AUDİT

AUDİT

Birleşik Tehdit Yönetimi Ağ Güvenlik Cihazları (UTM Firewall) Değerlendirme Hizmetleri Bilgi güvenliğinin sağlanmasında temel ürünlerin başında ağ güvenlik duvarlarını (UTM Firewall) gelmektedir.
Bilgi güvenliği yönetimi kapsamında UTM Firewall aşağıdaki kriterlere göre değerlendirmeye tabi tutulur.

• Uluslararası Standartlar: Common Criteria sertifikasyonu bulunmalıdır.
• Çift Yönlü Koruma
• Atak Tespit ve Durdurma
• Kategori Bazlı İçerik Filtreleme
• Uygulama Bazlı Koruma
• İstenmeyen Posta Koruması
• Ağ Geçidi Anti Virüs
• İstenmeyen Ajan Yazılım Koruması
• Uzak Bağlantı Koruması
• Active Directory Desteği
• 5651 Sayılı Kanuna Uygunluk

Firewall Kural Analizi Hizmetleri

Internet/Intranet güvenliğinin sağlanması için kullanılan en temel araç firewall yazılımları veya donanımlarıdır. Günümüzde firmalar firewall sistemleri için büyük bütçeler ayırmakta ve kritik sistemlerini korumak için kullanmaktadırlar. Firewall sistemleri farklı ağlar arasında geçit noktası olarak konumlandırılarak izin verilen servislerin ve uygulamaların istenilen kaynaklara güvenli biçimde erişimine olanak tanırlar.
Kurallar oluşturulurken yapılabilecek hatalar veya eksiklikler, korunması istenen sistemlere doğru istenmeyen bağlantıların yapılmasına yol açabilir. Kurallar ve firewall yönetici sayısı arttıkça bu konuda yapılabilecek hata ve potansiyel risk artar.
Bu konuda yaşanan bir başka problem ise uzun süredir firewall kullanılan sistemlerde geçmişten kalan kuralların değiştirilmemesidir. Genellikle kaldırılmasının bağlantı sorunlarına neden olabileceği düşünülerek, silinmesine cesaret edilemeyen bu kurallar güvenlik riskleri yaratabilmektedirler.
Yukarıda bahsedilen risklere yönelik olarak, aşağıdaki kontroller gerçekleştirilerek, mevcut güvenlik duvarı kurallarının ve yapılandırmasının problem taşıyıp taşımadığı denetlenmektedir.

* Risk oluşturan güvenlik kuralları
* Tanımlı nesne veritabanına ait kontroller
* Önemli firewall bileşenlerine ait kontroller
* Firewall loglarının analiz edilmesi
* VPN tanımlamalarına yönelik kontroller
Internet üzerinden yapılan denetim ve penetrasyon testleri internet korsanlarından önce zaafları tespit etmek amacı ile yapılmaktadır. Oysa yapılan tüm araştırma sonuçlarında bilgi güvenliği ihlallerinin %80'inden fazlasının yerel ağda gerçekleştiği görülmektedir.
Yerel Güvenlik Denetimi hizmetimizle risk sıralamasında birinci sırada bulunan yerel ağda kapsamlı testler gerçekleştiriyoruz ve zaafları müşterimize raporluyoruz. Yerel Güvenlik Denetimi raporumuzda müşterilerimiz aşağıdaki soruların cevabını bulmaktadır:
* Bilgi işlem departmanında çalışan bir personel hacking araçlarını da kullanarak hangi bilgilere erişebilir?
* Diğer departmanlarda çalışan bir personel hacking araçlarını da kullanarak hangi bilgilere erişebilir?
* İş ortağı ve 3.parti personeli ağınıza kablo ile bağlanarak neler yapabilir?
* Wifi veya Bluetooth kablosuz iletişimlere sızılabilir mi?
* Network Sniffing ile şifreler kırılabiliyor mu?
* Man in the middle (MITM) ataklarına karşı sunucu, istemci ve yönlendiriciler korunaklı mı?
* Intranet/Extranet web uygulamalarınız güvenilir mi?
* Müşteri bilgileriniz ve finansal bilgileriniz güvende mi?
* Yerel sistemde Zombi bilgisayar var mı?
* Ağ güvenliği ve internet erişim güvenliği teknolojileri atlanabiliyor mu?
* Sistemdeki güvenlik aktiviteleri eksiksiz ve zamanında raporlanıyor mu?
Güvenlik denetimi ve penetrasyon testi olası güvenlik zaaflarını risk gerçekleşmeden önce tespit etmek için zorunludur. Bu nedenle PCI, ISO27001, Sox/Cobit gibi tüm regülasyonlarda güvenlik denetimi ve/veya penetrasyon testleri zorunlu tutulmuştur.
Intrusive (penetrasyon testi) ve Non-intrusive (güvenik denetimi) başlıkları altına iki farklı hizmet sunmaktadır. Non-intrusive testler genellikle regülasyon uyumluluğu için kullanılır ve DoS/DDoS, sisteme sızma, kanıt alma veya kanıt bırakma gibi işlemler yapılmaz.

