Upload
tranduong
View
233
Download
0
Embed Size (px)
Citation preview
BarıĢ Bağcı
29 Nisan 2010
Türkiye BiliĢim Derneği Ankara ġubesi Eğitim Etkinliği
Bilişim Teknolojileri Risk Yönetimi
2©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Program
09.30-10:15 Kurumsal Risk Yönetimi
BT Risk Yönetimi ve Kurumsal Risk Yönetimindeki Yeri
BT Risk Yönetimi Kategorileri
10.15-10.30 Ara
10.30-11.15 BT Risk Yönetimi Yaşam Döngüsü
BT Risk Yönetiminin Teknolojik Beklentileri
11.15-11.30 Ara
11.30-12.15 BT Risk Yönetimi ve Disiplinler
Risk Yönetimi ve Türkiye’deki Mevzuat
12.15-12.30 Genel Değerlendirme ve Kapanış
3©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Yönetim
İşletme yönetiminde, iş süreçlerinde ve pay ve menfaat sahipleri ile ilişkilerde; eşitlik,
şeffaflık, hesap verebilirlik ve sorumluluk yaklaşımıyla işletme faaliyetlerinin etkinlik ve
verimliliği, raporlama güvenilirliği, düzenlemelere uygunluk, pay ve menfaat sahiplerinin
hak ve çıkarlarının korunması için güvence sağlayan yaklaşım ve ilkeleri ifade eder.
4©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Nedir ?
İşe araba ile gitmek İşte olmamak
Riskin incelenmesi
İşe araba ile gitmenin riskleri nelerdir?
karĢı
Örnek: İşe gitmek
ĠĢe gitmek bir risk midir?
5©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Riskin Tanımı
• Risk, tehditlerin bir organizasyonun strateji ve hedeflerine ulaşmasında engel teşkil
etmedeki etkisi ve olasılığıdır.
• Risk potansiyel bir değer kaybı ya da kazancın optimum sınırların altında kalmasıdır.
• Kısacası, risk bir şirketi mevcut varlıklarını korumaktan ya da hisse değerini arttırmaktan
alıkoyan herşeydir.
• Risk pozitif ve negatif sonuçları kapsar. Pozitif sonuçlar doğuran risk fırsatları, negatif
sonuçlar doğuran risk tehditleri olarak değerlendirilir.
• Kurum getiri için riskleri göze almalıdır.
6©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Türleri
Getirisi olmayan risk (Unrewarded risk)
İyi yönetildiğinde herhangi bir getiri sağlamayan, ancak kurumların özellikle yasalarla
düzenlenmiş yükümlülüklere uyması ve belirli sorumlulukların yerine getirilmesi ile ilgili
risklerdir. Finansal tabloların yanlış oluşturulması ya da mevzuata aykırı hareket edilmesi
bu tür risklere örnektir.
Getirisi olan risk (Rewarded risk)
Gerektiği gibi yönetildiğinde kuruma fayda ya da çıkar sağlayan risklerdir. Birleşme ve
devralmalar, yeni ürün geliştirme, yeni piyasa ve iş modelleri bu risk tipine örneklerdir.
7©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk ve Risk Yönetimi
RİSK
Risk, kurum genelindeki seçimler ve kararlar sonucunda karşılaşılacak kayıp ve kazançlara
ilişkin belirsizliklerdir.
RİSK YÖNETİMİ
Alınan kararların etkilerini belirleme, önceliklendirme, azaltma ve ölçmeyi mümkün kılarak
organizasyonlarda istikrar sağlayan bir mekanizmadır.
“Bir gemi limanda güvendedir; ancak gemiler limanda kalmak için yapılmamıştır.’’
John A. Shedd
8©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Yönetimi Nedir / Ne Değildir ?
Risk Yönetimi:
• Kontrol fonksiyonudur
• İcranın bir parçasıdır
• Stratejik karar almanın ilk adımıdır
• Kültür değişimidir
• Aynı zamanda bir fırsat yönetimidir
Ancak,
• Yeni veya bir ölçüye kadar yapılmayan
• Sadece olumsuzlukları öne çıkaran
• Pratik olmayan öneriler geliştiren
• İmaj maksatlı yapılan
• Kendi başına problemleri çözebilecek bir fonksiyon
DEĞĠLDĠR!!!
9©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Mevcut Risk Yönetimi UygulamalarıStrateji ve Yönetme
İktisadi
Sigorta
İşletme
SüreçKültür
Stratejik Risk
YönetimiSermaye Piyasaları & Hazine Riski
Piyasa Riski, Likidite Riski
Analiz ve Modellemeler
Kredi
Hesaplamaları
Varlıkların
KorunmasıOperasyon Uyum
SOX
Finansal
Iç Kontrol
Karlılık
İyileştirmeKurumsal
Etik
Kurumsal
Uyum
Iç
Denetim
Fiziki &
MantıksalGüvenlik
Stratejik
Esnek,
Gerçek Çözümler
Yönetim
RiskiFaaliyetler
Çeşitli Riskler
Sigorta Ürünleri
Operasyonel
Risk
Yönetimi
İnsan, Süreçler,
Sistemler
Dış FaktörlerVarlık, Hasar,
Yükümlülük
Risk Yönetimi
10©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Neden Bu Kadar Önemlidir ?
Beklenmeyen Kayıplar
• Menfaat sahiplerinin etkinliği
• Müşteri tercihlerindeki değişiklikler
• Hammadde fiyatlarının artması
• Yasalara ve düzenlemelere aykırı değişiklikler
• Siber güvenlik ve gizlilik koruması
• İş devamsızlıkları/ tedarikçiden kaynaklanan engeller
• Teknolojinin eskimesi
• Başarısız devralmalar
Düzenlemeler
• SPK kuralları
• Finansal raporlama savları
• Sektörel düzenlemeler
• Pazar Beklentileri
– Hisse sahiplerinin etkinliği
– Derecelendirme şirketlerinin artan baskısı
• Kamu Ġmajı
– Halk yargılaması
– Medya ilgisinin artması
– Firmanın itibar riski
• Kurumsal Yönetim
– Yönetim Kurulu ve Denetim Komitesinin sorumlulukları
– Üst Yönetim sorumlulukları
– Dış risk raporlama sorumlulukları
11©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Risk Yönetimi
“Kurumsal Risk Yönetimi, kurumu etkileyebilecek potansiyel olayları tanımlamak, riskleri
kurumun risk alma iştahına uygun olarak yönetmek ve kurum hedeflerine ulaşması ile ilgili
olarak makul bir derecede güvence sağlamak amacı ile oluşturulmuş; kurumun yönetim
kurulu, üst yönetimi ve diğer tüm çalışanları tarafından etkilenen ve stratejilerin
belirlenmesinde kullanılan ve kurumun tümünde uygulanan sistematik bir süreçtir.”
Kaynak: COSO Enterprise Risk Management, September 2004
12©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Risk Yönetimine Geçiş
Risk Yönetiminden...
• Risklerin bağımsız analizi
• Sistematik olmayan risk değerlendirme
süreçleri
• “Gelir”e odaklılık
• Risklerin ayrı ayrı takibi
• Stratejik ve operasyonel kararlarda göz ardı
edilen riskler
Kurumsal Risk Yönetimine...
• Sistematik, sürekli, kurumsal yaklaşım
• Ortak risk tanımı
• Riske göre ayarlanmış getiri
• Riske dayalı performans yönetimi
• Risk portföyü yaklaşımı
• Risk yönetim maliyetinin optimizasyonu
• Stratejik ve operasyonel kararlar
Gerekli fakat düşük katma
değerli yaklaşım
Kurum değerinin korunması ve
geliştirilmesi
13©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Risk Yönetimi
• Kurumsal risk yönetimi kurumlarda süregelen ve devam eden bir süreçtir.
• Sadece fonksiyon bazında değil, kurumun tamamında uygulanır.
• Tüm aksiyonların hissedarlarının risk alma isteği ile uyumlu olmasını sağlar.
• Sadece tehlikelerden korunma değil, değer yaratma odaklıdır.
• Strateji belirlemede kullanılır.
• Tüm risklerin uygun bir şekilde yönetildiğine dair makul bir güvence sağlar.
• Sonuç değil, sonuca ulaşmak için kullanılan bir araçtır.
