Saglikta siber guvenlik ve veri guvenligi by cagri polat
LOCARD 2016 20052016 Burak Sadic
1. Siber Risklerin İşletmelere Maliyeti ve Bu Riskleri
Fırsata Dönüştürmek için Yapılması Gerekenler
@adilburaksadic
#Locard2016
2. 2
A. Burak
Sadıç
1995
2003-2013
2014 yılında katıldığı
PricewaterhouseCoopers Türkiye ofisinde
Bilgi Güvenliği ve Siber Güvenlik
Hizmetleri Lideri olarak çalışan Burak’ın
yirmi seneden fazla danışmanlık ve
yönetim deneyimi bulunmaktadır. ODTÜ
Elektrik-Elektronik Mühendisliği
bölümünden 1995 yılında mezun olan
Burak, PwC öncesinde sırasıyla PDI-
Erkom, Siemens, Meteksan, Koç.net,
Innova ve Symantec bünyesinde çeşitli
kademelerde çalıştı. Symantec'teki 10
yıllık iş yaşamının son dört yılında ise
Güneydoğu Avrupa'daki 12 ülke ve
Türkiye'yi kapsayan bölgedeki
danışmanlık ekiplerini yönetti.
2014-…
5. PwC
2015 yılında güvenlik olayları %38 arttı
5
2011 2012 2013 2014 2015
2,562
2,989
3,741
4,948
6,853
* http://www.pwc.com.tr/gsiss
Kurum başına düşen güvenlik olayı sayısı (ortalama)
6. PwC
Ya zararlı yazılımlar?
6
2009 yılında
2,361,414
Yeni zararlı yazılım türedi
* 2016 Symantec Internet Security Threat Report Volume 21
7. PwC
Ya zararlı yazılımlar?
7
2009 yılında
2,361,414
Yeni zararlı yazılım türedi
2015 yılında ise
430,555,582
* 2016 Symantec Internet Security Threat Report Volume 21
8. PwC
Ya zararlı yazılımlar?
8
2009 yılında
2,361,414
Yeni zararlı yazılım türedi
Yani günde
1 Milyondan fazla!!!
2015 yılında ise
430,555,582
* 2016 Symantec Internet Security Threat Report Volume 21
10. PwC
Tehditler Nereden Geliyor?
10
Çalışanlar Eski Çalışanlar Hizmet Tedarikçileri Eski Hizmet
Tedarikçileri
Ürün Tedarikçileri
ve İş Ortakları
2014 2015
35%
30%
18%
13%
15%
34%
29%
22%
19%
16%
* http://www.pwc.com.tr/gsiss
17. PwC
Siber Tehditlerin Hedefi ?
17
Müşteri Bilgileri Çalışan Bilgileri Sistem ya da bilgilerin
zarar görmesi
Basit Ticari Sırlar Kritik Ticari Sırlar
2014 2015
28% 29%
20%
24%
15%
38%
33%
26% 25%
23%
* http://www.pwc.com.tr/gsiss
18. PwC
Siber Risklerin Maliyeti
18
Senelik gelir
<100 milyon $
Senelik gelir: 100 milyon $ -
1milyar$
Senelik gelir > 1 milyar $
2014 2015
$4.9
milyon
$5.9
milyon
$1.3
milyon
$1.3
milyon
$940,429
$428,471
* http://www.pwc.com.tr/gsiss
Güvenlik olaylarının senelik ortalama maliyeti
19. PwC
Bütçelerdeki artış
19
2011 2012 2013 2014 2015
$2.7
milyon
$2.8
milyon
$4.3
miiyon
$4.1
milyon
$5.1
milyon
* http://www.pwc.com.tr/gsiss
Bütçe ortalaması
20. PwC
Bütçelerdeki artış (Şirket büyüklüğüne göre)
20
Senelik gelir
<100 milyon $
Senelik gelir: 100 milyon $ -
1milyar$
Senelik gelir > 1 milyar $
2014 2015
$10.1
miiyon
$10.0
milyon
$3.3
milyon
$2.8
millyon
$1.5
milyon
$733,052
* http://www.pwc.com.tr/gsiss
23. PwC
Veri güvenliğine ilişkin yükümlülükler
23
MADDE 12-
(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak
zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi
hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken
sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak
amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı
olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden
ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri
sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu,
kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
* http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf
24. PwC
Cezalar
24
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler
hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine
getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler
hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne
aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel
hukuk tüzel kişileri hakkında uygulanır.
Suçlar
MADDE 17-
(1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli
ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde
hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel
verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı
Kanunun 138 inci maddesine göre cezalandırılır.
* http://www.resmigazete.gov.tr/eskiler/2016/04/20160407-8.pdf
30. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
30
Bilgi Güvenliği Yöneticisi bulunduran kurumlar?
31. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
31* http://www.pwc.com.tr/gsiss
Bilgi Güvenliği Yöneticisi bulunduran kurumlar?
32. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
32
Bilgi Güvenliğinden sorumlu üst düzey yöneticilerin bağlı bulunduğu makam
23%
Yönetim
Kurulu
15%
CTO
13%
CPO
25%
CIO
36%
CEO
* http://www.pwc.com.tr/gsiss
33. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
33
Düzenli bilgi güvenliği farkındalık eğitimleri?
34. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: İnsan
34
Düzenli bilgi güvenliği farkındalık eğitimleri
Üst yönetime özel farkındalık eğitimleri?
36. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Süreç
36
Risk bazlı bir bilgi güvenliği yönetimi çerçevesi kullanan kurumlar?
(ISO 27001, SANS, NIST, ISF ve benzeri)
37. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Süreç
37* http://www.pwc.com.tr/gsiss
Risk bazlı bir bilgi güvenliği yönetimi çerçevesi kullanan kurumlar?
(ISO 27001, SANS, NIST, ISF ve benzeri)
38. PwC
Doğru Bilgi Güvenliği ve Siber Güvenlik Yatırımları: Teknoloji
38
Güvenlik
İNSAN
SÜREÇ
TEKNOLOJİ