • Loss data capture • Early warning ML detection, transaction • Operational improvements in the • Risk self-assessments monitoring & case management data / financial reporting information chain metrics related to ML operations to feed into Basel II risk assessment activities • Risk, governance & compliance org hierarchies Sarbanes-Oxley (SOX) • Roles & responsibilities Anti-Money Laundering (AML) • Process transparency & workflow support • Due diligence for correspondent & private banking • CEO/CFO certification of financial reports • Integrated and consistent data accounts for foreign banks, entities & individuals • Management assessment & auditor capture & mgmt • Requires customer due diligence procedures / programs attestation of internal controls related to • Control environment to screen new and existing accounts (a.k.a. Know Your financial reporting ‘value chain’ • Integrated dashboards Customer or KYC) • Real-time disclosure of material changes • Requires all financial institutions to establish an anti- • Board composition requirements money laundering program • Sharing of information / data between government agencies & financial institutions SOX and IFRS IFRS and Basel II • Common accounting entry / data definitions IFRS / IAS39 • Shared valuation / calculation of financial assets • Consistent accounting and financial reporting using fair value methods practices e.g. reconciliation process to verify • Valuation methods & principles • Instrument specific tracking of hedge effectiveness • Prospective and retrospective hedge feeding into Basel II credit risk mitigation IAS figures with US GAAP and local effectiveness testing • Provisions for impairment of financial assets and accounting standards • Disclosure and presentation of financial links with Basel II’s regulatory capital provisions • Adequate internal controls to ensure the instruments • Reconciliation between financial & risk data financial statements provide a true and fair • Alignment between IAS reporting and Basel II Pillar view of the state of affairs of the company. 3 disclosure requirements Source : Celent 2
  3. 3. Analitik Zorluklar Performans Uyumluluk Org. Performans değerlendirme için bilgiler Manuel ve entegre olamayan süreçler için zamanında ve detaylı gelmiyor zaman kaybediyoruz Farklı Sonuçlar, Raporlar Uyumluluk ilişkili vizyonda eksiklik Tutarsız Hedef ve Ölçümler Performans Tek seferlik ve kısıtlı kapsamlı uyumluluk projeleri Risk bakış açısıyla hazırlanmış öngörü eksikliği Gittikçe artan “Uyumlu olma” Maliyeti Uyumluluk Risk Risk Yönetimi Tutarlı yönetim ve risk önleme faaliyeti yürütülebilen bir ortam yok Farklı bilgi adacıkları arasında Risk Yönetimi Yapma Zorluğu Kurumsal Risk Yönetimini desteklemek için yetersiz iş, fiziksel ve IT standartları Hatalı ve Gecikmiş KRI İzleme 3 © 2009 Oracle Corporation – Proprietary and Confidential
  4. 4. Risk Tipine Göre Yönetim Operasyonel, HR ve IT ilişkili riskler dağıtık yönetilmelidirler. 4 © 2007 Corporate Executive Board. All Rights Reserved.