14©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Risk Yönetimi Çerçevesi
Değer Yaratmak İçin
Risk Zekası
Sürdürülebil
ir & Sürekli
Gelişme
Strateji&
Hedeflerin
Belirlenmesi
Riskleri
Belirleme
Ris
k Değ
erle
ndir m
esi
Risklere Cevap
Verme
Kontrollerin
Tasarlanması
&Test Edilmesi
izle
me,
Den
etle
me&
Rap
orlam
a
Yönetim
Tekn
olo
ji İnsan
Süreç
Yasa &
Mevzuat
Yatırımcılar
Rekabet
Paydaşlar
Ülk
e / P
olitik
Kreditörler
Doğ
al A
fetle
r
Güvenlik
Saldırıları
İşSürekliliği
Müşteriler
15©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Risk Yönetimi Olgunluk Modeli
BT Risk Yönetimi ve
Kurumsal Risk
Yönetimindeki Yeri
17©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Yönetimi
• Bilişim Teknolojileri riski, BT ortamındaki durumdan kaynaklanan (BT varlıkları,
organizasyonu, süreçleri, yönetişimi) herhangi bir hatadan organizasyonun zarara
maruz kalma potansiyelidir.
18©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Kurumsal Risk Yönetimi
19©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Basel II Bakışı ile Kurumsal Operasyonel Risk Yönetimi Çerçevesi
Standart Risk Sınıfları
Risks
External fraud
Damage to physical assets
Employment practices and workplace safety
Business disruptions and systems failures
Execution, delivery and process management
Clients, products and business practices
Internal fraud
Peopleİnsan
ProcessSüreç
SystemsSistemler
ExternalDış
Basel Riskleri
İnsan kaynağının uygunsuzluğu veya kaybı
Çalışanla ihtilaf
Dokümantasyon / Sözleşme
Değerleme / ModelProje / Değişiklik Yönetimi İnisiyatifleri
İtibar / GüvenMüşteri ve Hizmet Etkileşimi
İşlem Süreç Hatası
Fiziksel GüvenlikMevzuat / Uyum
Uygunluk
Finansal Raporlama / Muhasebe & Vergi
Mahremiyet / Gizlilik
İş SürekliliğiHata veren sistemler
Bilgi GüvenliğiDonanım
Yazılım
İletişimArayüzler
Dışkaynak Kullanım Riski / 3. Taraf Performans
Müşteri / Karşı Taraf Suistimali
Alt Riskler
Dış suistimal
Fiziksel varlıkların zarar
görmesi
İstihdam uygulamaları ve
çalışma güvenliği
İş kesintileri ve sistem hataları
İşletme ve süreç yönetimi
Müşteriler, ürünler ve iş
uygulamaları
İç Suistimal
Basel Sınıfları
Dış Felaketler
Çalışan suistimali / kasıt
20©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
İş Riski – BT Riski
21©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Yönetim Stratejisi
Engeller
– İç BT Politikaları
– Kurumsal Risk Yönetimi vizyonu eksikliği – BT’e yer verilmemesi
– BT Risk Yönetimi Tanımı
BT Risk Yönetimi Stratejisi
– BT Risk Yöneticisi (IT CRO) atama
– Bu kişiyi CIO ve CRO’a bağlama
– BT Risk Yönetimi için tüzük oluşturulması
– BT Risk Gösterge Tablosu & Raporlama – BT KPI ile KRI Dengesi
– Risk Yönetimi – Risk analizi, kabulü, sahipliği ve bakımı
22©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Terimler
EriĢilebilirlik
Bilgi sistemleri hizmetlerinin kurum amaçlarına hizmet edecek yönde zamanında kullanılabilmesidir.
Gizlilik
Bilgi varlığının sadece, Yönetim tarafından iş gereklerine uygun olarak erişim hakkı tanınmış kişiler
tarafından izlenebilir olmasıdır.
Bütünlük
Bilgi varlığının saklandığı veya iletildiği medyalarda sadece düzenlenmiş uygun yöntemler ile
değişime uğratılması ve/veya orijinal halinin korunmasıdır.
Risk Değerlendirilmesi
Tehdit ve zayıflıklık değerlendirilmesi kombinasyonudur. Risklerin ve potansiyel etkilerinin
belirlenmesi ve önceliklendirilmesi için oluşturulan süreçtir.
23©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Terimler
Risk ĠĢtahı
Kurumun yetkili kurullarında onaylanarak belirlenen,
kabul edilebilecek risk seviyesidir.
Risk Haritası
Kurum risk profilinin ve buna bağlı olarak süreçlerin etki
ve zafiyet temelinde gösterilmesidir.
Veri Sınıflandırma
Veri yaratılırken, düzeltilirken, geliştirilirken, saklanırken
ve iletilirken atanan hassaslık seviyesidir. Veri sınıfı,
verinin ihtiyaç duyduğu kontrol ve güvenliği gösterirken,
organizasyon açısından da önemini ifade etmektedir.
24©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Terimler
Önlem
Operasyonel etkinlik, verimlilik ve mevzuata ve yönetim politikalarına uyum ile ilişkili aksiyonlardır.
Kabul Edilebilir Risk
BT sistemi için kabul edilebilir seviyede potansiyel kayıp/hasar olmasıdır.
Risk Önleme
Riski sistematik bir şekilde önleme sürecidir. Örneğin, güvenlik farkındalığı ile daha iyi eğitimli
çalışanlarla bazı risklerin önlenmesi söz konusu olabilir.
Risk Azaltma
Bazı riskler engellenemez, ancak kontroller uygulanarak azaltılabilir.
25©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Terimler
Risk Aktarma
Riski transfer etme sürecidir.
Kalan Risk
Olayın etkisini veya olasılığını azaltmak amacıyla kontroller uygulandıktan sonra geriye
kalan olayla ilişkili risktir.
26©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Zayıflık-Tehdit Örnekleri
Bilinen sistem zayıflıklarını kullanarak
kritik sistem dosyalarına yetkisiz
erişimler
Yetkilendirilmemiş
kullanıcılar (hacker’lar,
memnun olmayan
çalışanlar, bilişim suçluları,
teröristler)
Tedarikçinin, sistem güvenlik tasarımında
açıklar belirlemesi, yeni yamaların
sisteme uygulanmaması
XYZ sunucusuna telnet ile erişim ve
“misafir” kullanıcı adı ile sistem
dosyalarına ulaşması
Yetkilendirilmemiş
kullanıcılar (hacker’lar, işten
ayrılan çalışanlar, bilişim
suçluları, teröristler)
Kurum güvenlik duvarlarının gelen
telnet’lere izin vermesi ve XYZ
sunucusuna “misafir” kullanıcı adı ile
ulaşılabilmesi
Kurum ağına ulaşması ve kurumsal
bilgilere erişmesi
İşten ayrılan personelİşten ayrılan personelin kullanıcı
adlarının sistemden silinmemesi/bloke
edilmemesi
Tehdit – AksiyonTehdit - KaynakZayıflık
Bilinen sistem zayıflıklarını kullanarak
kritik sistem dosyalarına yetkisiz
erişimler
Yetkilendirilmemiş
kullanıcılar (hacker’lar,
memnun olmayan
çalışanlar, bilişim suçluları,
teröristler)
Tedarikçinin, sistem güvenlik tasarımında
açıklar belirlemesi, yeni yamaların
sisteme uygulanmaması
XYZ sunucusuna telnet ile erişim ve
“misafir” kullanıcı adı ile sistem
dosyalarına ulaşması
Yetkilendirilmemiş
kullanıcılar (hacker’lar, işten
ayrılan çalışanlar, bilişim
suçluları, teröristler)
Kurum güvenlik duvarlarının gelen
telnet’lere izin vermesi ve XYZ
sunucusuna “misafir” kullanıcı adı ile
ulaşılabilmesi
Kurum ağına ulaşması ve kurumsal
bilgilere erişmesi
İşten ayrılan personelİşten ayrılan personelin kullanıcı
adlarının sistemden silinmemesi/bloke
edilmemesi
Tehdit – AksiyonTehdit - KaynakZayıflık
27©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Zayıflık ve Tehditlerin Kontrollerle Eşleştirilmesi
1.Riskler (Zayıflık-Tehdit), risk değerlendirme sürecinin çıktısıdır.
2.Belirlenmiş her bir risk için risk seviyesi risk değerlendirme sürecinin çıktısıdır.
3.Önerilen kontroller risk değerlendirme sürecinin çıktısıdır.
4.Aksiyon önceliği risk seviyesine ve müsait durumdaki kaynaklara (maddi, insan, teknoloji) göre belirlenmektedir.
5.Seçilen kontroller, önerilen kontroller arasından belirlenmektedir.
6.Gereken kaynaklar, seçilen kontrolleri uygulamaya almak üzere belirlenmektedir.
7.Sorumlu ekip ve kişiler, yeni veya geliştirilen kontrolleri uygulayacak kişilerdir.
8.Başlangıç ve bitiş tarihi, yeni veya geliştirilen kontrollerin hangi tarihlerde uygulanacağını belirtir.
9.Bakım gereksinimi, yeni veya geliştirilen kontrollerin uygulanması sonrasında ihtiyaç duyulacak çalışmalardır.
