Upload
others
View
12
Download
0
Embed Size (px)
Citation preview
GTAG®
GLOBAL TEKNOLOJİ DENETİM REHBERİ
UMUÇ – UYGULAMA REHBERİ
BİLGİ GÜVENLİĞİ YÖNETİŞİMİ
UMUÇ Hakkında
Uluslararası Mesleki Uygulama Çerçevesi (UMUÇ – International Professional Practices Framework), otoriter ve yetkili bir rehberliği düzenleyen, İç Denetim Enstitüsü’nün yayımladığı kavramsal bir çerçevedir. UMUÇ rehberliği:
Bu GTAG UMUÇ kapsamındaki bir Uygulama Rehberidir.
Diğer otoriter ve yetkeli rehberlik materyalleri için, lütfen www.theiia.org/guidance/. adresini ziyaret ediniz.
Zorunlu Rehber
Zorunlu rehberlikte ortaya konan ilkelere uyum, iç denetim mesleki uygulaması bakımından gerekli ve vazgeçilmezdir. Zorunlu rehberlik, paydaş girdilerinin kamuya açıklanması sürecini içeren yerleşik bir durum tespiti sürecinin ardından geliştirilir. UMUÇ’un üç olmazsa olmaz bileşeni: İç Denetimin Tanımı, Mesleki Etik Kuralları ve İç Denetim Uluslararası Mesleki Uygulama Standartları (Standartlar).
Bileşen Tanım
Tanım İç Denetimin Tanımı iç denetimin temel amacını, yapısını ve kapsamını açıklar.
Mesleki Etik Kuralları Mesleki Etik Kuralları, iç denetim uygulamasında birey ve kurumların davranışlarını yönlendiren ilke ve beklentileri ortaya koyar. Spesifik faaliyetlerden ziyade, asgari uygulama gerekliliklerinive davranışlara yönelik beklentileri tanımlar.
Uluslararası Standartlar Standartlar, ilke odaklıdır ve iç denetimi uygulamaya ve teşvik etmeye yönelik bir çerçeve sunar. Standartlar,aşağıda verilen ilkelerden oluşan zorunlu gerekliliklerdir:
İç denetim mesleki uygulamaları ve uygulama performansı etkinliğini değerlendirmek için temel gerekliliklere yönelik beyanlar. Gereklilikler, kurumsal ve bireysel düzeylerdeuluslararası bir geçerliliğe sahiptir.
Beyanlarda geçen terim ve kavramları açıklığa kavuşturan yorumlar.
Standartları doğru bir şekilde anlayıp uygulayabilmek için hem beyanları hem de bu beyanlara ilişkin yorumları dikkate almak gerekir. Standartlarda, Sözlükte yer verilen özel anlamlar taşıyan terimler kullanılmıştır.
Şiddetle Tavsiye Edilen Rehber
Şiddetle tavsiye edilen rehber, IIA tarafından resmi bir onay süreciyle onaylanır. IIA’nın İç Denetim Tanımının, Mesleki Etik Kurallarının ve Standartların etkin ve etkili bir biçimde uygulanmasına yönelik uygulamalarını tanımlar. UMUÇ’un şiddetle tavsiye edilen üç bileşeni Görüş Açıklamaları, Uygulama Tavsiyeleri ve Uygulama Rehberleridir.
Bileşen Tanım
Görüş Açıklamaları Mütalaa belgeleri, iç denetim işinde olmayanlar dâhil çok sayıda ilgili tarafın iç denetime yönelik önemli yönetişim, risk veya kontrol sorunlarını anlamasına ve iç denetimin ilgili görev ve sorumluluklarını açıklamasına yardımcı olur.
Uygulama Önerileri Uygulama Önerileri İç Denetimin Tanımı, Mesleki Etik Kurallarını ve Standartları uygulama ve iyiuygulamaları teşvik etme konusunda iç denetçilere yardımcı olur. Uygulama Önerileri detaylı süreç ve işlemlerden ziyade iç denetim yaklaşımını, metodolojilerini ve iç denetim fikrini ele alır. Uluslararası, ülkelerle ilgili veya endüstriye özel konular; özel görev türleri ve kanun veya düzenlemelere ilişkin konulara yönelik uygulamalar içerir.
Uygulama Rehberleri Uygulama rehberleri iç denetim faaliyetlerini yürütmeye yönelik ayrıntılı bir rehberlik sunar. Araçlar, teknikler, programlar, adım adım yaklaşımlar ve süreç çıktılarına yönelik örnekler gibi ayrıntılı süreç ve prosedürleri içerir.
GTAG –Yönetici Özeti
Global Teknoloji Denetim Rehberi (GTAG®) 15
Bilgi Güvenliği Yönetişimi
Yazarlar:
Paul Love, CISSP, CISA, CISM
James Reinhard, CIA, CISA
A.J. Schwab, CISA
George Spafford, CISA
Temmuz 2010
Telif Hakkı © 2006 247MaitlandAvenue, Altamonte Springs, FL 32701, ABD merkezli İç Denetçiler Enstitüsü’ne aittir. Tüm
hakları mahfuzdur. Amerika Birleşik Devletleri’nde yayımlanmıştır.
İşbu yayın, yayının amaçları dışında hiçbir maksatla çoğaltılamaz, bir yedekleme sisteminde saklanamaz, yeniden dağıtılamaz, hiçbir şekilde ve surette – elektronik, mekanik, fotokopi çekme, kaydetme veya başka
yollarla – bir başkasına iletilemez, gösterilemez, kiralanamaz, ödünç verilemez, yeniden satılamaz, ticari çıkar amaçlı kullanılamaz veya bu yayındaki istatistiksel veriler ve diğer veriler IIA’nın izni olmaksızın başka bir
yerde kullanılmak üzere uyarlanamaz.
Bu dokümanda yer alan bilgiler yapı itibariyle genel bilgilerdir ve belirli bir bireyi, iç denetim birimini veya kurumu ele almayı amaçlamamaktadır. Bu dokümanın amacı; güncel araçları, kaynakları, malumatı ve/veya
doğru, tarafsız ve güncel başka bilgileri paylaşmaktır. Fakat yayımlanma tarihi ve değişen koşullar göz önüne alındığında, hiçbir birey, iç denetim birimi veya kurum uygun danışmanlık ya da inceleme olmadan bu
dokümanda sağlanan bilgilere dayanarak harekete geçmemelidir.
GTAG – İçindekiler
Yönetici Özeti ………………………………………………………………………….. 1
Giriş …………………………………………………………………………………… 2
2.1. Bilgi Güvenliği Yönetişimi Nedir? ……………………………………………………… 2
2.2. Etkin Bilgi Güvenliği Yönetişimi Nedir? ……………………………………………….. 3
2.3. Verimli Bilgi Güvenliği Yönetişimi Nedir? …………………………………………….. 5
2.4. İDY* Neden Bilgi Güvenliği Yönetişimi Konusunda Endişelenmelidir? ………………. 6
Bilgi Güvenliği Yönetişiminde Denetim Biriminin Rolü ………................................. 7
3.1. İç Denetim Biriminin Bilgi Güvenliğiyle İlgili Sorumluluklar ………………………… 7
3.2. Denetim Arkaplanı ve Deneyim Düzeyi ……………………………………………….... 7
3.3. ilgi Güvenliği Yönetişimi Denetçileri …………………………………………………… 7
Bilgi Güvenliği Yönetişimi Denetimi …………………………………………………. 9
4.1. Bilgi Güvenliği Yönetişimi Denetimi – Planlama ………………………………………. 9
4.2. Bilgi Güvenliği Yönetişimi Denetimi – Test etme ………………………………………. 11
4.3. Bilgi Güvenliği Yönetişimi Denetimi – Analiz etme ……………………………………. 14
Sonuç/Özet ………………………………………………………………………………17
Ek – Örnek Denetim Soruları/Konuları …………………………………………….. 18
Referanslar ……………………………………………………………………………… 19
Yazarlar ve Gözden Geçirenler …….………………………………………………….. 20
* ÇN: İç Denetim Yöneticisi – Chief Audit Executive (CAE)
GTAG – Yönetici Özeti
1. Yönetici Özeti
Kurumlar ve standart belirleme kuruluşları arasında çok sayıda Bilgi güvenliği yönetişimi
(ISG – Information Security Governance) tanımı mevcuttur. Yaygın ISG konuları şunlardır:
Açık yönlendirme ve her düzeyde kavrayışla birlikte iyi bilgi güvenliği (IS – Information
Security) uygulamalarını teşvik etmek.
İşle ilişkilendirilen IS risklerini kontrol etmek.
Kurumun ihtiyaçlarını ve risk alma iştahı seviyesini yansıtan genel bir IS faaliyeti
yaratmak.
ISG’yi göstermenin bir yolu şekil 1’de ortaya konmuştur (sayfa 2). IS kurumun genel
yönetişiminin önemli bir parçasıdır ve BT yönetişiminin, BT operasyonlarının (örn. BT’nin
güncel durumu) ve BT projelerinin (örn. BT’nin gelecekteki durumu) merkezinde yer alır.
Şekil 1, çoğu kurumdaki geleneksel IS modelini yansıtmaktadır. IS alanının genel eğilimi,
ISG’nin hem BT’de hem de kurum içerisinde rol oynamasıdır. Kâğıt evrak temelli iş
süreçlerine kıyasla, bilgi sistemlerinde bulunan veri miktarının yanı sıra bu bilgileri
kaybetmenin etkisi nedeniyle, IS ve BT arasında daima özel bir ilişki olacaktır. IS
uygulayıcıları için her iki süreçte de kullanılan bilgiler de önemli olmasına rağmen, etkinin
büyüklüğü bakımından ele alındığında, BT kaybı çok daha büyük ve önemli olacaktır. Tek bir
doğru veya yanlış yönetişim modeli yoktur; çünkü her kurum farklıdır ve dolayısıyla
kurumların gereksinimleri ve risk toleransları da birbirinden farklıdır.
Yönetim kurulu ve icraî yönetim ISG yapısını desteklemelidir. Yönetim kurulu, kendisinden
gelen emirleri günlük yönetim ve stratejik inisiyatif sıralamasına göre yerine getirmesi
gereken yönetime genel stratejik rehberlik sunar. Etkin ve verimli IS, hem yönetişimin hem de
yönetimin harekete geçmesini gerektirir.
Kurumsal yönetişimi geliştirmek için kurul, kurula bağlı risk komitesinin veya kurulun yetkisi
ve sorumluluğu altındaki başka bir komitenin tüzüğünün bir parçası olarak IS dâhil, işle
ilgili/kurumsal risklerin gözetiminin yapılmasını sağlamalıdır. İç denetim birimi (IAA –
Internal Audit Activity), bilgi yönetişimiyle ilgili önemli politikaların, prosedürlerin ve
uygulamaların yürürlükte olduklarını ve etkin bir şekilde uygulandıklarını güvence altına
alarak bu iş için özel atanmış uzman kurul komitesine destek olmalıdır.
İç denetim yöneticisi (İDY), kurum içerisinde bilgi yönetişimi dâhil büyük risklerin yönetimi
konusunda güvence sunmaktan sorumludur. İster işletmeyle ilgili bilgilerin doğrudan
alınması, yönetimi ve yorumlanması ister bilgilerin günlük işleme için saklanması amacıyla
gereksin, bilgi, çoğu kurumun rekabet stratejilerinin önemli bir bileşenidir. Bilgi
yönetişiminin en belirgin sonuçlarından bazıları; kurum itibarının zarar görmesi, kurumun
rekabet konusunda dezavantajlı bir konuma düşürülmesi ve sözleşmelere uyum konusunda
temerrüde düşmesidir. Bu etkiler azımsanmamalıdır. Eğer bir kurum müşterilerinin sadakatine
ve kuruma olan güvenlerine dayanıyorsa, en küçük bir ihlâl bile müşterinin güvenini sarsarak
kurumun işi kaybetme noktasına gelmesine neden olabilir. Bilgi yönetişimi, genellikle
müşterilerin bir kurumla yeni bir iş ilişkisine girmelerinin veya mevcut iş ilişkilerini
yenilemelerinin nedenleri arasında yer almaz; ancak müşterilerin IS kontrolleri konusundaki
beklentilerini karşılayamamak, bir müşterinin kurumla olan iş ilişkisini yenilememesine ya da
GTAG – Yönetici Özeti
potansiyel bir müşterinin kurumla yeni bir iş ilişkisi kurmayı ertelemesine neden olabilir. IIA,
tüzüğünün ve IIA Uluslararası Meslekî Uygulamalar Çerçevesi’nin (UMUÇ) el verdiği ölçüde
ISG sürecine destek vermelidir. Bu katılım muhtemelen aşağıda sayılan faaliyetleri
kapsayacaktır:
Yönetişim faaliyetlerinin ve standartlarının, IIA’nın kurumun risk alma iştahı anlayışıyla
ne derece uyumlu olduğunu değerlendirme,
Denetim tüzüğünün izin verdiği ve kurulun onay verdiği şekilde danışmanlık görevleri,
Önemli ve büyük kurumsal değişikliklerin ve risk değişikliklerinin zamanında ele
alınmasını sağlamak için ISG birimiyle devam eden görüşme,
IAA’nın yayımladığı Uluslararası İç Denetim Meslekî Uygulama Standartları
(Standartlar) Standart 2110. A2: “İç denetim birimi, kurumun bilgi teknolojisi
yönetişiminin devam edip etmediğini ve kurumun stratejilerini ve hedeflerini destekleyip
desteklemediğini değerlendirmelidir.1” standardına uygun olarak ISG’nin resmi
denetimlerini yapma.
ISG denetimi; öncelikli olarak açıkça tanımlanmış politikaları, görev ve sorumlulukları, risk
alma iştahı sıralamasını, etkin iletişimi, üst yönetim düzeyinde gereken atmosferin
oluşturulmasını ve açık hesapverebilirliği içeren ISG uygulamalarının uygulanmasına
odaklanmalıdır.
Bu Global Teknoloji Rehberi (GTAG), kurum için neyin önemli olduğunu belirlemek üzere
bir düşünme süreci sağlayacaktır. Bu GTAG, aynı zamanda, İDY’nin, ISG biriminin doğru
davranışlar ve uygulamalar gerçekleştirip gerçekleştirmediğine ve ISG’nin doğru icra edilip
edilmediğine odaklanan bir ISG denetimini denetim planına dâhil etmesine yardımcı
olacaktır.
Bu GTAG’ın temel hedefleri şunlardır:
1. ISG’yi tanımlamak,
2. İç denetçilerin sormaları gereken doğru soruları anlamaları ve gereken dokümanların neler
olduğunu öğrenmeleri konusunda yardımcı olmak,
3. IAA’nın ISG’deki rolünü açıklamak.
1 “Denetçilerin, IAM (Identity and Access Management - Kimlik ve Erişim Yönetimi) denetiminden önce, işletme mimarisi ve IAM politikaları gibi şirketin mevcut IAM yapısının yanı sıra kanunlar, yönetmelikler ve uyulması gereken talimatları anlamaları gerekir.“ tavsiyesinde bulunan GTAG-9: Kimlik ve Erişim Yönetimi,okurları bu ön tartışmalara aşina olabilirler. IAM ile ISG arasındaki kilit fark, yönetişimin yapı itibariyle, erişim ve kimlik yönetiminin büyük ölçüde operasyonel ve taktiksel nitelikte olduğu stratejik bir birim olmasıdır.
GTAG –Giriş
2. Giriş
2.1 Bilgi Güvenliği Yönetişimi Nedir?
IIA’nın yayımladığı UMUÇ’ta Bilgi Teknolojilerinin (BT) tanımı şu şekildedir:
Bilgi Teknolojileri Yönetişimi; liderlik, kurumsal yapılar ve kurum bilgi teknolojilerinin
sürdürülmesini ve kurumun stratejilerini ve hedeflerini desteklemesini güvenceye alan
süreçlerden oluşur.
