Türkçe English



BT KONTROLLERİ

 

 

BT (Bilgi Teknolojileri) kontrolleri klavuzu,  BT kontrollerinin değerlendirilmesi için mevcut olan çerçeveler hakkında bilgi vermekte ve bir kurum için doğru çerçevenin nasıl oluşturulabileceğini açıklamaktadır. BT kontrolleri klavuzunun amaçları aşağıdaki gibi sıralanabilir:

 

  • BT kontrollerinin genel iç kontrol sistemi içindeki önemini açıklamak
  • BT kontrollerinin genel iç kontrol sistemi içinde doğru doğru uygulanmasını sağlamakla ilgili kurum içi görev ve sorumlulukları tanımlamak
  • Herhangi bir kurumda teknoloji kullanımının doğurabileceği risk kavramlarını tanımlamak
  • İç denetim biriminin yürüttüğü BT kontrolleri değerlendirme sürecinin ilgili unsurlarını tanımlamak

 

BT, kurum ve kuruluşların görevlerini yapmalarına ve hedeflerine ulaşmalarına olanak sağlayan tüm süreçlerin tamamlayıcı bir parçasıdır. BT, yerel ve global iletişimi kolaylaştırır ve işletmecilikte uluslararası işbirliğini teşvik eder.

BT kontrol güvencesi, kontrollerin kurumu en önemli tehdit unsurlarına karşı koruma yeteneğini gösterir ve kalıntı risklerin kuruma ve hak sahiplerine önemli bir zarar verme olasılığının bulunmadığını kanıtlar..

  

BT Kontrollerine Giriş

 

BT kontrolleri izole bir süreç değildir. BT kontrolleri, birbirine bağlı bir koruma sürecinin bütününü oluştururlar, fakat bir zayıf halkadan dolayı bir taviz konusu da olabilirler. Bu kontroller, hatalara açık olabilir ve yönetimin umursamazlığına konu olabilirler; basit kontroller olabilecekleri gibi son derece teknik de olabilirler ve dinamik bir ortamda varlıklarını sürdürebilirler.

 

BT kontrollerin iki temel unsuru vardır: iş kontrollerinin otomasyonu ve BT kontrolleri. Böylece BT kontrolleri hem iş yönetimi ve yönetişimine destek olurlar, hem de BT altyapısı üzerinde genel ve teknik kontrol olanakları sağlarlar.

 

İç denetçinin BT kontrollerindeki rolü, sağlam bir kavramsal anlayışla başlar, risk ve kontrol değerlendirmelerinin sonuçlarıyla zirveye ulaşır. İç denetim birimi kontroller ile ilgili sorumlulukları bulunan kişilerle önemli bir etkileşim içindedir ve yeni teknolojiler ortaya çıktıkça ve kurumun fırsatları, kullanım amaçları, bağımlılıkları, stratejileri, riskleri ve gereksinimleri değiştikçe sürekli ve kesintisiz öğrenmesi ve yeniden değerlendirme yapması gerekir

  

BT Kontrollerin Anlaşılması

 

BT kontrolleri, bilgi güvenilirliği ve bilgi hizmetleri konusunda güvence sağlarlar. BT kontrolleri, bir kurumun teknoloji kullanımının doğurabileceği risklerin azaltılması ve hafifletilmesinde yardımcı olurlar. Bu kontroller, kurumsal politikalardan bunların şifrelenmiş talimatlarla fiziksel uygulamasına; eylem ve işlemleri izleme kabiliyeti yoluyla fiziksel erişim korumasından bunlardan sorumlu olan kişilere ve büyük veri grupları için otomatik editleme (bilgilerde düzeltme, ek giriş ve düzenleme yapılması) olanağından makul ve uygun olup olmadığı analizine kadar değişir.

 

BT kontrolleri hakkında “her şeyi” bilmenize gerek yoktur, fakat iki kilit kontrol kavramını unutmayınız:

  • İç kontrol sisteminde BT kontrolleri gerekli güvenceyi vermelidir. Bu güvence kesintisiz olmalı ve kanıtların güvenilir ve sürekli izlenmesine olanak sağlamalıdır.
  • Denetçinin güvencesi, verilen ilk güvencenin bağımsız ve objektif değerlendirmesine dayanır. Denetçi güvencesi, denetçilerin yönettiği riskler için gereken kilit kontrolleri anlamaya, incelemeye ve değerlendirmeye dayanır ve kontrollerin uygun tasarlanmasını ve etkin ve kesintisiz çalışmasını sağlamak için yeterli testlerin yapılmasını gerektirir.