  5. 5. ığı……Düşünmeye değer ığı Birçok kurumun yaptığı ş ğ Uyumlu Olmam Gerekli Raporlamam Gerekli Otomotize Etmeliyim Regulasyonlar tetikliyor Uyumlu muyum ? Uyumlu olmak Gerek Bir Stratejim Olmalı Kanıtlamak gerek Uyumluluk = hedef Uyumlu olmak maliyetli Otomotize etmem gerek Kanıt = hedef Risk Yönetimi toplam stratejinin bir parçası Kurum Geneli mı? En fazla maliyet avantajı nerede ? 5 © 2009 Oracle Corporation – Proprietary and Confidential
  6. 6. COBIT • PO1 Stratejik IT Plan Tanımlama • PO2 Bilgi Altyapıısıınıın Tanıımlanmasıı - Data Dictionary, Data Classification, Data Integrity • PO3 Teknoloji Yönünün Belirlenmesi • PO4 IT Süreçlerinin, Organizasyon ve İlişkilerin Tanıımlanmasıı– ş Risk, Security & Compliance • PO5 IT Yatırımlarının Yönetimi • PO6 İletişim Yönetimi Amaçları ve Yönü • PO7 IT HR Yönetimi • PO8 Kalite Yönetimi • PO9 IT Risks Belirlenmesi ve Yönetimi – Governance, Assessment, Events, Controls, Action Planning • PO10 Proje Yönetimi 6
  7. 7. IT Governance- Oracle Bakış Açısı GRC Intelligence Dashboards Reporting KRI & Alerts EGRC Manager Obligations & Policies & Risks & Issues & Objectives Processes Controls Incidents GRC Controls SOD & Application Transaction Access Configuration Monitoring Custom or Legacy Applications 7 © 2009 Oracle Corporation – Proprietary and Confidential
  8. 8. ş IT YönetişimTablosu GRC Intelligence / EGRCM 100+ önceden tanımlı Risk KPI ları, Sertifikasyon, Kontroller ve kişiselleştirilmiş hata raporları Self-servis analizler ve otomatik uyarılar, interaktif dashboardlar GRC Reporting & Analysis Configure Risk Investigate Review GRC Monitor All and Control Troubling Dashboards Open Issues KPIs KPIs 8
  9. 9. ğ IT Risk Değerlendirme GRC Intelligence / EGRCM •Risk Tanımlama, Analiz, Đzleme, Risk Assess multiple risk classes and monitor overall risk health Önleme Faaliyetlerinin Tanımlanması Kontrol & Ölçme EGRCM • Değerlendirme ve Ölçme Sistemleri İyileştirme ve İstisna Yönetimi ş EGRCM • İstisnaların Belirlenmesi • İyileştirme Planlarının Oluşturulması ve İzlenmesi 9
  10. 10. İlkelerin Bildirimi ve Onaylanması ı • İlkelerin hazırlığı ve bildirimi, dashboardlar ile izlenmesi, Kullanıcı bildirimleri EGRCM ı ı ı IT Varlıklarının Yönetimi • IT Varlıklarının Yönetimi • Risk ve politikaların tanımlanması ve izlenmesi Kontrol ve İlkelerin Adreslenmesi Tanımlanmış içerik eşlemeleri ve standartlar Dışarıdan içerikleri aktarabilme Source: Gartner 10 © 2009 Oracle Corporation – Proprietary and Confidential
  11. 11. Otomatik Kontrol Konfigürasyon Kontrol Aracı • Uygulamalar arası tanımlamaların takibi ve izinin tutulması, değişim yönetimi Uygulama Erişim Kontrol Aracı • Conflict Paths • SOD Tanımları ve Kontrolleri • Policy Library • İş Akışları ve Denetim Logları • Önceden tanımlanmış içerik Pre-delivered Transaction Controls İşlem Erişim Kontrol Aracı Suspect Transactions • Anormal Girişimlerin Raporlanması, Örnekleme Detection Prevention Define Document or Monitor Enforce Manage Configuration Compare Configuration Change Data Controls Configurations Changes Control Integrity 11 © 2009 Oracle Corporation – Proprietary and Confidential
  12. 12. ş Oracle ile GRC Gelişimi Optimize Pro-aktif Re-aktif Gayri Resmi • GRC hedefleri tüm organizasyona • Tek, standart ve benimsetilmiş • Hata Oluştukça stratejik yaklaşım • Analiz ve trend takibi • Riskler dokumante Gelişmişlik • Uyumlu ama yüksek • Otomatik Prosesler ediliyor • Otomatik risk önleme maliyet • İlkelerin çiğnenmesi ve ileriye yönelik risk • Manuel risk engellenmiş • Manuel Kontrol değerlendirme değerlendirme ve • Anlık politikalar raporlama • İlkeler katı.. • Taktiksel yaklaşım GRC Intelligence • En iyi uygulama yok GRC Manager Access Control Configuration Control Transaction Control GRC Application Suite müşterilerimizin ihtiyaçlarına ve ulaşmak istedikleri bir sonraki gelişmişlik düzeyine uygun çözümler barındırmaktadır. Zaman 12 © 2009 Oracle Corporation – Proprietary and Confidential
