BTRWATCH

Çözüm

BTRWATCH, bilgi güvenliği yönetimine verdiğiniz önemin somutlaşmasını ve görünür hale gelmesini sağlar.

BTRWATCH, ISO27001:2013 ve ISO27001:2005, ISO27005 ve (bilgi güvenliği riskleri açısından) ISO31000 standartları ile uyumludur.

Kanıtlanmış BGYS kurulum ve işletim metodu;

  • BTRWATCH, BTRisk’in bilgi güvenliği ihtiyacı yüksek kurumlarda gerçekleştirdiği danışmanlık çalışmalarının neticesinde oluşturduğu Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulum ve işletim metodunun somutlaşmış halidir. BTRWATCH ile ISO27001’e tam uyumlu ve ihtiyaçlarınızla örtüşen bir bilgi güvenliği yönetim sistemini en verimli biçimde kurabilirsiniz.
  • BTRWATCH, yönetim sisteminizin kurulumunu kolaylaştırır. Barındırdığı süreçler ve kullanım kolaylıkları sayesinde yönetim sisteminin işletimini de etkinleştirir.

Hazır soru setleri;

  • ISO27002 dokümanında geçen tüm kontroller, üst seviye ve detaylı olmak üzere, evet veya hayır yanıtları ile cevaplanabilecek düzeye indirgenmiştir. Bu sayede bilgi güvenliği uzmanlığı üst seviyede olmayan risk analistleri ve iç denetçiler dahi bilgi güvenliği zafiyetlerini olabildiğince rahat değerlendirebilirler.
  • ISO27001 standardına uyumu güvence altına almak ve kurulan sistemin ISO31000 Risk Yönetim Standardı’na uyumunu değerlendirmek için, iç denetimde kullanılmak üzere, BGYS soruları hazır olarak sunulmaktadır. BGYS soruları en detaylı uyum gereksinimlerine yönelik olup, sorulara verilen yanıtlarla her bir uygunsuzluk net ve anlaşılır bir biçimde ortaya konulmaktadır.

Hazır varlık kategorileri;

  • Risk değerlendirmesi aşamasında bilgi varlığı nedir sorusu hayal gücünüzü zorlayabilir. Bilgi varlığı olarak değerlendirilebilecek çok sayıda varlık kategorisi BTRWATCH’un hazır veri setlerinin parçası olarak gelir. Ayrıca her bir olası bilgi güvenliği zafiyeti ile ilgili varlık kategorileri sizin için ilişkilendirilmiştir.

Hazır bilgi güvenliği tehditleri;

  • Bilgi güvenliği riski için de uygulanabilecek klasik risk formülündeki olasılık bileşenini destekleyen faktörlerden birisi de tehdit faktörüdür. Tehdit bazı senaryolar için bir aktör diğerleri için olumsuz durumlardan oluşabilir. Risk analizi konusunda çok sayıda deneyimi olmayan bir analist için risk senaryosuna uygun tehditleri tahmin etmek zaman kaybettirici olabilir. Bilgi güvenliğine yönelik olarak değerlendirilebilecek çok sayıda tehdit BTRWATCH’un hazır veri setlerinin parçası olarak gelir. Ayrıca her bir olası bilgi güvenliği zafiyetini hedef alabilecek tehditler sizin için ilişkilendirilmiştir.

Entegre bilgi güvenliği süreçleri;

  • BTRWATCH’un bünyesinde bulunan 4 kritik bilgi güvenliği süreci; risk analizi, iç denetim, olay ve zayıflık yönetimi ile düzeltici faaliyet yönetimi, birbirleri ile entegre çalışır ve birbirlerini destekler.
  • Risk analizi ve olay yönetimi modülleri entegrasyonu sayesinde, risk analizi sırasında ilgili varlığın daha önce maruz kaldığı olay kayıtları görüntülenebilir ve tehdit profili hakkında daha somut bilgilere ulaşılabilir.
  • İç denetim ve düzeltici faaliyet modülleri entegrasyonu sayesinde, bir önceki iç denetim tarihinden sonra kapatılmış olan düzeltici faaliyetler etkinlikleri değerlendirilmek üzere uygulama üzerinde denetime dahil edilebilir.
  • İç denetim planlaması risk analiz sonuçları dikkate alınarak gerçekleştirilebilir.
  • Düzeltici faaliyet yönetim süreci diğer üç kritik BGYS sürecine entegre olduğu için gereksiz tekrarlar önlenir. Örneğin risk analizinde belirlenmiş olan bir düzeltici faaliyet bir olay kaydı ile de ilişkilendirilebilir. Benzer şekilde aynı düzeltici faaliyet bir iç denetim bulgusuna da bağlanabilir. Her bir düzeltici faaliyet kaydı üzerinde düzeltici faaliyetin kaynakları izlenebilir.