UMUÇ, bilgi güvenliği yönetişimi için özel bir tanım yapmaz. Ancak ISG’yi göstermenin bir
yolu Şekil 1’de (altta) verilmiştir. IS, işletmenin genel yönetişiminin, BT operasyonlarının
(örn. BT’nin güncel durumu) ve BT projelerinin (BT’nin gelecekteki durumu) önemli bir
parçasıdır. (Not: Bu rehberin yazarları ISG’nin uygulanması gereken tek alanın BT olduğunu
kastetmemektedirler; bundan ziyade, BT’nin olası bir kontrol aksaklığının etkisi bakımından,
ilk odak alanlarından birisi olması gerektiğini ifade etmektedirler.)
Şekil 1.Bilgi Güvenliği Yönetişimi
Bilgi güvenliği yönetişimi (ISG) çok çeşitli şekillerde yorumlanabilir. Çeşitli kurumların ve
standart belirleme kuruluşlarının bilgi güvenliği yönetişimine (ISG)2 ilişkin kendi tanımları ve
kılavuzları vardır. Söz konusu güvenlik kurumları ve standart belirleme kuruluşları arasında
yaygın olan ISG konuları; yukarıdan-aşağıya açık ve net talimatlandırma ve iyi anlama
yoluyla iyi IS pratiklerinin teşvik edilmesi ve işletmeyle ilişkilendirilen güvenlik risklerinin
kontrol edilmesi ve kurumun gereksinimlerini ve risk alma iştahı seviyesini yansıtan genel bir
bilgi güvenliği faaliyetinin sürdürülmesini içerir. Bir kurum, bilgi güvenliğini ele almak için
bir çerçeve ve raporlama yapısı geliştirir ve kurumun resmi belgelendirilmiş politikaları
2 Bilgi Güvenliği Forumu’nun Bilgi Güvenliği İyi Uygulama Standardı; 11770.1-2003 sayılı Avustralya Standardı (AS), Bilgi Teknolojisi – Güvenlik Teknikleri – Kilit Yönetim; Yazılım Mühendisliği Enstitüsü’nün Kurumsal Güvenlik Uygulaması Düzenleme Rehberi; Ulusal Standartlar ve Teknoloji Enstitüsü’nün BilgiGüvenliği Yönetimi Yardımı (PRİSMA) için Program Değerlendirmesi; Uluslararası Standartlar Örgütü ve Uluslararası Elektroteknik Komisyonu tarafından ortaklaşa yayımlanan Bilgi Güvenliği Yönetimi Serileri (ISO 27000) örnekler arasındadır.
GTAG –Giriş
bulunsa bile, tanımlı yönetişim organlarına bağlı hiyerarşik kademeler resmi veya gayri resmi
olabilirler. Gayri resmi hiyerarşik kademelerin önemi azımsanmamalıdır; çünkü bir
kurumdaki faaliyetlerin çoğu resmi yapıların dışında gerçekleşir.
Görev ve sorumluluklar artık yeterince açık olmadığı için, BT yönetim literatürü, yönetişim
ve yönetim kavramlarını, zararı pahasına birbirine karıştırmaktadır. Yönetişimde, genellikle
kurumun stratejisini ve amaçlarını belirlemekten sorumlu bir kurul vardır. Söz konusu kurul,
bu sorumluluğunun gereği olarak, strateji, risk yönetimi ve liderliğe odaklanır. Yönetimin
gözetimi ve kurumun talimatları yönetişim için hayati önemdedir.
Öte yandan, önceden belirlenmiş bir zaman çerçevesinde belirli hedefleri gerçekleştirmek ve
muhafaza etmek amacıyla yönetime finansal kaynaklar ve işgücü kaynağı da dahil olmak
üzere kaynakları kullanma görevi verilmiştir. Yönetim kurulu, yönetimin günlük faaliyetlerini
yönetmez; bunun yerine, yatırımcıların ve kilit paydaşların isteklerinin karşılanmasını
güvence altına almaya çalışır. Örneğin, yatırımcıların üç aylık dönemdeki kârlarının artması
yönündeki baskıları, yönetim kurulu ile yönetimin arasını açabilir. Yönetim kurulu ve
yönetim arasındaki görevler ayrılığı, kurumun öz sermaye kazancını azami düzeye çıkarma ve
bunu riskleri tanımlama ve yönetmekle dengeleme amacını muhafaza etmek için kilit bir
kontrol sunar.
BT Uyum Enstitüsü’nün Başarılı Denetimlere Nasıl Hazırlanılacağı Hakkında Pratik Bilgi
Güvenliği Rehberi, yönetim kurulunun ve yönetimin ISG’deki rollerine biraz açıklık
kazandırmaktadır. Dokümana göre, “kurul, diğer işletme yöneticilerinden üzerinde bir
düzeyde gözetim sunmalıdır. Kurul üyelerinin bilgi güvenliğindeki rolü, yöneticilere doğru
sorular sormak ve doğru sonuçların alınması yönünde teşvikte bulunmaktadır.” Doküman,
yönetim kurulunun IS için üst yönetim düzeyinde gereken uygun atmosferi oluşturması
gerektiğine dikkat çekmektedir. Buna karşılık, dokümanda “icraî yönetimin bilgi güvenliği
çabalarının desteklenmesini ve kurum çapında anlaşılmasını sağlamak amacıyla liderlik
yapması ve bu yolla güvenlik politikalarının bu şartını örnekle göstermesi gerektiğini ifade
eder.” Şekil 2 (Sayfa 3’te) BT Uyum Enstitüsü’nün rehberinden tekrar basılmıştır ve ayrıca
yönetim kurulunun ve icraî yönetimin rollerini özetlemenin yanı sıra bölüm yöneticilerinin ve
iç denetçilerin rollerini de özetler. (Not: Ayrıca, bu GTAG’ın yazarları yönetim kurulunun
Şekil 2’de tanımlanan görevlerinin arasına “risk alma iştahı oluşturmayı” da ekleyeceklerdir.).
GTAG-1: Bilgi Teknolojisi Kontrolleri’nden alınan Şekil 3 (Sayfa 4’te) halka açık bir şirketin
yönetim kurulunun tipik yapısını, daimi komitelerini ve herhangi bir kurumun ISG
programında olabilecek spesifik icraî yönetim görevlerini (örn., CEO, CFO, CIO) özetler.
GTAG –Giriş
Bilgi Güvenliği Sorumlulukları
Yönetim Kurulu Gözetim yapar.
İşle ilgili talimatları bildirir.
Güvenlik politikasını oluşturur ve denetler.
Kurumsal güvenlik kültürünü tanımlar.
İcraî Yönetim Liderlik yapar.
IS’nin kurum çapında desteklenmesini ve anlaşılmasını sağlar.
Etkin olmak için yeteri kadar kaynak ayırır.
Güvenlik gözetimi hedefini geliştirir ve sürekli gelişim ve başarıyı
teşvik eder.
Personel ve İş kolu yöneticileri IS faaliyetlerinin planlanmasına ve uygulanmasına katkıda bulunur.
Güvenlik kontrollerini gözden geçirir ve izler.
Güvenlik gerekliliklerini tanımlar.
İç Denetçiler Anlama, benimseme ve etkinlik dâhil olmak üzere bilgi kontrol
ortamlarını değerlendirirler.
IS çabalarını onaylarlar ve güncel uygulamaları sektör
standartlarıyla karşılaştırırlar.
Gelişmeye yönelik önerilerde bulunurlar.
Şekil 2. Bilgi Güvenliği Sorumlulukları3
IS’ye gelince, kilit bir risk yönetimi birimi olarak kabul edilmelidir. “ Güvenlik, tehlike
şüphesinden ve tehlikeden arî olma durumudur. Bilgi güvenliği, bilgi varlıklarının (dijital,
fiziksel veya insan formunda olsun) korunmasını ve bilgi sistemlerinin zarar görmeye, kötüye
kullanıma ve saldırılara (saklama, işleme veya aktarım sırasında) karşı korunmasını içerir ve
bu yolla da bilgilerin sağlam, güvenilir ve hatasız kalmasını sağlar.”4
Etkin IS, hem yönetişim hem de yönetim faaliyetlerini gerektirir. Yönetim kurulunun,
kurumun hedeflerine karşı gizlilik, bütünlük ve kullanılabilirlik risklerini hafifletmek ve söz
raporlamak için IS’ye ihtiyacı vardır. Kurumsal yönetişimi geliştirmek amacıyla, yönetim
kurulu, genellikle, risk komitesinin veya kurul bünyesindeki başka bir komitenin tüzüğü
doğrultusunda IS gözetimini oluşturur. Verileri oluşturan ve depolayan işletme birimleri ve
BT hizmetleri; paydaşların, müşterilerin ya da düzenleyici kuruluşların bekledikleri gizlilik,
bütünlük ve kullanılabilirlik seviyesini sağlayamazlarsa, muhtemelen kabul edilemez riskler
ortaya çıkacaktır. Çoğu durumda, en düşük ortak eşik mevzuata uyumdur ve bu da IS
uygulayıcılarının asla ihlâl edilmemesi gereken çizgiyi anlamalarına yardım edecektir. İç
denetçi, IS’yle ilgili politika, prosedür ve uygulamaların yürürlükte olduğunu doğrulamalıdır.
3 BT Uyum Enstitüsü’nün Başarılı Denetimlere Nasıl Hazırlanması Gerektiğine ilişkin Pratik Bilgi Güvenliği Rehberi’nden (Information Security Practical Guidance on How to Prepare for Successful Audits) alıntı. www.t2pa.com/analysis-a-advice/library/179-it-audit-check-list-information-security4 Bihari, Endre. Information Security Definitions (Bilgi Güvenliği Tanımları), 2003. www.perfres.net
GTAG –Giriş
Yönetim, daha sonra risk komitesinin veya başka bir forum/organın ve yönetim kurulunun
belirlediği doğrultuda bir bilgi güvenliği (IS) kurumsal yapısı5 ve bütçesi oluşturacaktır.
Spesifik, özel bir yönlendirme olmadığında, yönetim uyum durumlarını anlamalı ve üst
yönetimin kılavuzluğunda olabilecek boşlukları doldurmak için minimum eşik olarak
kullanmalıdır. Denetimler, yönetimin etkin ve etkili bir bilgi güvenliği (IS) faaliyeti
uyguladığına ve bilgi güvenliği politikalarıyla genel uyumu sürdürdüğüne ilişkin güvence
sağlar.
2.2. Etkin Bilgi Güvenliği Yönetişimi Nedir?
Etkin bir ISG programı:
Uygun kurumsal personelin olmasını gerektirir.
Bir yönetişim çerçevesi veya metodolojisi sağlar.
5 Bu, ayrı bir bilgi güvenliği (IS) faaliyetinin yanı sıra mesuliyet açık olduğu sürece bilgi güvenliği sorumluluklarını mevcut rollere yerleştirmeyi de kapsayabilir. Yapı kurumsal-bağımlı bir yapıdır.
GTAG –Giriş
Çeşitli Yönetim Kurulu Daimi Komitelerinin ve İcraî Yönetimin Tanımları
Denetim Komitesi Denetim komitesinin görevi, malî konuların, iç kontrolü değerlendirmenin, risk yönetiminin ve etik kuralların gözetimini kapsar.
Yönetişim Komitesi Yönetişim komitesi, yönetim kurulunun üyelerinin seçilmesinden, değerlendirilmeden ve yönetim kurulunun faaliyetlerine liderlik yapmaktan sorumludur.
Risk Yönetimi Komitesi Risk yönetimi komitesi, tüm risk analizi ve değerlendirmesi, risk tepkisi ve risk izleme faaliyetlerinin gözetiminden sorumludur.
Finans Komitesi Finans Komitesinin başlıca görevi; malî tabloları, nakit akışı projeksiyonlarını ve yatırım yönetimini gözden geçirmektir. Bu komite üyeleri, kilit finansman sağlama kararlarını almada ve finansal raporları oluşturmada kullanılan bilgilerin doğruluğunu güvenceye alan BT kontrol bileşenlerini anlamalıdır.
Genel Müdür (CEO) CEO, kurumun genel stratejik ve operasyonel kontrolünü elindebulundurur ve görevinin pek çok noktasında BT’yi dikkate almalıdır.
Finanstan Sorumlu Genel Müdür
Yardımcısı (CFO)Finanstan Sorumlu Genel Müdür Yardımcısı, kurumdaki tüm finansal konuların genel sorumluluğunu taşır ve finansal yönetimi mümkün kılmak ve kurumsal hedefleri desteklemek için BT’yi iyi anlamalıdır.
Bilgi Teknolojileri Müdürü (CIO) CIO’nun kurumda BT’nin kullanımı konusunda genel bir sorumluluğu
vardır.
Güvenlik Yöneticisi (CSO) CSO, aynı zamanda bilgi güvenliği yöneticisinin (CISO) de sorumluluğunda olabilen IS de dâhil tüm kurumdaki bilgi güvenliğinden sorumludur. Ayrıca, GTA-6: BT Zafiyetlerinin Yönetim ve Denetimi’ndeele alındığı üzere, CISO, etkin zafiyet yönetimi ve teknik risklerin işletme riskleriyle uyumlu hâle getirilmesi gibi faaliyetleri destekler.
Baş Hukuk Müşaviri (CLC) CLC, kurumun bir çalışanı, bir üst düzey yöneticisi veya kurum dışından gelen bir hukuk müşaviri olabilir. wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwRisk Yöneticisi (CRO) CRO, kurumun tüm katmanlarında riskleri yönetmekle ilgilenir. BT riskleri bu birimin bir parçasını oluşturdukları için, CRO bunları CISO’nun yardımıyla dikkate alacaktır.
Şekil 3. Yönetişim Organlarının ve Birimlerinin6 Görevleri
Kurum çapında tekdüzen risk yönetimini mümkün kılar.
Ölçülebilir ve anlamlı çıktılar üretir.
İşletme önceliklerini, kurumsal risk alma iştahlarını ve değişen risk düzeylerini yansıtır.
ISG Birimi, Uygun Kurumsal Personel Almalıdır
Bu personel yönetim kurulunu (bölüm 2.1’de ele alındığı gibi) ve iç denetçilerin taahhüt ve
politik destek almaları gereken icraî yönetimi içerir. IS departmanı, IS faaliyetinin
uygulanmasını sağlamak için standartlar/temel araçları ve süreçleri temin edecektir. Bilgi
varlıklarının layıkıyla tanımlanmasını ve ilgili dış beklentilere (mevcut ve gelecekteki
müşteriler, düzenleyici otoriteler, paydaşlar ve kurumun uzun vadeli, stratejik hedefleriyle
6 GTAG-1: Bilgi Teknolojisi Kontrolleri
GTAG –Giriş
ilgili olan kişi ve kurumlar) göre yönetilmelerini sağlamak için mahremiyet, mevzuata uyum,
hukuki fonksiyonlar ve BT fonksiyonu bu programa katılmalıdır.
Son kertede, insan kaynakları birimi, tüm çalışanlara üniform standartların bildirilmesine ve
IS talimatlarının ihlâliyle ilgili disiplin faaliyeti konusunda üniform rehberlik sunulmasına
yardımcı olmalıdır. Bu sayılan gruplardan uygun destek alınmadığı takdirde ISG faaliyeti,
gerileyerek ISG yönetimine dönüşebilir ve stratejik bir faaliyetten ziyade,
operasyonel/taktiksel bir faaliyete dönüşebilir.
ISG birimi, faaliyetlerine kılavuzluk etmesi için uygun bir çerçeve veya metodoloji
tanımlar.
Yönetişim çerçevesiyle ilgili örnekler, GTAG-11:BT Denetim Planını veya BT Yönetişim
Enstitüsü’nün Bilgi Güvenliği Yönetişimi: Yönetim Kurulu ve İcraî Yönetim için Kılavuzluk, 2.
Basım gibi yayınlarda bulunabilir. Bu çerçeveler; kurumun, paydaşlara, düzenleyici
otoritelere, hizmet sağlayıcılarına ve diğer kurum dışı şahıslara kolayca açıklanabilen
yapılandırılmış, tutarlı, tarafsız bir tarzda çalışmasını sağlamaya yardımcı olur. İyi planlanmış
çerçeveler, ayrıca, önerilen faaliyetlerin mevcut faaliyetlere uygulanan kriterlere göre
değerlendirilmelerini sağlayarak gelecek iş değişikliklerine ve faaliyetlere rehberlik yapabilir.
