Deloitte Siber Güvenlik Günü. Tehlikenin Farkında mısınız? 2 Aralık 2014, Deloitte Values House-Maslak İstanbul

(1)

Deloitte Siber Güvenlik Günü

Tehlikenin

Farkında

mısınız?

(2)

Program akışı

Member Firms and DTTL: Insert appropriate copyright (Go Header & Footer to edit this text) 2

Program

Kahvaltı

Yönetim Kurulu Gündeminde Siber Güvenlik Cüneyt Kırlar Ortak

Deloitte Türkiye Cyber Executive Briefing Roel Van Rijsewijk

Siber Güvenlik Lideri Deloitte Hollanda 10:40-11:00 Kahve Molası

11:00-12:30 Panel

Siber Güvenliğin BT Stratejisindeki Önemi Ali Yılmaz Kumcu (Moderatör) Direktör

Deloitte Türkiye Alper Göğüş Koç Holding CIO

Abdullah Bilgin Kredi Kayıt Bürosu CIO

Önder Kaplancık CarrefourSA CIO

12:30-12:40 Kapanış

(3)

Yönetim Kurulu Gündeminde Siber Güvenlik

Cüneyt Kırlar, PMP, CISA, CGEIT 02.12.2014

Deloitte Siber Güvenlik Günü

(4)

Siber Güvenlik Günü – 2 Aralık 2014

Gündem

Kapanış Güncel tehdit görünümü

Geçmiş tecrübelerden yararlanma

Siber savunma tekniklerinin değişmesi

Üst yönetim için noktalar

(5)

Güncel tehdit görünümü

(6)

Siber güvenlik yönetimi için hükümetler, şirketlere standartlar hazırlamakta.

Cabinet Office

Gündemde siber güvenlik

Lloyd’s risk index 2013

Siber riskler, dünyada bulunan en yüksek 3 risk arasına girdi.

Siber güvenlik şirketlerin yönetim kurullarını ve

direktörlerini geceleri uyanık tutan en büyük 2. sebep.

Yönetim kurul üyelerinin %22’si herhangi bir siber saldırıyı belirleyebilecekleri konusunda güven sahibi.

2013 – Law in the Boardroom (FTI Consulting)

Symantec 2013

Ataklardaki %42 artış, küçük ve orta seviyeli şirketler

için.

(7)

2014 Global Risk Haritası

Dünya Ekonomik Forumu (World Economic Forum)

Siber ataklar, yerel ve bölgeselin yanı sıra global seviyede etki yapmaktadır.

Bütün şirketler risk altındadır.

Symantec yayınladığı bir güvenlik raporunda küçük ve orta seviyeli şirketlere yapılan saldırılarda

%42 oranında artış olduğunu bildirmiştir.

2013 yılında Interpol global

seviyede saniyede 12

adet siber güvenlik

kurbanı olduğunu raporlamıştır.

(8)

Beş Önemli Gerçek

8

Atak hızları artarken, cevap süreleri kısalmaktadır

Siber zarar parayla ölçülememekte Her varlığı aynı ölçüde koruyamazsınız Yüksek duvarlar koruma sağlamaz

Bilgi ağınız saldırıya uğrayacak

(9)

Geçmiş tecrübelerden yararlanma

(10)

Amacı Gerçekleştirmek

Çalmak, zarar vermek, dikkat dağıtmak

Çalınan verilerin şifrelenerek tehdit edilme, uzun süre boyunca gizlenerek veri ele geçirme, dijital izleri temizleme

Keşif

Bilgi toplama ve zafiyetlerin belirlenmesi

İnternet üzerinde araştırma, çağrı merkezlerini arama, sosyal medya üzerinde bilgi toplama vb.

Saldırı

Zafiyetlerin hedeflenmesi Belirlenmiş e-posta saldırıları,

kullanıcılara güvenilir kaynaktan zararlı dosya gönderimi, ağ, web uygulama veya yazılım zafiyetlerinin istismarı vb.