 

BT (Bilgi Teknolojileri) Kontrollerinin Önemi

 

BT kontrollerine duyulan gereksinimin altında, kurumun masraflarını kontrol altına alma ve rekabet gücünü koruma gereğinden iç ve dış yönetişim kurallarına uyma şartına kadar pek çok faktör yatmaktadır. BT kontrolleri, bilginin güvenilirliği ve etkinliğini artırır ve kurumun değişen risk ortamlarına adapte olmasına olanak sağlar. Suistimalleri veya siber saldırıları azaltan veya ortaya çıkartan herhangi bir kontrol, kurumun ilgili riskleri ortaya çıkarmasına ve bu riskin etkilerini yönetmesine yardımcı olarak kurumun esnekliğini ve kendisini toparlama gücünü artırır. Esneklik, sağlam bir iç kontrol sisteminin sonucudur, çünkü iyi kontrol edilen bir kurum sorunlar veya düzensizliklerle işinde hiç bir kesintiye izin vermeden baş etme yeteneğine sahiptir. Etkin BT kontrollerinin kilit göstergeleri arasında şunlar sayılabilir:

 

  • Yeni ürün ve hizmetleri desteklemek için gereken BT altyapısını yükseltme çalışmaları gibi yeni işleri planlama ve yürütme yeteneği.
  • Rakiplere kıyasla daha fazla maliyet-etkin ve daha iyi ürün ve hizmetler sunma olanağını yaratan, bütçe içinde ve zamanında tamamlanan geliştirme projeleri.
  • Kaynakları beklendiği gibi tahsis etme ve kullanma yeteneği.
  • Kurum içinde ve müşteriler, iş ortakları, diğer dış ilişkiler için bilgi ve BT hizmetlerinin tutarlı ve kesintisiz mevcudiyeti ve güvenilirliği.
  • Etkin kontrollerin kilit göstergelerini yönetime açıkça bildirme yeteneği.
  • Yeni saldırı ve tehditlere karşı kendisini koruma ve BT hizmetlerindeki kesintileri hızla ve etkin bir şekilde giderme yeteneği.
  • Müşteri destek merkezi veya yardım masasını etkin kullanma yeteneği.
  • Kullanıcılarda yüksek ve ileri düzeyde güvenlik bilinci ve tüm kurum içinde güvenlik bilincine dayanan bir kültür.

 

 

Bilgi Teknolojilerinin Rolleri ve Sorumlulukları

 

Kurum içinde IT kontrol sorumlulukları ve yükümlülüklerini üstlenen kadrolar için son yıllarda pek çok farklı görev de ortaya çıkmış bulunmaktadır. Yönetişim, yönetim, işletme ve teknik seviyelerdeki her görev/kadronun ilgili görevleri, sorumlulukları ve ayrıca, IT kontrolleriyle ilgili belirli konulardan kimin hangi düzeyde sorumlu olduğu açıkça tespit edilmeli ve tanımlanmalıdır. Bu bölüm, kurum içinde çeşitli IT kontrolü görev ve sorumluluklarını irdelemekte ve bu görev ve sorumlulukları varsayımsal bir örgütlenme yapısı içinde belirli görev/kadrolara dağıtmaktadır.

Risk Analizi

 

IT kontrolleri, yönetmeleri hedeflenen riskler esasında seçilir ve uygulanırlar. Riskler tanımlandıkça, hiç bir şey yapmamak ve o riski iş yapmanın bir maliyeti/bedeli olarak görmekten, sigorta da dahil çok çeşitli özel kontroller uygulamaya kadar değişen uygun risk cevapları belirlenir. Bu bölüm, IT kontrollerini ne zaman uygulamak gerektiğini ve ilgili kavramları açıklamaktadır.

  

İzleme ve Teknikler

 

Resmi bir kontrol çerçevesi kullanmak, belirli somut risklerle baş etmek için gereken IT kontrollerinin tespit edilmesi ve değerlendirilmesi sürecini kolaylaştırır. Kontrol çerçevesi, tüm kontrol spektrumunun yeterince kapsanmasını sağlamak amacıyla düzenlenmiş, kontrolleri gruplandırma yoludur. Bu çerçeve, resmi veya gayri resmi olabilir. Resmi bir yaklaşım, kurumlara uygulanan çeşitli yasal koşulları ve mevzuat hükümlerinin gereğini daha kolay yerine getirir. Bir kontrol çerçevesi seçme veya oluşturma sürecine, kurum içinde kontrollerle ilgili doğrudan bir sorumluluğu olan bütün kadro/kişiler katılmalıdır. Kontrol çerçevesi, sadece iç denetime değil tüm kuruma uygulanmalı ve sadece iç denetim tarafından

değil tüm kurum tarafından kullanılmalıdır.

