3. 3
Mazars Denge 40 yıllık tecrübesiyle, farklı sektörlerde 1000’den fazla firmaya (%50’den fazlası uluslararası firma),
17’si Yeminli Mali Müşavir olan 36 ortağıyla beraber Türkiye’de 6 ayrı merkezde, toplam 7 ofisteki (İstanbul’da 2,
Ankara, Bursa, Denizli, İzmir ve Gaziantep) 360 kişilik uzman kadrosuyla hizmet vermektedir. Türkiye’nin ilk 5
denetim firması arasındaki Mazars Denge, aşağıdaki alanlarda kaliteli ve butik hizmet anlayışıyla müşterilerine
servis vermektedir:
Denetim: KGK, SPK, UFRS, Hazine, BDDK düzenlemeleri çerçevesinde Denetim
Vergi: Danışmanlık, Tam Tasdik, Revizyon, Vergi Planlaması, Transfer Fiyatlandırması, KDV İadesi
Bilgi Güvenliği: BT Güvenlik ve Yönetişim Denetim ve Danışmanlık, Teknik Güvenlik Denetim/Danışmanlık,
Kredi Kartı Güvenliği, BGYS danışmanlığı
Danışmanlık: Kurumsal Finans Danışmanlığı (Şirket Değerlemesi, Birleşme Devralmalar, Halka Arz Öncesi
Danışmanlık, Proje Finansmanı, Sermaye Piyasaları Mevzuat Danışmanlığı), İç Denetim Ve Stratejik
Danışmanlık
AOS (Muhasebe Hizmetleri): Raporlama, Bordrolama, Muhasebe Revizyonu
Gümrük Müşavirliği
Sosyal Güvenlik Müşavirliği
Eğitim Hizmetleri
M A Z A R S D E N G E H A K K I N D A
G E N E L B A K I Ş
5. 5
€1,25 Milyar +920 Ortak 10 Yılda 2 Kat
Gelişim
18,000
Profesyonel
2005’te €500 M
Avrupa’da 70%
50%’si Denetim
Girişimcilik ruhu
20 yıldır büyüyen
uluslararası ortaklık
Değişim vizyonu
95 Ülke
79 entegre ülke
16 muhabir ülke
+20 Praxity Alliance
kapsamındaki ülke
Denetici ve Danışman
+90 farklı milliyet
50% kadın – 50%
erkek
x2.5 Gelirler
x2.5 Ekip
x2 Ofisler
M A Z A R S D E N G E H A K K I N D A
G E N E L B A K I Ş
7. 7
B İ L G İ G Ü V E N L İ Ğ İ H İ Z M E T L E R İ
H İ Z M E T L E R K A P S A M I
İş Stratejisi
UYUM VE YÖNETİŞİM
Cobit 5
PCI DSS 3.2
ISO 27001:2013
NIST Cyber Security
KVK
BDDK & BTK
BT YETKİNLİKLERİ
Güvenlik Yönetim
Altyapı Yönetimi
Veri Yönetimi
Sunucu Yönetim
Servis Yönetim
BT Strateji Yönetimi
TEKNİK ALTYAPI
Varlıklar
Güvenlik Mimarisi
Ağ ve Veri Merkezi
Güvenlik Cihazları
Sunucular
Veritabanları
8. 8
B İ L G İ G Ü V E N L İ Ğ İ H İ Z M E T L E R İ
U Y U M V E Y Ö N E T İ Ş İ M YA K L A Ş I M I
ANALİZ GELİŞTİRME UYARLAMA
YÖNETİŞİM
İŞLETİM
Gelişim Fırsatları
Tespiti
Güvenlik Zafiyet
Analizi
Süreç Riskleri
Teknik Altyapı
Analiz
Düzenli İyileştirme
Politika &
Prosedürler
Süreç Tasarım &
İyileştirmeler
Altyapı Geçiş Planı
Eğitimler
Süreç İşletim
Altyapı Uyarlamaları
Gözlem ve
Değerlendirme
İç Denetim
9. 9
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I K A N U N U
• 6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan
2016 tarihinde resmi gazetede yayınlanarak artık
yürürlüğe girmiş bulunmaktadır.
