SAP Forum 2009: Deloitte ile SAP Güvelik Servisleri
-
Upload
fit-consulting -
Category
Technology
-
view
656 -
download
3
description
Transcript of SAP Forum 2009: Deloitte ile SAP Güvelik Servisleri
SAP Güvenlik Çözümleri
Kaan Günay (Deloitte, Kurumsal Risk Hizmetleri)
© SAP 2009 / Page 2
1. Güvenlik İhtiyaçları Erişim Yönetimi Görevler Ayrılığı İhtiyacı
2. Güvenlik Metrikleri
3. Güvenliğin Süreç ve Organizasyon Boyutu
Agenda
© SAP 2009 / Page 3
2008 Deloitte Küresel Güvenlik Anketi
2008 yılında 32 ülkeden 200’ün üzerinde finansal kurum
Türkiye’den 15 banka ve 1 sigorta şirketiTürkiye’den katılan bankalara 30.09.2008 itibariyle aktif
büyüklük baz alındığında bankacılık sektörünün %49,7’sini temsil ediyor.
© SAP 2009 / Page 4
2008 Küresel Güvenlik Araştırması – Top 10 Denetim bulguları
Son 12 ay içinde iç/dış denetimlerde ortaya en çok çıkan bulgular
© SAP 2009 / Page 5
Erişim Kontrolü – Fazla verilmiş haklarÖrnek – Rol Tabanlı Erişim Kontrolü
© SAP 2009 / Page 6
Görevler Ayrılığı İhtiyacı
Tedarikçilerinizin banka bilgilerini kim değiştirebilir?Ödeme sürecinde kimler yetkili?İskonto uygulama yetkisi kimlerde var?Satın alma talebi oluşturma yetkisi kimlerde var?Kaç kişi kritik personel ve iş bilgisini değiştirebilir?SAP sisteminiz yetkisiz değişikliklere karşı ne kadar iyi
korunuyor?SAP sistemindeki bilgileriniz erişilebilirlik ve gizlilik
açısından ne kadar iyi korunuyor?SAP sisteminin yönetiminde BT personeli içerisinde
görevler ayrılığı uygulayabiliyor musunuz?
Peki ya custom ve endüstri çözümlerindeki transactionlar?
© SAP 2009 / Page 7
Görevler Ayrılığı İhtiyacı
Hangi kaynakları kullanmalıyız?Her şirket için SoD gereklilikleri ve riskleri aynı mıdır?
© SAP 2009 / Page 8
Görevler Ayrılığı İhtiyacı ve Erişim Kontrolü
Sistem verilerini toplamaVerileri analiz etmekEtkin şekilde raporlamak
Güvenlik MetrikleriCFO vs. CIO
© SAP 2009 / Page 9
Şirketinizin karlılığını nasıl ölçersiniz? EBITDAŞirketinizin nakit akışını nasıl ölçersiniz? Working capital /
turnover / Debt-Cash ratioŞirket yatırımlarınızın geri dönüşünü nasıl ölçersiniz? ROI
Peki ya şirketinizin ve sistemlerinizin güvenliğini nasıl ölçersiniz?
Güvenlik Metrikleri
© SAP 2009 / Page 10
Fiyat? Bugünkü fiyat?Son 1 senede ne kadar kazandırmış? Benzer hisselerin performansı nasıl? Önümüzdeki dönem beklentiler neler?
Eğer bir hisseye yatırım yapacaksanız neye bakarsınız?
Güvenlik Metrikleri
© SAP 2009 / Page 11
Kritik haklara sahip kullanıcılarKritik SoD çakışmalarıKritik güvenlik parametreleri
Sistemleriniz için güvenlik kriterleri oluşturmak
?
Güvenlik Metrikleri
© SAP 2009 / Page 12
Sistemleriniz için güvenlik kriterleri oluşturmak
Güvenliğin BoyutlarıTeknoloji, Süreç, Organizasyon
Süreç Teknoloji
Organizasyon
Bir güvenlik kontrolünü etkin bir şekilde hayata geçirebilmek için 3 boyutu da sağlamamız gerekir.
Güvenliğin BoyutlarıISO/IEC 27002:2005
İletişim veOperasyonYönetimi
Bilgi SistemleriTedarik,
Geliştirmeve Bakımı
Uyum
Fiziksel veÇevreselGüvenlik
İş SürekliliğiYönetimi
ErişimKontrolü
İnsan KaynaklarıGüvenliği
Güvenlik Politikası
Bilgi GüvenliğiOlay Yönetimi
Bilgi GüvenliğiOrganizasyonu
Varlık Yönetimi