 

BT Kontrol Değerlendirmesi

 

IT kontrollerini değerlendirmek, kesintisiz bir süreçtir. Teknoloji gelişmeye devam ettikçe iş süreçleri de sürekli olarak değişmektedir. Yeni zayıf noktalar ortaya çıktıkça tehditler de ortaya çıkmaktadır. Denetçiler, iş hedeflerini destekleyen IT kontrol konularının gündemin üst sıralarına yakın olduğu bir yaklaşım geliştirdiğinde denetim yöntemleri de gelişmektedir. Yönetim, IT kontrol ölçütlerini ve raporlamasını yönetir. Denetçiler, bunların geçerliliğini onaylar ve bunların değeri konusunda görüş bildirirler. Denetçi, ölçütlerin geçerliliği ve etkinliği ve raporlama güvenceleri konusunda her düzeyde yönetimle ve denetim komitesiyle irtibat içinde olmalıdır.

 

 

 

 

 

BİLGİ SİSTEMİ DENETİM GRUBUNUN KAPSAM VE AMAÇLARI

 

Bilgi sistemi denetim grubu; veri işleme organizasyonlarının denetimini, donanımlarını ve bilgisayar ortamına geçilmiş uygulamalarını yürütür. Bu denetimler, kuruluşların malvarlığı üzerinden koruma ve kontrolün kalitesini değerlendirmek, veri işleme kaynaklarını etkin kullanmak, yönetimin politikalarına bağlı kalmak, bilgisayar uygulamaları ve kullanılan bilgisayar ortamı üzerinden yeterli kontrolün uyarlanması ve dizaynına teşvik etmek için yürütülür.

 

Bütün bu amaçlar şunlar için tasarlanmıştır:

 

  • Veri işleme operasyonlarının yeterliliğini, politikalarını, prosedürlerini, kontrollerini değerlendirmek; uygun maliyetler üzerindeki kolay anlaşılmayan riskleri dikkate alarak operasyonel verimlilik ve etkinlik kontrollerinin gelişmesine yardımcı olmak.
  • Hesabı verilen ve her türlü kayıptan korunan, şirketin veri işleme değerlerinin miktarını belirlemek.
  • Bu denetimlerin gidişatı süresince belirlenen işlemlerin (kar, maliyet, mal varlıklarının kullanımı) gelişmesi için yönetim sağlamak.
  • Bilgi sistemleri yönetim sorumluluğunun ve oto kontrol kavramlarının bütün şirkette gelişmesini teşvik etmek.

 

Bilgi sistemi denetim grubunun başlıca sorumlulukları; aşağıdaki prosedürlerde daha ayrıntılı tanımlanan denetim tiplerini yönetmektir.

  

1- Planlama ve organizasyon faaliyetlerinin denetimi

 

Planlama ve organizasyon faaliyetleri, iş hedeflerinin yerine getirilmesi amacıyla bilgi teknolojileri desteğinin en uygun verilme şeklinin verilmesine yönelik strateji ve yöntemleri içerir. Farklı bakış açılarını içerecek şekilde planlanan stratejiler, organizasyon içerisindeki ilgili birim ve kişilere iletilir. Teknolojik altyapının, sağlıklı bir örgütsel yapı içerisinde verimli ve etkin çalışabileceği hususu bilgi sistemleri denetimi sürecinde dikkate alınır.

 

Planlama ve organizasyona ilişkin genel kontroller çerçevesinde;

·        Stratejik bilgi teknolojileri planının tanımlanması,

·        Bilgi mimarisinin tanımlanması,

·        Teknolojik yönün belirlenmesi,

·        BT süreçlerinin, organizasyonunun ve ilişkilerinin tanımlanması,

·        BT yatırımlarının yönetimi,

·        Yönetimin amaçlarının ve talimatlarının iletilmesi,

·        İnsan kaynakları yönetimi,

·        Kalite yönetimi,

·        Bilgi sistemleri riskinin değerlendirilmesi ve yönetimi,

·        Proje yönetimi

süreçleri ile ilgili kontrol hedefleri denetlenir.