• Kanunun amacı kişisel verilerin işlenmesinde başta
özel hayatın gizliliği olmak üzere kişilerin temel hak
ve özgürlüklerini korumak ve kişisel verileri işleyen
gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
• Kapsamı incelediğinde müşteri bilgilerini ilgilendiren şirketler, tedarikçileri, süreç ve
sistemler kapsama dahil oldu.
• Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle çalıştığını
düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar değinilmesi gereken bir
konu olarak görülmektedir.
10. 10
Her Türlü Bilgi
• Bilginin niteliğine ilişkin hiçbir sınırlama yok - İsim, kimlik
bilgisi, alışkanlıklar, görüntü, ses, biometrik bilgiler vs.
Kişiye İlişkin
• İçerik veya amaç veya sonuç bakımından kişi ile ilgili olması
yeterlidir
Kimliği
Belli/Belirlenebilir
• Doğrudan veya dolaylı olarak kişinin tanımlanmasında
kullanılabilmesi yeterlidir.
Takma Ad Kullanımı
(Pseudonymisation)
• Teknik olarak kişinin gerçek kimliği hakkında bilgi edinmek
mümkün olduğu için kişisel veri sayılır - Ancak çok etkili bir
koruma yöntemi olması dolayısıyla önemlidir.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel bilgi sayılır !
Verinin anonim hale getirilmesi ile kişinin gerçek kimliği hakkında bilgi edinmek
mümkün olmayacağından bunlar kişisel veri sayılmaz.
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I K A N U N U
11. 11
Veri Çıkış Kanalları
Veri Paylaşılan
Tedarikçiler
Süreç Tasarım
Yeterlilik
Güvenlik Önlemleri
BT Sistemleri
Veri Sınıfları ve
Lokasyonları
Müşteri Bilgileri Sözleşmeler
Hukuksal
Yaklaşımlar
Personel ve IK
Süreçleri
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
S A D E C E K İ Ş İ S E L V E R İ Y İ K O R U M A K M I ?
12. 12
Çıktılar Veri sınıflandırma olgunluk değerlendirme raporu
İş birimleri KVK analiz raporları
Veri akış şemaları
Girdi/Çıktı noktaları sınırlandırma analiz raporu
KVK sistemleri ağ ayrım analizi
Ağ ayrımı kararları risk analizi
Erişim denetim raporu ve aksiyon planları
Görevler ayrılığı matrisi
Veri iletim güvenlik kontrolleri matrisi
Bilgi Gönderim Adımları Güvenlik Süreç Dokümanı
Bilgiye Erişim ve Paylaşım
KVK Güvenlik Olay Yönetim
Yetkilendir
meler
KVK
UYUM
Veri
Şeması
Teknik
Güvenlik
Gelişim
Fırsatları
Uyumluluk
Yol Haritası
Değer
Analizi
Devamlılık
lık
Kontrolleri
Proje
Statü
Raporları
Veri İletim
Kanalları
Ağ
Güvenlik
Veri
Sınıflandır
ma
Veri Giriş
Noktaları
Veri Çıkış
Noktaları
Süreç
Kontrolleri
Kurum Öz
Değerlendirme
Çalışma Öncesi
Analizleri
Yasal
Uyum
Kontrolleri
Teknik
Kontroller
Süreç
Kontrolleri
Farkındalık
Eğitimi
Denetim
Envanteri
Kontrol
Listesi
Yasal
Uyum
Uygulanabilirlik
Değerlendirme
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
H İ Z M E T L E R YA P I S I
13. 13
• Toplam 26 soru
• Ön analiz kontrol listesi
• Öz değerlendirme
görüşmeleri
Doğru Kapsam
Doğru Efor
Yüksek Fayda
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
Ö N A N A L İ Z
Hazırlık
Durum Analizi
Gelişim Planı Tekliflendirme
14. 14
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
FA R K L I L I K A N A L İ Z D E N E T İ M İ K A P S A M
Kişisel Verilerin Korunması Kanun Kontrolleri
Genel ilkeler Kişisel verilerin işlenme şartları
Özel nitelikli kişisel verilerin
işlenme şartları
Kişisel verilerin silinmesi, yok
edilmesi veya anonim hâle
getirilmesi
Kişisel verilerin aktarılması
Kişisel verilerin yurt dışına
aktarılması
Veri sorumlusunun aydınlatma
yükümlülüğü
İlgili kişinin hakları
• APO01.06 - Bilgi (veri) ve sistem mülkiyetini
tanımla
• BAI02.01 - İş fonksiyonel ve teknik gereksinimleri
tanımla ve sürdür
• BAI08.02 - Bilgi kaynaklarını belirle ve sınıflandır
• BAI08.03 - Bilgileri bilgi birikimi halinde organize
et ve uygun bir bağlama yerleştir.