Bir çerçeve kullanmak, bir kuruma zaman içinde geliştirilen öncü uygulamalardan
yararlanmasını sağlar.
Üniform IS risk değerlendirmeleri, aynı zamanda etkin bir ISG’nin için de gerekli
unsurlardan birisidir.
Diğer tüm iş faaliyetleri gibi, IS faaliyetleri de önceliklendirilmelidir. Tüm kurumda üniform
risk ölçüm araçlarını uygulamak, risk seviyesi en yüksek olan alanların açıkça tespit
edilebilmelerini güvenceye almaya yardımcı olur. Risk değerlendirme araçları, ortamdaki
yapısal risklerin ayırt etmek için eşikler belirlemelidir. Örneğin, bir kurum, kabul edilebilir
risk eşikleri aşılmadıysa, sistemleri oldukları gibi (yani, riski kabul etmeyi) bırakmayı tercih
edebilir. Bu, yüksek riskleri özetleyen basit bir doküman gibi tehlike düzeyi yüksek bir riskin
basit bir değerlendirmesi olarak başlayabilir. (Not: bu araçların gelişmesi bekleniyor; fakat bu
rehberi kaleme alanlara göre, herhangi bir kurumun günlük faaliyetleri sırasında alması
gereken aşırı risk sayısından dolayı, hiçbir değer taşımayan bir risk değerlendirme sürecini
uygulamak için çok karmaşık ve ölçülebilir yöntemler kullanılmıştır.). Faaliyetin tüm
kurumda kendiliğinden gelişmesini sağlamak için yönetimin gerektiği kadar zaman ve kaynak
sağlaması hayati öneme sahiptir.
ISG birimi, nicel ve ölçülebilir çıktılar vermelidir.7
Nitel ve nicel veriler, yönetim faaliyetlerinde faydalı olabilir; fakat nicel veriler, nitel
ölçümlerle elde edilemeyen daha gelişmiş izleme ve trend oluşturma kapasiteleri sağlar. Nicel
ölçümler, sunulan politika ve standartların sayısını, meydana gelen kayda değer ve önemli
güvenlik olaylarının sayısını ve kurumsal güvenlik eğitimi programlarının sonuçlarını
7Çıktı ve ölçütlerle ilgili örneklere, Ulusal Standartlar ve Teknoloji Enstitüsü’nün Bilgi Güvenliği içinPerformans Ölçüm Rehberi (Özet Basım 800-55 Revizyon 1) yayınından ulaşılabilir.
GTAG –Giriş
içerebilir. Bu durum, nitel sonuçların hiçbir değerinin olmadığı anlamına gelmez; yeterli nicel
verilerle desteklenmeyen nitel veriler sağlanan bilginin algılanan değerini azaltır. Birlikte
alınan nicel ve nitel önlemlerin, yönetimin uygun kararlar alması gereken IS faaliyetine ilişkin
bir kavrayış sağlar. Ancak başarılı bir ISG faaliyeti, kurumu tanıyan ve anlayan IS
uzmanlarının gerçekleştirdiği uygun risk analiziyle birlikte gerçeklere dayanan, nesnel
ölçütlere göre yürütülmelidir.
ISG birimi, önceliklerini, hukuki, mevzuatla ilgili değişikliklere ve iş değişikliklerine
göre uyarlamalı ve kurumun risk alma iştahını yansıtan, pratik, makul ve uygulanabilir
politikaları ve standartları uygulamalıdır.
Başarılı işletmeler nadiren durağandır. Rekabet, mevzuat, değişerek gelişen iş modelleri ve
arz zincirindeki değişiklikler gibi değişen ve gelişen dış koşullarla karşı karşıyadırlar. Bir ISG
ekibi, söz konusu değişiklikleri anlamalı ve desteklemelidir. Örneğin, kurum iş alanlarına yeni
bir iş ekleyerek genişleyecekse, bunun etkisini her yönüyle değerlendirmelidir. Bu yeni iş
alanı uyulması gereken yeni yönetmelikler getiriyor mu? Yeni yapısal değişiklikler getiriyor
mu? Mevcut iş birimlerinin durumunu değiştiriyor mu? ISG faaliyeti, aynı zamanda, yerleşik
kurumlarda devam eden değişiklikleri de yansıtmalıdır. Eskiden beri süregelen işletme
faaliyetleri de yeni ortaya çıkan mevzuata ve tehditlere tâbi olurlar. Kurum, yönetişim ve
yönetim faaliyetlerini bu değişiklikleri yansıtacak şekilde güncelleyemezse, hayatta kalamaz.
GTAG-11: BT Denetim Planını Geliştirmek rehberinde de belirtildiği gibi, iç denetçilerin
yüzde 36’sı risk değerlendirmelerini artık yılda bir kereden fazla olmak üzere
tekrarlamaktadır. Bu, risk değişikliklerinin ne kadar hızlı meydana geldiğini göstermektedir. 8
2.3 Etkin Bir Bilgi Güvenliği Yönetişimi Nedir?
Etkin bir ISG faaliyeti, aşağıdaki eylemler yoluyla orantılılık kavramını yansıtır:
Katmanlı bir iç kontrol yapısını teşvik ederek,
Hiyerarşik ilişkileri gereken yönetim düzeyine göre düzenleyerek,
Politika ve standartlarda usulünce onaylanmış sapmalara (değişikliklere) izin vererek.
Etkin bir ISG faaliyeti orantılı kontrolü teşvik eder.
Bu, etkisi daha yüksek faaliyetler ve daha değerli varlıklara için daha fazla kontrol sağlamak
anlamına gelmektedir. Ayrıca düşük riskli faaliyetler ve daha az değerli varlıklar için daha az
kontrolün olmasını teşvik eder. Mevzuat veya dış sertifikalandırma otoritelerinin yaptırımları
olmasa, hiçbir kurum genellikle düşük-riskli faaliyetler için daha fazla para harcamaz.
Hiyerarşik ilişkilerin planlanması sırasında orantılı kontrol gözetilmelidir.
IS’nin durumu hakkında raporlama, raporlamada yer alan kurumsal kademelere göre
değişmelidir. Muhtemelen büyük kurumların hemen hemen hepsinde IS ihlâlleri rutin olarak
meydana gelir. İhlâl türleri tehdit düzeyi az olandan (örn. tek bir evrakın uygun olmayan
8 UMUÇ Standardı 2010: Planlama – “İç denetim yöneticisi, kurumun amaçları doğrultusunda iç denetim faaliyetinin önceliklerini belirlemek amacıyla risk-esaslı planlar yapmalıdır.” UMUÇ Standardı 2010.A1 – “İç denetim biriminin görev planı, en az yılda bir kere yapılan belgelendirilmiş bir risk değerlendirmesine dayanmalıdır.”
GTAG –Giriş
şekilde kullanılması) tehdit düzeyi çok yüksek olana (örn. elektronik sistemde yapılan bir ihlâl
sonucu korunmuş müşteri verilerinin kaybı) kadar değişebilmektedir. İcraî yönetim büyük
güvenlik olaylarına büyük ölçüde yer almalıdır; fakat toplu istatistiklerin değerlendirilmesiyle
muhtemelen sadece daha rutin görülen güvenlik ihlâllerinden haberdar olacaklardır. Orta-
kademe yönetim veya bölüm yönetimi ise, trendleri belirlemek için bu daha rutin olaylarda
daha önemli bir rol oynayacaktır.
Bir ISG faaliyeti, politikalara ve standartlara maliyet-verimli veya teknik olarak uygun
olmayan sistemleri ele almaya yetecek düzeyde uyarlanabilir niteliktedir.
Kontroller, maliyet-verimli olarak uygulanamazlarsa ve alternatif çözümler de yoksa, etkin bir
yönetişim yapısı, yerleşik politikalardan ve standartlardan sapma konusunda yapılandırılmış
bir mekanizma sağlar. Bu mekanizma, genellikle, resmi risk kabulüyle birlikte yönetimin
bilgilendirilmiş olarak hareket ettiğini göstermek için yapılan analizi kaydeden
dokümantasyonu içerir ve bu da edinilecek iş değerine göre ihtiyatlı ve uygundur. Bu, ayrıca,
politika yerleşik politikadan sapmanın (politika değişikliğinin), hâlâ uygun ve haklı olup
olduğu ya da politika değişikliğinden vazgeçilmesi gerektiğini söyleyen birimlerin sayısının
artıp artmadığını göstermek amacıyla politika değişikliğinin rutin olarak yeniden
değerlendirilmesini içerir (örn., toplam risk arttı; kontrol maliyeti azaldı; yeni kontrol
seçenekleri var.).
2.4 İDY Bilgi Güvenliği Yönetişimi Konusunda Nedene Endişelenmelidir?
İster işletmenin stratejik planları olsun ister müşterilerin kişisel bilgileri (PII) olsun, bilgi çoğu
kurumun rekabet stratejisinin önemli bir parçasıdır. Bu tür bilgilerin kaybı, kurum üzerinde
anlamlı bir kötü etkiye neden olabilir. Daha önce de söz edildiği gibi, IS genellikle bir kurumu
diğerine tercih etme nedenlerinden değildir; ancak bilgi kaybının mevcut ve gelecek iş
olanakları üzerinde önemli bir etkisi olabilir. Doğrudan kaybın yanı sıra, özellikle finansal
raporlama, para çalma veya hizmet aksamaları söz konusu olduğunda bilgi
bütünlüğü/güvenilirliğiyle ilgili sorunlar da vardır. Yönetimin, bilgi güvenliğiyle ilgili
sorumluluklarını kurumun ihtiyaçları doğrultusunda yerine getirmesini sağlayamamanın daha
belirgin sonuçlarından bazıları şunlardır:
Düzenleyici Organların Kararları ve Eylemleri. Kurumların çoğu, bazı kişisel kimlik
bilgilerini (PII), korunan sağlık bilgilerini (PHI) veya müşterileri veya çalışanları için
düzenlemelere tâbi bilgileri (örn. yayımlanmamış bilgiler) ellerinde bulundururlar. Pek çok
ülkede, bu tür bilgiler konusunda aşırı-regülasyon sorunu vardır. İyi bilinen PII
sorunlarının yanı sıra, veri kaybı veya veri bütünlüğünü riske atma da malî tabloların
güvenilirlikleri veya başka konularda ciddi sorunlara neden olabilir. Mevzuata uymamanın,
kuruma büyük ölçüde zarar verebilecek çok sayıda ağır para cezası vardır.
İtibarın Zedelenmesi. Bilgi güvenliğini ihlâl eden kurumlar, genellikle, müşterilerinin
olumsuz tepkisiyle karşılaşır.
Rekabet Avantajı. Rekabet stratejileri, fiyatlandırma, müşteri ve ortakların bilgilerini ve
diğer kilit kurumsal bilgileri riske atma, bir kurumun bu tür bir risk altında olmayan
sektördeki diğer kurumlarla rekabet etme yeteneğini tehlikeye atabilir.
GTAG –Giriş
Sözleşmelere Uymamak. Sözleşmeler, çoğunlukla bilgilerin korunmasıyla ilgili hükümler
ve şartlar içerirler. Bu konudaki bir ihlâl, kilit sözleşmelerin, müşterilerin ve bunlara
ilaveten söz konusu konularda açılabilecek hukuk davalarının da kaybedilmesiyle
sonuçlanabilir.
Yanlış veya Eksik Bilgi. Kurumlar, doğru ve tam ve eksiksiz bilgiler sağlamalı, saklamalı
ve ellerinde doğru veya eksiksiz bilgiler bulundurmalıdırlar. Yanlış veya eksik bilgiler,
basit hatalardan veya doğrudan suiistimalden kaynaklanıyor olabilirler. Sebebi ne olursa
olsun, yönetişim çalışmaları, bilgi doğruluğunu ve bütünlüğünü de kapsar.
Suiistimal. IS’yi yeterli düzeyde uygulanamaması, kuruma karşı yapılan suiistimallerin
başarıya ulaşma olasılığını arttırır.
Sayılan maddelerin dışında, İDY’nin, ISG hedeflerinin etkin ve verimli bir şekilde yerine
getirilmesini güvence altına alma ve BT biriminin paydaşlara yönelik güvene dayalı
görevlerini yapmasında kurula yardımcı olma konusunda yönetim kuruluna karşı sorumluluğu
vardır. Bu nedenlerden mütevellit, IS faaliyeti IAA talimatlarının uygulanması sırasında
dikkate alınmalıdır.
GTAG – Bilgi Güvenliği Yönetişiminde İç Denetimin Rolü
3. Bilgi Güvenliği Yönetişiminde İç Denetimin Rolü
UMUÇ Standardı 2130.A1’de de belirtildiği gibi:
İç Denetim birimi, Kurumun aşağıda verilen konularda kurumsal yönetişim, operasyonlar ve
bilgi sistemlerindeki risklere cevap verme konusunda uygulanan kontrollerin yeterliliklerini
ve etkinliklerini değerlendirmelidir:
Finansal ve operasyonel bilgilerin güvenilirliği ve doğruluğu.
Operasyonların etkinliği ve verimliliği.
Varlıkların korunması.
Kanun, yönetmelik ve sözleşmelere uyum.
Ayrıca, UMUÇ Standardı 2110.A2’ne göre:
İç denetim birimi, bilgi kurumun teknolojisi yönetişiminin, kurumun stratejilerini ve
hedeflerini sürdürüp sürdürmediğini ve destekleyip desteklemediğini değerlendirmelidir.
İDY, bu beklentileri ISG denetimi planlamasına dâhil etmelidir. Güvenilirlik ve bütünlük,
koruma ve mevzuata uyum konuları genellikle IS yönetimiyle ilişkilendirilir; ancak etkinlik
ve verimlilik, yönetim kurulunun risk alma iştahına dâhil edilmelidir ve bunun yanı sıra,
IAA’nın, yönetişim faaliyetlerinin gerektiği gibi kontrol edilen, yetersiz kontrol edilen veya
gereğinden fazla kontrol edilen sistemlere veya iş akışlarına yol açıp açmadığını belirlemesini
sağlamalıdır. Gerektiği gibi kontrol edilen sistemler; güvenilirlik, koruma ve mevzuata uyum
bakımlarından hem etkili hem de verimlidirler. Yetersiz kontrol edilmeyen sistemler verimli
olmakla birlikte – özellikle belirsizliğin arttığı değişim ve risk dönemlerinde – daha az
etkindirler. Gereğinden fazla kontrol edilen sistemler veya söz konusu kaybın gerektirdiği
kontrollerden daha fazla kontrol edilen sistemler daha etkin olabilirler; fakat aynı derecede
verimli değildirler. IAA’nın, ISG biriminin gizliliği, bütünlüğü ve kullanılabilirliği ve
mevzuata uyumu ele alma konusunda hem etkin hem de verimli olduğunu güvence altına
alması gerekir. Fakat bir kontrolün etkinliği gözden kaçırılmaması gereken en önemli
noktadır.
3.1 İç Denetim Biriminin Bilgi Güvenliği Yönetişimiyle İlgili Sorumlulukları
IAA, kurumsal yapılar oluşturup, metodolojileri onaylayıp, kurum adına politikalar yazamasa
bile, onları sınayabilir ve iç denetim tüzüğünün ve UMUÇ’un cevaz verdiği ölçüde kurumdaki
bilgi güvenliği yönetişimi birimini desteklemelidir. Bu katılım, muhtemelen şu gibi
faaliyetleri içerir:
Yönetişim faaliyetlerinin ve standartlarının, IAA’nın kurumun risk alma iştahı
anlayışıyla ne derece örtüştüğünü değerlendirme.
İç denetim tüzüğünün izin verdiği ve yönetim kurulunun onayladığı ölçüde
danışmanlık yapma.