  13. 13. ı ı Entegre Risk ve Uyumluluk Altyapısı Capital Management/Basel II/Solvency II/BI Dashboards RAPM Economic Capital Risk Management HR Market Credit Operational ALM Learning Management Loss Internal Controls & SOX Actions Process Mapping RCSA KRI / KCI Documentation Monitoring & Compliance AML Fraud KYC/CDD MiFID Financial Control & Reporting Core Financials Budgeting & Planning BI Enterprise Content Management Records Management Legal Discovery Change Management COBIT:Security, Identity & Data Management Encryption Audit Segregation of Duties Identity Mgmt Master Data Data Warehousing BPEL Workflow Management 13 © 2009 Oracle Corporation – Proprietary and Confidential
  14. 14. Oracle Identity Manager (OIM) Kimlik YaşamDatabase Vault Value ş Döngüsünün Yönetimi • Heterojen yapılar için kimlik yönetimi • Kural ve politika tanımlama • İş akışı desteği Kimlik Self Denetim ı • Self servis kimlik ve şifre yönetimi Yönetimi Servis Raporları • Yönetim delegasyonu Hesapları Hesapların Yetki Şifre Senkron. Yönetimi Yönetimi • Kaçak hesapların takibi • Entegrasyon teknolojisi Takvim ışlar İş Akışları Akış ı Güvenlik Politikaları Politikaları • Denetleme yetenekleri ve yasal düzenlemelere uyum Hesap Provizyonlama Sunucusu • İhtiyaçlara göre şekillendirilebilme ve Uygulama Sunucusu genişletilebilme yetenekleri İnsan LDAP, AD. Kaynakları Kaynakları 14
  15. 15. Oracle Identity Manager (OIM) Database Vault Value OIM Tebliğ içerisinde yer alan hangi OIM hangi COBIT hedefleri ile eşleşir? hedeflerle eşleşir? Plan and Organise • Yönetim Gözetimi • PO4 Segregation of Duties • Görevler Ayrılığı Prensibi • Yetkilendirme Acquire and Implement • Denetim İzlerinin Oluşturulması • AI2.4 Application Security and Availability Delivery and Support • DS5 Ensure Systems Security Monitor and Evaluate • ME2 Monitor and Evaluate Internal Control 15 • ME3 Ensure Compliance with
  16. 16. Barclays BUSINESS CHALLENGE ORACLE SOLUTION • No official record of “who has access to • Implemented OIM as enterprise identity what” to meet compliance requirements management platform • No reliable access DB and process for • Enabled self-service account terminating access when employee leaves management for employees and firm managers • Deployed enterprise-wide integration methodology and on-boarding, job change, and termination processes RESULTS • 1,000+ applications under centralized management • Comprehensive “who has access to what” database for compliance and process automation • Prompt termination of access for all departing employees • Reduced wait for new resources 16
  17. 17. Oracle Access Manager (OAM) Kimlik Belirleme ve YetkilendirmeValue Database Vault • Kurumdaki tüm uygulamalar için ortak kimlik politikası yönetimi Kimlik Belirleme • Şifre, SSL Sertifikaları, akıllı kart, biometrik, vs. desteği • Self servis kimlik ve şifre yönetimi • Denetleme Yetkilendirme • Yaygın olarak kullanılan tüm web/uygulama sunucularına destek • Yaygın olarak kullanılan tüm dizin sunucularına destek Denetleme 17
  18. 18. Oracle Entitlement Server (OES) Database Vault Value Uygulama İçinde Yetkilendirme Denetimi ı • Merkezi Erişim Kuralları Tanımlama ve ar ıtl rla y o rı Ka p s • Dağıtma İz l Ra an Er iş • ra m e or • ta im Ku erf lem Ro nı m ha • P İz l y la kla • Yerel Kural Çalıştırma • ön m rı et a Oracle im • Yetki kurallarının tanımlanmasında var olan Devel i Entitlements ope LDAP ve VT yararlanma rı r Server • lla U y nt e ra • C/S, Web uygulamalarıyla Entegrasyon Ku a gu gr e ik lam i ile la as nl m m yo ve anı stem yon • İz Kayıtlarının Yaratılması al n ü ar G T Si ras la • m g Id nte • Raporlar, Performans İzleme • e 18