* Ağ testleri
* Uygulama testleri (Kullanıcı adı ve şifre ile girilebilen web uygulamaları dahil)
* Güvenlik ürünleri atlama testleri
* Üçüncü parti testleri (alan adı, google hacking)
* DoS/DDoS testleri

Microsoft İşletim sistemi Güvenliği

• Microsoft Aktif Dizin Güvenliği
• WSUS ile Yama Yönetimi Güvenlik
• Zararlı Yazılıma Karşı Korunma
• Web Sunucu (IIS 6.0) Güvenliği
• Exchange Server 2003 Güvenliği
• Microsoft DNS Hizmeti Güvenliği
• Web Sunucu (IIS 5.0) Güvenliği

CISCO Güvenliği

Veritabanı Güvenliği
Oracle, MS SQL, MySQL, DB2 ve Sybase veritabanlarının güvenlik denetimi otomatik olarak gerçekleştirilebiliyor. Database Activity Monitoring özelliği ile veritabanında olup bitenleri sürekli izliyor ve PCI, Cobit ve SoX uyumluluk sağlıyor. Data Loss Prevention özelliği sayesinde kredi kartları, müşteri bilgileri ve finansal bilgilere yapılan erişimler sürekli kontrol altında tutulabiliyor. Linux İşletim Sistemi Güvenliği
WEB Güvenliği
• Güvenli Mysql , Apache, Php ve Modsecurity Kurulum
• MySQL

Güvenlik Olayları Yönetimi (SIEM)

Olay yönetimi günümüz dünyasında iş yapmanın getirdiği yüksek seviye risklerin yönetilebilmesi için gerekli olan depolama, gerçek zamanlı gözleme, tarihsel analiz ve otomatik cevap gibi mekanizmaları gerektirmektedir.
ANET IntelliLog gerçek zamanlı olay yönetimini sağlayan ve ANET tarafından üretilen bir üründür.

• Ayrıntılı bilgi sağlar ve öncelikleri belirlemek için iyileştirme hakkında bilinçli kararlar vermek için
Istatistiksel grafikler üzerinden sistem güvenliği sağlık Anında takdir
• Basitleştirmek uyarılar ve hata konsolide ederek ağ olayları izleme ve özlü olarak oturum kolay raporları anlamak
• Ölçüde güçlü adli sorguları bir olay veya anomali arkasında kök nedenini bulmak için süresini azaltır
• ağ içinde güvenlik eğilimleri analizi sağlar
• ağ kaynaklarının mevcut durumu gösteren raporlar kolay anlaşılır bir dizi genel ağ performansı kapsamlı bir görüntüleme sağlar
• Web tabanlı uzaktan kumanda dostu grafik arayüzü kullanıcı üzerinden esnek uzaktan yönetim sağlar
• Özelleştirilebilir ve ölçeklenebilir bir sistem herhangi bir ağ platformları uygun
• Izinsiz girişlere karşı Anında uyarı e-posta ve kısa mesaj servisi (SMS) gibi algılandı
Temel Özellikleri:

Raporlar

Saldırı, Tehdit, VPN, Virüs, URL, Windows Olayları, Performans ve Utilization, Spam ,Olay kayıtları üzerinden geniş raporlama seçenekleri Örnek Raporlardan Bazıları

o En çok gezilen siteler
o En çok gezen kullanıcı(AD entegrasyon modülü gerektirebilir)
o En çok gezilen bilgisayar adları (AD entegrasyon modülü gerektirebilir)
o En çok gezen IPler
o En çok gezilen günler
o En çok trafik üreten ipler
o En çok trafik üreten kullanıcılar
o En çok trafik üretilen günler
o En çok saldırılan ipler
o En çok saldırıya maruz kalan ipler
o En çok saldırıya maruz kalınan günler
o En çok tespit edilen virüsler
o En çok virüs saldırısına maruz kalan ipler
o En çok virüs saldırısına maruz kalan bilgisayar adları
o En çok virüs saldırısına maruz kalınan günler
o En çok VPN yapan Clientlar
o En çok VPN Yapılan günler
o VPN listeleri
o VPN Trafik Raporları