• DSS05.02 - Ağ ve bağlantı güvenliğini yönet
• DSS05.04 - Kullanıcı kimliği ve mantıksal erişimi
yönet
• DSS06.01 - İş süreçlerine yerleşik kontrol
faaliyetlerini kurum amaçlarıyla hizala
• DSS06.06 - Bilgi varlıkları güvenliğini sağla
COBIT 5
•A.5 Bilgi güvenliği politikaları
•A.6 Bilgi güvenliği organizasyonu
•A.8.2 Bilgi sınıflandırma
•A.8.3 Ortam işleme
•A.9 Erişim kontrolü
•A.11 Fiziksel ve çevresel güvenlik
•A.12 İşletim güvenliği
•A.13 Haberleşme güvenliği
•A.14 Sistem temini, geliştirme ve bakımı
•A.15 Tedarikçi ilişkileri
•A.16 Bilgi güvenliği ihlal olayı yönetimi
•A.18 Uyum
ISO
27001:2013
Veri güvenliğine
ilişkin
yükümlülükler
15. 15
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
FA R K L I L I K A N A L İ Z D E N E T İ M İ M E T O D O L O J İ
•Bilgilendirme
•Bulgu listeleri
•Mutabakat
•Kapanış
•Bulgu kapama
aksiyonları
•Giderme
faaliyetleri
•Saha çalışması
•Değerlendirme
•Testler
•Kontrol Listeleri
•Kapsam
•Veri lokasyonları
PLAN DENETİM
RAPOR
BULGU
TAKİP
Hedef Yapı
Gereksinimleri Ve
Yol haritası
Yetkinlik Analizi
Mevcut ve Hedef
Strateji, Yapılar, Süreçler
16. 16
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
İ Y İ L E Ş T İ R M E A K T İ V İ T E L E R İ
Karar Alınması
Hedeflenen ile varolan durum arasındaki farklar için tekrar döngüyü
işletme veya şirket yönetiminin risk kabul kararı alması
Farklılık Analizi
Gerçekleştirilen uyarlamaların hedeflenen kontrol olgunluk durum
değerlendirilmesinin yapılması ve farkların tespit edillmesi
İyileştirme Aktiviteleri
Tasarımın sistem ve süreçlere uyarlanması
Tasarım Belirlenmesi
Süreç Tasarımının gerçekleştirilmesi ve düzenli denetim sonucunda
çıkan eksiklerin tasarım planına eklenmesi
• Veri sınıflandırma teknik
kontrollerinin sistemlere
uygulanması
• Ağ ayrımlarının
gerçekleştirilmesi
• Sunucu ve veri
tabanlarına erişim
standartlarının
değiştirilmesi
• Görevler Ayrılığı (SOD)
Matrisinin KVK özelinde
geliştirilmesi
• Veri iletim güvenliği
kontrol süreçlerinin
tanımlanması ve
istisnaların belirlenmesi
17. 17
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
D Ü Z E N L İ D E N E T İ M
Projenin her aşamasında düzenli takip toplantılarının gerçekleştirilmesi ve projenin hedefine ulaşması için
gerekli aksiyonların alınması amacıyla ötelemeli (iterative) yöntem kullanılarak her süreç özelinde aşamalı
gelişim ve her aşamanın sonunda yönetime gelişim aksaklıklarının sunulması ve bir sonraki gelişim adımı
için süreçler değerlendirilecektir.