 

2- Veri Merkezi / Bilgisayar Operasyonları Denetimleri

 

Veri merkezi ve bilgisayar operasyonları incelemeleri, veri merkezi kaynakları üzerindeki idari kontrolleri ve veri işleyen personeli değerlendirmek için gerçekleştirilir. Bu incelemenin kapsamı; sorumluluğun şu esas alanlarında, bir planlamanın değerlendirilmesini, sınıflandırmayı, politikaları / prosedürleri, sorumlulukların verilmesini, bütçeleri, idari raporları, kayıtları ve performans ölçümlerini içerebilir.

 

Veri merkezi / bilgisayar operasyonlarına ilişkin genel kontroller çerçevesinde;

  • Donanım yönetimi,
  • Yazılım yönetimi,
  • Kaynağın korunması ve düzeltilmesi,
  • Erişim kontrolleri,
  • Operasyonların yönetimi ve ağ/haberleşme yönetimi

süreçleri ile ilgili kontrol hedefleri denetlenir.

 

Bir veri merkezi/bilgisayar operasyonları denetimi, bu sorumlulukların herhangi birine yoğunlaşabilir veya veri merkezinin boyutuna, operasyonların sınıflandırmasına ve zaman bütçesine bağlı olarak hepsini de içerebilir. Mesela, çok bilgisayarlı büyük veri merkezleri ve geniş sayıda kullanıcı için, veri merkezi incelemeleri sadece erişim kontrollerine ve güvenlik yönetimine yoğunlaşabilir. Küçük veri merkezleri için, denetim bütün sorumlulukları içerebilir.

Veri merkezi/bilgisayar operasyonları incelemelerinin amacı, donanım, yazılım veya verideki riskleri belirlemek ve bu riskleri azaltmak için uygun maliyetli bir yol önerisinde bulunmaktır. Öneriler, fiziksel koruma metodları, veri yedekleme işlemleri, yazılım değişim kontrolleri, güvenlik yönetimi ve donanım kullanımı veya kapasitesi gibi aktiviteleri içerebilir.

 

3- Tedarik ve Uygulama Faaliyetlerinin Denetimi

 

Tedarik ve uygulama faaliyetleri, bilgi teknolojisi stratejilerinin gerçekleştirilmesiyle ilgili bilgi teknolojisi çözümlerinin tanımlanması, geliştirilmesi veya harici destek sağlayıcılardan temin edilmesi, uygulanması ve iş süreçleriyle bütünleştirilmesini kapsar. Sistemlerdeki bakımlar ve değişikliklerde bu kontrol alanında değerlendirilir.

 

Tedarik ve uygulamaya ilişkin genel kontroller çerçevesinde;

  • Otomasyon çözümlerinin belirlenmesi,
  • Uygulama yazılımının geliştirilmesi ve bakımı,
  • Teknoloji altyapısının oluşturulması ve bakımı,
  • Operasyon ve kullanımın sağlanması,
  • Bilgi sistemleri kaynaklarının karşılanması,
  • Değişiklik yönetimi,
  • Sistem çözümlerinin ve değişikliklerin uygulanması,

süreçleri ile ilgili kontrol hedefleri denetlenir.

 

Uygulama sistemleri denetimlerinin amacı; verinin entegrasyon ve düzeltilebilirliğindeki, veriyi işlemek için geliştirilen yazılımdaki, verinin zamanında ve verimli işlemesindeki veya bozuk veya tamamlanmamış verinin tanınmasındaki riskleri belirlemektir.

 

Uygulama sistemleri denetimlerinden gelen öneriler, ekstra kontrol prosedürü, tam zamanında yapılan yedekleme alıştırmaları, arttırılmış veri erişim kısıtlamaları veya ekstra kullanıcı talimatı için ihtiyaçları içerebilir.

 

4- Hizmet Sunumu ve Destek Faaliyetlerinin Denetimi

 

Hizmet sunumu ve destek faaliyetleri, gerekli eğitimin verilmesi  de dahil olmak üzere ihtiyaç duyulan hizmetlerin güvenli ve sürekli bir şekilde sunulmasını ifade eder.

 

Hizmet sunumu ve destek faaliyetlerine ilişkin genel kontroller çerçevesinde;

  • Hizmet seviyelerinin tanımlanması ve yönetimi,
  • Üçüncü kişilerden alınan hizmetlerin yönetimi,
  • Performans ve kapasite yönetimi,
  • Hizmet sürekliliğinin sağlanması,
  • Sistem güvenliğinin sağlanması,
  • Maliyetlerin belirlenmesi ve dağıtılması,
  • Kullanıcıların eğitimi,
  • Hizmet sunumu yönetimi ve olay yönetimi,
  • Konfigürasyon yönetimi,
  • Problem yönetimi,
  • Veri yönetimi,
  • Fiziksel çevre yönetimi,
  • Operasyon yönetimi

süreçleri ile ilgili kontrol hedefleri denetlenir.