Önemli kurumsal değişikliklerin ve risk değişikliklerinin zamanında ele alınmasını
sağlamak için ISG ile devam eden görüşmeler.
ISG faaliyetinin, IIA Standardı 2110.A2’na uygun olarak yapılan resmi denetimleri.
GTAG – Bilgi Güvenliği Yönetişiminde İç Denetimin Rolü
3.2 Denetçi Arkaplanı ve Deneyim Seviyesi
Etkin bir ISG faaliyeti gerçekleştirebilmek için, ISG kavramlarını iyi anlayan deneyimli
bir denetçi olmak gerekir. Bir ISG denetimi, kontrol listesi yaklaşımından ziyade,
denetçinin kurumun ISG faaliyetlerini anlayıp yorumlamasını gerektirir. İDY, IAA’nın
IS’yi ve hem iç hem de dış risk maruziyetleri ve kurumun dış kuruluşlarla olan
ilişkileriyle ilgili riskler de dâhil, ilgili riskleri değerlendirebilmek için gereken
kaynaklarının ve yeterliliğinin olduğunun güvencesini vermelidir. İDY, güvenlik ve icraî
yönetimle çalışırken deneyimli personele güvenme ihtiyacı duyabilir. Küçük denetim
birimlerinde, İDY sürece etkin bir şekilde katılabilir. Personel, mevcut yönetişim yapısını
anlamış olmalıdır ve güvenlik yönetimi liderliği ve yönetişim yapısıyla daha etkin ilişkiler
oluşturabilmek için gereken iletişim yönetimi becerilerine sahip olmalıdır.
3.3. Bilgi Güvenliği Yönetişimi Denetimleri
Bilgi güvenliği yönetişimi (ISG) faaliyeti, birkaç farklı biçimde karşımıza çıkabilir:
En temel ISG görevi, ISG faaliyetini bağımsız standartlarla karşılaştırmaktır.9 Bu
gözden geçirme seviyesi, yönetimin ISG çerçevesini ne kadar kapsamlı tanımladığı
konusunda biraz güvence verir; fakat aslında sıkı uygulanan süreçlerin tanımlanan
çerçeveye ne kadar uygun olduğunu değerlendirmez. Bir karşılaştırma görevi, çok
yıllı bir denetim planında etkin bir başlangıç noktası sunabilir; çünkü ek denetim
testleri yapılmadan önce, yönetişim yapısındaki planlama hatalarını ele alması için
yönetime zaman tanır. Bu yaklaşım, İDY’nin IAA kaynaklarının etkin bir şekilde
yönetildiğiyle ilgili güvence vermesine yardım edebilir; çünkü uygunluk testi, IAA
programın temel gereklilikleri karşıladığına ilişkin makul bir güvence alana kadar
başlamaz.
İDY, ISG faaliyetinin planlanmasından yeterince memnun kaldıktan sonra, denetim
testi programın ne derece uygulandığına odaklanmalıdır. Bu tür bir denetim,
istisnalarla ilgili yönetim raporlarını, onaylarını ve dokümantasyonunu, risk
değerlendirmelerinin tutarlılığını, ölçütlerin etkin kullanımını ve yeni beliren işletme
gereksinimlerine ve kurum dışı değişikliklere bağlı olarak zamanında yapılan
güncellemeler, yönetim kurulu ve komite toplantı tutanaklarının gözden geçirilmesi,
iş stratejileri ve planları, iş değişiklikleri ve yönetim üyeleriyle mülakatları içerebilir.
Sonuçta, IAA, son kertede diğer denetlenebilir kuruluşların ISG faaliyetine ne kadar
yeterli sürekli destek sağladıklarını incelemelidir. Bu, muhtemelen, olası güvenlik
olaylarının uygun şekilde belgelenip belgelenmediklerini, bir üst birime havale edilip
edilmediklerini, uygun cevap verilip verilmediğini ve destek ekipleri tarafından
yönetilip yönetilmediklerini ve stratejik iş süreçlerinin her birinin IS risk
değerlendirmeleri gibi diğer denetimlerdeki spesifik test basamaklarını içine alacaktır.
Bu denetim, yönetişim yerine IS faaliyetlerinin denetimi olarak oluşturulabilirken,
kurumların, kurum departmanlarının veya birimlerinin yönetişim sürecinin
9 İç denetçi, ayrıca, yönetimin karşılaştırma yapıp yapmadığını doğrulamak isteyebilir; böyle bir durumda karşılaştırma faaliyetlerini dikkate alınız.
GTAG – Bilgi Güvenliği Yönetişiminde İç Denetimin Rolü
oluşturduğu beklentileri ne ölçüde anladıkları ve bunlara ne derece uyduklarını
gözlemlemek, ISG’nin gerçek etkinliğinin anlaşılması için elzemdir. Örneğin, yardım
masası, kötüye kullanımların yüzde ellisinden eksik beyan ederse, bir bütün olarak
kurum gerçek risk profilini dramatik ölçüde eksik değerlendirecektir ve bu yüzden
kilit işletme hedeflerine ulaşamayabilir.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
4. Bilgi Güvenliği Yönetişimi Denetimi
4.1. Bilgi Güvenliği Yönetişimi - Planlama
Bir bilgi güvenliği yönetişimi faaliyetini etkin ve verimli bir şekilde denetlemek için, IAA’nın
denetim komitesinden ve yönetimden aldığı girdi verileriyle en önemli olarak belirlediği
yönleri test edecek bir denetim planı yaratılmalı ve sürdürülmelidir. Bunu yapabilmek için,
IAA bir kurumun yapısını, amaç ve hedeflerini, iletişim yollarını, risk alma iştahını, diğer
işletme birimleriyle etkileşim düzeyini ve dış baskıları dikkate almalıdır.
4.1.1. Bilgi Güvenliği Yönetişimi Kurumsal Yapısını Anlamak
İlk adım, ISG faaliyetine destek olmak amacıyla kurumsal yapıyı değerlendirmektir. ISG
biriminin, etkili olabilmek ve çıkar çatışmalarından kaçınmak için, kurumsal hiyerarşik yapı
içerisinde genellikle yeterince yüksek bir kademede olması gerektiğinden, resmi hiyerarşik
yapının anlaşılmasına özen gösterilmelidir. Örneğin, bilgi güvenliği yönetişimi başkanı,
CIO’ya, CFO’ya veya kurumsal düzeydeki CSO’ya rapor verebilir ve bu yolla da kurumun
daha alt birimlerinde çalışırken olası çıkar çatışmalarını azaltabilir.
IS biriminin, muhtemelen, her kurumsal politika için kilit paydaşlara resmi raporlama yolları
olacaktır. Bunun içerisinde, yönetim kurulu ve/veya komiteleri, kurumsal danışmanlık,
mevzuata uyum vb. yer alır. Bu yapılar ideal olarak resmi yollarla belgelenmelidir. İç denetçi,
politika nüanslarını ve kurumun bu birime verdiği kurumsal önceliği anlayabilmek için hem
resmi hem de gayri resmi raporlama yapıları hakkında bilgi toplamalıdır.
Değerlendirmeye bir ek boyut da, yönetişim yapısının derinliğini ve kapsam genişliğini ve
yönetişim yapısında yer alan kilit kişilerin yokluğunda kurumun toparlanma ve esneklik
düzeyini değerlendirmektir. Örneğin, CIO veya CSO işten çıkarılırsa, IS’ye ne olurdu?
Yönetişim yapısı buna nasıl bir tepki gösterirdi veya bunun ne gibi bir etkisi olurdu?
Bu kanıtlar, kurumsal yapı şemaları, iş tanımları ve kurumsal IS politikalarının yanı sıra C-
seviyesi yöneticiler, denetim ve risk komitelerinin başkanlarıyla yapılan mülakatların talep
edilmesi yoluyla toplanabilir.
Sorulması gereken sorular:
1. IS’den resmi olarak sorumlu kişi kimdir?
2. Bu kişi, kurumsal yapı şemasının neresinde yer alır?
3. Bu kişi resmi olarak kime bağlıdır?
4. Bu kişinin kime karşı dolaylı (dotted line) sorumluluğu vardır?
5. IS personelinin bilgi amaçlı veya daha resmi bir yürütme görevi gereği düzenli olarak
rapor verdiği komite birimleri, kurullar veya başka gruplar var mı?
6. IS’den sorumlu bir kişinin kariyer düzeyi nedir? Bu üst düzey yöneticilik düzeyinde bir iş
mi yoksa bir müdüriyet düzeyinde mi? Bu kişinin başka görevleri var mı?
7. Tüm IS konumları için görev ve sorumluluklar, hesapverebilirlik ve performans resmi
olarak tanımlanmış mıdır?
8. Çıkar çatışmalarından nasıl kaçınılır?
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
9. CSO, IS faaliyetini yürütüyor mu yoksa daha çok uyum konusunda rapor mu veriyor?
10. Bir IS forumu var mı? Varsa, rolü nedir?
4.1.2. Her Ortam Bileşeninin Amacını ve Hedeflerini Anlamak
Yönetişim yapısı bir kere anlaşıldıktan sonra, yönetimin beyanlarını doğrulayan dokümanlar
toplanmalı ve değerlendirilmelidir. Buradaki amaç, yürütülen tartışmaların yönetim kurulunun
ve icraî yönetimin istediği doğrultuda gerçekleştiğini doğrulamaktır.
Toplanacak dokümantasyon örnekleri; IS politikalarını, tüzüklerini, hedeflerini, önemli iş
tanımlarını, güvenlik yönetişiminin tartışıldığı yönetişim veya yönetim kurulu toplantılarının
tutanaklarını, olaya müdahalelerini ele alan dokümanları, saklama politikalarını, süreç
anlatımlarını ve eğitim materyallerini vb. içerir.
Sorulması gereken Sorular:
1. IS biriminin görev ve sorumlulukları resmi olarak tanımlanmış mıdır?
2. İşletme birimi ve/veya bireysel performans hedefleri IS hedeflerine nasıl bağlıdır? Bunlar
IS faaliyetini destekliyorlar mı?
3. ISG yapısının her bileşeninin yeterli sermayesi ve IS çalışmalarını destekleyecek faaliyet
giderleri bütçesi var mı?
4. Kamu ve yatırımcı ilişkileri ve kanun uygulamayla eşgüdüm gibi IS olaylarının gözetimi
için gereken prosedürler uygulanıyor mu?
5. IS politikaları yazılı standartlarla destekleniyor mu? Standartlar, yazılı prosedürlerle
destekleniyor mu?10
4.1.3. Hiyerarşik Kademeler Arasında Gelişen Belgelenmiş İletişimi Anlamak
Politikalar, standartlar ve prosedürler, IS departmanıyla denetim komitesi gibi diğer gruplar
gelişen bilgi alışverişlerini özetlemelidir. Bir iç denetçi, söz konusu bilgi alışverişlerinin
istendiği gibi gerçekleşip gerçekleşmediğini ve istenmeyen engellerin - politikayla ilgili,
teknik vb. - olup olmadığını değerlendirmek için veri toplamalıdır. Örneğin, kurum son derece
yapılandırılmış ve disiplinli bir kurum ise, CSO’nun karar vericilere uygun erişimi bulunuyor
mu? Politika ve prosedürler, personelin yokluğu ve anormal iş koşulları gibi belirli
durumlarda olayın bir üst birime havale edilme kriterlerini tanımlamalıdır.
Geribildirim döngüsü, her mümkün olduğunda resmi olarak tanımlanmalı ve belgelenmelidir.
IS biriminin herhangi bir dönüt almaksızın tek taraflı raporlar vermesi yerine, ideal olan
iletişim şekli, alıcının iletiyi kabul ettiği ve varsa soruları yanıtladığı bir diyalog çerçevesinde
gelişen iletişimdir. Böyle bir iletişim, IS faaliyetleri için hesapverebilirliğin güçlendirilmesine
yardımcı olur.
Sorulması gereken sorular:
1. Hangi bilgi alışverişleri resmi olarak tanımlanmıştır?
2. Bunlar yeterli midir?
10 Denetçi, kurum politikalarının standartlara yön verdiği kurumlarda, IS politikaları, standartları ve prosedürler arasında açıkça bir bağlantı olduğunu görmelidir.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
3. Söz konusu bilgi alışverişleri programlandığı gibi mi gerçekleşmektedir?
4. IS birimi, birlikte çalıştığı gruplardan etkili/anlamlı geribildirimler alıyor mu?
5. IS haberlerinin/uyarılarının izlemesi gereken bir üst makama havale yolu nedir?
4.1.4. Kurumun Risk Alma İştahını Anlamak
İç denetçi, kurumun risk alma iştahını anlayabilmek için, mümkünse, yönetim kuruluyla
görüşmelidir. Bu, yönetim kurulunun kurum için kabul edilebilir olarak gördüğü risk
seviyesiyle ilgilidir ve kurum kültürüne ve yönetimin risk alma iştahı seviyesine
yansıtılmalıdır. Ayrıca iç denetçi; riskleri, yönetim kuruluna havale etme koşullarını ve üst
yönetime raporlanması gereken acil durumları içeren yazılı politikaları inceleyip gözden
geçirerek kurumun risk alma iştahını yansıtan teyit edici kanıtlara ulaşabilir.
Bazı yönetim kurulları risklerden kaçınırlar ve değer yaratma ve koruma konusunda tutucu
olma eğilimindedirler. Diğer yönetim kurulları, daha büyük kazanç elde etme uğruna daha
yüksek riskler almayı kabul edebilirler. Kurulun riske bakış açısını anlamak, IS için geniş bir
bağlam oluşturacaktır.
İç denetçi, kurulu angaje etmeyi garantiye alan önemlilik eşiğini anlamalıdır. Ayrıca, kurulu
angaje etmek için acil durumlar türleriyle ilgili geniş kapsamlı kılavuz ilkeler oluşturmalıdır.
Kurumsal politikalar, bu acil durumların yanı sıra üst makamlara doğru havale etme yollarını,
iletişim planlarını ve benzerini tanımlamalıdır.
Sorulması gereken sorular:
1. Yönetim kurulu hangi koşullar altında angaje olmalıdır?
2. Kurumun önemlilik eşiği nedir?
3. Kurulun kabul edilemez olarak göreceği IS riskleri nelerdir?
4. Bu kriter ne kadar sıklıkla gözden geçirilmektedir?
4.1.5. Bilgi Güvenliği Yönetişiminin Kuruma Entegrasyonunu Anlamak
IS faaliyeti, bir kurumun diğer birimleriyle entegrasyon yoluyla en iyi şekilde uygulanabilir.
Başka bir deyişle, IS birimi diğer faaliyetlerden yalıtılmış olarak tek başına bir kurumu
güvenceye alamaz. Birlikte çalıştığı birimlerin hedeflerine ulaşmalarına yardımcı olmak için
yönetimle, proje yönetimiyle, sunucu mühendisliğiyle, ağ ve masaüstü mühendisliğiyle,
sürüm yönetimiyle, iş sürekliliğiyle, iş süreci sahipleri ve diğer gruplarla işbirliği yapması
gerekir. Bu hedefler, kurum politikalarında da belirtildiği gibi yönetimin amaçlarına uygun bir
bilgi güvenliğini kapsamalıdır.
Bir iç denetçi, IS biriminin hem birim hem de IS için karşılıklı entegrasyon gerekliliklerini
oluşturmak üzere her bir işletme birimiyle görüşüp görüşmediğini belirlemek amacıyla
kurumsal örgütlenme şemasını gözden geçirip kullanabilir ve işletme birimleriyle görüşebilir.
Politikalar, gözden geçirme döngüsü oluşturmalı ve ilerleme planlarını hazırlamak için
toplantı tutanakları veya diğer özet raporlar bulunmalıdır.
Sorulması gereken sorular:
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
1. IS diğer işletme birimlerinin stratejilerinde, süreçlerinde ve prosedürlerinde dikkate
alınıyor mu? IS birimi kuruma değer katmış mıdır?
2. IS, kurumun BT stratejisinde dikkate alınıyor mu?
3. Resmi bir toplantı programı var mı?
4. Toplantı gündem maddeleri nelerdir? Atılan adımlar ya da konular herhangi bir
ilerlemeden yoksun mu?