18. 18
K İ Ş İ S E L V E R İ L E R İ N K O R U N M A S I
D E VA M L I L I K K O N T R O L L E R İ
Hizmetimizin son aşamasında,
• İç Denetim yapısı teşkil edilmesi,
• Farkındalık Eğitimi
• Proje işletimi aşamasında öğrenilen
dersler,
• KVK Temel Prensipleri,
• Veri sınıflandırma kontrolleri,
• Proje kapanış durum raporu,
Süreçleri işletilecektir.
Devamlılık
Kontrolleri
İç Denetim
Sonuçların
Değerlendirmesi
Bulguların
Giderilmesi
İzleme
Yapılarının
Kontrolü
Düzeltme
Aktiviteleri
20. 20
R E F E R A N S L A R I M I Z
B T D E N E TİM R E FE R A N S L A R IM IZ
21. 21
R E F E R A N S L A R I M I Z
D A N IŞ M A N L IK R E FE R A N S L A R IM IZ
22. 22
R E F E R A N S L A R I M I Z
G E N E L R E F E R A N S L A R I M I Z
23. 23
R E F E R A N S L A R I M I Z
G E N E L R E F E R A N S L A R I M I Z
24. 24
A T E Ş S Ü N B Ü L
Ana Nitelikler:
Bankacılık sektöründe Kıdemli Bilgi Sistemleri Müfettişi olarak
bilgi sistemleri ve bankacılık süreçleri denetimleri
gerçekleştirmiştir.
Perakende sektöründe KVK projelerini başarıyla tamamlamıştır.
Ödeme sistemleri, Perakende, Mağazacılık, Telekomünikasyon
ve Teknoloji sektörü başta olmak üzere çeşitli sektörlerde bilgi
güvenliği denetimleri, güvenlik ürünleri kurulum, teknik destek ve
eğitim çalışmaları gerçekleştirmiştir.
Emeklilik ve sigorta sektöründe COBIT temelli bilgi teknolojileri
(BT) denetimleri gerçekleştirmiştir.
Bankacılık sektörlerde Sarbanes-Oxley kanunu kapsamında BT
ve iş süreçleri denetimleri gerçekleştirmiştir.
Emeklilik ve Hayat sektöründe üst düzey Bilgi Güvenliği
yöneticiliği yapmıştır.
Bankacılık başta olmak üzere çeşitli sektörlerde finansal denetim
kapsamında BT ve süreç denetimleri gerçekleştirmiştir.
Ulusal Yargı Ağı (UYAP) projesinde eğitim ve saha çalışmaları
gerçekleştirmiştir.
Eğitim:
Işık Üniversitesi – Elektronik Mühendisliği
Yabancı Dil:
İngilizce
Mesleki Geçmiş:
2017, Mazars Denge, Bilgi Güvenliği Hizmetleri Direktörü
2015-2017, Biznet Bilişim A.Ş., PCI DSS ve BT
Danışmanlık Yöneticisi
2013-2015, AvivaSA, Bilgi Güvenliği Bölüm Yöneticisi
(CISO),
2012-2013, Ernst & Young, Müdür
2008-2012, Finansbank A.Ş., Kıdemli BT Müfettişi
2006 – 2008, Beymen Mağazacılık A.Ş., BT Operasyon ve
Projeler Sorumlusu
2004 – 2005, Havelsan A.Ş., Yazılım Eğitmeni ve Saha
Uzmanı
Sertifikalar:
CISA
CISM
ISO 27001 LA
Üye Olunan Kuruluşlar:
ISACA
Meslek: Elektronik Mühendisi
Pozisyon: Direktör / Bilgi
Güvenliği Hizmetleri
T: +90 212 296 51 00
M: +90 535 570 49 63
F: +90 212 296 51 60
asunbul@mazarsdenge.com.tr
25. İLETİŞİM BİLGİLERİ
Mazars Denge
Hürriyet Mah. Dr. Cemil Bengü
Caddesi Hak İş Merkezi No:2
Çağlayan Kağıthane
İstanbul, Türkiye
T: 0212 296 51 00
www.mazars.com.tr