1. Bilgi Güvenliği Bulgu
Yönetim Sistemi
Ayşim Niksarlı
Bilgi Güvenliği Bölüm Müdürü, Halkbank
aysim.niksarli@halkbank.com.tr
1
2. Gündem
• 1938’den Bugüne Halkbank
• Bilgi Güvenliği Bulgu Takibi
• Yapılan Düzenlemeler
• Elde Edilen Sonuçlar / Yararlar
• Öğrenilmiş Dersler
2012
2
3. 1938’den Bugüne Halkbank
Vizyonumuz
Evrensel bankacılığın tüm gereklerini
yerine getiren, bireysel hizmetlerde
güçlü, bölgenin lider KOBİ bankası
olmak.
Sayılar
• Şube sayısı: + 735
• Daire Başkanlığı : 52
• Bölge Koordinatörlükleri : 21
• Yurtdışı Şube ve Temsilcilikler : 8
• Personel Sayısı : + 14716
• 3 BT Daire Başkanlığı
• + 420 BT çalışanı
3
4. Bilgi Güvenliği Bulgu Takibi
• Çeşitli kurumların yaptığı bilgi güvenliği
testlerinin sonuçlarından oluşan bilgi güvenliği
bulgularının ayrı ayrı raporlar üzerinden takip
ve kontrolünün sağlanmasının zaman
içerisinde güç bir hal alması,
• Bilgi güvenliği bulgularının
sınıflandırılmasının, önceliklendirilmesinin ve
kritiklik seviyelerinin belirlenmesi sürecinin
zorlaşması,
• Bilgi güvenliği bulgularının atanmasının
bulgu bazında yapılmasının zorlaşması,
• Kontrolü güçleşen bulguların iyileştirme
sürecinin uzaması, etkin zaman planlamasının
sağlanamaması.
4
6. Bilgi Güvenliği Bulgu Havuzu
Tüm bulguların bir araya toplandığı Bilgi Güvenliği Bulgu Havuzu kayıtları için bir
excel dosyası hazırlanmıştır ve bu bulgu havuzunda aşağıdaki kolon başlıklarına yer
verilmiştir:
•Bulgu Kaynağı Referans Numarası: Bulgu numarası
•Bulgu Kaynağı: Bulgunun hangi rapordan geldiği
•Bulgu Tanımı: Bulgunun ne olduğu
•Kurum: Etkilenen kurum adı
•Önem Derecesi: Bulguların önem dereceleri (Düşük / Orta / Yüksek)
•Açıklığın Etkisi: Bulgunun işe olan etkisi
•Lokasyon: Bulgunun hangi lokasyonlara etki ettiği
•Profil: Bulgunun nereye (kurum içi veya kurum dışı) etki ettiği
•Bileşenler: Açıklıktan etkilenen sunucu ve ekipmanlar
•Çözüm Yöntemi: Bulgunun nasıl giderileceği
•Açılış Tarihi: Bulgunun açıldığı tarih
•Bulgu İletim Tarihi: Bulgunun sorumlu birime gönderildiği tarih
•Aksiyon Başlangıç Tarihi: Aksiyonların alınmaya başlandığı zaman
•Aksiyon Bitiş Tarihi: Yapılan aksiyonun bittiği zaman
•Aksiyon Açıklama: Yapılan aksiyonların detayları
•Sorumlu Bölüm Müdürü
•Sorumlu Yönetmen
6
7. Bilgi Güvenliği Bulgu Havuzu
• Periyodik toplantılarla değişiklikler ve ihtiyaçlar
saptanmış, yeni eklenenler, kapatılan bulgular, aylık
ortalama bulgu sayısı, bir dahaki toplantı için
hedefler belirlenmiştir. Her toplantıda bulguların
gelişimleri, öncelikli kapatılacak olanların durumu
kontrol edilmiş, gerekli bölüm müdürleri ile
bulguların aksiyon durumları hakkında bilgi
alışverişi sağlanmıştır.
• Bilgi güvenliği bulgu gözlemlerinin sağlanması
kolaylaştırılmıştır.
• Başta amaçlanan ile sonunda elde edilenlerin
örtüşmesi sağlanmıştır.
•Bulgu envanteri üzerindeki sorgulamalarla
etki, öncelik, vb. analizlerle etkin kaynak ve yatırım
planlaması sağlanmıştır.
7
8. Ölçmeden Olmaz – Metrikler
• Bulgu olgunluğu ve bulgu etkisi metriklerinin çıkarılması
• Kapalı bilgi güvenliği bulgularının ilgili kurumun
bulgularına yüzdesel olarak oranlanması bulgu
olgunluğu metriğini verir.
• Durumu açık olan bilgi güvenliği bulgularının önem
dereceleri baz alınarak (yüksek,orta,düşük), katsayı
esasına göre puanlandırmasının yapılıp ortaya çıkan
sonucun trend analizi ile değerlendirilmesi ise bulgu
etkisi metriğini verir.
8
9. Tablolar, Grafikler
• Bilgi güvenliği bulgularının sorumluluk
dağılımının yapılması
• Birim bazına atanan bulgu sayılarının tespit
edilebilmesi
• Bulgu bildirimleri ile sürekli son durum bilgisi
akışının ekipler çapında sağlanmış olması
9
10. Öğrenilmiş Dersler
• Bilgi güvenliği bulgu takibi sürecinin kurulması
• Bulgu takip ve kontrolünün kolaylaştırılması
• Bilgi güvenliği metriklerinin yapılması ve ölçülmesine zemin
hazırlaması
• Başarılı sonuç için sorumlulukların paylaşımı her kademede
farkındalığın artırılması
•Sonraki adım: GRC aracı üzerinden takip
10