Manuel süreçlerle entegrasyon;

BTRWATCH, kritik bilgi güvenliği yönetim süreçlerinin önemli kısmını üzerinde barındırır, diğer manuel ya da insana dayalı bilgi güvenliği aktivitelerine ise yön verici girdiler üretir.

Örneğin;
  • BTRWATCH üzerinde yürütülen süreçlerin (risk analizi, iç denetim, olay ve zayıflık yönetimi, düzeltici faaliyet yönetimi) tümünün çıktıları Yönetim Gözden Geçirme (YGG) faaliyetlerinde yapılacak olan değerlendirmelere ışık tutar.
  • Politika ve prosedürler, güvenlik altyapısı ve güvenlik operasyonları düzeltici faaliyet sürecinden etkilenirler. Aktif ve dinamik bir düzeltici faaliyet yönetimi süreci sayesinde kurumun ihtiyaçlarına daha uygun hale gelirler.
  • Sızma testleri ve farkındalık eğitimleri, etkili bir risk analiz faaliyetinin sonuçlarını esas alarak, güvenlik ihtiyacının yoğun olduğu alanlara odaklanabilirler. Bu sayede kurum kaynakları daha etkili kullanılır ve risk olasılıkları en aza indirilebilir.
  • Olay yönetim sürecinin aktif biçimde işletilmesi halinde, tutulan olay ve zayıflık kayıtlarının ışığında, sızma testi ve farkındalık eğitimleri tehdit olasılığının yüksek olduğu alanlara odaklanabilir.

BTRWATCH üzerinde yürütülen kritik bilgi güvenliği yönetim süreçleri, sadece diğer süreçlere girdi sağlamaz. Aynı zamanda bu süreçlerden doğacak çıktıları bünyesine alarak manuel süreçlerle tam bir entegrasyon gerçekleştirir.

Örneğin;
  • Politika ve prosedürlerde belirtilen ve ISO27002 dokümanında yer almayan kontroller kontrol sorularına eklenerek, risk analizi ve iç denetim süreçlerine dahil edilir.
  • Güvenlik altyapısındaki değişiklikler varlık envanterine yansıtılarak risk analizine dahil edilir.
  • Güvenlik operasyonları sırasında tespit edilen ve karşılaşılan güvenlik olayları kayıt altına alınarak gerekli önlemlerin alınması için düzeltici faaliyet süreci tetiklenir.
  • Sızma testleri sonucunda bulunulan açıklıklar zayıflık kaydı olarak ele alınır, gerekli düzeltici faaliyet süreci başlatılır.
  • Yönetim Gözden Geçirme (YGG) sürecinin sonucu olarak belirlenen gereksinimler, gereksinim kaydı olarak kaydedilir. Yine yönetim tarafından gözlenen zayıflıklar zayıflık olarak kaydedilir. Belirlenen zayıflık ve gereksinimlerin gereği olan faaliyetler düzeltici faaliyet sürecinde takip edilir.

