Bilgi Güvenliği ve BT Yönetişim Hizmetleri

BT Denetimi, bilgi teknolojileri altyapı ve süreçlerinin kendilerinden beklenen faydaları sağlayıp sağlayamayacaklarına dair güvence almayı hedefler. Bu faydalar; etkililik, yani iş ihtiyaçlarını karşılama gücü; etkinlik, yani kaynakların verimli kullanımı; güvenlik, yani bilgi varlıklarının gizlilik, bütünlük ve sürekliliğinin korunması ve bu faydaların türevleri olan güvenilirlik ve yasalara uyumdur.

Bilgi teknolojileri bir uzmanlık alanıdır. Ancak BT denetimi genel denetim prensipleri ile uygun biçimde planlanmalı ve gerçekleştirilmelidir. Bu prensiplerin başlıcaları risk tabanlı denetim planlama ve nesnel kanıtlara dayanan denetim prosedürlerinin işletilmesidir. BT denetimi genel itibariyle bir kontrol denetimidir.

Bilgi teknolojileri kontrolleri temel olarak organizasyonel kontroller, süreçsel kontroller ve teknik kontrollerden oluştur. Bilgi teknolojileri altyapısının güvenlik tehditlerine karşı korunmasını destekleyen fiziksel kontroller de bilgi teknolojileri kontrolleri arasında yer alır.

Risk tabanlı denetim planlaması öncesinde öncelikle bilgi teknolojileri denetim uzayının (audit universe) oluşturulması yani denetlenebilir birimlerin (auditable units) oluşturulması gerekir. Bu birimler zaman içinde farklılaşabilir, ancak risk değerlendirmesi yapılabilmesi için genel kabul görmüş yöntem olarak merkeze bu kavram oturmaktadır. Denetlenebilir birim tanımı farklı bir denetlenebilir birime referans vermeden denetlenebilecek, girdileri ve çıktıları olan ve lojistik olarak belirli bir sürede denetlenebilecek organizasyonlar, altyapılar veya sistemler olarak yapılabilir. Örnek olarak veritabanı yönetimi, yazılım geliştirme yaşam döngüsü, ağ yönetimi, BT proje yönetimi, log yönetimi verilebilir.

Risk değerlendirme metodu olarak pek çok metot kullanılabilir. Ancak her metodun içinde etki kriterleri ve zayıflık kriterleri bulunmalı ve riski ifade etmek için bu iki faktör ölçümlenmeye çalışılmalıdır.

Periyodik denetim planında bazı kritik denetlenebilir birimler her dönem yer alabilirken bazı birimler de rotasyona tabi tutulabilir. Bazı denetlenebilir birimler ise çevresel şartlardaki veya iş hedeflerindeki değişimlere bağlı olarak belirli zamanlarda önem kazanabilir. Risk değerlendirmesinin ana amacı da bu değişimleri zamanında farkedebilmek ve doğru önceliklendirmeyi gerçekleştirmektir.

Denetlenecek bilgi teknolojileri kontrollerinin belirlenmesinde kullanılabilecek en iyi uygulamalar çerçeve ve standartları bulunmaktadır. Bunlardan başlıcaları COBIT, ITIL, ISO27001 ve ISO27002, PRINCE, CMMI olarak sayılabilir.

BT denetiminde genel kontrol denetim teknikleri olan mülakat, gözlem, doküman inceleme ve yeniden gerçekleştirme (reperformance) teknikleri kullanılır. Kontrol denetimlerindeki genel yaklaşımla uyumlu olarak otomatik kontrollerde manuel kontrollere nazaran daha az örnek üzerinde test yapılabilir. Yine diğer denetim alanlarında olduğu gibi uzaktan izleme imkanının bulunduğu bazı kritik kontroller için sürekli denetim (continuous audit) yöntemi uygulanabilir.

Bilgi teknolojileri alanında yapılacak olan denetim faaliyetleri için genel olarak belirli faydalardan bahsetmek mümkündür. Ancak bu faydaları sektörel olarak değerlendirmek durumu çok daha kolay anlaşılır hale getirecektir. Buna göre BT denetimi ile aşağıdaki sektörlerde şu özel faydalar beklenebilir:

Holding Şirketi: Bilgi teknolojileri standardizasyonu ve desteğinde merkezi bir konumda bulunuyorsa bir holding şirketinde aşağıdaki konularda güvence sağlanabilir:

