Bilgi Güvenliğinde Sık Yapılan Hatalar

1,723 views

Published on

Kurumlarda Bilgi Güvenliği kurarken ve sertifikasyonunda sık yapılan hatalar.

Murat Lostar'ın ISTSEC'11'de (3/6/2011) yaptığı sunum.

Published in: Business
  • Be the first to comment

Bilgi Güvenliğinde Sık Yapılan Hatalar

  1. 1.
  2. 2. Kurumlarda Bilgi Güvenliği Standart Uygulama Hataları<br />
  3. 3. Lostar Hakkında<br />Hizmetlerimiz<br />Bilgi Güvenliği<br />Bilişim Güvenliği<br />GAP Analizi, ISO 27001 Yönetim Sistemi, Güvenli Yazılım Geliştirme, Teknik Denetimler (Internet/Intranet/DoS/Application/Process Security CheckUp),<br />Suistimal İnceleme ve Adli Bilişim (Computer Forensics) , PCI-DSS<br />Danışmanlık<br />Eğitim<br />Denetim<br />BT Yönetişimi<br />GAP Analizi, CobiT, Val IT, ITIL, ISO 20000, SoX Uyumluluk, Hukuki Uyumluluk, Olay Yönetimi, Değişim Yönetimi, Problem Yönetimi, Varlıkların Sahipliği / Kritikliği BT Dışkaynak Kontrat Danışmanlığı/Denetimi<br />Uzmanlık Alanlarımız<br />İş Sürekliliği<br />BT Sürekliliği<br />GAP Analizi, BS 25999; BS 25777; NFPA 1600; İş Sürekliliği Yönetimi (BCM), BT Felaketten Kurtulma (DRM), Olağanüstü Durum Merkezi, Tatbikat Yönetimleri<br />Employee Security Awareness Methodology – ESAM<br />www.guvenlik.info; GSU; IBU; SU; Açık Radyo; ISACA-Ist<br />Diğer<br />+Geçici Personel +Yazılım Geliştirme<br />
  4. 4. Proje Odağımız ne olmalı?<br />Yanlış: Bilgi Güvenliği<br />Doğru: Bilgi Güvenliği Yönetim Sistemi<br />Planla-Uygula-Kontrol Et-Önlem Al (PUKÖ) Döngüsü<br />Varlık, Risk, Doküman, Kayıt, Olay, DÖF, Değişim, İç Denetim<br />
  5. 5. Politikaları Kim Yazmalı?<br />BGYS Departmanı<br />Kalite Departmanı<br />İş Birimi<br />Danışmanlar<br />
  6. 6. Risk Analiz Yöntemi<br />Risk<br />Varlık<br />Tehdit<br />Açıklık (Zafiyet)<br />Etki<br />Olasılık<br />Basit<br />Düşük – Orta – Yüksek<br />1, 2, 3, 4<br />Karmaşık<br />Formül<br />1..10<br />
  7. 7. Çalışanlar Politikaları Biliyor mu?<br />Çalışanlar politikaları neden okusun?<br />Politikalar nerede yayınlanıyor?<br />
  8. 8. Tüm Kurallara Uyuluyor mu?<br />Çalışanlar kurallara neden uysun?<br />Otomatik / Elle Yapılan Kontroller<br />Tespit / Engelleyici Kontroller<br />Yapılacaktır / Yapar (Geniş zaman, etken)<br />
  9. 9. Politikalar ve ‘Üst Yönetim’<br />Yönetimin bağlığı<br />Bazıları daha eşit<br />Üst Yönetim<br />Orta Yönetim<br />Yönetim Asistanı<br />…<br />
  10. 10. Verileri Sınıflaması<br />Benim işim en önemli!<br />Benim varlığım ‘kritik’, ‘çok gizli’, vb. <br />
  11. 11. Riskleri kim belirler?<br />Bilgi güvenliği departmanı<br />Varlık sahibi<br />Varlık emanetçisi<br />Varlık kullanıcısı<br />Danışman<br />
  12. 12. BGYS Dokümanları<br />Diğer yönetim sistemleri dokümanları ve doküman yönetim sistemi<br />IT dokümantasyon zayıflıkları<br />Entegre yönetim<br />
  13. 13. Hatalar<br />Bilgi güvenliğine odaklanmak<br />İşi ve süreçleri bilmeyenlere politika yazdırmak<br />Karmaşık risk analiz yöntemi kullanmak<br />Kullanıcıların politikaları okuyacaklarını varsaymak<br />Uygulanamaz politikalar yazmak<br />Politikaların ‘üst yönetim’i bağlamaması<br />Verileri sınıflaması: Hepsi ‘çok gizli’ <br />Riskleri ‘bilgi güvenliği departmanının’ yazması<br />Farklı standartlar için ayrı dokümanlar yazılması<br />
  14. 14. Web: www.lostar.com.tr <br />Tel: +90(212)224 9004<br />Twt: @lostar<br />

×