 

5- İzleme ve Değerlendirme Faaliyetlerinin denetimi

 

İzleme faaliyetleri, bilgi teknolojilerine ilişkin tesis edilen kontrollerin uygunluk ve kalitesinin, düzenli aralıklarla değerlendirilmesini kapsar.

 

İzlemeye ve değerlendirmeye ilişkin genel kontroller çerçevesinde;

·        Bilgi sistemleri performansının izlenmesi ve değerlendirilmesi,

·        İç kontrolün izlenmesi ve değerlendirilmesi,

·        Denetlenenin, iç usul ve esasları dahil ilgili mevzuata uyumunun sağlanması,

·        Bilgi sistemlerine ilişkin kurumsal yönetişimin temini,

süreçleri ile ilgili kontrol hedefleri denetlenir ve değerlendirilir.

 

6- Sistem geliştirme denetimleri

 

Sistem geliştirme denetimleri; yeni bilgisayar destekli uygulamaların, yetkilendirme, geliştirme uyarlaması üzerine idari kontrolleri değerlendirmek ve önerilen sistem üzerinde bilgisayar destekli kontrollerin/denetim izlerinin tasarımını izlemek için gerçekleştirilir.

 

Bu denetimlerin kapsamı, proje (fizibilite sonuçları, sınıflandırma, bütçeleme, sorumlulukların dağıtılması, proje planları ve raporların durumu vs.) üzerindeki idari kontrollerin değerlendirilmesini veya herbir sistemin gelişmesinden veya uygulama evresinden (kontrollerin tasarımının değerlendirilmesi ve denetim izleri, sistem test planları ve sonuçları, kullanıcı eğitimleri, sistem ve program dökümantasyonu vs.) iletilebilenlerin kalitesinin değerlendirilmesini içerebilir. Bu denetimlerin arasındaki asıl sorumluluk; yeni sistem gelişimi ve projelerin kurulumu ve uygulama değişim yönetimidir.

 

Bir sistem geliştirme denetiminin amacı, zamanında engellenebilen bu konuların erken belirlenmesini, yeterli eğitim verilmiş kullanıcı topluluğu tarafından kontrol edilmiş, belgelenmiş ve işletilebilmiş bilgisayar destekli sistemin bütçe içi uyarlamasını sağlamaktır.

 

Sistem geliştirme denetimleri tarafından önerilenler; proje planlarına eklentileri, dosya uzlaşma ve dengeleme kontrollerinin gelişmişliğini veya döküman test planlarını ve beklenen test sonuçlarını içerebilir.

 

7- Diğer Kişisel veya Birime Ait Bilişim Ortamı Denetimi

 

“Diğer”  bilişim ortamı terimi, bilgisayarın bir şahıs, grup veya bölüm için veri depoladığı ve işlediği (geleneksel bilişim merkezlerinden uzak) alanları tanımlar.Bu ortamların önemi ve kontrol seviyesi veri tipine, iş üzerindeki etkisine, verinin kullanımına ve amacına, vs bağlı olarak değişir. “Diğer” kategorisinde yer alan bilişim ortamlarına örnek olarak: mühendislik/bilimsel işlem, kişisel işlem, laboratuar test verileri toplama, bölüme ait uygulamalar, yerel alan ağları, geniş alan ağları, vs

 

Bu denetimlerin kapsamı, veri merkezi denetiminde gözden geçirilen aynı konuların çoğunu içerir. (Mesela, işleyen çevre üzerinde yönetsel kontroller, personel işletimi, donanım ve yazılım yönetimi, kaynak koruma, düzelme, erişim kontrolleri, ağ kontrolü)

 

Diğer bilişim durumlarının denetimindeki amaç, donanım, yazılım veya veri risklerini tanımlamak ve en etkili şekilde bu riskleri azaltmak için öneriler sağlamak.

 

Öneriler, veri yedekleme uygulamalarını, görev ayrımını, işlem prosedürlerinin belgelenmesini, program değişim kontrollerinin yerleştirilmesini, uygulamanın daha kontrollü bilişim ortamına taşınmasını, veya yazılım lisans anlaşmasına uygunluğunu içerebilir.