Sistem güvenliğinin
düzenli gözden
geçirilmesi ve XYZ
sunucusuna uygun
güvenliğin
sağlandığının test
edilmesi
xx.xx.xxxx –
xx.xx.xxxx
• XYZ
sunucusu
sistem
yöneticisi
• Güvenlik
duvarı
yöneticisi
Sistemi
tekrar
konfigüre
etmek ve test
etmek için 10
saat
• Gelen telnet
kaldırılması
• Dosyalara
“herkes”
erişiminin
kaldırılması
• “misafir”
kullanıcı
adının
kaldırılması
Yüksek• Gelen telnet’e izin
verilmemesi
• Hassas kurumsal
dosyalara “herkes”
erişiminin
kaldırılması
• “misafir” kullanıcı
adının kaldırılması
veya parolasının
zorlaştırılması
YüksekKurum güvenlik
duvarlarının gelen
telnet’lere izin
vermesi ve XYZ
sunucusuna
“misafir” kullanıcı
adı ile ulaşılabilmesi
(9)
Bakım
Gereksinimi/Görüşler
(8)
Başlangıç
Bitiş Tarihi
(7)
Sorumlu
Ekip/Kişiler
(6)
Gereken
Kaynaklar
(5)
Seçilen
Kontroller
(4)
Aksiyon
Önceliği
(3)
Önerilen
Kontroller
(2)
Risk
Seviyesi
(1)
Risk
(Zayıflık-Tehdit)
Sistem güvenliğinin
düzenli gözden
geçirilmesi ve XYZ
sunucusuna uygun
güvenliğin
sağlandığının test
edilmesi
xx.xx.xxxx –
xx.xx.xxxx
• XYZ
sunucusu
sistem
yöneticisi
• Güvenlik
duvarı
yöneticisi
Sistemi
tekrar
konfigüre
etmek ve test
etmek için 10
saat
• Gelen telnet
kaldırılması
• Dosyalara
“herkes”
erişiminin
kaldırılması
• “misafir”
kullanıcı
adının
kaldırılması
Yüksek• Gelen telnet’e izin
verilmemesi
• Hassas kurumsal
dosyalara “herkes”
erişiminin
kaldırılması
• “misafir” kullanıcı
adının kaldırılması
veya parolasının
zorlaştırılması
YüksekKurum güvenlik
duvarlarının gelen
telnet’lere izin
vermesi ve XYZ
sunucusuna
“misafir” kullanıcı
adı ile ulaşılabilmesi
(9)
Bakım
Gereksinimi/Görüşler
(8)
Başlangıç
Bitiş Tarihi
(7)
Sorumlu
Ekip/Kişiler
(6)
Gereken
Kaynaklar
(5)
Seçilen
Kontroller
(4)
Aksiyon
Önceliği
(3)
Önerilen
Kontroller
(2)
Risk
Seviyesi
(1)
Risk
(Zayıflık-Tehdit)
28©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Sorumluluklar
Üst Yönetim
İş hedeflerine ulaşmak için kaynakların doğru kullanıldığını takip eder ve risk analizi sonuçlarından karar verme
sürecinde faydalanırlar.
Chief Information Officer (CIO)
BT planlamasından, bütçesinden ve performasından sorumludur. Kararları, etkin bir risk yönetim programına
dayanarak alırlar.
Sistem ve Bilgi Sahibi
Organizasyonel varlıkların fonksiyonel sahipleri olarak iş birimi yöneticileridir. Varlıkların bütünlüğünün, gizliliğinin ve
erişilebilirliğinin temel sorumlularıdır.
ĠĢ Yöneticileri
Organizasyonun hedeflerine ulaşması için maliyet etkin kararlar almakla sorumlu kişilerdir. Risk yönetimi
sürecindeki sorumlulukları, iş ile ilişkili kontrollerin uygulanmasını sağlamaktır.
Bilgi Güvenliği Yöneticileri
Risk Yönetimi sürecinde bilgi güvenliği ile ilişkili programların gerçekleştirilmesinden sorumludur.
BT Risk Yönetimi
Kategorileri
30©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Alanları
1. BT YönetiĢim / Strateji Riski
2. BT Beceri / Ġnovasyon Riski
3. BT Mimari Riski
4. ĠĢ Sürekliliği Riski
5. Uyum Riski
6. BT Kaynak Riski
7. Tedarikçi Yönetim Riski
8. Üçüncü Taraf ĠliĢkileri Riski
9. Proje / GeliĢtirme Riski
10. DeğiĢiklik Riski
11. BT Ġtibar / MüĢteri Memnuniyet Riski
12. Bilgi Riski
13. BT Güvenlik Riski
14. Online/Web Riski
31©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Alanları
BT YönetiĢim / Strateji Riski:
Kurum BT stratejilerinin iş gereksinimleri ile tutarlı olmaması, iş gereksinimlerini karşılamaması,
değişikliğe uygun olmaması, düzenli ve sık sık organizasyonla paylaşılmaması, iş ile uyumunda
eksiklikler olması riskidir. Bu durumda, BT iş ile ilişkisi olmayan bir birim olarak algılanır.
BT Beceri / Ġnovasyon Riski:
Kurumun bulunduğu pazar, endüstri ve etkileşim ortamında ilerlemesi için BT’nin yeni: hizmet
teknolojilerini uygulayamaması riskidir. BT’nin yeni teknolojilere adapte olmakta başarısız olması
durumunda, Kurum pazar ve endüstrideki değişikliklere uyum sağlayabilmek için baskı altında
kalacak ve rekabetçi ortamda iş performansını en uygun duruma getiremeyecektir.
BT Mimari Riski:
İş birimlerinin mevcut ve gelecekteki ihtiyaçlarını etkin bir şekilde desteklemek için, BT’nin etkin,
standart hale getirilmiş ve sürdürülebilir bilgi teknolojileri altyapısına (donanım, ağ, yazılım, insan ve
süreç) sahip olmaması riskidir.
32©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Alanları
ĠĢ Sürekliliği Riski:
BT ile ilişkili kritik operasyonların ve süreçlerin devam ettirilmesi için gerekli organizasyonel beceri
riskidir. Kritik bilgi veya sistemlerin erişilebilir olmaması durumunda, Kurum kar eden operasyonlarını
devam ettirememe riski ile karşılaşır.
Uyum / Yasa Riski:
BT organizasyonunun, dış gereksinimler ve kurumsal yönetişim politikaları/uygulamaları ile uyum
sağlayamama riskidir. Bu risklere, hukuksal ve sözleşmeye dayalı yükümlülükler ve yasal konular
dahildir.
BT Kaynak Riski:
İnsan ve finansal kaynakların hazır olmaması ve planlanmaması veya verimsiz bir şekilde
kullanılması riskidir. Bu riske, BT sistemleri hakkındaki bilgilerin personel değişiklikleri ile
korunmaması da dahildir.
33©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Alanları
Tedarikçi Yönetimi Riski:
BT organizasyonunun, BT tedarikçileri, dış kaynak kullanımlar, sözleşmeli personel ve hizmet
sağlayıcılar ile ilişki kurarkan karşılaştığı risklerdir.
Üçüncü Taraflarla ĠliĢki Riski:
Dağınık bir iş ortamında diğer kuruluşlarla ilişki kurarken ve bilgi paylaşırken karşılaşılan risklerdir. İş
ortakları ve dış paydaşlarla iletişim kurmak, hassas bilgilerin gizliliğinin ihlal edilmesi ve yasal riskleri
oluşturacaktır.
Proje / GeliĢtirme Riski:
BT’nin kötü proje planlama ve yönetimi sebebiyle karşılaştığı risklerdir. Bu risklere, iş ihtiyaçlarını:
karşılayan uygulamaların geliştirilmesi için birbiri ile ilişkili ve iyi anlaşılmış sürecin bulunmaması veya
aksine çok fazla kontrolün olması sebebiyle BT’nin uygulamaları zamanında kullanıma alma
becerisinin kaybedilmesi de dahildir.
34©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Alanları
DeğiĢiklik GerçekleĢtirme Riski:
BT’de teknoloji ortamının değiştirilmesini yönetmek için uygun olmayan gözetim ve süreçlerin
bulunması riskidir. Buradaki en büyük risk, BT sistemleri ve uygulamaları üzerinde yetkilendirilmemiş
veya kötü test edilmiş değişikliklerin oluşturacağı bütünlük ve erişilebilirlik problemidir.
BT Ġtibar / MüĢteri Memnuniyet Riski:
BT’nin iş taleplerini, hizmet seviye anlaşmalarını ve müşteri destek çağrılarını uygun olmayan bir
şekilde karşılaması riskidir. BT itibar riski, nasıl hizmet verildiğidir.