4.1.6. Bilgi Güvenliği Yönetişimini Etkileyebilecek Dış Etkenleri Anlamak
Risk ortamı değiştikçe, kontrol, süreç ve prosedürlerin de aynı şekilde değişmesi gerekir. Söz
konusu dış etkenler arasında,
Mevzuata İlişkin Değişiklikler. Kurumun kısa vadeli hedefleriyle uyumlu olan veya
olmayan belirli direktiflere uyulmasını gerektiren kanunlar ve veri gizliliğine ilişkin
yönetmelikler vardır. Bu mevzuata uymama, para cezalarına, hukuk davalarına ve
markanın zarar görmesine neden olabilir.
Gelişen Sektör Standartları. Ödeme Kartları Sektörü Veri Güvenliği Standartları (PCI-
DSS) veya BITS Ürün Sertifikalandırma (önceden Bankacılık Sektörü Teknolojisi
Sekretaryası) gibi, kritik ortaklarla iş yapabilmek için uyulması gereken çok sayıda sektör
kuvveti vardır. Kurumun zarar verici etkilerden korunması için bu gereksinimlerin ve
bunlara uymamanın risklerini anlama dikkate alınmalıdır.
Hukukî Gelişmeler. Hem sözleşmelerden hem de hukukî ortamdan doğan riskler vardır.
Örneğin, ödeme kartı sektörünün, kredi kartı kullanan kurumların uymaları gereken
sözleşmeden doğan gereklilikler vardır. Ayrıca, ihmaller ve diğer potansiyel sorunlarla
ilgili hukukî davalardan kaçınmak için kurumların hukukî ortamı anlamaları gerekir.
Dinamik Piyasa Güçleri. Piyasaların yönünden kaynaklanan riskler vardır. Örneğin,
elektronik ticarete yönelim, kurumların hafifletmeleri gereken güvenlik riskleri ortaya
doğurur.
Sorulması gereken sorular:
1. Kurumun tâbi olduğu yönetmelikler, kanunlar ve sözleşme gereklilikleri nelerdir?
2. IS gerekliliklerini anlamak amacıyla yönetmelikler hangi sıklıkla ve en son ne zaman
gözden geçirilmiştir? Gözden geçirme sürecinde hukukî işlerden sorumlu departman yer
almış mıdır yoksa verilerin yorumlanması hukuk departmanı dışında çalışan personele mi
bırakılmıştır?
3. Kurum içi veya kurum dışı bir mevzuata uyumu sağlama ekibi var mı? IS birimi onlarla en
son ne zaman görüşmüştür?
4. Hangi yönetmelikler maliyetli ve çalışma bakımından verimsizdir?
5. Hangi sözleşmeler IS bileşenlerini içerir?
6. IS birimi, herhangi bir sözleşmeden doğan gereklilikleri en son ne zaman bir hukukî
danışmanla gözden geçirmiştir?
7. Hukukî danışman, sözleşme sürecinde sözleşmeden doğan gereklilikleri değerlendirmek
üzere IS birimine danışmanlık yapıyor mu?
8. Hangi hukukî sözleşmeler daha ağır yükümlülükler getirir ve neden?
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
9. IS birimi, hukukî ortamı bir hukukî danışmanla en son ne zaman gözden geçirmiştir?
10. ISG’yi etkileyen hukukî ortam sorunları ve bunun nedenleri nelerdir?
11. IS birimi, piyasada neler olup bittiğini anlamak için pazarlama ve strateji gruplarıyla en
son ne zaman görüşmüştür?
12. Hangi piyasa güçleri ISG’yi etkilemektedir ve neden?
4.2. Bilgi Güvenliği Yönetişimi Denetimi – Test
İç denetçiler, kurumun dokümanlarını gözden geçirerek edindikleri bilgilere dayalı olarak ISG
yapısından kilit kişilerle görüşerek bu kavrayışlarını teyit ettirmeli ve onaylatmalıdırlar. Bu
onaylama, kurumun dokümanlarının gerçekleri yansıtıp yansıtmadığını ve paydaşların
algılarının doğru olup olmadığını belirlemeleri konusunda iç denetçilere yardımcı olacaktır.
4.2.1 Paydaşların Endişelerini Doğrulama
İç denetçi, neyin korunmaya değer önemde olduğunu - ISG yapısı içerisindeki tanımlanmış
tüm kişiler, birimler ya da komitelerle – teyit etmelidir. Teyidin ardından, iç denetçi,
yönetişim yapısının tüm unsurlarının uyumlu olup olmadıklarını belirleyebilir.
Daha önceden de bahsedildiği gibi, iç denetçi, ilk olarak yüksek-öncelikli kaygıları kurumun
yönetim kuruluyla görüşerek doğrulamalıdır. Daha sonra, ISG yapısından aşağıya doğru
ilerlemelidir. Sorular, her insanın, birimin veya komitenin özellikle işletmeyle veya ISG’yle
ilgili ne gibi kaygıları olduğunu ele almalıdır. Şekil 4’te (sağda) söz konusu kaygıları
doğrulamak için önerilen sorular yer almaktadır:
Kaygıları Doğrulamak için Sorulacak Sorular
Kurumun bulunduğu sektörün tâbi olduğu mevzuata ilişkin gerekliliklerle ilgili aklınıza takılan sorular var mı? Kurumun mevzuata uyumuyla ilgili aldığınız bildirimlerden memnun musunuz?
Bizim risk alma iştahımızın seviyesi nedir? Önceliklerimiz nelerdir: gizlilik, doğruluk ya da kullanılabilirlik mi? Eğer bunların üçü de önemliyse, her üçünün de dikkate alınması gerektiğinde, öncelik hangisinde olmalıdır? Ne kadar gizlilik istiyorsunuz? (örneğin, hiçbir kaydın kaybolmamasını konusunda yüksek güvence – ki bu maliyetlidir.)?
İhmallerden kaçınmak için bilmemiz gereken bir şey var mı (örneğin, tüketici bilgilerinin yetersiz korunmasından kaynaklanan ilgili mevzuata uymama durumu)?
Çalıştığımız sektörde bilmemiz gereken trendler var mı? Rakiplerimizin istediği güvence düzeyi nedir? Sektörümüzde bir tepki verilmesini gerektiren ne olmuştur? Gözetmemiz gereken sektör içi en iyi uygulamalar, önerilen kılavuz ilkeler veya mevzuat gereklilikleri var mı (örn., BITS, PCI-DSS)?
Yönetim kurulu, yönetimin riskleri değerlendirme ve raporlama şeklinden memnun mu? Değilse, IS birimin gidişatını başarılı bir şekilde değerlendirebilmek için neye ihtiyacı vardır? Kurul üyelerinin veya yönetimin başka kurumlarda gördükleri ve bu kuruma getirilmeye değer olabilecek uygulamalar var mı?
Endişelenmemizi gerektirecek başka herhangi bir durum (örneğin, stratejik yönetim) var mı?
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
Şekil 4. Kaygıları Doğrulamak için Sorulması Gereken Sorular
Söz konusu kaygılara verilecek tepkiler, kuruma göre değişebilir ve hem kurum içi hem
kurum dışı iş kaygılarını içerir. Kaygılardan bazıları; kâr, markayı koruma, sorumluluklar,
fikrî mülkiyet veya mevzuata uyum olabilir. Verilen cevaplar ise, kuruma veya sektöre özgü
olabilir. Örneğin, bir hayır kurumu kârdan ziyade yatırım riskleriyle daha fazla ilgi duyabilir.
Cevaplar, kurumun dışarıdaki itibarının zarar görmesi riski de dâhil dış ilişkilerin ve mevzuata
uyumun tartışılmasını da içerebilir.
Bu sorgulama sürecine dayalı olarak, iç denetçi ISG’yle ilgili bir durumsal farkındalık
geliştirecektir. Ardından, iç denetçinin, cevapların kurumun tüzükleri, hedefleri, politikaları
ve diğer destekleyici dokümantasyon da dâhil yönetişim yapısıyla uygun olup olmadığını
belirlemesi gerekecektir. İç denetçi, daha sonra hiyerarşik yapılara alınan cevapları ilgili
destekleyici dokümanlarla karşılaştırmanın yanında uyumun nerede olup nerede olmadığını
tespit etmelidir.
Sonuçta ortaya çıkan tablo, iç denetçinin ISG yapısını özetlemesini ve bu yapıyla ilgili
önerilerde bulunmasını sağlayacaktır. Belgelenen şeyle gerçekte var olan arasında farklılıklar
olabilir. Bu farklılıklar, ağır işleyen veya kurumda yapılan değişiklikler doğrultusunda
değiştirilmeyen resmi uygulamaların sonucu olabilirler. Kurumun kendisi, genellikle,
belgelenmeyebilen; fakat güncel belgelerde de ifade edilen hedeflere ulaşma konusunda daha
verimli ve etkin olabilecek yeni uygulamaları bünyesine uyarlayacak veya yaratacaktır. İç
denetçinin, güncel uygulamanın kurumsal hedefleri gerçekleştirdiğini ve aslında daha verimli
ve etkin olduğunu kanıtlamak için bu farklılıklardan her birini değerlendirmesi gerekir.
Güncel süreçler belgelenen beklentilerden farklıysa, iç denetçi bu farklılıkların o yönetişim
yapısını atlatmayı mı amaçladığını yoksa bunun sırf belge tarihinin geçmiş olmasından mı
kaynaklandığını belirlemelidir.
4.2.2. Raporlama ve İletişim Yollarını Doğrulamak
Bilgi ve iletişim, Treadway Komisyonunu Destekleyen Kurumlar (COSO) modelinin
bileşenlerinden biridir. Kurum içerisindeki hiyerarşik ilişkiler resmi olarak tanımlanmalı ve
komuta zincirinden yukarı ve kurum içerisinde aşağıya doğru etkin bir iletişime olanak veren
süreçler varlığını korumalıdır. Bu süreçler; ISG birimindeki kullanıcıların cevap vermelerine
ve sorumlulukları yerine getirmelerine olanak veren belirli bir zaman dilimi içerisinde IS’yle
ilgili bilgileri tanımlama, yakalama ve raporlama prosedürlerini içerir.
İç denetçi, bu resmi raporlama ve iletişim ilişkilerinin kurumun belgelerinde tanımlandığı gibi
gerçekleşip gerçekleşmediğini ve etkin olup olmadığını doğrulamalıdır. Doğrulama, sorgu ve
belgelerin gözden geçirilmesi yoluyla yapılabilir. İç denetçi, kurumun resmi iletişim ve
raporlama ilişkilerini gözden geçirip değerlendirirken, COSO modelinin bilgi ve iletişim
bileşenini kullanabilir.
İç denetçi, resmi raporlama ilişkilerini gözden geçirirken, resmi ISG yapısının bir parçası
olarak belgelenmeyen diğer iletişim yollarından haberdar olmalıdır; zira gayri resmi iletişim
yolları etkisiz raporlama ve iletişimin bir göstergesi olabilir. Bu iletişim yolları, zamanla,
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
algılanan etkisiz resmi raporlama yollarından veya iletişim yöntemlerinden, ISG yapısı
içerisindeki çeşitli bireyler arasında ya da politikayla ilgili algılardan farklı bir yöne doğru
gelişebilir.
Kurumlar; toplanan her komitenin toplantı tutanaklarını veya tüm bildirimlerin belirli bir yolla
istenmesi gibi resmi olarak tanımlanan raporlama ve iletişim gerekliliklerinin aşırı yükü
altında kalmış olabilirler. Kullanıcılar, birini aramak daha etkin ve verimli olabilecekken
küçük bir iş için bile bütün bir komuta (hiyerarşik) zincirinden geçerek iletişim kurmak
zorunda kalmaları nedeniyle bir çıkmaza girebilirler veya umutsuzluğa kapılabilirler. Bu
örnekler, bir yönetişim yapısı içerisindeki kullanıcılara, kendi algılarına göre, resmi
süreçlerinden daha verimli ve etkin olmayı sağlayan gayri resmi iletişim kanalları oluşturma
imkânı sağlar. Resmi raporlama ve iletişim süreçleri izlenmediğinde kontrol aksaklıkları
meydana gelebilir. Bu yüzden iç denetçi bunların bilincinde olmalı ve bazı gayri resmi
süreçleri resmi yapıya dâhil ederek veya resmi süreçler izlenmediğinde neyin kaybedileceğine
ilişkin durumsal farkındalığın yeniden oluşturulmasını sağlayarak işletmenin gelişmesine
yönelik potansiyel fırsatları dikkate almalıdır.
Bazen bir kurumun resmi raporlama sürecinde ilişkiler kurulurken, günlük sohbetler resmi
süreçlerin yerini aldıkları için bu gereklilikler ortadan kalkar. Ayrıca, komuta zincirindeki
(hiyerarşik zincirdeki) kişiler gittikçe birbirlerini fazla tanırlar ve bu yüzden de iletişim
çabalarını daha fazla hızlandırmak için resmi raporlama yollarını atlayabilirler. Prosedürleri
izlememek iç kontrollerde aksaklıklar yaratabileceğinden, iç denetçi için, bu durumların
farkına vardıkça kişilere resmi iletişim süreçlerinin neden var olduğunu hatırlatmak bir
gereklilik hâlini alabilir.
İç denetçi, aynı zamanda kurumun politikalarından da yakından haberdar olmalıdır. Resmi
süreçler, tanımlanmış bir komuta zinciri içerisinde özel raporlama ve iletişim yollarının
gerçekleşmesini şart koşarak, politik algıların kullanımından caydırmaya çalışır. Herhangi bir
kurumda bireylerin ve birimlerin birbirlerine karşı politik davranmaları kaçınılmazdır; fakat
resmi süreçler politik baskının veya algıların en aza indirilmesini güvence altına almayı
sağlamalıdır.
Resmi iletişim ve raporlama yollarından sapmalar, iç denetçinin, işletmeyi iyileştirme
olanakları olarak geribildirim sağlamak için kullanabileceği alanlardır. Seçeneklerin
değerlendirilmesi ve dikkate alınması, iç denetçiye değerlendirmesini tamamlama ve uygun
önerilerde bulunma olanağını verecektir.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
4.2.3. Kilit Performans Göstergelerini ve Kullanımlarını Doğrulama
Kilit performans göstergeleri (KPG – Key Performans Indicator (KPI)), kurumların IS’yi
izlemek için kullanabilecekleri bir raporlama biçimidir. KPGler, COSO modelinin verilerin
resmi raporlama yollarıyla toplandığı ve yayıldığı Bilgi ve İletişim bileşeniyle ilgilidir.
Yöneticiler, bu bilgileri daha sonra güncel takip faaliyetleri için kullanırlar.
KPGler, kuruma bir faaliyetin veya sürecin farklı yönlerinin nasıl işlediğini göstermek için
yararlıdır. KPGler, verimlilik ve etkinlik, mevzuata uyum ve kurumsal performans gibi bir
dizi bileşeni ölçmek için kullanılabilir. Kurum, kabul edilebilir ve kabul edilemez kilit sonuç
aralıklarını tanımlamalıdır (örn., kabul edilebilir olarak değerlendirilen seçilmiş göstergelerin
her biri için maksimum ve minimum performans ölçüm sonuçları). KPGler oluşturulduktan ve
veriler toplandıktan sonra, bir değerlendirme yapılmalı ve kurum sonuçları nasıl
kullanacağına karar vermelidir.
Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Bilgi Güvenliği için Performans Ölçüm
Rehberi (Özel Yayın 800-55 Revizyon 1) üç önlem türünü ele almaktadır:
Bir güvenlik politikasının uygulanmasını sağlamak için uygulama önlemleri
Güvenlik sunum hizmetinin sonuçlarını ölçmek için etkinlik/verimlilik önlemleri
Güvenlik olaylarının sonuçlarının etkilerini ölçmek için etki önlemleri.
Rehber bu ölçüm kategorilerini daha da açıklığa kavuşturur ve her biri için örnekler verir.