 

8- Yedekleme

 

Kişisel bilgisayarlarda sürdürülen uygun yedekleme ve verilerin güvenliği, şahsi sorumluluk olarak iç denetim personeline verilir. Kendi işlerini saklama, kopyalama ve yedekleme denetçilerin kendi sorumluluğundadır. Bu prosedür her denetçiye verilen laptoplara ve diğer yerlerdeki paylaşılmış desktop modellerine uygulanır.

 

Yedekleme prosedürünün zamanlaması, depolanan bilginin seviyesine ve karmaşıklığına bağlı olarak şahsi bir karardır. Referans olarak laptopta “Yedekleme/ Yardım” menü seçeneği her günün sonunda dosyaların (word, Excel, vs.) diskete kopyalanması önerilir. Bu işlem sadece denetim alt dizinlerinde oluşturulan ve depolanan dosyaları kopyalar. Bu işlem hızlı ve kolaydır. Yedek disketleri laptoptan uzak güvenli bir yerde saklamak potansiyel zaman koruması sağlar.

 

Denetim ilerlerken dokümanların çıktısının alınması, hard disk kaybı durumunda geçerli denetimin işlemesi için zaman kazandıracak, bu arada zaman zaman diskete yedeklenmesi, sonraki denetimlerde zaman kazandıracak.

 

Yedekleme şahsi bir sorumluluk olduğundan, her personel hard diskin zarar görmesi durumunda yeniden yapılandırmaya gerek duyduğu verileri değerlendirmeli. Denetim dokümantasyonunda birkaç gün veya hafta veya denetim zamanının çoğunun kaybedilmesi kabul edilmeyecek.

 

Diğer yerlerdeki paylaşılan kişisel bilgisayarlar hakkında, haftalık yedekleme prosedürü yürütülecek. Bu prosedür altında denetim alt dizinleri altındaki dosyalar her Cuma yedeklenecek. Departman içerisinde masa üstü bilgisayar kullanan şahıslar eğer vaktinde güvenli-saklama uygunsa kendi işlerini yedeklemeyi düşünmeliler.

 

 

BT Kontrollerini Anlamak

 

BT kontrolleri, bilgi ve bilişim hizmetleri için güvence veren ve bir kurumun teknoloji kullanımının doğurabileceği risklerin azaltılmasına yardımcı olan bu süreçleri kapsar. Bu kontroller, yazılı şirket politikalarından, bunların şifrelenmiş talimatlarla uygulanmasına; eylem ve işlemleri izleme kabiliyeti yoluyla fiziksel erişim korumasından, bunlardan sorumlu olan kişilere ve büyük veri grupları için otomatik editleme (bilgilerde düzeltme, ek giriş ve düzenleme yapılması) olanağından, makul ve uygun olup olmadığının analizine kadar değişir.

 

 

 

 

Kontrol Sınıflamaları

 

Kontroller, amaçlarının ve genel iç kontrol sisteminin neresinde yer aldıklarının anlaşılmasına yardımcı olmak amacıyla, sınıflanabilir. Bu sınıflamaları anlamakla, kontrol analiz uzmanı ve denetçi, kontrol çerçevesi içindeki rol ve konumlarını daha iyi anlayabilir ve aşağıdakiler gibi kilit öneme sahip soruları yanıtlayabilirler: Tespit etmeye yönelik kontroller, önleyici kontrollerde gözden kaçmış olabilecek hataların bulunması için yeterli midir? Düzeltici kontroller tespit edilen hataların düzeltilmesi için yeterli midir? BT kontrolleri için yaygın uygulanan sınıflama yöntemi, uygulama bazında değil genel sınıflamadır.

 

1.      Genel Kontroller

 

Altyapı kontrolleri olarak da bilinirler, belirli bir kurumla veya sistemler ortamıyla ilgili bütün sistem unsurları, süreçler ve verilere uygulanır. Genel kontroller, bunlarla sınırlı kalmaksızın şunları da içerir: bilgi güvenliği politikası, yönetim, erişim ve doğruluk kontrolü; kilit BT fonksiyonlarının ayrılması; sistemlerin iktisabı ve uygulanması yönetimi; değişiklik yönetimi; yedekleme; kurtarma ve iş sürekliliği.

 

2.      Uygulama Kontrolleri

 

Münferit iş süreçleri veya uygulama sistemlerinin kapsamıyla ilgilidir. Bunlar; veri editleme, iş fonksiyonlarının ayrılması (örneğin, yetkilendirme ile işlem başlatma fonksiyonlarının ayrılması), işlemci toplamlarının dengelenmesi, işlemler günlüğü kayıtları ve hata raporlama. Bir kontrolün işlevi, o kontrolün tasarım ve etkinlik değerlendirmesiyle yakından bağlantılıdır. Bu açıdan, kontroller önleyici, bulma amacına yönelik veya düzeltici şeklinde gruplandırılabilir.