Kurumsal uygulama;

  • BTRWATCH üzerindeki fonksiyonları kullanabilecek çok sayıda kullanıcı rolü oluşturulabilir. BTRisk’in geliştirdiği BGYS metodu doğrultusunda öngördüğü roller, uygulama üzerinde tanımlı olarak gelir. Rol altyapısı sayesinde bilgi güvenliği ve iç denetim alanlarında uzman ekipler yönetim rollerini, risk analizi ve iç denetim süreçlerinin delege edilen kısımlarının atanacağı personel ise analist ve denetçi rollerini üstlenebilir. Böylece aynı anda ve aynı yönetim sistemi bünyesinde çok sayıda kullanıcı, görevleri paylaşarak farklı coğrafi alan veya kapsamlarda risk analizi ve iç denetim çalışmalarını eşzamanlı olarak sürdürebilirler.
  • Risk analizi ve iç denetim yönetimi rolündeki kullanıcılar, görev atanmış analist ve denetçilerin çalışmalarını, özet grafikler ve listeler üzerinden merkezi olarak izleyebilirler. Ayrıca analist ve denetçiler’in çalışmaları yönetim ekibi tarafından gözden geçirilebilir, onaylanabilir ve düzeltilmesi için tekrar analist veya denetçilere iade edilebilir. İç denetçiler izledikleri denetim prosedürlerine ilişkin destekleyici doküman ve kanıtları uygulamaya yükleyebilir ve yönetim ekibinin dikkatine sunabilir.
  • Her risk analizi ve iç denetim dönemi saklanır. Dolayısıyla geçmiş dönemlerdeki risk analizi ve iç denetim sonuçları izlenebilir.

Pratik çözümler;

  • Her bir risk senaryosu için gereksiz tekrarı önleyebilmek amacıyla, varlıklar ve tehditler, ilgili risk senaryosuna özel biçimde gruplanabilir. Bununla birlikte belli varlıkların, zafiyetlerin, tehditlerin geçtiği risk senaryoları raporlama imkanları sayesinde filtrelenebilir. Böylece gruplanmış olsalar dahi belli bir varlık veya tehdidin dahil edildiği senaryolar listelenebilir.
  • Risk analizleri ve iç denetimler dönemsel olarak gerçekleştirilir. Geçmiş dönem risk analiz senaryolarından mevcut dönemde geçerli olanları mevcut döneme aktarılabilir.
  • Geçen dönemden mevcut döneme risk senaryolarının aktarımı sırasında, eğer aktarılan risk senaryosu ile ilgili bir düzeltici faaliyet planlanmış ve mevcut dönem başlamadan tamamlanmış ise, bu durum zafiyet düzeyine ve dolayısıyla risk değerine otomatik olarak yansıtılır.
  • Zafiyetleri belirlemek için kullanılan sorular ISO27002 dokümanı ile paralel biçimde hazırlanmıştır. Her bir kontrol alanı için bir üst düzey soru ve kontrolün niteliğine bağlı olarak değişen sayıda detaylı soru bulunmaktadır. BGYS’nin kurulumu aşamasında yapılacak çalışmanın ağırlığı nedeniyle üst düzey sorular seviyesinde çalışma yapılabilir. Ancak BGYS olgunlaştıkça ve kontrol altyapısı da iyileştikçe daha detaylı kontrol alanlarına inilebilir.
  • Risk analizi sırasında mevcut kontrol altyapısına, kontrol eksikliklerine ve tespit edilen kontrol eksiklikleri için uygulanmasına karar verilen düzeltici faaliyetlere ilişkin pek çok veri oluşur. Bu veriler standart gereksinimlerinden olan uygulanabilirlik bildirgesinin hazırlanması için otomatik olarak toplanıp raporlanır. Uzman ekip üzerinde çalışmak üzere bu ham verileri bir ofis dokümanı olarak indirebilir.
  • Kuruma özel kontrol soruları, varlık kategorileri, tehditler ve risk ifadeleri kullanıcılar tarafından yüklenebilir ve bunlar arasındaki ilişkiler kurulabilir. Bu sayede BTRWATCH’un risk analistlerini destekleyici altyapısı özel ihtiyaçlar için de kullanılabilir.
  • Risk analizi sırasında bir kullanıcıya atanmış olan kontrol soruları, kullanıcının işten ayrılması veya projeye iştirak edememesi halinde farklı bir kullanıcıya kaydırılabilir. Böylece rgirilmiş olan verilerin tekrar girilmesine gerek kalmadan senaryoların geliştirilmesine devam edilebilir.