Pratikte Çözüm Bulabileceğiniz Sorular

o En çok web trafiği oluşturunların listesi
o Uygun olmayan web sayfaları ve içeriğe erişenlerin listesi
o Dışarıdan gelen saldırılar nerelerden kaynaklanıyor ?
o Hangi sunucular en çok hit alıyor ?
o Internet bant genişliği ne seviyede ?
o Bant genişliğimi en çok hangi protokoller kullanıyor ?

Envanter Raporları ve Network Topolojisi
Sistem SNMP protokolü üzerinde network topolojisini çıkarıp haritalandırabildiği gibi envanter raporları akif cihazlar,pasif cihazlar vs.. raporlayabilmektedir.
Alarm Yönetimi
Toplanan kayıtların gerek logun ID sine gerekse farklı kaynaklardan alınan logların ilişkilendirilmesi sonucunda belirli bir zaman dilimi içinde yaşanan bir sorunu fark edecek mekanizmanın kurulması ve yönetilmesi genel olarak tanımlanmaktadır.
Kural Veritabanı
Her türlü kritere uygun Korelasyon kuralı belirleme yeteneği sistemde mevcuttur. Kullanıcı tarafından belirlen kurallar dışında sistemde hazır gelen veriler ile de kural tabanı genişletilebilir
Korelasyon kuralı tanımlama arabirimi

Korelasyon
Kullanıcı tarafından belirlen kurallar belirli ilişkilerle veya mantıksal operatörlerle işletilerek sonuçlar ve çıkarımlar oluşturulmasını sağlayan korelasyon modülü.
ISO27001, SOX, HIPAA ve PCI DSS Uyumluluk Raporları
Uyumluluk Raporları var olan risklerin minimize edilmesi için olusturulmus prosesler bütünüdür. Risk yönetimi; risk analizi, risk degerlendirme, risk önleme, tehditlerin ve kontrollerin degerlendirilmesi olmak üzere dört ana süreçten oluşur ve bu süreçlerdeki uyumluluk raporları sistem tarafından otomatik oluşturulur
HIPAA Uyumluluk Gereksinimleri
• Kullanıcı Oturum Raporları (User Logon Report)
• Başarısız Oturum Açma Raporları (Logon Failure Reports)
• Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
• Nesne Erişim Raporları (Object Access Reports)
• Sistem Olayları Raporu (System Events Report)
• Oturum Durum Raporu (Host Session Status Report)
• Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports)
• Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures)
• Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)

SOX Uyumluluk Gereksinimleri
• Kullanıcı Oturum Raporları (User Logon Report)
• Başarısız Oturum Açma Raporları (Logon Failure Reports)
• Güvenlik Kayıtlarına Erişim Raporu (Audit Log Access Reports)
• Nesne Erişim Raporları (Object Access Reports)
• Sistem Olayları Raporu (System Events Report)
• Oturum Durum Raporu (Host Session Status Report)
• Güvenlik Kayıtlarının Arşivlenmesi (Security Log Archiving)
• Oturum Durum Raporu (Host Session Status Report)
• Hesap Yönetim Olaylarının Takibi
• Kullanıcı Grup Değişikliklerinin Takibi
• Denetim Politikalarında Yapılan Değişikliklerin Takibi
• Başarılı Etki Alanı Oturum Açma Raporu (Domain Logon Reports)
• Başarısız Etki Alanı Oturum Açma Raporu (Domain Logon Failures)
• Kullanıcı Hareketlerinin Takibi
• Uygulama Çalıştırma Olaylarının Takibi
• Dizin/Dosya Erişim Takibi

BT Varlık Envanteri Oluşturma Kılavuzu
Yazılım ve Donanım envanterinin oluşturulması ve Lisans yönetiminin yapılmasını sağlıyoruz