Bilgi Riski:
BT’nin hassas ve düzenlenmiş kurumsal bilgiyi uygun olmayan bir şekilde kontrol etmesidir. Bilgi risk
yönetimi, risk ve fırsatların yönetilmesi amacıyla organizasyonel bilginin belirlenmesi,
sınıflandırılması ve kontrol edilmesi için çabalamaktadır.
35©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Alanları
BT Güvenlik Riski:
BT’nin teknik mimari zayıflığı ve organize suç, hacker, zararlı yazılım (virüs, solucan vb.) gibi
saldırılara maruz kalmasıdır.
Online / Web Riski:
BT’nin Web varlığını oluşturma, işletme ve koruma için karşılaştığı risklerdir. Bu risklere web
dünyasındaki itibar, hackleme, mahremiyet, markalaşma ve uyum dahildir.
36©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risk Kategorileri
BT riskleri üç seviyede düşünülmelidir:
• Kurum seviyesinde (organizasyonun geneli için),
• Bilgi sistemleri uygulamaları seviyesinde (uygulamalar tarafından desteklenen iş süreci işlemleri
için),
• Süreç seviyesinde (uygulama ve veri bütünlüğünü destekleyen genel bilgisayar kontrol alanları için)
BT Sistemleri Tarafından Desteklenen İş Süreçleri
Nakit Yönetimi
ACS, STS, Inovis E1
Toptan Satış
Geliri
ADP, JanTekSTS, AuditWorks E1, ACS, STS
Genel Bilgisayar Kontrol Fonksiyonları
Kurum Seviyesinde Kontroller
E1
MaaşSabit VarlıklarEnvanter
YönetimiFinansal
Raporlama
Perakende
Geliri
ACS, PKMS
37©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
BT Risklerinin İş Riskleri ile İlişkilendirilmesi
BT riskleri iş risklerini doğurmakta ve iç kontrol ortamına etki etmektedir.
Kurum Seviyesinde Riskler
BT Riskleri
BS Uygulamaları Seviyesinde Riskler
Süreç Seviyesinde Riskler
Gizlilik (Confidentiality)
İş Riskleri
Veri Bütünlüğü (Data Integrity)
Erişilebilirlik (Availability)
38©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Etki Kategorileri
Operasyonlar:
İş hizmetleri sunumunu destekleyen fonksiyonlar (mekan veya alan tahsisi, personel, satın alma,
finansal, iletişim vb.)
Teknoloji:
BT altyapısını destekleyen bilgi varlıkları (güvenlik, donanım, yazılım, ağ veya iletişim sistemleri)
Yasal:
Kanunlara dayalı zorunluluklardan oluşan parametreler, mevzuat, politika veya yönetim kurulu
kararları
Ġtibar:
Hizmetlerin nasıl sunulduğu hakkında genel kamuoyu düşüncesi (bütünlük, kredibilite, güven, müşteri
memnuniyeti, imaj, medya ilişkileri)
BT Risk Yönetimi
Yaşam Döngüsü
40©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Yönetim Modeli
Uygun Risk
Hedeflerini
Belirleme ve
Envanter Oluşturma
Risk Engellenecek
mi ?
Risk Önemli Ölçüde
Azaltıldı mı ?
Risk Tehdit Alanı
veya İş Etkisi
Azaltıldı mı ?
Risk Analiz Edildi
mi? (riskler,
tehditler ve iş etkisi)
Risk Aktarılabilir /
Sigortalanabilir mi ?
Uygun Güvenlik
Ölçüm
Karşılaştırmaları
Uygulama, İzleme,
İkaz ve Raporlama
Tasarlama,
Uygulamaya Alma,
Dokümante Etme,
Analiz Etme,
Test Etme
Kontrolleri ve Önlemleri
Geliştirme
Risk
Aktarıldı
Risk
Elendi
Risk
Azaltıldı
Risk
Yönetildi
E
E
H
H
E
H
H
E
H
E
E
H
41©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Deloitte Risk Değerlendirme MetodolojisiBT Altyapı ve Süreçlerinin Anlaşılması
• Bilgi Toplama:
• Kurumsal hedef ve stratejiler
• Organizasyonel yapı ve değişiklikler
• Kritik iş süreçleri ve merkezler
• Geçmiş dönem denetim bulguları
• Mevcut risk analiz dokümanları
• Sektörel riskler ve sorunlar
• Kurumsal yapının toplanan veriler
ışığında değerlendirilmesi
• Bilgi Toplama:
• Kurumsal hedef ve stratejiler
• Organizasyonel yapı ve değişiklikler
• Kritik iş süreçleri ve merkezler
• Geçmiş dönem denetim bulguları
• Mevcut risk analiz dokümanları
• Sektörel riskler ve sorunlar
• Kurumsal yapının toplanan veriler
ışığında değerlendirilmesi
Ana AktivitelerAna Aktiviteler
• Profil
• İş Hedefleri
• Organizasyonel yapı
• İş ve BT süreçleri, lokasyonları
• Ön risk bilgileri
• Mevcut analizler
• Sektörel riskler
• Profil
• İş Hedefleri
• Organizasyonel yapı
• İş ve BT süreçleri, lokasyonları
• Ön risk bilgileri
• Mevcut analizler
• Sektörel riskler
ÇıktılarÇıktılar
1. Aşama
BT Altyapı ve
Süreçlerinin
Anlaşılması
2. Aşama
BT Risk
Modelinin
Geliştirilmesi
3. Aşama
Riskin
Önceliklendiri
lmesi
4. Aşama
Risk
Profilinin
Oluşturulması
5. Aşama
Takvim ve
Kaynak
Belirlenmesi
42©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
1. Aşama - BT Altyapı ve Süreçlerinin Anlaşılması
Aktivite 1:
İstenecek
Dokümanların
Listelesinin
Hazırlanması
Aktivite 2:
BT Hedef,
Amaç ve
Stratejisinin
Anlaşılması
Aktivite 3:
BT Genel
Kontrol
Yapısının
Anlaşılması
Aktivite 4:
BT Süreç
ve
Altyapısının
Anlaşılması
Aktivite 5:
Trend /
Endüstriyel
Risklerin
Belirlenmesi
Aktivite 6:
Altyapı – BT
Süreçlerinin
Eşleştirilmesi
Aktivite 1:
İstenecek
Dokümanların
Listelesinin
Hazırlanması
Aktivite 2:
BT Hedef,
Amaç ve
Stratejisinin
Anlaşılması
Aktivite 3:
BT Genel
Kontrol
Yapısının
Anlaşılması
Aktivite 4:
BT Süreç
ve
Altyapısının
Anlaşılması
Aktivite 5:
Trend /
Endüstriyel
Risklerin
Belirlenmesi
Aktivite 6:
Altyapı – BT
Süreçlerinin
EşleştirilmesiAna
Aktiviteler
Doküman Listesi
Ön Bilgiler
Talep Edilen Dokümanlar için Takip Listesi
BT Profili
BT Strateji Dokümanı
BT Yıllık Plan
BT Bütçesi
Büyük Projeler
Kurumsal Kontrol Noktaları
BT Yönetişim Dokümanları
BT Politika Prosedürler
BT Risk Kontrol Matrisleri
Temel BT Süreçleri
Uygulama Listesi
Altyapı
Envanteri
Veri Merkezleri
Risk & Kontrol Dokümanları
Yasal Zorunluluklar
Sektörel Riskler
BT Süreçleri-Altyapı
Eşleştirilmesi
Dokümanlar
/ Çıktılar
43©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Deloitte Risk Değerlendirme MetodolojisiBT Risk Modelinin Geliştirilmesi
• İş süreçleri sahipleri ile birlikte risk
çerçevesinin belirlenmesi:
• Risk çerçevesi kapsamının
belirlenmesi
• Etki, olasılık ve zafiyet kriterlerinin
belirlenmesi
• Risk çerçevesinin onaylanması
• İş süreçleri sahipleri ile birlikte risk
çerçevesinin belirlenmesi:
• Risk çerçevesi kapsamının
belirlenmesi
• Etki, olasılık ve zafiyet kriterlerinin
belirlenmesi
• Risk çerçevesinin onaylanması
Ana AktivitelerAna Aktiviteler
• Risk çerçevesi
• BT yönetişimi
• BT süreçleri
• Operasyon
• BT risk tanımları
• Risk değerlendirme kriterleri:
• Etki
• Olasılık
• Zafiyet
• Risk çerçevesi
• BT yönetişimi
• BT süreçleri
• Operasyon
• BT risk tanımları
• Risk değerlendirme kriterleri:
• Etki
• Olasılık
• Zafiyet
ÇıktılarÇıktılar
1. Aşama
BT Altyapısı ve
Süreçlerinin
Anlaşılması
2. Aşama
BT Risk
Modelinin
Geliştirilmesi
3. Aşama
Riskin
Önceliklendiri
lmesi
4. Aşama
Risk
Profilinin
Oluşturulması
5. Aşama
Takvim ve
Kaynak
Belirlenmesi
44©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
2. Aşama - BT Risk Modelinin Geliştirilmesi
BT Risk Çerçevesi
Kategoriler:• Yönetişim / Strateji Planlama• BT Süreçleri• Altyapı
Kriterler (Etki, zafiyet, olasılık)
Risk Değerlendirme Yaklaşımı
BT Risk Modeli
Aktivite 1:
BT Risk
Çerçevesinin
Belirlenmesi
Aktivite 2:
Kriterlerinin
Belirlenmesi
Aktivite 3:
Risk
Çerçevesinin
Onaylanması
Aktivite 4:
Risklerinin
Belirlenmesi
Aktivite 1:
BT Risk
Çerçevesinin
Belirlenmesi
Aktivite 2:
Kriterlerinin
Belirlenmesi
Aktivite 3:
Risk
Çerçevesinin
Onaylanması
Aktivite 4:
Risklerinin
Belirlenmesi
Risk Kataloğu
Ana
Aktiviteler
Dokümanlar
/ Çıktılar
45©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
2. Aşama - BT Risk Modelinin Geliştirilmesi
BT Risk Çerçevesi, öngörülen risklerin belirli kategoriler altında
toplanarak, tüm BT süreçleri ile ilgili risklerin değerlendirilmesini
sağlar.