İç denetçiler, KPG’ye özgü ISG faaliyetini gözden geçirmeye başlamadan önce, yukarıdaki
NIST rehberini gözden geçirebilirler. İç denetçiler, KPGlerin kapsamlı olup olmadığını
değerlendirmek için bu rehberi esas alabilirler. Önceden toplanan kurumsal bilgilerin dikkate
alınması, KPGlerin ilgili olup olmadıklarını değerlendirme konusunda iç denetçiye yardım
eder.
KPGleri değerlendirmek için, iç denetçinin öncelikle onları ve amaçlarını anlaması gerekir. İç
denetçinin dikkate alması gereken bazı sorular şunlardır:
Ölçülen nedir? Neden ve nasıl ölçülecektir?
Kurum ve ölçülen şey düşünüldüğünde, KPGler gerçekten bir anlam ifade ediyor mu?
KPGler istenilen davranışa yönlendiriyorlar mı?
Sürekli gelişme ve iyileşme için girdi sağlayan bir geribildirim döngüsü var mı?
İç denetçi, KPGlerin geçerli olduğu sonucuna varıyorsa, o halde bunları IS biriminin
etkinliğini ve yönetişim yapısını değerlendirmek için kullanmalıdır. Ayrıca, bu süreç, iç
denetçiye kurumun bilgi ve iletişim sistemlerinin etkinliğini daha iyi anlama olanağını
sağlayabilir. İç denetçi, ayrıca, KPG için toplanan verilerin hangi yolla toplandığını, kime ve
nasıl raporlandıklarını ve yönetimin nihaî sonuçlarla ne yaptığını öğrenmek isteyebilir.
KPGlerin geçerliliğini, bu süreç sonucunda yöneticilerin yaptıkları takip işlemlerini ve diğer
iyileştirme çabalarını anlayarak, iç denetçi ISG biriminin genel etkinliği hakkındaki resmi
daha iyi görecektir.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
4.2.4. Destekleyici Dokümantasyonun Yönetişim Yapısıyla Uyumu
İç denetçi, gözden geçirme sürecinde bu aşamaya kadar kurumun ISG birimi ve ilgili
destekleyici dokümantasyonunu oldukça iyi anlamış olmalıdır. İç denetçi, görüşme notlarına
ve diğer test kanıtlarını esas alarak dokümantasyonun nerede gerçek uygulamadan ayrıldığını
tespit edebilmelidir. İç denetçi, ayrıca, belirtilen ve fiilen yapılan arasındaki farkları saptamalı
ve daha detaylı olarak açıklamalıdır. İç denetçinin dikkate alması gereken bazı noktalar
şunlardır:
Fiilî uygulama, belgelenen uygulamadan daha iyi kontroller ve daha etkili ve verimli bir
süreç mi sağlıyor?
Farklılıklar nereden kaynaklanıyor?
Gerçekten tercih edilmesi gereken en iyi uygulama hangisidir – belgelenen nedir ya da
hâlihazırda uygulamada olan nedir?
İç denetçinin önerileri, yönetişim yapısı içerisindeki genel kontrollere ve belgelenen süreçten
ayrılan her bir farklılığın söz konusu yapı üzerindeki etkisine bağlı olacaktır. Sonunda, nihaî
doküman, mutabakata varılan uygulamalarla uyumlu olmalıdır.
4.2.5. Risk Alma İştahı Uyumu
IIA Standartları, risk alma iştahını bir kurumun almayı kabul ettiği risk düzeyi olarak
tanımlar. İç denetçinin, yönetişim yapısının tüm yönlerinin – yönetmeliklerle ve sözleşmelerle
ilgili alanlar dâhil – kurumun kabul edilebilir risk alma iştahına uygun olduğunu teyit etmesi
gerekir. 4.2.4. bölümde belirtildiği gibi, destekleyici dokümanlar, kurumun risk alma iştahıyla
uyumlu olmalıdır. Ayrıca, kurum politikasında belirtilmiş olması gerektiği gibi, kurul,
yönetim kurulu düzeyinde tanımlanıp, kurumda tepeden aşağı kademelere doğru aktığı
kurumun risk alma iştahının gözetiminde ve tanımlanmasında uygun düzeyde angaje
olmalıdır. Kurul, bunun yanında, ISG’ye özgü olmayan; aksine kurumun genel risk alma
iştahını yansıtan resmi beyanlarda bulunmalıdır.
Bazı kurumlarda, bir risk alma iştahı beyanı olmayabilir. Bu durumda iç denetçinin, bu bilgiyi
teyit edici kanıtlardan veya doğrudan yönetim kuruluna sorma yoluyla parça parça toplaması
gerekecektir. Bu konulardaki bilgiler yıllık risk değerlendirmesini veya kurumun kurumsal
risk yönetimi faaliyetlerini tamamlamak için gerektiğinden dolayı, iç denetçi, kurumun risk
alma iştahını pratikte öğrenmelidir. Resmi olarak tanımlanmadıysa, iç denetçi, yönetim
kurulunun bir risk beyanını resmi olarak tanımlaması önerisinde bulunmak isteyebilir.
ISG birimi içerisindeki spesifik düzeylerde yönetim tarafından spesifik risk toleransı
seviyeleri tanımlanabilir. Yönetimin tanımladığı tüm risk tolerans düzeyleri, kurumun risk
alma iştahı düzeyiyle uyumlu olmalıdır. Kimi kurumlarda ise, yönetim kurulunun ve icraî
yönetimin risk tolerans düzeyleri aynı olabilir; ancak diğer yönetim kademeleri risk toleransı
seviyelerini arttırmış olabilirler. Sapmalar olabilir; ancak iç denetçi genel itibariyle spesifik
olarak tanımlanmış risk toleransı seviyelerinin kurulun belirlediği risk alma iştahı
parametrelerinin içerisinde olmasını sağlamalıdır.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
İç denetçi, yönetimin tanımladığı kurumun risk tolerans seviyesinin uygun olmadığını
düşünüyorsa, kendisi bu konuda uygun önerilerin neler olabileceğini düşünmelidir. Ayrıca, iç
denetçi öneride bulunmadan önce, teyit edici tüm kanıtları dikkate almalıdır.
4.3. Bilgi Güvenliği Yönetişimi Denetimi – Analiz
İç denetçi, kurumun risk alma iştahının uyumunu teyit ettikten sonra, tüm bilgilerin toplandığı
ve ortak konular altında bir araya getirildikleri aşama olan analiz aşamasına başlamalıdır;
böylece programın etkin olup olmadığıyla ilgili bir sonuca varabilir. İç denetçinin bu aşamada
iç denetimin dikkate alması gereken bir soru da şudur: “Bağlı olduğum kurum, rehber
yazarlarının önerilerine uyum konusunda ne durumdadır?”
4.3.1. Hesapverebilirlik
İç denetçinin, verileri analiz etmesi ve yönetişim sürecinin, hesapverebilirliği oluşturup
oluşturmadığını ve destekleyip desteklemediğini belirlemesi gerekir. İç denetçi, ISG biriminin
hesapverebilirliği oluşturup desteklediğine dair makul bir güvence almak için, kanıtların
aşağıdakileri kanıtlayıp kanıtlamadığını tespit etmelidir:
Öncelikle, kurumun risk alma iştahı ve icraî yönetimin talimatlarının etkin bir şekilde
politika, prosedür ve standartlara dönüştürülmüş olmalıdır. Eğer politikalar yönetim
kurulunun ve icraî yönetimin belirtilen amaçlarıyla uyumlu değilse, insanları bunları
anlamaktan ve söz konusu politikaları takip etmekten sorumlu tutmak istenilen sonucu
vermeyecektir. İç denetçi, bunun analiz aşamasında kritik bir adım olduğuna dikkat
etmelidir. Çalışanlar sürekli yanlış işlemler yapıyorlarsa, bu yüksek düzeyde bir uyumu
doğurabilir; fakat etkin bir uzun vadeli yönetişim sağlamayacaktır.
İkinci olarak da, yönetim talimatlarının etkin bir şekilde politikalara, prosedürlere ve
standartlara dönüştürüldüğünü belirlemesi üzerine, iç denetçi, önemli süreçler için
hesapverebilirliğin oluşturulup oluşturulmadığını ve desteklenip desteklenmediğini
belirlemelidir. Hesapverebilirlik oluşturulmuş; fakat desteklenmiyor olabilir ve yine bu
durum da etkisiz bir yönetişime yapısının elde edilmesi sonucunu doğuracaktır. Bu
vaziyet, kimi zaman bir faaliyet için hesapverebilirliğin olduğu; fakat söz konusu faaliyeti
gerçekleştirme yetkisinin olmadığı bir durum olarak da tanımlanır. CISO’nun tüm
sistemlere gereken zamanda güvenlik yaması yapılmasını sağlayacağını duyurmak,
desteklenmeyen hesapverebilirlik konusuna örnek olarak verilebilir. Bu beyan, açık
hesapverebilirlik oluşturmaktadır. Fakat CISO’nun uygulama yetkisi bulunmuyorsa, bu
durumda kurum yetkisiz hesapverebilirlik oluşturmuş demektir. Bunun yerine, kurum
CISO’nun tüm yamaların belirli bir zaman çerçevesinde uygulanmasını sağlamak
amacıyla sistem sahipleriyle işbirliği yapacağını belirtir ve buna uymayan her türlü sistemi
kapatma veya mantıksal olarak tecrit etme konusunda CISO’ya gereken yetkiyi verirse, o
zaman iç denetçi, hesapverebilirlik ve yetki tayinlerinin birbirini tamamlayacak şekilde
verilmiş olduğunu ifade edebilir ve bu sonuca varabilir.
Üçüncü olarak, iç denetçi, kurumda sahipliğin kurumdaki pozisyona göre açıkça tayin
edilip edilmediğini tespit etmelidir. Politikalar, prosedürler ve standartlar kurumdaki bir
birimin sorumluluğunu bir gruba vermek yerine, tek bir bireye vermelidir. Söz konusu
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
sorumlu birey kendisine verilen görevi yerine getirmek amacıyla daha büyük bir grupla
çalışabilir; fakat yine de verilen görevden dolayı, sorumlu kişi kendisine verilen görevin
fiilen yerine getirilmesini sağlamaktan sorumlu olmalıdır.
Dördüncü olarak, iç denetçi, geniş hesapverebilirlik sorumluluklarının verildiği durumları
değerlendirmelidir. Genel politika ve standartların çoğu, bir faaliyetten tüm kullanıcıların
sorumlu olduğunu öngörürler. Tahsis edilen kimlik bilgilerini (kullanıcı adı ve şifre)
koruma, müşteri verilerini koruma ve kurumsal varlıkları uygun kullanma örneklerden
bazılarıdır. Ancak eğer kullanıcılar beklentilere makul olarak uymalarını sağlayacak
yeterli eğitimden yoksunlarsa veya kurum içerisinde standartların uygulanması konusunda
bir tutarsızlık varsa, bu beyanlar gerçek hesapverebilirliği oluşturmazlar. Politika ve
standartlar gereken eğitimle desteklenmeli ve tüm kurumda tutarlı bir şekilde
uygulanmalıdırlar.
Beşinci olarak da, iç denetçi, yönetimin talimatlarını yansıtan politikalara, prosedürlere ve
standartlara uyulmamasının uygun sonuçları olup olmadığını tespit etmelidir.
Bir kurumun IS biriminin güncel durumu, iyi veya önerilen uygulamalar bakımından
değerlendirilmelidir. Kullanılabilecek yöntemlerden biri, programı IS’yle ilgili bağımsız
standartlarla karşılaştırarak değerlendirmektir. IIA’nın yayımladığı UMUÇ’a göre: “İç
denetçiler, görevlerini planlarken, ilgili bir kontrol çerçevesi veya modeliyle karşılaştırmalı
olarak söz konusu birimin … risk yönetiminin ve kontrol süreçlerinin yeterliliğini ve
etkinliğini dikkate almalıdırlar.” Bu dokümanda Bölüm 4.1.1’de yer alan kapsam belirleme
kararları burada da uygulanabilir. Kurumun yapısı ve faaliyet gösterdiği sektör, önerilen
uygulamaların ne derece ilgili veya hatta gerekli olacağını belirleyecektir. Son derece sıkı bir
şekilde regüle edilen bir sektörde faaliyet gösteren bir kurum, gereken titizliği göstermek için
sürekli bir ya da birden fazla dışarıdan önerilmiş çerçeveye uygunluğu göstermeye ihtiyaç
duyabilir. Bir kurum rekabet avantajını sürdürebilmek için mevzuata uyumu göstermek
zorunda hissedebilir. Kimi kurumlar ise, dışarıdan önerilmiş uygulamalara ispatlanabilir bir
uygunluk (bağlılık) gerektirmeyebilirler. İç denetçinin kararı, bu aşamayı tamamlama
konusunda önemli olacaktır. Denetim süreci, iş gerçekleri, sektör standartları, yönetim
kurulunun beklentileri ve yönetimin davranışları arasında iyi bir uyum olduğunu ortaya
koyduysa, önerilen uygulamalarla sıkı bir karşılaştırma yapmak gerekmeyebilir.
4.3.2. Tasarım Etkinliği
4.2. bölümde toplanan bilgileri geliştiren iç denetçi, ISG biriminin ve faaliyetinin ne derece
etkin tasarlandığı konusunda bir fikir beyan etmelidir. Eğer 4.3.1. bölümdeki analiz, çeşitli
kademelerde hesapverebilirliğin veya yetkinin yetersiz olduğunu ortaya koyduysa, yönetişim
sürecinin etkin bir performansının olması olası değildir. Eksik bir çerçeve izleyen bir kurum
zamanla öngörülemeyen sonuçlar verecektir. Yapılan test, fiilî değerlendirme sırasında genel
çerçevenin hâlâ etkin olduğunu gösterse de, iç denetçi, uyarı amacıyla bu duruma dikkat
çekmelidir; çünkü sürdürülebilirliğin olmayışı birimin tasarımında bir kontrol yetersizliğine
işaret eder.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
Eğer yeterli hesapverebilirlik ve yetki varsa ve program sektörün, kurulun ve yönetimin
beklentilerini yansıtıyorsa, iç denetçi, muhtemelen ISG biriminin etkin bir şekilde
tasarlandığına dair bir görüş bildirecektir. Bundan sonra, iç denetçi, faaliyetin etkili uygulanıp
uygulanmadığını değerlendirme aşamasına geçebilir.
4.3.3. Bilgi Güvenliği Programının Etkinliği
Değerlendirmenin bu aşamasında, iç denetçilerin ellerinde kurumun hedeflerine destek olacak
şekilde tasarlanmış bir ISG faaliyetinin olup olmadığına dair yeterli bilgi vardır ve programın
etkinleştirmek için yeterli hesapverebilirliğin ve yetkinin tayin edilip edilmediğini tespit
etmişlerdir. Tüm bu koşullar karşılanıyor olsa bile, program yine de belirtilen hedeflerini
yerine getirmiyor olabilir. İç denetçi şimdi ise, devam eden ISG uygulamasının elde ettiği
kanıtları (örneğin, dokümantasyon, örgütlenme ve yapıyla ilgili) incelemeli ve eldeki verilere
dayanarak uygulanan faaliyetin planlanan potansiyelinin ne kadarını gerçekleştirebildiğine
karar vermelidir. Etkin bir ISG birimi; uygun iletişim ve eğitime, politika ve standartların
sürdürüldüğüne, ölçütler ve nitel yorumlar yoluyla program sonuçlarının sürekli
raporlandığına, güvenlik veya riskle ilgili olayların uygun yönetim kademesine havale
edildiğine ya da yönetimin talimatlarının yanlışlıkla veya kasten atlatılması durumunda uygun
tepkinin gösterildiğine ilişkin kanıtlar gösterecektir. Bu maddelerle ilgili ek bilgiler arasında
şunlar sayılabilir:
Etkinliği sürdürmek ve yönetimin amacını gerektiği gibi yansıtabilmek için politika ve
standartlar uygulanmaya devam edilmelidir. İç denetçi, politika ve standartların periyodik
olarak gözden geçirildiklerine ilişkin kanıtlar bulmalıdır. Gözden geçirmeler, belgelenmeli
ve gerektiğinde bağımsız doğrulamalar sağlamalıdır. Örneğin, bilgi varlıklarının
sınıflandırılmasıyla ilgili standartlar, kurumun standartlarını, değişen kurum-dışı
gereklilikleri yansıtacak biçimde güncellediğini teyit edebilecek yeterlilikte uzmanlığa
sahip kişilerce gözden geçirilmelidir.