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ KURMAK

ISO 27001 dünya üzerinde geçerliliği olan ve gitgide birçok alanda zorunlu hale getirilmeye çalışılan bir standarttır. Bu standart, kurumlara genel anlamda bilgi güvenliğini nasıl yapabileceklerini anlatmaktadır.
ISO 27001 standardını uygulayan ve sertifikasını alan bir şirketin, dünyanın güvenliği en yüksek firması olması gerekmez. Ancak güvenliğin ne seviyede olduğu o kurumun yöneticileri tarafından bilinir ve onların kararı ölçüsünde ortaya konmuş durumda olup zaman içinde artan bir güvenlik seviyesi vardır.
Özellikle, elektronik imza servis sağlayıcıları, bankalar, hastaneler, sigorta şirketleri, e-ticaret ile uğraşan şirketlerde BGYS'nin uygulanması önemli bir ihtiyaçtır.
Bilgi Güvenliği Yönetim Sistemi'ni uygulamak isteyen bir kurumda yapılması gereken adımlar aşağıdaki şekildedir:
• Proje Ekibinin Kurulması: BGYS Projesi çalışmalarını düzenleyecek, uygulayacak ve yönetebilecek bir takım oluşturulmalıdır. Kurum içerisinde bu çalışmaları yürütecek BGYS takımının ve BGYS yöneticisinin bilgi güvenliği yönetimi konusunda iyi eğitimli olmaları gerekmektedir. Risk yönetimi, politika oluşturma, güvenlik prosedürlerinin hazırlanması ve uygun kontrollerin seçilerek uygulanması aşamalarında uzman desteği ve danışmanlık almaları faydalı olacaktır. Böylece BGYS'yi en iyi nasıl uygulayacağı konusunda bağımsız danışmanlardan görüş ve tavsiye alabilir.
• Kurum içinde stratejinin belirlenmesi: Üst yönetimle birlikte organizasyonel strateji hazırlanmalıdır.
• Kapsamın Belirlenmesi: BGYS'nin kurum içinde uygulanacak ve belgelendirilecek kapsam belirlenmeli. Hangi departmanlarda bu sistemin uygulanacağı planlanarak yazılı ve görsel kapsam dokümanları hazırlanmalıdır.
• Proje ve İletişim Planının Hazırlanması: Kurum ön proje hazırlıklarını tamamlayıp, proje takımını, kapsamını, stratejisini, danışmanlarını belirledikten sonra artık projede ilerleyeceği adımlar için bir proje planı hazırlamalıdır. Nelerin, ne zaman, kimlerle uygulanacağı proje planında yer alarak çalışmalara başlanır. Yapılan tüm çalışmalar, toplantılar çeşitli rapor ve tutanaklarla kayıt altında tutulurken yine kurum tarafından belirlenen aralıklarda (haftalık, aylık) ilgili yönetimle bilgilendirme ve görüş alışverişi yapılır.
• Bilgi Güvenliği Politikası: Projeye başlanmasıyla birlikte, öncelikle ilgili kapsam ve yönetim çalışanlarıyla birlikte, standartın gerektirdiği kişi ve birimlerin (hukuk,vs..) görüşleri alınarak Bilgi Güvenliği Politikası yazılarak, yönetim tarafından onaylanıp, kurum çalışanlarına duyurulur.
Bilgi Güvenliği Politikaları, tüm kurum çalışanlarının görev ve sorumluluklarını tanımlamaktadırlar. Hedef; bilgi güvenliği konusunda yönetimin bakış açısını, onayını ve desteğini çalışanlara uygun araç ve denetim mekanizmaları eşliğinde iletmektir, amaç ise; Bilgi Güvenliği hakkında üst yönetimin isteklerini ve kararlarının tüm çalışanlarla paylaşan politika dokümanlarının hazırlanmasıdır.
• Varlıkların Belirlenmesi: Varlık Yönetimi için, kapsam dahilinde ve kapsama destek veren birimlere yönelik varlıklarla ilgili prosedür, varlık kayıt tablosu gibi dökümanlar hazırlanır. İlgili varlıklar varlık sahipleri tarafından belirtilerek, kayıt altına alınır. Varlıklar, sınıflandırılıp, gizlilik, bütünlük ve kullanılabilirlik kriterlerine göre değerlendirilir.
• Risklerin Belirlenmesi, Risk Yönetimi: Yapılan yatırımlarda amaç hep en yüksek sonucun alınmasıdır. Risk Analizi, bilgi güvenliğine yapılacak yatırımların öncelikli konulara yöneltilmesi için gerçekleştirilir.
Risk Analiz hizmeti sırasında önce bilgi varlıklarının envanteri çıkartılır, yapılan özel bir elemenin ardından tehditler, zayıf noktalar ve bunlara karşılık gelen riskler belirlenir. Risklerin sıralanmasının ardından, öncelikli riskler belirlenir ve alınması gereken önlemlere karar verilir. Amaç, risklerin tanımlanması, gerekli tedbirlerin alınmasını ön plana çıkaran bir risk analizi prosesini başlatmaktır.
Bu çalışmalar sırasında oluşturulan risklerin izlenmesi ve ölçülmesi ile ilgili teknikler, alınacak önlemlerin yeterliliğini denetlemek için anahtar görev görmektedir.
Yapılan Risk Analizini gerçekçi kılan en önemli faktör ise, bu çalışmanın her aşamasında fayda/maliyet dengesini gözetmek ve bu konuda yapılacak optimizasyondur. Adım, varlıkların belirlenmesiyle birlikte standartında oluşturulması ve uygulanmasındaki en önemli nedenlerden biri olan Risk Yönetiminin uygulanmasıdır. Bilgi Güvenliği Yönetim Sistemi, kurumunuzdaki tüm bilgi varlıklarının değerlendirilmesi ve bu varlıkların sahip oldukları zayıflıkları ve karşı karşıya oldukları tehditleri göz önüne alan bir risk analizi yapılmasını gerektirir. Kurum kendine bir risk yönetimi metodu seçmeli ve risk işleme için bir plan hazırlamalıdır.