• BT Risk Değerlendirme Yöntemi üzerinde anlaşılır.
• Paydaşlar ile BT risk değerlendirmesi sonuçları paylaşılır.
• Tüm riskleri içeren bir risk kataloğu hazırlanır.
2
DüşükSistem yöneticisinin CEO e-postalarını
okuması ve rakiplere bilgi vermesi
Bilgi VarlıklarıBilgi Güvenliği
Sorumlusu
1
OlasılığıRisk İfadesiSınıfıSahibi#
Risk Kataloğu
2
DüşükSistem yöneticisinin CEO e-postalarını
okuması ve rakiplere bilgi vermesi
Bilgi VarlıklarıBilgi Güvenliği
Sorumlusu
1
OlasılığıRisk İfadesiSınıfıSahibi#
Risk Kataloğu
46©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Örnek BT Riskleri - Yönetişim Seviyesi
BT YönetiĢimi:
• Misyon: BT misyonu dokümante edilmemiştir veya mevcut değerleri korumaya ve yeni katma
değer yaratmaya yönelik değildir.
• BT – ĠĢ Birimleri Uyumu: BT ile iş birimleri arasındaki hedefler uyumlu olmadığı için BT etkin bir
katma değer sağlayamamaktadır.
• Politika: Politika ve prosedürler tanımlanmamış ya da dokümante edilmemiştir. Mevcut yazılı
politika ve prosedürler etkin bir dağıtım mekanizmasıyla birimlerle paylaşılmamıştır. Politika ve
prosedürlerin farkındalığında eksiklikler bulunmaktadır.
BT Strateji Planlama:
• BT Planlama: Bilgi sistemleri strateji ve planları kurumsal stratejik hedeflerle tam uyumlu değildir.
• Bütçe, Metrik ve Kontroller: BT bütçeleri yönetim tarafından onaylanmamaktadır. Bütçedeki
gerçekleşme farklılıkları kontrol edilmemekte ve sebepleri araştırılmamaktadır. Metrik ve kontroller
tanımlanmamıştır.
47©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Örnek BT Riskleri - Süreç Seviyesi
Mimari :
• Teknoloji Planlama: BT organizasyonu, kuruma ve süreçlere katma değer sağlayacak teknolojileri takip
edememekte ve zamanında kullanmaya başlayamamaktadır.
• GeliĢen Teknolojiler: BT organizasyonu gelişen teknolojileri takip edememekte, ortaya çıkan yeni fırsat ve
önerileri değerlendirememektedir.
• Tedarikçi / Ürün Seçimi: BT tedarikçi ve ürünlerinin seçimi, yönetimin belirlediği standartlar dahilinde
yapılamamaktadır.
• Entegrasyon & Konsolidasyon: Sistemlerin entegrasyonu etkin değildir, sistemlerin etkileşimi istenilen düzeyde
değildir.
Proje Yönetimi:
• Proje Yönetim Hayat Döngüsü: Projelerin planlamasında, kaynak ayrılmasında, yürütülmesinde ve zamanında
tamamlanması için belirli bir metodoloji geliştirilmemiştir.
• Yazılım GeliĢtirme Hayat Döngüsü: BT yazılım geliştirme projeleri yönetimin belirlediği standartlara göre
yürütülmemektedir.
• Proje Risk (GeçiĢ Öncesi) Değerlendirme: BT projeleri, Kalite Güvence birimleri, İç Denetim ve/veya Yönetim
tarafından geçiş öncesi incelenmemektedir.
48©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Örnek BT Riskleri - Süreç Seviyesi
BT Operasyonları
• Çevre Yönetimi: İş ve BT hedeflerininin kullanılabilirlik ve performans değerleri için diğer tüm BT
ihtiyaçları (donanım, yazılım, bilgisayar ağı, veri merkezleri, araçların) izlenmemektedir.
• Veri Saklaması/Yedeklemesi: Üst Yönetim ve kullanıcılar veri yedeklemesi ve saklanması ile ilgili
uygun planlama yapmamaktadır (saklanması gerekmeyen medya sürümlerini de içeren). Veri
kaybolması riskinin azaltılması amacı ile yedeklemeler uzak bir lokasyonda tutulmamaktadır.
Süreklilik Yönetimi
• ĠĢ-Etki Analizi: Kurum geneli için geçerli olan bir süreklilik planı hazırlanmamış ya da iş-etki
analizine göre yapılmamıştır.
• Süreklilik Planı GeliĢtirme/Güncelleme: Süreklilik Planı mevcut değildir ya da gözden
geçirilmemekte veya iş ortamındaki değişiklikleri yansıtmamaktadır.
• Test Edilmesi: Üst Yönetim süreklilik planını düzenli olarak test etmemekte, test sonuçlarını
dokümante etmemekte ya da planı geliştirmemektedir.
49©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Deloitte Risk Değerlendirme MetodolojisiRiskin Önceliklendirilmesi
• Mülakat, çalışma toplantıları ve
anketlerle risklerin
değerlendirilmesi:
• Üst yönetim
• Orta seviye yönetim
• İş birimleri ve BT birimleri
yöneticilerine anketler yapılması
• Risk derecelendirmesi ve
haritasının çıkarılması
• Mülakat, çalışma toplantıları ve
anketlerle risklerin
değerlendirilmesi:
• Üst yönetim
• Orta seviye yönetim
• İş birimleri ve BT birimleri
yöneticilerine anketler yapılması
• Risk derecelendirmesi ve
haritasının çıkarılması
Ana AktivitelerAna Aktiviteler
• Risk Haritası (“MARCI”)
• Risklerin etki ve zafiyetlere göre
değerlendirilmesi
• Mülakat toplantı notları
• Anket sonuçları
• Risk Haritası (“MARCI”)
• Risklerin etki ve zafiyetlere göre
değerlendirilmesi
• Mülakat toplantı notları
• Anket sonuçları
ÇıktılarÇıktılar
1. Aşama
BT Altyapısı ve
Süreçlerinin
Anlaşılması
2. Aşama
BT Risk
Modelinin
Geliştirilmesi
3. Aşama
Riskin
Önceliklendiri
lmesi
4. Aşama
Risk
Profilinin
Oluşturulması
5. Aşama
Takvim ve
Kaynak
Belirlenmesi
50©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
3. Aşama - Riskin Önceliklendirilmesi
Mülakat, Çalışma Toplantıları ve Anket Katılımcılarının Belirlenmesi
Anket ve Mülakat Formlarının Belirlenmesi
Duyuru e-postaları
Mülakatlar
Çalışma ToplantılarıMateryalleri
Anketler
Anket, Mülakat ve Formların Belirlenmesi
Risk Değerlendirme Sonuçları
Risk Haritası
Aktivite 1:
Risk Değerlendirme
Süreci Katılımcıların
Belirlenmesi
Aktivite 2:
Mülakat, Çalışma
Toplantıları ve
Anketlerin
Yapılması
Aktivite 3:
BT Risklerinin
Önceliklendirilmesi
Aktivite 4:
Risklerin Yönetim
Tarafından
Değerlendirilmesi
Aktivite 1:
Risk Değerlendirme
Süreci Katılımcıların
Belirlenmesi
Aktivite 2:
Mülakat, Çalışma
Toplantıları ve
Anketlerin
Yapılması
Aktivite 3:
BT Risklerinin
Önceliklendirilmesi
Aktivite 4:
Risklerin Yönetim
Tarafından
Değerlendirilmesi
Uyarlanmış Risk Değerleri
Ana
Aktiviteler
Dokümanlar
/ Çıktılar
51©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Faktörleri
Varlıkların ve sahiplerinin belirlenmesi, gizlilik, bütünlük ve erişilebilirlik değerlerinin
verilmesi
Varlık Grubu Varlık G B E
Bilgi / veri Maaş bilgileri
Donanım Domain Controller
Yazılım ve uygulamalar Ana bankacılık uygulaması
İletişim cihazları Güvenlik Duvarı
Taşınabilir veri saklama ortamları Yedekleme kartuşları
Dokümanlar Faturalar
Personel Veritabanı Yöneticisi
Bilgi işlem merkezleri Olağanüstü Durum Merkezi
Varlık Grubu Varlık G B E
Bilgi / veri Maaş bilgileri
Donanım Domain Controller
Yazılım ve uygulamalar Ana bankacılık uygulaması
İletişim cihazları Güvenlik Duvarı
Taşınabilir veri saklama ortamları Yedekleme kartuşları
Dokümanlar Faturalar
Personel Veritabanı Yöneticisi
Bilgi işlem merkezleri Olağanüstü Durum Merkezi
52©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Faktörleri
Zayıflık
Bir varlık üzerinde gizlilik,
bütünlük ve/veya erişilebilirliğin
kaybedilmesine neden olabilecek
açıklık
Kullanıcılar ve sunucular aynı ağ
içerisinde yer almaktadır ve
kullanıcılar sunuculara
erişebilmektedir.