 

3.      Önleyici Kontroller

 

Hataları, ihmalleri veya güvenlik olaylarını engellerler. Örneğin, alfabetik karakterlerin sayısal alanlara girilmesini engelleyen basit veri-girişi editleri; hassas verileri veya sistem kaynaklarını yetkisiz kişilere karşı koruyan erişim kontrolleri; ve anti-virüs yazılımı, güvenlik duvarları ve saldırı önleme sistemleri gibi kompleks ve dinamik teknik kontroller.

 

4.      Tespit Etmeye Yönelik Kontroller

 

Önleyici kontrollerde gözden kaçan hataları veya ihlâl olaylarını bulurlar. Örneğin, tespit etmeye yönelik bir kontrol, kuşkulu faaliyetlerin izlenmesi için işaretlenmiş bulunan hesapların veya pasif hesapların hesap numaralarını ortaya çıkartabilir. Tespit etmeye yönelik kontroller, verilerle ilgili belirlenmiş yetki limitlerini aşan veya bilinen uygulama yollarını ihlâl eden ve usulsüz bir manipülasyonu gösterebilecek olan durum, olay veya faaliyetlerin ortaya çıkartılması amacına yönelik izleme ve analizleri de içerebilir. Tespit etmeye yönelik kontroller, elektronik haberleşmede bir mesajın tahrif edildiğini ya da göndericinin güvenlik kodu ve kimliğinin doğrulanamadığını gösterebilir.

 

5.      Düzeltici Kontroller

 

Tespit edilen ve ortaya çıkartılan hataları, ihmalleri veya ihlâl olaylarını düzeltir. Bu kontroller, basit veri-girişi hatalarının düzeltilmesinden, yetkisiz kullanıcılar veya yazılımların tespitine ve sistemler veya ağlardan çıkartılmasına ve güvenlik ihlâli olayları, düzensizlikler veya felaketlerden kurtarma faaliyetlerine kadar değişir. Genel olarak, düzeltme işini kolaylaştırmak için, taları önlemek ya da kaynaklarına mümkün olduğu kadar yakın bir yerde bulmak en etkili ve en etkin yoldur. Bu düzeltici süreçler de, önleyici ve bulma amacına yönelik kontrollere tâbi tutulmalıdır, çünkü bu süreçler de hatalar, ihmaller veya sahtekârlık için fırsat yaratabilirler. Bu kılavuzda tanımlanan pek çok başka kontrol gruplaması ve sınıflaması da, kontrollerin etkinliğinin değerlendirilmesi konusunda faydalı olabilir. Örneğin, otomatik kontroller manuel kontrollerden daha güvenli olabilir ve isteğe bağlı olmayan kontroller isteğe bağlı olan kontrollere kıyasla daha tutarlı ve istikrarlı bi şekilde uyarlanabilir. İlgili başka konrol sınıflamaları zorunlu, ihtiyari, tamamlayıcı, telafi edici, normal sınırların dışında olan, kesintisiz, talep üzerine yapılan ve olay üzerine yapılan kontroller sayılabilir

 

 

6.  Teknik Kontroller

 

Teknik kontroller, kurumdaki diğer bütün kontrollerin güvenilirliğini sağlayan temeli oluştururlar. Örneğin, yetkisiz erişim ve girişe karşı koruma sağlayarak, teknik kontroller, bütün değişikliklerin kanıtını vermek ve onları doğrulamak da dahil, bilgilerin doğruluğuna güvenmek için gerekli temeli yaratırlar. Bu kontroller, kurumun BT altyapılarında kullanılan teknolojilere özgü ve bağlıdır. Yönetimin amaçladığı bilgi-bazlı politikaları uygulayan ve bu politikalara uyumu gösteren teknik kontrolleri otomatik olarak uygulama yeteneği, kurum için güçlü bir kaynaktır.

 

Standartlar

 

Standartlar, politikaların koşullarını desteklemek için vardır. Standartların amacı, kurumun gereken hedeflere ulaşmasını sağlayacak çalışma yol ve yöntemlerini tanımlamak ve belirlemektir. Standartların benimsenmesi ve uygulanması verimliliği de artırır. Standartlar aynı zamanda, kurumun tüm BT işletim ortamını daha etkin ve verimli işletmesini de sağlarlar.