Risk işleme için standartta öngörülen kontrol hedefleri ve kontrollerden seçimler yapılmalı ve uygulanmalıdır. Planla-uygula-kontrol et-önlem al (PUKÖ) çevrimi uyarınca risk yönetimi faaliyetlerini yürütmeli ve varlığın risk seviyesi kabul edilebilir bir seviyeye geriletilene kadar çalışmayı sürdürmelidir.
• Değişim Yönetimi:
Bilgi işleme olanakları ve sistemlerinde olan değişiklikler kontrol edilmeli, değişimle ilgili prosedür ve diğer dokümanlar hazırlanmalıdır. Rol ve Sorumluluklar ile ilgili hazırlanan dokümanda kurumdaki değişim yöneticisinin kim olduğu belirtilmelidir.
• Olay Yönetimi:
Güvenlik olaylarını anında saptayabilme ve güvenlik ihlal olaylarına hemen yanıt verebilmek için olay yönetimine yönelik planlar, prosedür ve diğer dokümanlar hazırlanmalıdır. Rol ve Sorumluluklar ile ilgili hazırlanan dokümanda kurumdaki olay yöneticisinin kim olduğu belirtilmelidir.
• Uygulanabilirlik Bildirgesi
Uygulanabilirlik Bildirgesi risk işlemeyi ilgilendiren kararların bir özetini sağlar. Standarttaki seçilen kontrol amaçları ve kontroller ve bunların seçilme nedenleri, mevcut gerçekleştirilmiş kontrol amaçları ve kontroller ile standart Ek A'da ki kontrol amaçları ve kontrollerden herhangi birinin dışarıda bırakılması ve bunların dışarıda bırakılmasının açıklaması, uygulanabilirlik bildirgesinde ele alınır. Uygulanabilirlik bildirgesinin ardından, kurumdaki yapılacak bazı işlerle ilgili ilgili bölümlerle yapılacağına dair mutabakat zabıtları hazırlanır.
• Döküman ve Kayıt Yönetimi:
Belirtilen politikalara bağlı olarak tüm şirket standart, kural ve prosedürleri gözden geçirilir ve bunun şirket içi işleyişe nasıl yansıyacağı belirlenir. Hizmet, güvenlik ile ilgili prosedürlerin geliştirilmesi ve dokümante edilmesi ile tamamlanır. Politika, prosedür, talimatlar ve ilgili formlar hazırlanır. Dokümanlarda belirtilen şartlara göre hareket etmeyecek ve istisna durumların olduğu kullanıcılar için, bu kuralların dışında kullanacağı ve bununla ilgili riskleri kabul ettiği, yönetici onayını alacağı, istisna ile ilgili dokümanlar hazırlanır. Kayıtlara yönelik doküman ve prosedürler hazırlanarak, kayıtlar tutulur.
• Eğitim ve Farkındalık Çalışmaları
Bir bilgi güvenliği sistemi kurulurken ve kurulduktan sonra, bunla ilgili tüm çalışanlarını, şirketine düzenli olarak dışarıdan gelip giden ama şirketinin bordrosunda yer almayabilir kontratla çalıştırdığın kişilerde dâhil olmak üzere bilgilendirme ve farkındalık eğitimi verir. Politika, prosedür ve ilgili diğer dokümanları duyurur. Kapsam dâhilinde, varlıkları listeleyip, sınıflandıracak kişilere bunları nasıl yapacaklarına yönelik eğitimler verir. Ve kurumda bilgi güvenliğinin bir yaşam tarzı olması gerektiğini, kurum kültürüne yerleşmesi ve benimsenmesi için çalışmalar yapar.
• İç denetim
Kuruluş BGYS iç denetimlerini, BGYS kontrol amaçlarının, kontrollerinin, proseslerinin ve prosedürlerinin standarta göre gerçekleştirip gerçekleştirmediğini belirlemek için planlanan aralıklarda gerçekleştirmelidir:
• Yönetimin Gözen Geçirme
Yönetim tarafından BGYS denetimleri be gözden geçirmelerinin sonuçları, ilgili taraflardan edinilen geribildirimler alınarak sistem gözden geçirilmelidir. Yönetim, kuruluşun BGYS'sini planlanan aralıklarla (en az yılda bir kez), sürekli uygunluğunu, doğruluğunu ve etkinliğini sağlamak için gözden geçirmelidir. Bu gözden geçirme, bilgi güvenliği politikası ve bilgi güvenliği amaçları dâhil BGYS'nin iyileştirilmesi ve gereken değişikliklerin yapılması için fırsatların değerlendirilmesini içermelidir. Gözden geçirme sonuçları açıkça dokümante edilmeli ve kayıtlar tutulup saklanmalıdır.
• Düzenleyici Önleyici Faaliyetler (DÖFİ)
Kuruluş tekrar ortaya çıkmalarını önlemek için, BGYS şartlarıyla olası uygunsuzlukların nedenlerini gidermek üzere alınacak önlemleri belirlemelidir. Gerçekleştirilen düzeltici, önleyici faaliyetler, olası sorunların yapacağı etkiye uygun olmalıdır. Önleyici faaliyetler için dokümante edilmiş prosedürler bulunmalıdır.
• Belgelendirme
Belgelendirme tetkiki seçilen belgelendirme kurumu tarafından yapılacaktır. Bu noktada, belgelendirme kurumu BGYS'nizi gözden geçirecek ve belgelenme için önerilip önerilemeyeceğinizi tespit edecektir. Piyasada faaliyet gösteren birçok belgelendirme kurumu olmasından dolayı bir tanesinin seçilmesi oldukça zor bir konu olabilir. Göz önünde bulundurulması gereken faktörler arasında endüstriyel deneyim, coğrafik kapsam, fiyat ve sunulan hizmet kalitesi yer almaktadır. Anahtar önem taşıyan husus, sizin gerekliliklerinize en iyi yanıt verecek belgelendirme kurumunu bulmaktır.