Tehdit
Varlığın gizlilik, bütünlük ve/veya
erişilebilirliğinin kaybedilmesine
neden olabilecek olay
Kullanıcılar bilinçli veya bilinçsiz
olarak kritik servislere müdahale
edebilir.
Risk
Tehditin zayıflığı istismar
etmesiyle ortaya çıkabilecek
sonuç
Hizmet kesintisi gerçekleşebilir.
KontrolRiskin etkisini azaltan düzenleme
ve/veya aksiyonlar
Güvenlik duvarı ve sanal ağlar
kullanılarak erişim kısıtlaması
sağlanmalıdır.
Zayıflık
Bir varlık üzerinde gizlilik,
bütünlük ve/veya erişilebilirliğin
kaybedilmesine neden olabilecek
açıklık
Kullanıcılar ve sunucular aynı ağ
içerisinde yer almaktadır ve
kullanıcılar sunuculara
erişebilmektedir.
Tehdit
Varlığın gizlilik, bütünlük ve/veya
erişilebilirliğinin kaybedilmesine
neden olabilecek olay
Kullanıcılar bilinçli veya bilinçsiz
olarak kritik servislere müdahale
edebilir.
Risk
Tehditin zayıflığı istismar
etmesiyle ortaya çıkabilecek
sonuç
Hizmet kesintisi gerçekleşebilir.
KontrolRiskin etkisini azaltan düzenleme
ve/veya aksiyonlar
Güvenlik duvarı ve sanal ağlar
kullanılarak erişim kısıtlaması
sağlanmalıdır.
53©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Değerlendirmesi
Varlıkİş Etkisi
( G / B / E )Zayıflık Tehdit Risk
Web Uygulama Sunucusu
Varsayılan kullanıcı
hesapları aktif
durumdadır.
İnternetteki
saldırganlar
uygulamaya
erişebilir.
Veriler yetkisiz
kişilerce
değiştirilebilir.
VoIP Telefonlar
Görüşmeler
şifrelenmeden
iletilmektedir.
Kurum çalışanları
görüşmeleri
dinleyebilir.
Kişisel ve gizli
kurumsal bilgiler ifşa
olabilir.
Varlıkİş Etkisi
( G / B / E )Zayıflık Tehdit Risk
Web Uygulama Sunucusu
Varsayılan kullanıcı
hesapları aktif
durumdadır.
İnternetteki
saldırganlar
uygulamaya
erişebilir.
Veriler yetkisiz
kişilerce
değiştirilebilir.
VoIP Telefonlar
Görüşmeler
şifrelenmeden
iletilmektedir.
Kurum çalışanları
görüşmeleri
dinleyebilir.
Kişisel ve gizli
kurumsal bilgiler ifşa
olabilir.
Riske Maruz
Kalma Olasılığı
Zayıflık
Düşük Orta Yüksek
Te
hd
it
Düşük Çok Düşük Düşük Orta
Orta Düşük Orta Yüksek
Yüksek Orta Yüksek Çok Yüksek
Riske Maruz
Kalma Olasılığı
Zayıflık
Düşük Orta Yüksek
Te
hd
it
Düşük Çok Düşük Düşük Orta
Orta Düşük Orta Yüksek
Yüksek Orta Yüksek Çok Yüksek
Risk
Seviyesi
Riske Maruz Kalma Olasılığı
Çok Düşük Düşük Orta Yüksek Çok Yüksek
İşE
tkis
i
Düşük 1 2 3 4 5
Orta 2 3 4 5 6
Yüksek 3 4 5 6 7
Risk
Seviyesi
Riske Maruz Kalma Olasılığı
Çok Düşük Düşük Orta Yüksek Çok Yüksek
İşE
tkis
i
Düşük 1 2 3 4 5
Orta 2 3 4 5 6
Yüksek 3 4 5 6 7
54©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Deloitte Risk Değerlendirme MetodolojisiRisk Profilinin Oluşturulması
1. Aşama
BT Altyapısı ve
Süreçlerinin
Anlaşılması
2. Aşama
BT Risk
Modelinin
Geliştirilmesi
3. Aşama
Riskin
Önceliklendiri
lmesi
4. Aşama
Risk
Profilinin
Oluşturulması
5. Aşama
Takvim ve
Kaynak
Belirlenmesi
• Risk değerlendirme çalışması
sonuçlarının gözden geçirilmesi
• Risklerin BT süreçleri ile eşleştirilmesi
• Her bir risk ile ilgili karşılama stratejisinin
belirlenmesi
• Risk değerlendirme çalışması
sonuçlarının gözden geçirilmesi
• Risklerin BT süreçleri ile eşleştirilmesi
• Her bir risk ile ilgili karşılama stratejisinin
belirlenmesi
Ana AktivitelerAna Aktiviteler
• BT süreç-risk eşleştirmesi
• Risk Karşılama Stratejisi
• Risk Aksiyon Planı
• BT süreç-risk eşleştirmesi
• Risk Karşılama Stratejisi
• Risk Aksiyon Planı
ÇıktılarÇıktılar
55©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
4. Aşama – Risk Profilinin Oluşturulması
Risk Karşılama, riskin etkisini azaltmak üzere Üst Yönetimin uygulattığı sistematik
metodolojidir.
Risk karşılama için seçenekler aşağıdaki gibidir:
– Riski Kabullenme: Potansiyel riski kabul ederek devam etmektir. Kontroller uygulanarak risk
daha az bir seviyeye getirilmeye çalışılır.
– Riskten Kaçınma: Riskin oluşmasına neden olan durumu ortadan kaldırarak riskten
kaçınmaktır.
– Risk Sınırlama: Bir zayıflık ile ilgili çalışarak tehdidin etkisini azaltmak amacıyla kontroller
uygulamaktır. (Tespit edici veya kurtarıcı kontroller gibi)
– Risk Planlama: Kontrolleri önceliklendiren, uygulayan ve yürüten bir risk karşılama planı
geliştirilmesi ile riskin yönetilmesidir.
– Risk Aktarımı: Zararın azaltılmasını sağlayacak seçeneklerin kullanılması ile riskin transfer
edilmesidir.
56©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
4. Aşama – Risk Profilinin Oluşturulması
Yönetim Kurulu / Üst Yönetim
– Öncelikleri ve endişeleri nedir ?
– Hangi riskler yüksek önceliklidir ?
– Hangi riskler kabul edilmektedir ?
– Hangi kontroller etkin değildir ?
– Hangi riskler müdahale gerektirir ?
Risk Profili
MüdahaleYüksekDüşükOrta-Orta2
KabulDüşükDüşükDüşükKont1Yüksek1
AksiyonÖncelikHedef Risk
Seviyesi
Kalan Risk
Seviyesi
KontrolDoğal Risk
Seviyesi
#
MüdahaleYüksekDüşükOrta-Orta2
KabulDüşükDüşükDüşükKont1Yüksek1
AksiyonÖncelikHedef Risk
Seviyesi
Kalan Risk
Seviyesi
KontrolDoğal Risk
Seviyesi
#
57©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Haritası Genel Alanları
Risk Karşılama yaklaşımı “MARCI” şemasında risklerin yerleştiği alana göre belirlenir.