  19. 19. Enterprise User Security (EUS) Oracle Veritabanı Kimlik DenetimiValue Database Vault ve Yetkilendirme ı • VT Kullanıcı/DBA hesaplarının ve Rollerin yönetilmesinin kolaylaştırılması • Merkezi kurum kullanıcısı yönetimi sağlamak • Dizin Sunucularına aktiflik kazandırmak • Birden fazla VT, dizin sunucusu entegrasyonu • Güvenlik açıklarının önlenmesi • IDM Entegrasyonu ş ş Merkezleştirilmiş VT Yönetimi Oracle Directory Entegrasyonu MS AD Entegrasyonu Sun Directory Entegrasyonu 19
  20. 20. Ministry of Finance Turkey (Muhasebat) BUSINESS CHALLENGE ORACLE SOLUTION • The customer was interested in building a • In Q2 2009 customer purchased complete security infrastructure for their Database Vault, Audit Vault and environment (including Database Security Enterprise User Security (Directory and Identity Management) Services) while there was a competition • They wanted to prevent possible internal against Imperva. threats regarding Database Security and • This is the first deal involving both secure their audit logs in order to follow the Database Vault and Audit Vault in Turkey. 5651 Regulation in Turkey. • Active-active OID for EUS with the metadata repository residing on the RAC database. RESULTS • Database Vault will be used to protect the sensitive data against internal threats. • Also, customer will be able to monitor user actions and achieve the security of audit log data by the implementation of Audit Vault with EUS. 20
  21. 21. Oracle Adaptive Risk Manager Database Vault Value • Web trafiğinin gerçek zamanlı olarak izlenebilmesi, normal kullanıcı hareketlerinin profillerinin oluşturulması • Kural motoru tanımlamalarına göre hareketlerin ve içeriklerin değerlendirilmesi • Doğrulama için ek sorular sorabilme • Potansiyel bir tehdit sırasında işlemi bloke etme ya da yöneticiyi uyarma • Denetim verileri üzerinden çevrim-dışı araştırma yapma 21
  22. 22. Oracle Adaptive Strong Authenticator Database Vault Value • Kişiselleştirilmiş resimlerle çift taraflı doğrulama • Sanal Doğrulama araçları, şifreleri ve PIN kodlarını, key logger, OCR, vb. programlara karşı korur. • Koruyucuların, tarayıcı üzerindeki yerini gelişigüzel değiştirebilir 22
  23. 23. Sekerbank Turkey BUSINESS CHALLENGE ORACLE SOLUTION • Customer had a Credit Card Fraud System • Customer examined 3 vendors and chose implemented by Oracle partner SmartSoft, to use Oracle Adaptive Access but no solution for internet banking. Management in May 2009. • Customer was interested to increase the • This is the first OAAM deal in Turkey and level of Security in the web banking the second sale of Internet fraud channel and also other channels. prevention solution in Eastern Europe. • Customer asked to meet regulatory • Sekerbank also selected OAAM to meet compliance and track online transactions their multiple application integration for potential fraud by Deloitte. requirements RESULTS • Expected results are an increase of the level of Security especially in the web banking channel and to save money lost in web banking • Implementation planned for HY2 2009 and will take up to 6 months, with Adaptive Risk Manager for Internet banking 23
  24. 24. Oracle Access Management Database Vault Value OAAM hangi COBIT hedefleri ile eşleşir? Kurumsal ve Internet Çözümleri İçin; Acquire and Implement • Yönetim Gözetimi • AI2.4 Application Security and • Kimlik Doğrulama Availability • Yetkilendirme • Güvenlik Kontrol Sürecinin Takip Delivery and Support Edilmesi ve Yönetilmesi • DS5 Ensure Systems Security • Kimlik Doğrulama • Denetim İzlerinin Oluşturulması Monitor and Evaluate • ME2 Monitor and Evaluate Internal Control • ME3 Ensure Compliance with 24 External Requirements
  25. 25. ı IDM Referansları se Vault Value • Eximbank • Şekerbank • Turkcell • Ülker • IBB, ISKI • Milli Eğitim Bakanlığı, Maliye Bakanlığı - Muhasebat • Makine Kimya Endüstrisi • Noterler Birliği 25
  26. 26. Soru - Cevap 26
  27. 27. 27
  28. 28. 6. ŞİFRE YAŞINDA 28

×