BİMY 17, Bilgi İşlem Merkezi Yöneticileri Semineri, 16 Nisan 2010, Antalya

1. BİLİŞİM TEKNOLOJİLERİNDE
HİZMET YÖNETİMİ ve BİLGİ
GÜVENLİĞİ
Ahmet PEKEL
Antalya, 16 Nisan 2010
1 / 39

2. Hizmet = Değer Sunmak
Beklentiler:
 İyi vakit
geçirmek
 Mutfak
 Lezzetli
 Makine dairesi
yemekler
 Gemi elektroniği
 Limana
GÜVENLİ
varış
2 / 39

3. BT Hizmet Yönetimi
Daha kaliteli hizmet
Daha hızlı sorun çözümü
Daha düşük destek maliyetleri
3 / 39

4. BT’de Kalite Hedefleri
• Süreklilik
• Güvenlik
• Güvenilirlik
• Kullanıcı memnuniyeti
• Kaynakları verimli kullanma
• Uyumluluk
4 / 39

5. DAHA İYİ HİZMET VE KALİTELİ
ÜRÜNLER SUNABİLMEK İÇİN
SÜREÇLERİN İYİLEŞTİRİLMESİ
GEREKİR...
5 / 39

6. 6 / 39

7. BT Hizmet Yönetimi Gelişimi
Hizmet Yönetimi,
2007
Odaklanma: İş-BT Uyumu &
Stratejik ITIL v3 Entegrasyonu
Ortak • İş & Teknoloji için Hizmet Yönetimi
• Otomatik ve Entegre Operasyonlar
BT Hizmet Yönetimi,
• BT Yönetişimi
2000/2001 • Sürekli Geliştirme
BT’nin Rolü
Hizmet
Sağlayıcı Odaklanma: BT Süreçlerinin
ITIL v2 Kalitesi ve Verimliliği
• BT hizmet sağlayıcıdır
BT Altyapı • BT İş’ten ayrıdır.
Yönetimi,1980 • BT bütçesi kontrol edilmesi
gereken maliyettir.
Odaklanma: Teknoloji Altyapısının Kontrolü
Teknoloji • BT teknik odaklıdır.
Sağlayıcı • BT İş kesintilerinin azaltılması için çalışır.
ITIL v1
7 / 39
Zaman Kaynak : Deloitte, 2009

8. BT Hizmet Yönetimi
Vaka Yönetimi
Olay Yönetimi
Hizmet Kataloğu Geçiş Planlama &
Talep Yönetimi
Yönetimi Destek
Hizmet Seviyesi
Değişiklik Yönetimi Problem Yönetimi
Yönetimi
Hizmet Varlık &
Kapasite Yönetimi Erişim Yönetimi
Konfigü. Yönetimi
Finansal Yönetim Yaygınlaştırma &
Erişilebilirlik Yönetimi Hizmet Masası
Sürüm Yönetimi
Hizmet Portföy BT Hizmet Sürekliliği Hizmet Doğrulama &
Yönetimi Teknik Yönetim
Yönetimi Test
Bilgi Güvenliği BT Operasyonları
Gereksinim Yönetimi Değerlendirme
Yönetimi Yönetimi
Strateji Üretimi Tedarikçi Yönetimi Bilgi Yönetimi Uygulama Yönetimi
Hizmet Hizmet Hizmet Hizmet
Stratejisi Tasarımı Geçişi Operasyonu
Sürekli Hizmet Geliştirme
Hizmet Geliştirmenin 7 Adımı
Hizmet Raporlama Hizmet Ölçme
8 / 39 Kaynak:Deloitte, ITIL v3, 2009

9. BT Hizmet Tasarımı
İnsan
 Hizmetler
 Teknoloji Ürünler Süreç
 Gereçler
Paydaşlar  Tedarikçiler
 Üreticiler
 Satıcılar
9 / 39

10. Türkiye’de internet kullanıcı sayısı 2000-2009 yılları
arasında 12 kat büyüdü. Nüfusun (75 milyon 738 bin 836)
%35’i internet kullanıcısı (26 milyon 500 bin).
(Kaynak:http://www.internetworldstats.com,
31 Mart 2009)
10 / 39

11. Güvenlik ?
11 / 39

12. Tehdit Unsurlarının Amaçları Farklı
Olabilir...
12 / 39

13. Tehdit Unsurlarının Yöntemleri Çeşitlilik
Gösterebilir...
13 / 39

14. Amaç Korumaksa...
14 / 39

15. Varlık Koruma
Koruma, korunan şeyin değeriyle
doğru orantılı olmalıdır.
15 / 39

16. Varlık
Bilgi
İtibar Yazılım
VARLIK
İnsan Donanım
Hizmet Mekan
16 / 39

17. Bilgi Varlık Sınıflaması
Çok Gizli
Gizli
Özel
Hizmete Özel
Kişiye Özel
Tasnif Dışı
17 / 39

18. Bilgi Varlık Sınıflaması
Çok Gizli Gizli Özel Hizmete Kişiye Tasnif
Özel Özel Dışı
Erişim Üst
Hakları Yönetim
? ? ? ? ? ?
Çelik Kasa
Saklama ? ? ? ? ? ?
Özel Kurye
İletim ? ? ? ? ? ?
Kağıt
İmha Parçalayıcı
? ? ? ? ? ?
18 / 39