Kaynakların
Gözden Geçirilmesi
R
Kaynakların
Gözden Geçirilmesi
R
Toplam Etkinin
Değerlendirilmesi
CI
Toplam Etkinin
Değerlendirilmesi
CI
Güvence
A
Güvence
A
Riskin Azaltılması
M
Riskin Azaltılması
M
Riske Açıklık
Arta Kalan Risk
YD
Y
ET
Kİ
Brü
t R
isk
Önle
Ortaya Çıkar
Düzelt
Raporla
Kaynakların
Gözden Geçirilmesi
R
Kaynakların
Gözden Geçirilmesi
R
Toplam Etkinin
Değerlendirilmesi
CI
Toplam Etkinin
Değerlendirilmesi
CI
Güvence
A
Güvence
A
Riskin Azaltılması
M
Riskin Azaltılması
M
Riske Açıklık
Arta Kalan Risk
YD
Y
ET
Kİ
Brü
t R
isk
Önle
Ortaya Çıkar
Düzelt
Raporla
58©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Deloitte Risk Değerlendirme MetodolojisiTakvim ve Kaynak Belirlenmesi
1. Aşama
BT Altyapısı ve
Süreçlerinin
Anlaşılması
2. Aşama
BT Risk
Modelinin
Geliştirilmesi
3. Aşama
Riskin
Önceliklendiri
lmesi
4. Aşama
Risk
Profilinin
Oluşturulması
5. Aşama
Takvim ve
Kaynak
Belirlenmesi
• İlgili Aksiyon Sorumluları ve Üst
Yönetimi ile gerekli niteliklerin, araçların
belirlenmesi
• Risk azaltma çalışmaları takviminin
oluşturulması ve kaynakların
belirlenmesi
• İlgili Aksiyon Sorumluları ve Üst
Yönetimi ile gerekli niteliklerin, araçların
belirlenmesi
• Risk azaltma çalışmaları takviminin
oluşturulması ve kaynakların
belirlenmesi
Ana AktivitelerAna Aktiviteler
• Detaylı aksiyon planı:
• Risk değerlendirmesi ile aksiyon
planının eşleştirilmesi
• Takvim
• Kaynak & Eğitim Listesi
• Detaylı aksiyon planı:
• Risk değerlendirmesi ile aksiyon
planının eşleştirilmesi
• Takvim
• Kaynak & Eğitim Listesi
ÇıktılarÇıktılar
59©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
5. Aşama - Takvim ve Kaynak Belirlenmesi
Aktivite 1:
Kaynakların
Belirlenmesi
Aktivite 2:
Süre Tahmini
Aktivite 3:
Risk İyileştirme
Takviminin
Oluşturulması
Aktivite 4:
Takvimin
verimlilik
açısıdan gözden
geçirilmesi
Aktivite 1:
Kaynakların
Belirlenmesi
Aktivite 2:
Süre Tahmini
Aktivite 3:
Risk İyileştirme
Takviminin
Oluşturulması
Aktivite 4:
Takvimin
verimlilik
açısıdan gözden
geçirilmesi
Risk Aksiyon Planı
AçıkXX.XX.XXXXBT Yöneticisi,
Sistem odası Sorumlusu
Sistem odası günlük erişim
raporlarının, şüpheli aktiviteler
ve anormallikler için gözden
geçirilmesi
3
AçıkXX.XX.XXXXVeritabanı YöneticisiOracle Veritabanında Değişiklik
Kontrollerinin Uygulanması
1,2
DurumTamamlanma TarihiSorumluYanıtlarRiskler
AçıkXX.XX.XXXXBT Yöneticisi,
Sistem odası Sorumlusu
Sistem odası günlük erişim
raporlarının, şüpheli aktiviteler
ve anormallikler için gözden
geçirilmesi
3
AçıkXX.XX.XXXXVeritabanı YöneticisiOracle Veritabanında Değişiklik
Kontrollerinin Uygulanması
1,2
DurumTamamlanma TarihiSorumluYanıtlarRiskler
BT Risk Yönetiminin
Teknolojik Beklentileri
61©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Risk Yönetimi
“Tüm günlük uyum gereksinimleri arasında gerçek
işimin ne olduğunu unuttum”
62©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Mevcut Durumun Sebebi
İhtiyacım olanı nasıl
basitleştirebilirim, herkes
bana aynı soruyu tekrar
tekrar soruyor ?
Süreç SahipleriSüreç SahipleriSüreç Sahipleri
UyumUyum Risk YönetimiRisk Yönetimi DüzenleyicilerDüzenleyicilerİç Denetim
63©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Yapılması Gereken
İç Denetim
Tüm düzenleme ve
politikalarımıza ilişkin kontrolleri
düzenleyebilir miyiz?
Bu bize zaman kazandıracaktır!
Tüm düzenleme ve
politikalarımıza ilişkin kontrolleri
düzenleyebilir miyiz?
Bu bize zaman kazandıracaktır!
Risk Yönetimi DüzenleyicilerUyum
Süreç SahipleriSüreç SahipleriSüreç Sahipleri
KurumsalRisk veKontrol
Kütüphanesi
KurumsalRisk veKontrol
Kütüphanesi
KurumsalRisk veKontrol
Kütüphanesi
64©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Dönüşüm Fırsatları
Mevcut Durum
• Silo ile yönetilme
• Reaktif / entegre değil
• Karmaşık
• Verimsizlik (herkese ayrı ayrı soruyor, test ediyor,
her risk için ayrı çaba)
• İnsanların özel yazılımlar gibi kullanılması
• Dağınık bilgi/Yüksek maliyet
Gelecekteki Durum
• Kurumsal yaklaşım
• Proaktif / entegre
• Sistematik ve verimli yaklaşım (bir kez sor,
test et; birden fazla uyumu göster)
• Yönetilen Bilgi/Düşük Maliyet
GRC Program Yönetimi
GRC Program Yönetimi
BT Risk Yönetimi ve
Disiplinler
66©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
COBIT
PO9 BT Risklerinin
Değerlendirilmesi ve Yönetimi
67©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9 BT Risklerinin Değerlendirilmesi ve Yönetimi
PO9
BT Risklerinin
Değerlendirilmesi
ve Yönetimi
PO9
BT Risklerinin
Değerlendirilmesi
ve Yönetimi
PO9.1 BT Risk Yönetim
Çerçevesi
PO9.1 BT Risk Yönetim
Çerçevesi
PO9.2 Risk Kapsamının
Belirlenmesi
PO9.2 Risk Kapsamının
Belirlenmesi
PO9.3 Olay TespitiPO9.3 Olay TespitiPO9.6 Risk Aksiyon Planının
Oluşturulması ve İzlenmesi
PO9.6 Risk Aksiyon Planının
Oluşturulması ve İzlenmesi
PO9.5 Risk YanıtlanmasıPO9.5 Risk Yanıtlanması
PO9.4 Risk DeğerlendirmesiPO9.4 Risk Değerlendirmesi
68©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9.1 BT Risk Yönetim Çerçevesi
Organizasyonun risk yönetim politikası ile uyumlu bir BT risk yönetim çerçevesi
oluşturması gerekmektedir.
– BT risk sınıflandırması Kurum risk yönetim çerçevesinin genel özelliklerini temel almalı
– BT riskleri, Kurum’un risk yönetim çerçevesi ile uyumlu bir şekilde önceliklendirilmeli ve etki,
kalan risklerin kabulü ve olasılıkları içerecek şekilde ölçümlendirilmeli
69©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9.2 Risk Kapsamının Belirlenmesi
Uygun sonuçların elde edilmesi için risk değerlendirme çerçevesinin uygulama
kapsamının belirlenmesi amaçlanmaktadır.
– Risk değerlendirmede iç ve dış kapsam, değerlendirmenin hedefi ve hangi risklerin değerlendirileceği kriterleri
göz önüne alınmalı
– Risk kapsamı, Kurumun risk yaklaşımı olarak anlaşılmalı
– Prosedürler genel BT risk değerlendirmelerinde ve ayrıca proje risk değerlendirmelerinde kullanılacak
standartları içermeli
70©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9.3 Olay Tespiti
Kurumun, iş, yasal, düzenleyici, teknolojik, ticari ortak, insan kaynağı ve operasyonel
durum hedeflerine ve operasyonlarına potansiyel negatif etkisi olan olayların (önemli bir
zayıflığı kullanan gerçek bir tehdidin) belirlenmesi amaçlanmaktadır.
– Tespit edilen riskler bir risk kütüğüne kaydedilmeli ve buradan yönetilmeli
– BT risk kayıtlarında tehditlerin ilişkisi, tehdide açıklık miktarı ve etkinin önemi bulunmalı
– Tehdit unsuru olabilecek potansiyel olayları belirlemek için kullanılan süreçler oluşturulmalı
– Tüm BT süreçleri risk analizine dahil edilmeli
– Değişik vakalarda ve etki tespit aktivitelerinde uygun işlevler arası ekipler görev almalı
71©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9.4 Risk Değerlendirmesi
Belirlenmiş risklerin olasılığının ve etkisinin nitelik ve nicelik yöntemlerle düzenli olarak
değerlendirilmesi amaçlanmaktadır.
