2. İçerik
• Bilgi Güvencesi (information assurance)
• GRC
– Denetim/Yönetim (Governance)
– Risk yönetimi (Risk Management)
– Kontrol ve Uyum (Control & Compliance)
• Politika Yönetimi (Policy Management)
3.
4. Denetim (Governance)
• İşbirlikçi denetim
amaçlar, müşteriler, politikalar, yasalar ve işbirliği
içerisinde olunan paydaşların yönlendirmeleriyle
denetleme
• Bilgi teknoloji denetimi
IT sistemlerinin performans ve risk yönetimine
odaklanılan işbirlikçi kontrolün bir alt kümesi
5. Denetim Çatısı (Framework)
• Problemler
– Bir şirket için uygulanması zordur.
– Koordine olmamış disiplinler arasındadır
– Politika geliştirmek ve uygulamak kullanışlı değildir.
– Paydaşların anahtar rolleri iyi tanımlanmış değildir.
• Çözümler
– İş birimleri arasında esnek fonksiyonel disiplinler
yerleştirebilir.
– Roller iyi şekilde tanımlanabilir
6.
7. Risk Yönetimi
• Herkesin bir seçeneği vardır.
• Risk bir ateşe benzer. Eğer kontrol altına
alabilirsen sana yardım eder eğer kontrol
altına alamazsan yükselir ve seni yok eder.
(Theodore Roosevelt)
• Risk yönetiminin amacı geçmişi açıklamak
değil; geleceği değiştirmektir. (Dan Borge)
8. Tanımlar ve Terimler
Risk
• İş amaçlarının başarısını etkileyen beklenmedik arzu
edilmeyen etki
Risk Yönetim Sistemi
• Risk ve ödülleri tanımlayan bir sistem
Risk Yönetim Süreci
• Risklerin belirlenmesi, analiz edilmesi , önceliklendirilmesi,
tehditlerin izlenmesi ve ödüllerin belirlenmesi işlemlerinin
paydaşlarla birlikte iletişim halinde değerlendirildiği süreç
9.
10. Risk Belirleme
• Risk belirleme organizasyonun iş amaçlarını gerçekleştirme
başarısını etkileyen önemli faktörlerden biridir.
Gereksinimleri belirleyen yasalar standartlar ile şikayetler
ortaya çıkmadığından iç politikalar veya zorunlu/keyfi
sınırlar incelenmelidir.
• Genel yaklaşımlar
– Dünyada olup bitene bakmak
– Organizasyonu dinlemek ve izlemek
– Riskleri mantıksal çerçevede kategorize etmek
– Tüm açılardan olaya bakabilmek
• Başarısızlığı etkileyen temel faktörler
– Tüm risk faktörlerinin gözlemlenememesi
– Analizde anahtar faktörlerin yanlış belirlenmesi
11. Risk Analizi
• Mevcut risk profili tanımı analiz edilerek kalan riskler belirlenir.
Mevcut risk yönetim aktivitelerine geçilir.
• Genel yaklaşımlar
– Riskler yukarıdan aşağıya veya aşağıdan yukarıya yaklaşımları
kullanılarak analiz edilir.
– Kabul edilebilir risklerin neler olabileceğine ilişkin kriterler açık bir
şekilde belirlenir.
– Belgeleme ve paylaşım
– Kalan risklerin ölçülmesi unutulmamalıdır.
• Başarısızlığı etkileyen temel faktörler
– İstikrarlı olmak
– Sadece tekbir taraftan olaya bakmak
– Sınırlı yöntemler kullanmak
– Kontrolden sonra riskleri değerlendirmek
12. Risk Yönetimi
• Risk yönetimine seçilmiş olayların değerlendirilmesi ve seçeneklere
göre uygulanması
• Genel Yaklaşımlar
– Risk optimizasyon taktiklerini değerlendirme
– Kalan riskleri planlamaya karar verme
– Optimizasyon aktivitelerine karar verme
– Anahtar risk göstergelerini geliştirme
– Risk optimizasyon planı geliştirme
• Başarısızlığı etkileyen temel faktörler
– Yeterli önceliklerin eksikliği
– Yeterli gözlemlemenin olmaması
– Çözüm uzayının yetersiz olması
– Yeterli bütçenin olmaması
– İnsan faktörünün göz önünde bulundurulmaması
13.
14. Kontrol
• Tarayıcı Kontrol
• Önleyici Kontrol Yaklaşımı
– İlişkisi olan herkesin önlenmesi
– Kötü etkilerin etkisinin azaltılması
• Genel Yaklaşımlar
– Süreç kontrolü
– İnsan kontrolü
– Fiziksel kontrol
– Teknolojik kontrol
• Başarısızlığı etkileyen temel faktörler
– Tam olarak tasarlanmamış kontrol
– Yetersiz izleme ve test
– Yeterli kaynakların ayrılmaması
17. Politika Nedir
• İş iletişiminin temel alan biçimdir.
• Belirli amaçları gerçekleştirmek için
tasarlanmıştır.
• Kararları/faaliyetleri belirleyen rehber
ilkelerdir.
• Denetim için temel mekanizmadır.
• Gerekli süreç ve prosedürlerin yazılı biçimidir.
• Bilgi güvenliği yönetimi için temeldir.
18. İyi Politikanın Karakteristikleri
• İş amaçlarından ortaya çıkmaktadır.
• Amaçları tanımlarken açık ifadelere dayanmalıdır.
• İyi tanımlı amaçları başarabilmek için bir rehber
sunmalıdır.
• Bireylerin veya grupların ne istediğini
tanımlamalıdır.
• Belirli şeyleri niçin istediğini açıklamalıdır.
• Müşteriler için pozitif yönlendirmeler
sağlamalıdır.
19. Politika Yazmak için İpuçları
• Basit, açık ve anlaşılabilir bir dil ile yazılmalıdır.
– Eş anlamlı ifadeleri kullanmaktan kaçının
– Genel ifadeler kullanın
– Kısa cümleler kullanın
• Zorunlu olan ifadeler
• Gerekli olan ifadeler
• Politika pratik ve uygulanabilir olmalıdır.
20. Politika Taslağı
1. Politikanın başlığı ve tarihi
2. Amaçların derecceleri
3. Politikanın kapsamı
4. Politikanın ifadesi
5. Roller ve sorumluluklar
6. Uygulama
7. Değerlendirme ve yorumlama
8. Tanımlar
9. Kaynaklar (Referanslar)
10. Tartışmalar, değerlendirmeler