19. Bilgi Varlık Değerinin Belirlenmesi
Değerlendirme Kriterleri Gizlilik Bütünlük Erişebilirlik
İş Kaybı ? Yüksek
? ?
İtibar Kaybı Çok Düşük
? ? ?
Ek Maliyetler ? ? Çok Yüksek
?
Yasal Yükümlülükler ? Orta
? ?
Çalışanların Morali Düşük
? ? ?
Çok Yüksek = 5, Yüksek = 4, Orta = 3, Düşük = 2, Çok Düşük = 1
19 / 39

20. Bilgi Varlığı Bazında Risk Değerlemesi
Varlık : Taşınabilir Bellek
Varlık Değeri : İçindeki Bilginin Değeri
Zayıflık : Korunmasız bir şekilde açıkta bırakılması,
taşınabilir olması nedeniyle kaybolma tehlikesi
Tehdit : Hırsızlık
Risk : Gizli bilginin ele geçmesi, maddi kayıp veya
itibar kaybı
RİSK = f(VARLIK DEĞERİ, TEHDİT, ZAYIFLIK , OLASILIK)
20 / 39

21. ISO 27001 Kapsamı
Yönetsel Süreçler
Yönetsel
Bilgi Güvenliği
Politikası Teknik Süreçler
Fiziksel Süreçler
Bilgi Güvenliği
Organizasyonu
Varlık ve Risk Uyumluluk
Yönetimi
BS 25999
İş
Sürekliliği
İnsan Kaynakları İş Sürekliliği Yönetimi Yönetimi
Güvenliği
Operasyonel
Fiziksel ve Çevresel Bilgi Güvenliği Olay
Güvenlik Yönetimi
Bilgi Sistemleri Haberleşme ve İşletim
Erişim Kontrolü
21 / 39 Geliştirme, Bakım
Edinim, Yönetimi

22. ISO 27000 SERİSİ TARİHSEL GELİŞİMİ
22 / 39

23. ISO 27001 STANDARDI
Bilgi güvenliği yönetim metodolojisidir,
Yapısaldır,
Süreç temellidir,
Yönetsel süreçlere ihtiyaç duyar,
En iyi uygulamalara göre geliştirilmektedir.
Teknoloji ölçme aracı değildir.
Teknik bir standart değildir.
23 / 39

24. SERTİFİKA, GÜVENLİK VE KALİTE
SEVİYENİZİ YÜKSELTMEZ;
GÜVENLİK ve KALİTE
GEREKLİLİKLERİNİ YERİNE
GETİRDİĞİNİZ SÜRECE SERTİFİKA
ALMAYA HAK KAZANABİLİRSİNİZ.
GÜVENLİK ve KALİTEDE
DEVAMLILIK ESASTIR...
24 / 39

25. Web sitesi ataklarının %78’i yazılım
katmanında gerçekleştiriliyor (Cenzic
Web Application Security Trends
Report, 2009)
Uygulama
Güvenliği
Sistem
Güvenliği
Ağ
Güvenliği
25 / 39

26. Yazılım güvenliği konusunda
farkındalık yeterli değil !
Uygulama güvenliğini yazılım
geliştirme yaşam döngüsünün
parçası olarak ele alan
organizasyonların oranı : %31
(Deloitte, 2008).
26 / 39

27. Yazılım Geliştirmede CMMI (Bütünleşik
Olgunluk Modeli)
27 / 39

28. Tespitler...
 Yazılım güvenliği konusunda farkındalık yeterli değil.
 Organizasyon düzeyinde
 Yazılım geliştirici düzeyinde
 Tedarikçiler düzeyinde
 Güvenlik, çoğu kez kod geliştiricinin öncelikleri arasında
yer almıyor, zaman kaybettirdiği düşünülüyor.
 Hızlı kod geliştirme ihtiyacı, güvenlik kontrollerinin
gerçekleştirilmesinde direnç oluşmasına neden oluyor.
 Eğitim ihtiyacı var.
 Uygulama Güvenliği ve Farkındalık Eğitimleri
 Üniversitelerde ders olarak verilebilir.
 E-öğrenme olanakları kullanılabilir.
 E-Devlet çalışmaları kapsamında ele alınabilir.
28 / 39

29. Güvenlik açıkları kodu baştan
yazmayı gerektirebilir...
• Uygulama Geliştirme Güvenliği, Uygulama Geliştirme Yaşam
Döngüsünün bir alt süreci olarak ele alınmalıdır.
– Yazılım geliştirme ve bakım aşamalarında kod düzeyinde
güvenlik test süreci ilave edilmelidir.
– Geliştirme zamanının belli bir bölümü (%5-10) kod analizine
ayrılmalıdır.
– Kontroller otomatik ve manuel düzeyde iki aşamalı yapılmalıdır.
• Kontroller ;
– kod yazılırken,
– geliştirme sonrasında, üretime geçiş öncesinde,
– üretimde belli periyodlarda yapılmalıdır.
– Dışarıdan alınan test hizmetlerine uygulama güvenliğine yönelik
kontroller ilave edilmelidir.
29 / 39