– BT risk yönetimi sürecinde arta kalan riskler tanımlanmalı ve dokümante edilmeli
– BT risk yönetimi süreci, tespit edilmiş riskleri nicel ve/veya nitel olarak değerlendirmeli ve
dokümante etmeli
72©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9.5 Risk Yanıtlanması
Düzenli olarak risklerin oluşumunu azaltan maliyet etkin kontroller sağlamak için
tasarlanmış bir risk karşılama sürecinin geliştirilmesi ve yönetilmesi amaçlanmaktadır.
– Risk yanıtlama süreci kaçınma, azaltma, paylaşma veya kabul etme gibi risk stratejilerini
belirlemeli, sorumlulukları atamalı ve risk tolerans seviyelerini göz önüne almalı
– Her bir risk için belirlenen strateji Üst Yönetim tarafından onaylanmalı
73©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
PO9.6 Risk Aksiyon Planının Oluşturulması ve İzlenmesi
Yararlı olarak belirlenmiş risk yanıtlarının gerçekleştirilmesi için maliyetlerin, kazanımların
ve sorumlulukların belirlenmesini içeren kontrol aktivitelerinin tüm seviyelerinin
önceliklendirilmesi ve planlanması amaçlanmaktadır.
– BT risk aksiyon planı oluşturulmalı, planın sahipliğine ve yönetilmesine ilişkin sorumluluklar
belirlenmeli
– Tüm önerilen aksiyonlar ve kabul edilen kalan riskler onaylanmalı
– Onaylanan aksiyonlar uygun süreç sahibi tarafından sahiplenilmeli
– Aksiyon planının işleyişi izlenmeli ve sapmalar Üst Yönetime raporlanmalı
74©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
ISO27001
• Bu standard, risk değerlendirme, güvenlik tasarımı ve
gerçekleştirme, güvenlik yönetimi ve yeniden
değerlendirmeyi yöneten bu kılavuzlardaki prensipleri
gerçekleştirmek için sağlam bir model sağlar.
• BGYS’nin kurulması için aşağıdakiler yapmalıdır:
– BGYS kapsamını ve sınırlarını tanımlama
– BGYS politikası tanımlama
– Risk değerlendirme yaklaşımını tanımlama
– Riskleri tanımlama
– Riskleri çözümleme ve derecelendirme
– Risklerin işlenmesi için seçenekleri tanımlama ve değerlendirme
– Risklerin işlenmesi için kontrol amaçları ve kontrolleri seçme
– Sunulan artık risklere ilişkin yönetim onayı edinme
– BGYS’yi gerçekleştirmek ve işletmek için yönetim yetkilendirmesi
edinme
– Uygulanabilirlik Bildirgesi hazırlama
75©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
ISO27001
BGYS dokümantasyonu aşağıdakileri kapsamalıdır:
– Risk değerlendirme metodolojisinin bir tanımı
– Risk değerlendirme raporu
– Risk işleme planı
76©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
ITIL / ISO 20000
Bilgi Güvenliği Yönetiminde
– Süreç hedefleri arasında BT risklerinin uygun şekilde yönetilmesi de yer almaktadır.
– İş ve BT riskleri ve yönetimi süreç kapsamı içerisindedir.
– Bilgi Güvenliği Yönetişiminin 6 temel çıktısından birisi Risk Yönetimidir:
• Üzerinde uzlaşılmış bir risk profili
• Risk Yönetimi önceliklerinin farkındalığı
• Risk Karşılama
• Risk Kabul
77©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
CMMI
• Risk Yönetimi süreci mevcuttur ve 3. olgunluk seviyesi için gerekmektedir.
• SG 1 Risk Yönetimine Hazırlık
– SP 1.1 Risk Kaynaklarının ve Sınıflarının Belirlenmesi
– SP 1.2 Risk Parametrelerinin Tanımlanması
– SP 1.3 Risk Yönetim Stratejisinin Oluşturulması
• SG 2 Risklerin Belirlenmesi ve Analiz Edilmesi
– SP 2.1 Risklerin Belirlenmesi
– SP 2.2 Risklerin Değerlendirilmesi, Sınıflandırılması ve Önceliklendirilmesi
• SG 3 Risklerin Karşılanması
– SP 3.1 Risk Karşılama Planları Geliştirilmesi
– SP 3.2 Risk Karşılama Planlarının Uygulanması
BT Risk Yönetimi ve
Türkiye’deki Mevzuat
79©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği – Madde 5
• Banka, bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri
ölçmek, izlemek, kontrol etmek ve raporlamak üzere gerekli önlemleri alır.
• Bilgi sistemlerine ilişkin risklerin yönetilmesi, bilgi sistemleri yönetiminin önemli bir bileşeni olarak
ele alınır.
• Banka, risk yönetim politika ve süreçlerini, bilgi teknolojilerinin kullanımına bağlı olarak gözden
geçirip, buradan kaynaklanacak risklerin yönetimini kapsayacak şekilde yeniler.
• Bilgi teknolojilerinden kaynaklanan risklerin operasyonel risk kapsamında değerlendirilmesinin yanı
sıra bu risklerin bankacılık faaliyetlerinden kaynaklanan diğer risklerin de bir çarpanı
olabileceğinden, bilgi teknolojilerinden kaynaklanan riskleri de içeren bütünleşik bir risk yönetim
yaklaşımı tüm bankacılık faaliyetleri için benimsenir, bilgi teknolojilerinin takibi ve gözetimine ilişkin
çalışmalardan edinilen verilerin bankanın bütünsel risk yönetim çerçevesinin bir parçası haline
gelmesi sağlanır.
80©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği – Madde 5
• Banka, belirleyeceği dönemlerde veya bilgi sistemlerinde meydana gelecek önemli değişikliklerden
önce planlanan değişiklikleri de göz önünde bulundurarak bilgi sistemlerine ilişkin risk analizlerini
tekrarlar ve risk analizlerinin ne şekilde gerçekleştirileceğine ilişkin prosedürleri hazırlar.
• Bilgi sistemlerine ilişkin risklerin yönetimi amacıyla geliştirilen politika ve prosedürlerin gerekleri,
bankanın organizasyonel ve yönetsel yapıları içerisinde fiili olarak işleyecek şekilde yerleştirilir,
bunların işlerliğine ilişkin gözetim ve takip gerçekleştirilir.
• Bankanın, kendi risk profiline, operasyonel yapısına, kurumsal yönetim kültürüne ve ilgili diğer
mevzuat ile çizilen çerçeveye uygun olarak bilgi sistemlerine ilişkin risk yönetim süreçlerini
geliştirmesi ve bilgi teknolojilerinden kaynaklanan riskleri de bu kapsamda değerlendirmeye alması
esastır.
81©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Elektronik Haberleşme Güvenliği Yönetmeliği – Madde 11
• İşletmecilerin Yükümlülükleri
– İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür.
– İşletmeci, elektronik haberleşme güvenliği kapsamında, başta 6ncı maddede belirtilen tehdit ve zafiyetler
olmak üzere, kendi teknik ve idarî yapılanmasına göre yılda en az bir kez risk analizi yapar veya bu analizi
tarafsız kuruluşlara yaptırır. Bu çerçevede tespit edilen tehdit ve zafiyetlere ilişkin riski değerlendirerek gerekli
önlemleri alır.
– 20/7/2008 tarihinden sonra yetkilendirilen işletmecilere, ilgili Yönetmeliğin 11inci maddesi çerçevesinde TS
ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamak için tanınan süre 2 yıl olarak
belirlenmiştir.
– 20/7/2008 tarihinden önce yetkilendirilen işletmecilere ilgili standarda uygunluğu sağlamak için tanınan süre
20/7/2010 tarihi olarak belirlenmiştir.
– Elektronik haberleşme güvenliğine ilişkin 11inci madde kapsamında yapılan risk analizinde tespit edilen tehdit
ve zafiyetler ile bunların yüksek, orta veya düşük şeklinde tasnifi ile gerçekleşme olasılıkları ve önlemleri, bir
tehdit ve/veya zafiyetin gerçekleşmesi durumunda yürütülecek faaliyetleri ve bu faaliyetlerde görev alacak
personel ile bunların yetki ve sorumluluklarının neler olacağını içeren iş akış diyagramları ve acil eylem
planlarını, içeren rapor her yıl Kuruma gönderilir.
82©2010 DeloitteBT Risk Yönetimi Eğitimi / Türkiye Bilişim Derneği
Sorular ve Görüşler için
BarıĢ Bağcı