Kurumsal Bilgi Güvenliği Stratejisi ve Yönetimi
Bilgi güvenliği kurumun iş yapma kültürünün bir parçası olup, büyüme stratejilerine uygun iş hedefleri doğrultusunda bir bütün olarak yönetilmelidir. Bu strateji sadece kurumun kendisini değil tedarikçi ve hizmet sağlayıcılarını da kapsamalıdır.
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Kurumsal bilgi güvenliği ve siber güvenlik stratejisi
- Bilgi güvenliği organizasyonu
- Bilgi güvenliği yönetim sistemi
- Tedarikçi ve hizmet sağlayıcı güvenlik riskleri yönetimi
Yönetmelik ve Standartlara Uyum
Bilgi güvenliği kalitenizin belirli standartların altında kalması, kritik bilginizin korunamaması ve gizliliğine ilişkin güven ortamının sağlanamamasına neden olabilir.
Bunun yanında ISO 27001 ve PCI-DSS standartlarına uyum bazı sektörlerde yasal zorunluluk haline gelmiştir.
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- ISO 27001 uyum hazırlık programı
- PCI-DSS uyum hazırlık programı
- Farklılık analizi (Gap analysis)
- Politika ve destekleyici dökümantasyon oluşturulması
Gizlilik ve Veri Koruma
Bilgi günümüzde kurumlar için en değerli varlık haline geldi, ve bu varlığı korumak için önlemler almak artık bir tercih değil gereklilik.
En hassas şirket veya kişisel bilgilerinizin istemediğiniz kişi veya kurumların eline geçmesini nasıl önleyebilirsiniz?
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Gizlilik stratejisi ve politikalarının oluşturulması
- Kişisel ve kurumsal verilerin korunması
- Veri sınıflandırması
- Veri sızıntısı önleme
Kimlik ve Erişim Yönetimi
Şirket içerisinde doğru kişinin, doğru bilgiye, doğru zamanda erişimi olduğundan emin olunmaması, kritik bilgilerinizin yetkisiz kişiler tarafından kullanılması ve paylaşılması riskine neden olabilir. Etkin bir kimlik doğrulama ve erişim yönetimi mekanizması veya sürecinin olmaması, şirket finansallarınızı ve itibarınızı etkileyecektir.
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Erişim güvenliği
- Kimlik doğrulama
- Yetkilendirme yönetimi
- Kullanıcı yönetimi ve kimlik yaşam döngüsü
Bilgi Teknolojileri Altyapı ve Operasyon Güvenliği
Bilgi Teknolojileri altyapısı ve operasyonu, bilginin bulunduğu ortamdan bağımsız olarak kurumun iş önceliklerine uygun bir tasarıma sahip olmalıdır. Bu tasarıma uygun bir şekilde seçilen teknoloji ve ürünler ise kurumun iş hedeflerini destekleyecek nitelikte olgunlaştırılıp, en uygun şekilde yönetilmelidir.
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Bilgi teknolojileri güvenlik mimarisi
- Güvenlik teknolojileri ve ürünleri seçimi
- Güvenlik ürünleri ile kurumsal süreçlerin entegrasyonu
- Yönetilen güvenlik hizmetleri
Güvenlik Denetimi ve Tehdit Yönetimi
Altyapınızda var olan açıklar saldırganlardan önce tespit edilerek kapatılmaz ise, şirketiniz için itibar ve para kaybına yol açabilecek güvenlik ihlalleri meydana gelebilir. Bilgi teknolojileri operasyonunuzun güvenliğini, saldırganların bakış açısıyla inceleyerek, olası güvenlik ihlallerinin önüne geçebilirsiniz.
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Ağ ve uygulama güvenlik denetimleri
- Sızma testleri ve sosyal mühendislik
- Yük testleri
- Güvenlik açığı ve yama yönetimi
Siber Saldırı Yönetimi ve Adli Bilişim
Modern iş dünyasında siber saldırılar kurumlar için en büyük risklerden birisini oluşturuyor. Olası bir saldırı durumunda bu saldırıya rağmen iş sürekliliğinin sağlanması kurumlar için hayati önem taşımakta.