1 İstismar

Yetkisiz erişim

Hak yükseltilmesi, ağ ve sunucuları izleme

& kontrol etme, atak vektörlerinin artırımı, izleri saklama vb.

2

3

4 İç Organizasyon

(Çalışanlar, süreçler, teknolojiler)

İlişkili Şirketler

(Ortaklar, iştirakler, tedarikçiler ajanslar)

(Stratejik ve finansal varlıklar, veri & iş

zekası)

İş Değeri

Bir saldırganın tehdit, strateji ve yöntemlerini anlamak, kurumlara siber güvenlik stratejisi ve önlem almak için bilgi vermektedir.

Kurumlar her adımda güvenlik kavramını benimseyerek siber suçluların işini zorlaştırmalıdır.

Bir siber saldırının anatomisi

En zayıf sisteminiz kadar güçlüsünüz.

(11)

• Siber suçlular

• Hacktivistler

• Devletler

• Kötü niyetli çalışanlar

• Kötü niyetli tedarikçiler

• Rakipler

• Gelişmiş yalnız hackerlar

• Hassas bilgiler (şirket ve yönetim raporları, finansal bilgiler,yatırımcı bilgileri vb.)

• Finansal dolandırıcılık (para transferi)

• İş yıkımı

• Yaşam tehdidi

Kim saldırabilir?

Neyin peşindeler?

Neler kullanabilirler?

• Oltalama (phishing) saldırıları

• Yazılım veya donanım zafiyetleri

• Üçüncü parti farkındalık eksiklikleri

• Çalınan kullanıcı bilgileri

Siber güvenlik markanız ve itibarınız ile ilgilidir.

Öncelik kurumların risklerini belirlemektedir

(12)

Medya saldırıyı duyurdu.

Müşteri güveninde ve satışlarda düşüş yaşandı.

Marka itibarı ve piyasada bulunan güven zedelendi.

Target’ın 3. partilerinden birisine oltalama (phishing) saldırıları ile birlikte sızıldı – kullanıcı giriş bilgileri çalındı.

Target’ın CEO, CIO ve Güvenlik Müdürü istifa etti.

90’dan fazla dava açıldı.

Güvenlik seviyesinin arttırılması için 61 milyon dolardan fazla para harcandı.

Saldırganlar kullanıcı giriş bilgileri ile kurum ağına sızdı ve Target’ın POS sistemlerine saldırarak tarihin en büyük verisini çaldı.

Zafiyetler tespit edildi – Saldırının fark edilme süresi veri sızıntısını engellemek için yeterliydi fakat riskler fark edilemediği ve üst yönetim tarafından iyi yönetilmediği için sızıntı gerçekleşti.

Etkilenen geçerli kredi kartı numarası

Target’ın yaşadığı güncel zarar Forrester Research kurumunun gelecekte ön gördüğü toplam zarar

70M

$1B

$148M

Target veri sızıntısı bir çok gerçeği gündeme getirdi

• Bütün endüstriler ve şirketler tehlike altında

• Güvenlik eksiklikleri sadece mali kayba yol açmıyor

• Atakların hızı artarken, fark edilme süreleri artıyor

• Bütün sistemler aynı şekilde korunmamalıdır

• Geleneksel güvenlik yöntemleri yeterli değil

• Güvenli, dikkatli ve dirençli bir sistem için güçlü risk yönetimi gerekir.

ÖNEMLİ GERÇEKLER

İSTATİSTİKSEL VERİLER

Birkaç ayda başarılı bir markaya nasıl zarar verilir?

2013 Aralık ayında, Target 100 milyon kullanıcısının kredi kartı

bilgilerinin kendi sistemleri üzerinden çalındığını açıkladı.

(13)

Siber savunma tekniklerinin değişmesi

Güvenli. Dikkatli. Dirençli.