• BT Mimari Yönetimi: Grup BT altyapı yatırımlarının gelecek öngörüleri ve mevcut yapılarına uygun biçimde yönlendirilmesi, bunun neticesinde daha hızlı ve esnek çözüm üretme, donanım, yazılım ve personel kaynaklarının yönetiminde ve satın almalarda optimizasyon
• BT Proje ve Yatırım Yönetimi: Grup BT yatırımlarının grup iş stratejilerine uygunluğuna göre önceliklendirilmesi, yapılan yatırımların beklenen faydayı sağlayıp sağlamadığından emin olunması
• Merkezi Güvenlik Danışmanlık ve Olay Müdahalesi Desteği: Güvenlik uzmanlığını barındırmak suretiyle iştiraklere güvenlik danışmanlık desteği ve gerçekleşen güvenlik ihlallerinde teknik destek sağlanması

Finans Sektörü: Sıkı biçimde düzenlenen, hem mali sonuçlara etkisi hem de çok miktarda kişisel bilgi barındıran BT sistemlerini yoğun olarak kullanan finans sektörü açısından aşağıdaki konularda güvence sağlanabilir:

• Düzenlemelere Uyum: Kurumlar içinde düzenlemelere uyum için gerekli organizasyonel yapıların geliştirilmesi, BT ve bilgi güvenliği yönetişimi için gerekli süreçlerin oluşturulmuş olması
• Hizmet Sürekliliği: Finansal hizmetlerin kesintisiz veya öngörülen sürelerde tekrar ayağa kaldırılabilecek biçimde sağlanması için gerekli yatırımların uygulanmış, süreçlerin geliştirilmiş ve personelin eğitilmiş olması
• Kişisel Bilgilerin Güvenliği ve Kurum İtibarının Korunması: Veri sınıflarının belirlenmesi ve veri yaşam döngüsü üzerinde gerekli erişim kontrolleri, kriptolama kontrolleri, log yönetim kontrollerinin uygulanması
• Finansal Varlıkların Saldırganlara Karşı Korunması: Tehlikeli ağlara açık kritik altyapıların, sunucuların ve uygulamaların güvenlik mimarilerinin sağlam biçimde tasarlanmış olması ve teknik uyum denetimlerinden geçirilmesi yoluyla kurum ve müşteri finansal varlıklarının korunması

Telekom Sektörü:Düzenleme iklimi açısından finans sektörüne benzeyen ancak ürettiği veişlediği kişisel verilerin hassasiyeti ve verilen hizmetin ulusal güvenlik ile de yakın ilgisi nedeniyle gizlilik ve süreklilik ihtiyacı telekom sektörü için oldukça yüksek düzeydedir. Rekabetin fazlalığı ve bu nedenle yeni teknolojilerin yoğun kullanımı, proje teslim süreleri üzerindeki yüksek baskı telekom sektörünü daha da kırılgan hale getirmektedir. Bu nedenlerle bu hassas sektör için aşağıdaki alanlarda yüksek güvence ihtiyacı bulunmaktadır:

• Müşteri Trafik Bilgilerinin Güvenliği ve Düzenlemelere Uyum: Sektörel olarak kritik olan müşteri trafik ve iletişim içeriğinin korunması için gerekli önlemlerin alınması, bu önlemlerin etkinliğinden emin olunması için gerekli yönetim sistemleri ve süreçlerin uygulanması
• Müşteri CRM Bilgilerinin Rekabetin Eline Geçmemesi: Rekabetin üst düzeyde olduğu bu sektör için bayilere, iş ortaklarına ve müşterilere açılan BT sistemleri üzerinden, kurum içinden müşteri CRM (ürün, paket, konum, profil) bilgilerinin sızmasının engellenmesi ve sızmaların izlenmesi
• Hizmet Sürekliliği: Gerekli altyapı yatırımlarının yapılması ve süreçlerin geliştirilmesi ile hizmet sürekliliğinin mümkün olan en üst düzeyde tutulması
• Yeni Teknolojilerin Güvenli Adaptasyonu: Her geçen gün ortaya çıkan yeni teknolojilerde öncü uygulayıcı (early adaptor) olan telekom sektöründe gerekli risk analizlerinin yapılması ve güvenlik ihlallerine karşı önlemlerin alınması
• Yatırım Etkinliği: En yüksek BT yatırımı gerçekleştiren telekom sektörü için yapılan yatırımlarda belli bir hata ve sapma payı bulunabilmekle birlikte yatırımların stratejik hedeflere ve rekabet koşullarına uygun biçimde gerçekleştirilmesi