Siber saldırılara karşı hazırlıklı mısınız?
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Siber saldırı cevaplama
- Siber suçlara özel hukuki danışmanlık
- Olay yeri inceleme ve adli bilişim
- Siber saldırılar özelinde iş sürekliliği
Güvenlik Farkındalık Programları ve Eğitim
Tutarlı bir bilgi güvenliği süreci oluşturmak ve bu sürecin sürdürülebilirliğini sağlamak, ancak çalışanların tamamının katılımı ile sağlanabilir.
Kurum hiyerarşisinin her basamağında bilgi güvenliği farkındalığı kurumun iş yapma kültürünün bir parçası haline gelmelidir.
PwC Siber Güvenlik ve Veri Koruma Hizmetleri uzmanları olarak size bu alanda aşağıdaki başlıklar altında fayda sağlayabiliriz:
- Güvenlik farkındalık programları
- Güvenlik kavramları eğitimleri
- CISO ve CSO koçluk hizmetleri
- Üst yönetime özel farkındalık programları
Kaynak Kod Analizi
Kullandığınız yazılımlara ne kadar güveniyorsunuz?
Günümüzde internet ve mobil cihazların kullanımının yaygınlaşması ile geliştirilen yazılımlar artmıştır. Bu nedenle günümüzde yazılım güvenliğinin önemi giderek artmaktadır. Kurumunuzda yazılım güvenliğini sağlamak, doğru hedeflere odaklanarak uyum gereksinimlerini karşılamak, sürekli kontrol ortamını oluşturmak, yazılımın uygun güvenlik özelliklerine sahip olması ve yazılım geliştirme sürecinin sağladığı güvencenin beklenen seviyede olması için kaynak kod analizinin Yazılım Geliştirme Yaşam Döngüsüne (SDCL) entegre edilmesi gereklidir.
PwC Risk, Süreç ve Teknoloji Hizmetleri, risk uzmanları olarak size şu şekilde fayda sağlayabiliriz:
- Yazılım Geliştirme Yaşam Döngüsünün (SDLC) değerlendirilmesi ve iyileştirilme adımlarının belirlenmesi
- Kaynak Kod Analizi ile mevcut yazılımlarınızın gözden geçirilmesi ve açıkların belirlenmesi
- Kaynak Kod Analizi araçlarının uyarlanması ve Yazılım Geliştirme Yaşam Döngüsü (SDLC) ile entegrasyonunun sağlanarak sürekli kontrol ortamının oluşturulması
- Farklı platformlardaki (Windows, Android, IOS, Linux vb.) yazılımlarınız için ayrı sistemlere ihtiyaç duymadan statik kaynak kodların analizi
- Derlenme seviyesine gelmemiş projelerin taranması (Continuous Integration)
- Sadece değişen kodların taranması özelliği ile değiştirilen dosyayı etkileyen dosyaları (üç önceki ve üç sonraki) tekrar tarayarak her seferinde tüm projeyi yeniden tarama ihtiyacı duymaksızın tarama sürelerinin optimize edilmesi (Incremantal Scan)
- Obje temelli script dili ile güvenlik sorgularının kolaylıkla ve hızlı bir şekilde özelleştirilebilmesi.
- Entegre edilecek araçların fazla sayıda güvenlik açıklarını desteklemesi (SQL Injection, HTTP Splitting, Unreleased Resources, Cross-Site Scripting, Log Forgery, Invalidated Input, Code Injection, DoS, URL Redirection Attack, Buffer Overflow, Session Fixation, Dangerous Files Upload, Parameter Tampering, Session Poisoning, Hardcoded Password, Cross-Site Request Forgery, Unhandled Exceptions vb.)