(14)

3. Yetenekler 1. Yönetişim & Liderlik

İş Değeri

Tehdit Yönetimi Altyapı Güvenliği Kimlik & Erişim Yönetimi

Web Uygulama

Güvenliği Veri Koruma İş Gücü Yönetimi

Risk Analitiği Üçüncü Parti

Yönetimi Kriz Yönetimi

Yönetim kurulu Üst yönetim Teknoloji liderleri IT Risk liderleri

2. Organizasyonel Uyarlayıcılar

Prosedürler &

Standartlar Yetenek & Kültür Risk Belirleme &

Raporlama Paydaş Yönetimi

Siber Risk Yönetimi

(15)

Uyanık

İhlal ve anomalileri belirleme & farkındalığı

arttırma

Dirençli

Saldırı sonrasında normale hızlıca geri dönebilme &

zararları düzeltebilme

Eyleme geçirilebilen tehdit

istihbaratı Stratejik organizasyonel yaklaşım

Siber Risk Yönetimi

Giderek güvenli, uyanık ve dirençli olmak için kurumlar geniş kapsamlı değişiklikler yaparak geleneksel güvenlik anlayışından uzaklaşmalılardır.

Güvenli

Bilinen tehditlere karşı riske göre önceliği oluşturulmuş kontroller belirleme & tehditleri ortaya çıkarma &

endüstride bulunan siber

güvenlik standartlarına

uyma & regülasyonlar

(16)

Üst yönetim için anahtar noktalar

(17)

Siber güvenlik için yönetim kuruluna öneriler

1 Denetleme komitesinden ayrı olarak IT Risk komitesi oluşturularak IT risklerini de içeren kurumsal riskler için sorumluluk verilmelidir. IT ve güvenlik yönetişimi ve siber güvenlik uzmanlığı için yöneticiler atanmalıdır..

4 Güvenlik ve direnç kültürü oluşturmak için hali hazırda bulunan prosedürler gözden geçirilmelidir. Kurumlar çalışanlarına “Güvenlik benimle başlıyor”

kültürünü aşılamalıdır.

3 ^Hali hazırda bulunan siber olay tepki planı geliştirilmelidir. Hassas sistemlere karşı yönelik kontroller arttırılmalıdır.

2 ^Risk toleransına ve hassas bilgilerin profiline göre, üst yönetimde yer alacak bir CISO atanmalıdır.

5 Bayiler ve tedarikçiler için gerekli gizlilik ve güvenlik prosedürleri

oluşturulmalıdır.

(18)

Siber güvenlik için yönetim kuruluna öneriler

6 Üst yönetimden gizlilik ve güvenlik risklerine dair düzenli raporlar alınmalıdır.

9 Siber güvenlik sigortasının kullanımı ve ihtiyacı yeniden değerlendirilmelidir.

8 Düzenli olarak kurum dışı kaynaklardan güvenlik & gizlilik programları ile ilgili gözden geçirme yapılmalıdır.

7 Siber güvenlik için gerekli farkındalık kazanılarak gerekli bütçeler ayrılmalıdır.

(19)

Son Sözler

(20)

• Ataklar büyümeye ve değişmeye devam etmektedir

• Önemli olan güvenlikte derinliktir – tek aşamalı kontroller yeterli değildir

• Sadece teknoloji çözümleri kullanmak, bilgi güvenliğinde gelişmekte olan problemlere karşı yeterli olmayacaktır

• Fiziksel ve sanal sınırlarınız içerisine giren yeni teknolojiler ile ilgili gerekli tanımlamalar yapılarak, prosedürler güncellenmelidir

Bu hiç bitmeyecek

bir yarış

Son Sözler

(21)

Güvenlik, mahremiyet ve risk yönetimi servislerimiz ile dünyada lider bilgi güvenliği danışmanlık firması seçildik.