Enerji Sektörü: Finans ve Telekom sektörleri kadar olmasa da toplum hayatı ve ekonomi açısından önemi nedeniyle sıkı düzenlemelere tabi olan Enerji sektöründe son yıllarda bilgi güvenliği de düzenlemelere konu olmaktadır. Düzenlemelerin yanı sıra sektörün bireysel kullanıcıya yönelik online işlem imkanlarını sağlaması nedeniyle de ilgili kurumların bilgi güvenliği problemlerini yönetmeleri gerekmektedir. Enerji sektörü açısından önemli güvence ihtiyaçları aşağıdaki alanlar olarak sayılabilir:

• Endüstriyel Kontrol Sistemleri’nin (ICS / SCADA) Sabotaj ve Terörist Saldırılara Karşı Korunması: Son yıllarda enerji sektörünü devlet destekli seviyede hedef alan siber saldırılara karşı gerekli önlemlerin alınması
• Tahsilat Sistem ve Entegrasyonlarının Sürekliliği ve Güvenliğinin Sağlanması: Faturalama ve tahsilat süreçlerindeki olası gecikme ve hizmet kesintilerine karşı gerekli süreklilik altyapı yatırımlarının yapılması ve süreçlerin geliştirilmesi, gerekli güvenlik kontrollerinin uygulanması
• Müşteri CRM Bilgilerinin Rekabete Karşı Korunması: Yüksek rekabete konu enerji sektöründe müşteri CRM bilgilerinin rekabetin eline geçmesinin engellenmesi için gerekli erişim kontrolleri, log yönetimi ve izleme kontrollerinin uygulanması

Perakende Sektörü: Gıda, teknoloji, giyim v.d. alanlarda faaliyet gösteren perakende sektörü için bilgi güvenliğinden ziyade BT kaynaklarının etkin kullanımı neticesinde stok maliyetlerinin düşürülmesi ve karar destek sistemlerinin etkin kullanımı önem kazanmaktadır. Buna göre bu sektörde öncelikli olarak aşağıdaki konularda güvence ihtiyacı bulunmaktadır:

• Etkili BT Proje Yönetimi ve BT Çözümleri Teslim Etme Kabiliyeti: Kurumun sahip olduğu iş gereksinimlerini karşılayabilecek bir BT organizasyonu / yönetimine sahip olup olmadığı, yazılım geliştirme sürecinin sağlıklı yürüyüp yürümediği
• Yeterli Karar Destek Sistemlerinin Bulunması: Gerekli optimizasyonların sağlanması için maliyet ve diğer verilerin toplandığı ve gerekli araçlarla analiz edildiği ortamların sağlanması
• Kredi Kartı Bilgileri Güvenliği: Kredi kartı ödemeleri ile ilgili risklerden kaçınılıp kaçınılmadığı veya bu risklerin ele alınıp alınmadığı

Üretim ve Taahhüt Sektörleri: Üretim sektörü açısından kaynakların etkin kullanımını destekleyecek ve entegre iş uygulamalarının varlığı rekabet ihtiyaçları açısından son derece önemlidir. Buna göre üretim ve taahhüt sektörlerinde (ör: Tekstil, Madencilik, İnşaat) aşağıdaki alanlarda güvence ihtiyacı yüksek düzeydedir:

• Etkili BT Proje Yönetimi ve BT Çözümleri Teslim Etme Kabiliyeti: Kurumun sahip olduğu iş gereksinimlerini karşılayabilecek bir BT organizasyonu / yönetimine sahip olup olmadığı, yazılım geliştirme sürecinin sağlıklı yürüyüp yürümediği
• Yeterli Karar Destek Sistemlerinin Bulunması: Gerekli optimizasyonların sağlanması için maliyet ve diğer verilerin toplandığı ve gerekli araçlarla analiz edildiği ortamların sağlanması

Bunların dışında BT organizasyonları ve süreçleri açısından önemli hijyen kuralları (ör: olay yönetimi, değişiklik yönetimi, yedekleme, loglama, kapasite ve performans izleme, v.d. süreçler) gözden geçirilerek BT servislerinin sağlıklı biçimde gerçekleştirilmesine ilişkin güvence sağlanabilir.

BT denetimi bir iş riski olan bilgi teknolojileri riskleri için önemli bir güvence aracıdır. Bilgi teknolojileri kullanımı önemli olan tüm şirket ve sektörlerde mutlak ihtiyaç duyulan bir denetim türüdür. Ayrıca bilgi teknolojileri denetimi bilgi paylaşımının yüksek olduğu tedarikçi ve iş ortakları ile ilgili risklerin yönetilmesi açısından da vazgeçilmez bir araçtır.