Bir ISG faaliyetini etkin bir şekilde uygulayıp sürdürebilmek için uygun bir iletişim ve
eğitim gereklidir. Bu iletişim ve eğitim hedef kitlesine bağlı olarak değişecektir; fakat
yönetim kurulundan, son kullanıcılara, tedarikçilere ve satıcılara kadar kurumun tüm
kademelerinde gerekir. İç denetçi bazı IS beklentilerinin kurumun her düzeyine ve
kurumun bilgi kaynaklarıyla etkileşimde bulunan üçüncü şahıslara bildirildiğini
belirleyebilmelidir. Yöneticiler için, bu bildirim kısa bir görüşme şeklinde olabilir. BT
yöneticileri için eğitim programları son derece gerekli olabilir. Satıcılar ve tedarikçiler
için ise, beklentiler belirlenip sözleşmeler yoluyla kendilerine bildirilebilir.
ISG faaliyetinin, ilgili raporlaması olmalıdır. Bu faaliyetin resmiyet derecesi, kurumun
büyüklüğüne, ihtiyaçlarına ve karmaşıklığına göre değişecektir. Ölçüt sayısı kuruma bağlı
olarak değişse de, bu raporlama muhtemelen resmi ölçütleri (örn., KPGler) içerecektir.
Bu raporlama süreci, aynı zamanda, sistemin nitelikleriyle ilgili geribildirimler hakkında
bir raporlama mekanizması sağlamalıdır. Mevzuatla ilgili uyum denetiminden elde edilen
kilit konular, KPGlerde olduğu gibi basit matematiksel bir formüle uymayan önemli nitel
geribildirim için bir örnek oluşturabilir.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
ISG birimi, aynı zamanda, güvenlik ve riskle ilgili konuların etkin cevaplar alınabilmesi
için gereken yönetim kademesinin dikkatine sunulduğunu göstermelidir. Ticari sırların
kaybolduğu şüphesi ve yasadışı yazılımların (örn., şifreleme algoritmaları) ihraç edilmesi
gibi önemli konular vakit kaybetmeksizin kilit yöneticilere havale edilebilir; bir e-mail
sisteminin kişisel amaçla kullanılması gibi aciliyeti ve mahiyeti daha az olan konular
bölüm yönetimi tarafından ele alınabilir. Yönetişim süreci, IS’deki trenlerin erken
saptanıp ele alınabilmesini sağlamak için bu konulara dair bir düzeye kadar genel bir
raporlamanın ve izlemenin olduğunu göstermelidir. Bu tepki (cevap) süreci, kullanıcı
faaliyetlerine yönelik önceden tanımlanmış özel tekiler verilmesini gerektirebilir. Bu
durum, örneğin, küçük çapta politika ihlâlleri meydana geldiğinde ek eğitim verilmesiyle
ve büyük politika ihlâller yaşanması durumunda ise disiplin işlemleri uygulanmasıyla
sonuçlanabilir.
4.3.4. Verimlilik
Bir iç denetçinin herhangi bir KPG’yi incelerken karşılaşacağı en önemli sorulardan biri,
raporlamanın verimlilik konusunda devam eden kazanımları destekleyecek yeterlilikte olup
olmadığı sorusudur. Kurum, yeterli raporlama olmaksızın, devamlı bir süreç iyileşmesini asla
yakalayamaz. Örneğin, kurum, iki saatlik web-tabanlı bir güvenlik kursunun klasik 4 saatlik
bir sınıf kursu kadar etkili olup olmadığını değerlendirmek isteyebilir. Kurum, etkin ölçütler
olmaksızın, muhtemelen yeni yöntemin nisbî etkinliğini karşılaştırmaya çalışacaktır. Etkin
yöntemlerle ise, kurum, yeni kurs yöntemini seçilen yerlere veya işletme birimlerine
uygulayabilir ve yeni yöntem kurslara gidenler ve eski yöntemi kullananlarda karşılaşılan
güvenlikle ilgili sorunları karşılaştırabilir. Yeni yöntem kurs eski yönteme benzer sonuçlar
verirse, kurum zaman bakımından daha az yoğun ve daha düşük maliyetli olan seçeneğe
kolayca geçebilir ve güvenlik konumunun bundan olumsuz etkilenmediğini makul bir şekilde
garanti altına alabilir. Kurumun ISG birimini optimize etmesini sağlayacak ölçütler
olmaksızın bile, birim etkili olabilir. İç denetçi, bu süreç boyunca verimliliği de dikkate
almalıdır. Daha önceden de belirtildiği gibi süreç etkin olabilir; fakat verimli olmayabilir. Söz
konusu durumu örnekleyen davranışlar aşağıda verilmiştir:
Politikalar, standartlar ve prosedürlerin aşırı belgelendirilmesi. Denetim birimi, online
güvenlik eğitimi kurslarına nasıl kayıt olunacağıyla ilgili yazılmış 15 sayfalık bir
prosedürle karşılaşıyorsa, bu, kurumun muhtemelen süreci aşırı belgelendirdiği anlamına
gelir.
Aşırı Onay İmzaları veya onaylamalar. Kurum, en hassas sistemler dışında her şey için
yeni bir kullanıcı hesabını etkinleştirmek üzere CFO ve CIO’nun onayını gerekli kılıyorsa,
söz konusu kurumun güvenliği gelişmemiş demektir.
Güvenlik sorunlarının gereğinden fazla durumda üst kademelere havale etmesi. Çevresel
güvenlik duvarı her tarandığında, CIO’ya haber veriliyorsa, güvenlik sorunları uygun
olmayan bir şekilde yere üst mercilere havale ediliyor demektir.
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
4.3.5. Kaynak Seviyeleri
ISG birimi düşünülünce, gereken kaynaklarla hizmet sunumu birbiriyle uyumlu mudur?
Diğer birimlerde olduğu gibi, ISG biriminin de yeterli sayıda personelle desteklenmesi
gerekir. Bu GTAG rehberinin daha önceki bölümlerinde, hesapverebilirlik ve yetki, bunu
sağlayabilecek kritik unsurlar olarak ele alınmıştı. Ancak hesapverebilirlik ve yetki tayin
edilmiş olmasına rağmen, hizmeti sunacak yeterli sayıda personel olmadığından dolayı da
yine başarısız olunabilir. ISG’nin geniş kapsamlı yapısından dolayı iyi bir yönetişim için
kurum çapında sürdürülebilir destek gerekir. Bölüm 4.1.’de belirtildiği gibi, yönetişim, hukuk
birimi ve insan kaynakları birimi gibi birden fazla kurum biriminin desteğine ihtiyaç
duyabilir. Bu gruplardan herhangi birinin kaynakları elverişli değilse, bu durum, ISG
faaliyetlerinin uzun süreli sürdürülebilirliklerine önemli ölçüde zarar verir. ISG yönetiminden
sorumlu olan kişinin, personel sayısının ve düzeyinin uygun ve gerektiği gibi sürdürülmesini
sağlamak amacıyla, yönetim kuruluna veya diğer icraî yönetim kademelerine, hem kilit
pozisyonlar ve bu pozisyonlardaki kişilerin yeterliliklerini ve niteliklerini hem de görev
sürelerini içeren ekip yapısıyla ilgili periyodik olarak rapor vermesini gerektirebilir.
4.3.6. Kuruma Katılan Değer
Yönetişim yapısı ne tür yararlar sağlar? Eğer iç denetçiler, denetimde bu aşamaya kadar
gelmişlerse ve ISG birimine güven duyuyorlarsa, kurumun mevzuatla ilgili/yasal gereklilikleri
ve icraî yönetimin talimatlarını uygulanabilir politikalarda, standartlarda ve prosedürlerde
ifade edebileceğini varsayabilir. İç denetçiler, ayrıca, bu sonuçların tüm kurum genelinde
uygulandığı ve anlaşıldığı sonucuna varabilir. Bu faaliyetlerin net faydası, bir güvenlik
olayıyla ilişkilendirilen kabul edilemez bir kaybın yaşanma olasılığının düşük olmasından
ileri gelmektedir. Bu kaygılar, kurumun operasyonlarına, mevzuat uyumuna ve itibarına zarar
verebileceğinden, proaktif çabaların büyük bir kaybın yaşanma riskini azalttığını ve uzun
süreli stratejilerin IS’le ilgili bir sorun yaşanmadan başarılı olabileceklerini öğrenmek
yönetimi rahatlayabilir.
Uygulanan bir süreç hangi kurum olursa olsun uygulandığı kuruma birtakım yararlar
sağlamalıdır; kuruma ne kadar değer katılırsa, kurum o derecede gelişir. Yönetişim sürecinden
elde edilebilecek katma değer faydaları var mıdır? Kurumlar daha fazla değer kazanmak için
bu konularda gelişebilirler mi? Tabii ki, bu her zaman mümkündür. Önceden de dile
getirildiği gibi, aynı sonuçları verecek şekilde modernize edilip edilemediğini görmek için,
birimin yeniden düzenlenmesi olası gelişmelerden birisidir. Verilen örnekte, elde edilen
sonuçların benzer olup olmadığını belirlemek için, internette yayımlanan içerik (web-tabanlı
eğitim) sınıf eğitiminin yerini alıyordu. Bir diğer devam eden olası gelişme ise, kurumun
güvenliğini rekabet avantajı için kullanmaktır. Daha önce de bahsedildiği gibi, güçlü bir IS,
güvenlikle ilgili sorunların sayısında ve önemlilik düzeyleri bakımından şiddetlerinde bir
azalma olmasını sağlar. Kurum, bunu rekabet avantajına dönüştürülüp dönüştürülemeyeceğini
dikkatlice değerlendirmelidir. Örneğin, kurum işlemlerin online yapma olanağı sağlıyorsa,
ISG birimi, kurumun sözleşmelerle rakiplerine kıyasla daha yüksek kullanılabilirlik seviyesi
hedeflerini taahhüt edip edemeyeceği konusunda yeterince güven veriyor mu? Bu durum,
GTAG – Bilgi Güvenliği Yönetişiminin Denetimi
kurumun, rekabet gücü bakımından piyasadaki diğer rakiplerine fark atmasını sağlayabilir.
Kurum, riskleri sigorta yoluyla aktarıyorsa, ISG faaliyetlerinin belgelenebilir güvenlik
yararlarını ve sonuçlarını daha düşük sigorta primleri üzerinde anlaşmak için kullanabilir mi?
İç denetçi, bu bölümdeki adımları izleyerek ISG biriminin etkinliğini değerlendirmeye
başlayabilir.
4.3.7. Sürekli Gelişme
Kurumun ihtiyaçlarının karşılanmaya devam edildiğini teyit etmek için, ISG faaliyetinin
yapısı ve tasarımı periyodik olarak gözden geçirilmelidir. Önceki tartışma, güncel plana
kıyasla büyük ölçüde uygulamaya odaklanmıştır; ancak planın da güncel ve ilgili olması için
de gereken çaba gösterilmelidir. Risk ortamı ve kurum değiştikçe, IS birimi de buna paralel
olarak değişmelidir. İç denetçi, kurulun ve yönetimin risk alma iştahını, risk toleransını,
politikaları ve prosedürleri, yılda en az bir kere, belirli bir programa göre veya kurumda
büyük bir değişiklik yapıldıktan sonra (örneğin, kilit yönetim değişiklikleri veya yeni
mevzuat) gerçekleştirdiğini teyit etmelidir.
Sorulması Gereken Sorular:
1. ISG faaliyetini gözden geçirmek için tanımlanmış resmi bir program var mı?
2. Gözden geçirmeyi kimin yapacağını, gözden geçirmenin nasıl yapılacağını ve gerektiğinde
sonuçların nasıl bildirileceğini ve söz konusu sonuçlara nasıl cevap verileceğini tanımlayan
bir doküman mevcut mu?
3. Gözden geçirmeler, programa uygun olarak mı yapılmıştır? Art arda yapılan toplantılarda
önceki toplantıların toplantı tutanakları resmi olarak saklanıp gözden geçirilmiş midir?
4. Düzeltici girişimler gerektiği gibi tanımlandıysa, gözden geçirme sonuçlarına vakitlice
cevap verilmiş midir?
5. Resmi toplantılar sık düzenlenmiyorsa, taahhüt edilen faaliyetler resmi toplantılar arasında
izleniyor ve karşılaştırılarak raporlanıyor mu?
GTAG – Sonuç / Özet
5. Sonuç/Özet
İç denetçi, bir kurumun etkin bir ISG birimi oluşturmak için riskleri ve seçenekleri
anlamasına yardımcı olabilir. Bütün kurumdaki icraî yönetim ve bölüm yönetimi, IS’yle
ilişkilendirilen riskleri uygun şekilde yönetmekten ve üst yönetimdeki atmosferin IS birimini
aktif biçimde desteklediğini ve uygun davranmak ve doğruyu yapmak konusunda bütün
kurum için önemli bir mesaj vermesini sağlamaktan sorumlu tutulmalıdır.
ISG, uygun risk hafifletme kararlarını alması ve kurumun korunma ve iç ve dış tehditlere
cevap vermesi için kuruma bir çerçeve sağlar. ISG birimi kurumun, en düşük kademedeki
bölüm müdüründen kurula kadar geribildirim alarak güvenlik programını sürekli
geliştirmesini sağlar.
ISG birimi, kurumun güvenlik programını sürdürecek ve büyütecek şekilde tasarlanmalıdır.
Ekin ve verimli ISG uygulamaları, açıkça tanımlanmış görev ve sorumlulukları, kurumun risk
alma iştahının stratejik BT hedefleriyle uyumlu hâle getirilmesini, etkin bir iletişim ve
raporlamayı ve katma değer izleme sistemleri yoluyla hesapverebilirliğin sürdürülmesini
içermelidir.
GTAG – Ek
6. Ek – Örnek
Denetim Soruları / Konular 6.1. Kurumun risk alma iştahı iyi tanımlanmış ve anlaşılmış mı?
İster tanımlanmış olsun ister tanımlanmamış olsun her kurumun bir risk alma iştahı vardır.
Sürdürülebilir bir performans, tüm kilit paydaşların ve sektörün girdi verilerini yansıtan,
bunun yanı sıra mevzuatla ilgili beklentileri destekleyen tanımlanmış bir risk alma iştahını
gerektirir.
Kurul, icraî yönetim ve orta yönetim kademeleriyle riski ve risk alma iştahını tartışınız.
Bunlar tüm kademelerde tutarlı bir biçimde tanımlanıp anlaşılmış mıdır? Riski tartışmak
için ortak bir terminoloji kullanılıyor mu?
Risklerin stratejik kararlar verme konusunda dikkate alınan unsurlarından biri olduklarını
gösteren bir kanıt var mı? Riskler; yeni ticari teşebbüslerin, önceliklerdeki stratejik
kaymaların ve kilit girişimlerin planlanması ve yönetilmesi tartışmalarına dâhil ediliyor
mu?
6.2. Tanımlanmış, etkin bir bilgi güvenliği yönetişim süreci var mı?
Etkin bir ISG risk yönetimi faaliyetlerinin üzerine kuruludur. Riskleri hafifletmek veya kabul
etmek amacıyla tasarlanmış risk ve kontrol faaliyetlerinin değerlendirilmesini desteklemelidir.
Ayrıca, ticari ortam ve mevzuat ortamlarındaki kaymalara ve değişikliklere uyum
sağlamalıdır.
Risk yönetim sürecini uygun yönetim kademeleriyle tartışınız.