İŞ SÜREKLİLİĞİ

Kurumlar her durumda ayakta kalmak için zorluklarla baş etmek zorundadırlar. Bir kurum için İş Devamlılığı yapısını kurmak, kritik iş fonksiyonlarının her durumda çalışabilirliğini sağlamak anlamına gelir.
Organizasyonların bilgi ve süreçlerine yönelik güvenlik tehditleri, günümüzde rekabet şansı, iş kalitesi ve verimliliğine yönelik tehditler halini almıştır. Kritik iş fonksiyonlarının devamlılığı için gerekli altyapı; teknoloji ve insan unsurlarından oluşur. Bu unsurların iş devamlılığını sağlamak için yeterli kaliteye sahip hale getirilmesi kadar, en kötü durum senaryoları düşünülerek alternatif devamlılık yatırımlarının belirlenmesi gerekir.
BAŞARI FAKTÖRLERİ
• İş hedefini yansıtan güvenlik politikası,
• Uygulama yaklaşımının şirket kültürü ile tutarlı olması
• Yönetimin görülür desteği ve bağlılığı
• Güvenlik gereksinimlerinin, risk değerlendirmesinin ve risk yönetiminin iyi anlaşılması
• Güvenliğin tüm yöneticilere ve çalışanlara etkili bir biçimde pazarlanması
• Bilgi güvenliği politikası ve standartları ile ilgili kılavuzların tüm çalışanlara ve sözleşmelilere dağıtılması
• Uygun eğitim ve öğretimin sağlanması
• Bilgi güvenliği yönetimi performansının ve iyileştirme için geri bildirimlerle sunulan önerileri değerlendirilmek için kullanılan kapsamlı ve dengeli bir ölçüm sistemi