BSI ISC² ISACA

150 üzerinde eğitimli sistem denetçisi (Lead System Auditor) 1,500 üzerinde CISSP sertifikasına sahip çalışan

2,000 üzerinde CISA, CISM, & CGEIT sertifikasına sahip çalışan Deloitte Üye Firmalarının Yetki Belgeleri

“ Deloitte, müşterilerinden olağanüstü geribildirim almasının yanı sıra kapsamlı ve entegre hizmet önerilerine sahip şirket olarak belirlendi. Forrester raporu ayrıca, Deloitte’u bilgi güvenliği alanında derin teknik bilgi ve küresel etkinliği ile vurgularken; güvenlik

Neden Deloitte?

Forrester Research, Forrester Wave^TM: Information Security Consulting Services Q1 2013”, Ed Ferrara and Andrew Rose, February 1, 2013

Gartner ranks Deloitte #1 for

Information Security Consulting Services Worldwide, based on market share, in 2013

, Source: Gartner, Market Share Analysis: Information Security Consulting, Worldwide, 2013, Jacqueline Heng, Lawrence Pingree 16 May 2014

(22)

Deloitte, denetim, vergi, danışmanlık ve kurumsal finansman alanlarında, birçok farklı endüstride faaliyet gösteren özel ve kamu sektörü müşterilerine hizmet sunmaktadır. Dünya çapında farklı bölgelerde 150’den fazla ülkede yer alan global üye firma ağı ile Deloitte, müşterilerinin iş dünyasında karşılaştıkları zorlukları aşmalarına destek olmak ve başarılarına katkıda bulunmak amacıyla dünya standartlarında yüksek kaliteli hizmetler sunmaktadır. Deloitte, 200.000’i aşan uzman kadrosu ile kendini mükemmelliğin standardı olmaya adamıştır.

Deloitte; İngiltere mevzuatına göre kurulmuş olan Deloitte Touche Tohmatsu Limited (“DTTL”) şirketini, üye firma ağındaki şirketlerden ve ilişkili tüzel kişiliklerden bir veya birden fazlasını ifade etmektedir. DTTL ve her bir üye firma ayrı ve bağımsız birer tüzel kişiliktir. DTTL (“Deloitte Global” olarak da anılmaktadır) müşterilere hizmet sunmamaktadır. DTTL ve üye firmalarının yasal yapısının detaylı açıklaması www.deloitte.com/about adresinde yer almaktadır.

Bu belgede yer alan bilgiler sadece genel bilgilendirme amaçlıdır ve Deloitte Touche Tohmatsu Limited, onun üye firmaları veya ilişkili kuruluşları (bütün olarak Deloitte Network) tarafından profesyonel bağlamda herhangi bir tavsiye veya hizmet sunmayı amaçlamamaktadır. Deloitte Network bünyesinde bulunan hiçbir kuruluş, bu belgede yer alan bilgilerin üçüncü kişiler tarafından kullanılması sonucunda ortaya çıkabilecek zarar veya ziyandan sorumlu değildir.

www.deloitte.com.tr

Deloitte Türkiye İstanbul Ofisi

İstanbul

+90 (212) 366 60 00

Ankara Ofisi Armada İş Merkezi A Blok Kat:7 No:8 Söğütözü, Ankara 06510

+90 (312) 295 47 00

İzmir Ofisi

Punta Plaza 1456 Sok.

No:10/1 Kat:12 Daire:14 - 15 Alsancak, İzmir +90 (232) 464 70 64

Bursa Ofisi

Zeno Center İş Merkezi Odunluk Mah. Kale Cad.

No:10 d Nilüfer, Bursa +90 (224) 324 25 00

Çukurova Ofisi

Günep Panorama İş Merkezi Reşatbey Mah. Türkkuşu Cad. Bina No:1 B Blok Kat:7 Seyhan, Adana

+90 (322) 237 11 00

/deloitteturkiye /deloitteturkiye

/company/deloitte-turkey

/company/deloitte-turkey Daha fazla bilgi için

Cüneyt Kırlar

Kurumsal Risk Hizmetleri Lideri Ortak

[email protected]