Kurum içinde geliştirilen ve uygulanan risk yönetimi çerçeveleriyle varsa sektör
kılavuzlarını karşılaştırarak değerlendiriniz. Aralarında büyük farklar olup olmadığını
belirleyiniz.
Son dönemlerde işletmede ve mevzuat ortamında yapılan önemli değişiklikleri
belgeleyiniz ve bunların değiştirilen risk değerlendirmeleri olup olmadıklarını ya da devam
eden yönetim faaliyetleri olup olmadıklarını belirlemek için uygun yönetim kademeleriyle
görüşünüz.
6.3. Bilgi Güvenliği Birimi için etkin bir kurumsal destek var mı?
Kurum risk alma iştahını tanımlayıp anladığında ve riskleri tanımlamak ve ölçmek için ortak
yöntemler belirlediğinde, uygun devam eden etkinliği teşvik etmek için yeterli eğitimi
vermeye devam etmelidir. Destekleme faaliyetlerinin gerçekleşmekte olduğunu güvence
altına almak için yönetişim faaliyetinde bulunan kilit katılımcıların sağladıkları çıktıları
gözden geçiriniz. Politikaları, standartları ve prosedürleri güncellemesi gerekenler görevlerini
yapıyorlar mı? Risk ortamını izlemekten sorumlu olan kişiler, etkilenen tüm paydaşlara
bildirimde bulunuyorlar mı? Eğitim vermekten sorumlu olanlar, bu görevlerini yerine
getiriyorlar mı? Çalışanlara zorunlu eğitim kurslarını tamamlamak için yeterince zaman ve
kurumsal destek veriliyor mu? Uzman bilgisi gereken durumlarda, kurum dışarıdan yeterli
becerilere sahip kişileri işe alıyor mu ya da dış danışmanlardan uzmanlık hizmeti satın alıyor
mu?
GTAG – Ek
6.4. Kurum bilgi güvenliği yönetişimi faaliyetinin devam eden sağlıklı işleyişini izliyor mu?
İnsanların desteklediği her süreçte olduğu gibi, süreç zamanla ilk amaçlarından ve
hedeflerinden uzaklaşacaktır. Süreç kesintisiz olarak izlenmelidir; böylece önemli kaymalara
zamanında müdahale edilebilir.
ISG birimi için yeterince raporlama var mıdır? Raporlama süreci ve geribildirim
mekanizması resmi ve son derece yapılandırılmış mı, yoksa daha az mı yapılandırılmış?
Resmiyet seviyesinin, kurumun büyüklük, karmaşıklık ve iş faaliyetlerinin düzeyine
uygun olup olmadığını değerlendiriniz.
ISG’yi değerlendirmek üzere kullanılabilecek tanımlanmış, izlenmiş ve raporlanmış
ölçütler var mı? Bu ölçütlerdeki değişikliklere karşılık ne zaman düzeltici eyleme
geçilmesi gerektiğini belirleyen eşikler tanımlanmış mıdır?
İnsanlar, yönetişimi destekler nitelikteki faaliyetlerinden sorumlu tutuluyorlar mı? Eğitim
zamanında verilmiyorsa, kurum buna karşılık herhangi bir düzeltici eylemde bulunuyor
mu? Politikalar, standartlar ve prosedürler zamanında yenilenmiyorsa, kurum buna nasıl
cevap vermektedir?
6.5. Kurum, yönetişimini geliştirmek için zamanla herhangi bir adım atmış mı?
Kurum, kendisini standart kurum-dışı karşılaştırma parametreleriyle karşılaştırarak
değerlendiriyor mu?
Sürdürülebilir bir gelişmeyi sağlamak için ölçüt verilerini kullanıyor mu?
Kontrollerdeki verimsizlikleri bulmaya çalışıyor mu ve bu kontrolleri güncelleştirmek için
harekete geçiyor mu?
GTAG – Referanslar
7.Referanslar
2007 Global State of Information Security Study, PricewaterhouseCoopers.
Bihari, Endre. Information Security Definitions. www.perfres.net
Building an Information Technology Security Awareness and Training Program (SpecialPublication 800-50), National Institutes of Standards and Technology (NIST),Gaithersburg, Md., USA,2003.
Corporate Governance of Information Technology (ISO/IEC 38500:2008), InternationalOrganization for Standardization, 2008.
Enterprise Risk Management — Integrated Framework, Committee of SponsoringOrganizations of the Treadway Commission, 2004.
Governing for Enterprise Security (GES)Implementation
Guide, Software Engineering Institute, 2007.
GTAG-1: Information Technology Controls, The Institute of Internal Auditors,Altamonte Springs, Fla., USA, 2005.
GTAG-9: Identity and Access Management, The Institute of Internal Auditors,Altamonte Springs, Fla.,USA,2007.
GTAG-11: Developing the IT Audit Plan, The Institute of Internal Auditors, AltamonteSprings, Fla., USA, 2008.
GTAG-12: Auditing IT Projects, The Institute of Internal Auditors, Altamonte Springs,Fla., USA, 2009.
Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities (SpecialPublication 800-84), National Institutes of Standards and Technology (NIST),Gaithersburg, Md., USA, 2006.
Guide to the Assessment of IT Risk (GAIT) Series, The Institute of Internal Auditors,Altamonte Springs, Fla., USA.
Information Security Governance: Guidance for Boards of Directors and ExecutiveManagement, 2nd Edition, IT Governance Institute, Rolling Meadows, Ill., USA,2006.
Information Security Governance: Guidance for Information SecurityManagers, IT Governance Institute, Rolling Meadows, Ill., USA, 2008.
Information Security Oversight: A 2007 Survey Report, National Association of CorporateDirectors and KPMG’s Audit Committee Institute.
GTAG – Referanslar
Information Security Practical Guidance on How to Prepare for Successful Audits, ITCompliance Institute, 2006. www.t2pa.com/analysis-a-advice/library/179-it-audit-check-list-information-security
Information Security Standards (ISO/IEC 27000:2009), International Organization forStandardization, 2009.
Information Technology — Security Techniques – Key Management, Australian Standard11770.1—2003, Standards Australia International, Sydney, Australia, 2003.
Internal Control — Integrated Framework , Committee of Sponsoring Organizations of theTreadway Commission, 1992.
The International Professional Practices Framework, The Institute of Internal Auditors,Altamonte Springs, Fla., USA, 2009.
An Introduction to Computer Security: The NIST Handbook (Special Publication 800-12), Chapter 2: Elements of Computer Security, The National Institutes of Standardsand Technology (NIST), Gaithersburg, Md., USA, 1995.
The IT Service Management Forum. www.itSMFi.org
Performance Measurement Guide for Information Security (SpecialPublication800-55Revision 1), National Institutes of Standards and Technology (NIST), Gaithersburg,Md., USA, 2008.
Program Review for Information Security Management Assistance (PRISMA), NationalInstitutes of Standards and Technology (NIST), Gaithersburg, Md., USA, 2007.
The Standards of Good Practice for Information Security, Information Security Forum,2007.
GTAG – Yazarlar ve Gözden Geçirenler
8.Yazarlar ve Gözden Geçirenler
Yazarlar:
Paul Love, CISSP, CISA James Reinhard, CIA, CISA A.J. Schwab, CISA, George Spafford, CISA
Gözden Geçirenler:
IIA, değerli görüşleri ve önerileriyle bu GTAG’e katkıda bulunan aşağıda adları sayılan kişi ve gruplara teşekkürlerini sunar:
AICPA– Amerikan Yeminli Mali Müşavirler Enstitüsü
Douglas J. Anderson, CIA
David F. Bentley
Lily Bi, CIA, CGEIT, CISA
Lawrence P. Brown, CIA, CISA
Jeanot de Boer
Lisa K. Hirtzinger, CIA, CCSA
Steven Hunt, CIA, CISA, CGEIT
İç Denetçiler Enstitüsü – Güney Afrika
İç Denetçiler Enstitüsü – Birleşik Krallık & İrlanda
Rune Johannessen, CIA, CCSA, CISA
David S. Lione, CISA
Steve Mar, CFSA
Cesar L. Martinez, CIA, CGAP
Mesleki Uygulamalar Danışma Konseyi:
o İleri teknoloji Komitesi
o Mütevelli Heyeti
o Kalite Komitesi
o Etik Komitesi
o İç Denetim Standartları Kurulu
o Mesleki Konular Komitesi
Sajay Rai
R. Vittal Raj, CIA
Ross A. Richards
Stig J. Sunde, CIA, CGAP
Dan Swanson, CIA, CISA, CISSP
Johannes Tekle, CIA, CFSA
Archie R. Thomas, CIA
David Williams, CISA
Tom Wilson, MIIA
Karine F. Wegrzynowicz, CIA, CISA
GTAG – Global Teknoloji Rehberi (GTAG)
BT yönetimi, kontrolü ve güvenliğiyle ilgili güncel bir konuyu ele almak üzere basit ticari bir
dille yazılan bu GTAG serisi, iç denetim yöneticileri için teknolojiyle ilintili farklı riskler ve
önerilen uygulamalar hakkında hazır bir kaynak teşkil eder.
KULLANICILAR TARAFINDAN GELİŞTİRİLEN UYGULAMALAR (UDA) UDA’yla
ilişkilendirilen riskleri ele alır ve UDA’nın iç denetiminin kapsamının nasıl belirleneceği
konusunda yönlendirmede bulunur ve örnek iç denetim programlarını içerir. Yönetim
UDA’lara dayandığı için, denetim planına dâhil edilme konusunda dikkate alınmalıdır.
OTOMATİKLEŞMİŞ BİR DÜNYADA SUİSTİMALİ ÖNLEME VE TESPİT ETME BT’yle ilgili suiistimal risklerini ve risk değerlendirmelerini ve teknoloji kullanımının iç denetçilere ve kurumdaki diğer kilit paydaşlara suiistimalleri nasıl ele alacakları konusunda yardım edebilir.
BT PROJELERİNİN DENETİMİ BT projeleriyle ilgili riskleri değerlendirmek için proje ekipleriyle ve yönetimle etkin bir biçimde angaje olma teknikleriyle ilgili genel birdeğerlendirme sunar.
BT DENETIM PLANINI GELİŞTİRME işi anlamadan, BT evrenini tanımlamaya, bir risk değerlendirmesi yapmadan BT denetim planını resmen yürürlüğe koymaya kadar bir BT planının nasıl geliştirileceğine ilişkin adım adım bir kılavuzluk sağlar.
İŞ SÜREKLİLİĞİ YÖNETİMİ iş sürekliliği yönetimini (BCM - Business Continuity Method) tanımlar, işletme riskini ele alır ve BCM programı gerekliliklerinin ayrıntılı olarak ele alınmasını içerir.
KİMLİK VE ERİŞİM YÖNETİMİ kimlik ve erişim yönetimiyle ilgili kilit kavramlar, IAM (Identity and Access Management – Kimlik ve Erişim Yönetimi) süreciyle ilişkilendirilen riskler, IAM süreçlerinin nasıl denetleneceği konusunda ayrıntılı bir kılavuzluğu ve denetçiler için örnek bir kontrol listesini kapsar.
UYGULAMA KONTROLLERİNİN DENETİMİ uygulama kontrolleri kavramını ve bunun genel kontrollerle ilişkisini ve ayrıca risk esaslı bir uygulama kontrolü değerlendirmesinin kapsamının nasıl belirleneceğini ele alır.
BİLGİ TEKNOLOJİSİ DIŞ KAYNAK KULLANIMI doğru BT hizmeti satıcısının nasıl seçileceğini, müşteri ve hizmet sağlayıcısının ve müşteriler ve hizmet sağlayıcıların hizmet satma kontrollerine yönelik görüşleri arasından kilit kontrol görüşlerinin nasıl seçileceğini ele alır.
BT ZAFİYET YÖNETİMİ VE DENETİMİ diğer konuların yanı sıra zafiyet yönetimi yaşam döngüsünü, zafiyet yönetimi denetiminin kapsamını ve zafiyet yönetimi uygulamalarını değerlendirme ölçütlerini ele alır.
GİZLİLİK RİSKLERİNİN YÖNETİMİ VE DENETİMİ global gizlilik ilkelerini veçerçevelerini, gizlilik risk modellerini ve kontrollerini, iç denetçilerin rolünü, denetimsürecinde sorulması gereken en önemli on gizlilik sorusunu ve daha fazlasını ele alır.
GTAG – Global Teknoloji Rehberi (GTAG)
BT DENETİMİNİN YÖNETİMİ BT’yle ilgili riskleri tartışır ve BT evreninin yanı sıra BT denetim sürecinin nasıl uygulanacağı ve yönetileceğini tanımlar.
SÜREKLİ DENETİM bugünkü iç denetim ortamında sürekli denetimin rolünü, sürekli denetim, sürekli izleme ve sürekli güvence arasındaki ilişkiyi ve sürekli denetimin aplikasyonunu ve uygulanmasını ele alır.
DEĞİŞİKLİK VE YAMA YÖNEYİMİ değişikliklerin kaynaklarını ve bunların işletme öncelikleri üzerindeki muhtemel etkisini ve değişiklik ve yama yönetimi kontrollerinin BT risklerini ve maliyelerini yönetmeye nasıl yardım ettiğini ve neyin uygulamada işe yarayıp neyin yaramadığını açıklar.
BİLGİ TEKNOLOJİSİ KONTROLLERİ BT kontrol kavramlarını, BT kontrollerinin önemini, etkin BT kontrollerini sağlamak için kurumsal görev ve sorumlulukları, risk analizini ve izleme tekniklerini ele alır.
Birlikte Daha Mı İyi?
Kesinlikle. Çalıştığınız kurumda yönetişim, risk yönetimi ve uyum bilgi ve teknolojiyle harmanlandığında, performansınızı arttırmanızı sağlar. Resmin tamamını aydınlatmak gerekirse, kurum çapında bu sayede bilgi açısından zengin ve teknoloji güdümlü süreçler yaratılmış olur.
Profesyonellerden oluşan ekibimiz parçaları bir araya getirmenize yardım eder. Bilgi ve teknolojiyi ve işletme değerini verimli ve güvenli bir şekilde sunma konusunda size yardımcı olmak için BT risk yönetimi, düzenlemelere uyum, iş süreci ve uygulama kontrolleri, bilgi güvenliği, gizlilik ve teknoloji olanakları ve yolları konusundaki derin deneyim birikimimizden yararlanıyoruz. Bizi arayın.
Daha fazlası için; ey.com
ERNST & YOUNGYaptığımız her işte kalite.
GTAG®
Bilgi Güvenliği Yönetişimi
İster ticari bilginin doğrudan alınması, yönetilmesi ve yorumlanması olsun ister günlük işler için bilginin elde bulundurulması olsun bilgi çoğu kurumun rekabet stratejisinin önemli bir parçasıdır. Bilgi güvenliği başarısızlığının en bariz sonuçlarından bazıları; kurum itibarının zarar görmesi, kurumu rekabet açısından dezavantajlı bir duruma girmesi ve kurumun mevzuat gerekliliklerinin dışına çıkmasına neden olunmasıdır. Bu etkiler azımsanmamalıdır.
Bu Global Teknoloji Denetim Rehberi (GTAG), İç Denetim Yöneticisinin (İDY) denetim planına, kurumun bilgi güvenliği yönetişimi (ISG) biriminin doğru davranışlar, uygulamalar ve IS’nin doğru uygulanması gibi sonuçlar verip vermediğine odaklanan bir ISG denetimini de dahil etmesine yardım edecek bir düşünce süreci sağlayacaktır.
GTAG aşağıda sayılan konulardaki çalışmalara yardımcı olacaktır:
1. ISG’yi tanımlama, 2. İç denetçilerin doğru soruları sormalarına ve hangi belgelerin gerekli olduğunu
anlamalarını sağlama, 3. İç denetim biriminin ISG faaliyetindeki rolünü tanımlama.
Geri bildirimleriniz bizim için önemli! www.theiia.org/gtags sitesini ziyaret ederek buGTAG’i oylayabilir ve bize bu konudaki görüş ve yorumlarınızı iletebilirsiniz.