 

Önemli kaynakları bulunan büyük kurumlar, kendi standartlarını belirleyebilecek durumdadırlar. Fakat daha küçük kurumların bunun için yeterli kaynakları çoğunlukla yoktur.

 

Sadece bilgi için, bir iç denetim yöneticisi, aşağıdaki konuları kapsayan standartların belirlenmesini beklemeli ve öngörmelidir:

 

  • Sistem Geliştirme Süreçleri: Kurumlar kendi uygulamalarını geliştirdiklerinde, sistemler ve programların tasarlanması, geliştirilmesi, test edilmesi, uygulanması ve sürdürülmesine ilişkin süreçlere uygulanacak standartlara gerek duyulur. Kurumlar uygulama geliştirme işini taşerona devrederlerse veya sistemleri dış satıcılardan alırlarsa, iç denetim yöneticisi, ilgili sözleşmelerde, hizmet veya sistem tedarikçilerinin kurumun kendi standartlarına uygun ya da kurumun kabul edebileceği standartları uygulamakla yükümlü olduklarını belirten maddelerin bulunmasını sağlamalıdır. 

 

  • Sistemler Yazılım Konfigürasyonu: Sistemlerin yazılımı BT ortamında büyük bir kontrol unsuru olduğundan dolayı, güvenli sistem konfigürasyonları ile ilgili standartlar, hem önde gelen kurumlar hem de teknoloji sağlayıcıları nezdinde giderek daha fazla kabul görmeye başlamaktadır. İşletim sistemleri, ağ yazılımı ve veritabanı yönetim sistemleri gibi ürünlerin yapılandırma yolu ve şekli, güvenliği artırabilir ya da suiistimale konu olabilecek zayıflıklar yaratabilir.

 

  • Uygulama Kontrolleri: İş faaliyetlerini destekleyen bütün uygulamaların kontrol edilmesi gerekir. Kurumun kendi geliştirdiği veya dışarıdan satın aldığı tüm uygulamalar için, hem tüm iş faaliyetlerinde uygulanması gereken kontrol tiplerini hem de hassas süreçlere ve bilgilere uygulanması gereken özel kontrolleri tanımlayan belirli standartlara gerek vardır.

 

  • Veri yapıları: Tüm uygulamalar dizisinde tutarlı veri tanımlarına sahip olmak, birbirinden tamamen farklı olan sistemlerin aynı verilere doğrudan erişebilmesini ve özel veriler ve diğer hassas veriler için güvenlikle ilgili kontrollerin tek tip uygulanabilmesini sağlar.

  

  • Dokümantasyon: Standartlar, hem her uygulama sistemi veya BT kurulumu için hem de farklı uygulama sınıfları, farklı süreçler ve farklı veri işleme merkezleri için gereken asgari dokümantasyon düzeyini de tanımlamalıdır.

 

Standartlar kurum yönetimi tarafından onaylanmalı, açık ve kolay anlaşılır bir dilde yazılmalı ve bunları uygulayacak olan bütün kişilere iletilmelidir.

 

Bilgi Güvenliği

 

Bilgi güvenliği, bütün BT kontrollerinin tamamlayıcı bir parçasıdır. Bilgi güvenliği, hem altyapıya hem de verilere uygulanır ve diğer pek çok BT kontrolünün güvenilirliğinin de temelidir. Bunun istisnaları, BT’ nin finansal yönleriyle (örneğin, yatırım geri dönüşü, bütçe kontrolleri)  ilgili kontroller ve bazı proje yönetim kontrolleridir.

 

Bilgi güvenliğinin evrensel kabul gören unsurları şunlardır:

 

  • Gizlilik: Gizli bilgiler sadece gerektiği zaman ifşa edilmelidir ve yetkisiz ifşaya veya müdahalelere karşı korunmalıdır. Gizlilik, mahremiyetle ilgili mülahazaları da kapsar.
  • Doğruluk ve Tamlık:  Bilgi doğruluğu; verilerin doğru ve tam olma durumu anlamına gelir. Bu, özellikle, finansal işlemler ve raporlamanın güvenilirliğini kapsar.
  • Mevcudiyet: Bilgilere ihtiyaç duyulduğu zaman ve yerde ve ihtiyaç duyulan tarzda, işletme, müşteriler ve ortakların erişim imkanı bulunmalıdır. Mevcudiyet, verileri ve BT hizmetlerini kayıplar, düzensizlikler veya usulsüzlüklere karşı koruma ve bilgilerin bulunduğu yerdeki  önemli bir felaketten kurtarma yeteneğini de içerir.