30. Mobil Teknolojilerdeki Gelişmeler Kapsamında
Uygulama Güvenliği...
• GSM operatör bilgilerine göre Türkiye’de 2009’un
3.çeyreği itibariyle 63.8 milyon civarında cep
telefonu abonesi bulunuyor.
• 3G (>4G) teknolojilerinin kullanımı ile birlikte mobil
uygulamaların kullanım oranlarında daha hızlı bir
artış beklenebilir.
• Mobil uygulama güvenliği GSM operatörleri,
uygulama sahibi kurum ve kuruluşlar, kullanıcılar
çerçevesinde farkındalık yaratılması gereken
alanlardan biridir.
30 / 39

31. Bilgi Güvenliğinde Öncelikli İlk Beş
Konu
31 / 39 Kaynak : 2008 Global Security Survey, Deloitte

32. İlgili Düzenlemeler
• BASEL II Sermaye Uzlaşı Belgesi, AB
Haziran 1999
• Sarbanes-Oxley Kanunu, ABD
Temmuz
2002
• 5018 Kamu Mali Yönetimi ve Kontrol Kanunu
Kasım 2003
Ekim 2006
• 5411 Bankacılık Kanunu
Mayıs 2006
• Bankalarda Bilgi Sistemleri Denetimi Yönetmeliği
32 / 39

33. İlgili Düzenlemeler (devam)
Temmuz
• Bilgi Toplumu Stratejisi ve Eylem Planı
2006
Kasım
• Kamu İç Denetim Standartları
2006
• Kamu İç Kontrol Standartları Tebliği
Aralık 2007
• Türkiye Denetim Standartları Kurulu Kurulmasına Yönelik Çalışma
Mayıs 2008
• Kamu Denetim Kurumu Kanun Tasarısı
Mayıs 2008
• Ulusal Sanal Ortam Güvenlik Politikası
Şubat 2009 • E-Dönüşüm Türkiye Projesi Birlikte Çalışabilirlik Esasları Rehberi
Ağustos
• E-Devlet ve Bilgi Toplumu Kanun Tasarısı Taslağı
2009
33 / 39

34. COBIT (Control Objectives for Information and
Related Technology) KONTROL HEDEFLERİ
•PO1 Define Strategic IT Plan
•AI1 Identify Automated Solutions
•PO2 Define Information Architecture
•AI2 Acquire & Maintain Application Software
•PO3 Determine Technological Direction
•AI3 Acquire & Maintain Technology Infrastructure
•PO4 Define IT Processes, Organization, Relations
•AI4 Enable Operation & Use
•PO5 Manage IT Investment
•AI5 Procure IT Resources
•PO6 Communicate Aims & Direction
•AI6 Manage Change
•PO7 Manage IT Human Resource
•AI7 Install & Accredit Solutions & Changes
•PO8 Manage Quality
•PO9 Assess & Manage IT Risks
• PO10 Manage Projects
Plan & Organize Acquire & Implement
(Planlama ve Organizasyon) (Tedarik ve Uygulama)
•DS1 Define & Manage Service Levels
•DS2 Manage Third Party Services
Monitor & Evaluate Deliver & Support •DS3 Manage Performance & Capacity
•ME1 Monitor & Evaluate IT (İzleme ve Değerlendirme) (Teslimat ve Destek) •DS4 Ensure Continuous Service
Performance •DS5 Ensure System Security
•ME2 Monitor & Evaluate Internal •DS6 Identify & Allocate Costs
Control •DS7 Educate & Train Users
•ME3 Ensure Regulatory •DS8 Manage Service Desk & Incident
Compliance •DS9 Manage Configuration
•ME4 Provide IT Governance •DS10 Manage Problems
•DS11 Manage Data
•DS12 Manage Physical Environment
•DS13 Manage Operations
34 / 39

35. Süreç Olgunluk Seviyeleri
35 / 39 Kaynak:Deloitte,2009

36. Bilgiye Kurumsal Koruma
36 / 39

37. Bilginin Korunmasında Yönetsel Destek
YÖNETİM Tehdit
Tehdit
Süreçler, Standartlar, Kurallar
BİLİNÇLİ ÇALIŞANLAR
TEKNOLOJİK ve
Tehdit BİLGİ
BİLGİ
FİZİKSEL ÖNLEMLER
Tehdit
EĞİTİM Tehdit
37 / 39

38. Bilginin Korunmasında Yönetsel Destek
Vizyon
Stratejiler
Politikalar
Planlar
BGYS
38 / 39

39. Teşekkürler...
Ahmet PEKEL
39 / 39