BT Denetimi, bilgi teknolojileri altyapı ve süreçlerinin kendilerinden beklenen
faydaları sağlayıp sağlayamayacaklarına dair güvence almayı hedefler. Bu faydalar;
etkililik, yani iş ihtiyaçlarını karşılama gücü; etkinlik, yani kaynakların verimli
kullanımı; güvenlik, yani bilgi varlıklarının gizlilik, bütünlük ve sürekliliğinin
korunması ve bu faydaların türevleri olan güvenilirlik ve yasalara uyumdur.
Bilgi teknolojileri bir uzmanlık alanıdır. Ancak BT denetimi genel denetim prensipleri
ile uygun biçimde planlanmalı ve gerçekleştirilmelidir. Bu prensiplerin başlıcaları
risk tabanlı denetim planlama ve nesnel kanıtlara dayanan denetim prosedürlerinin
işletilmesidir. BT denetimi genel itibariyle bir kontrol denetimidir.
Bilgi teknolojileri kontrolleri temel olarak organizasyonel kontroller, süreçsel
kontroller ve teknik kontrollerden oluştur. Bilgi teknolojileri altyapısının güvenlik
tehditlerine karşı korunmasını destekleyen fiziksel kontroller de bilgi teknolojileri
kontrolleri arasında yer alır.
Risk tabanlı denetim planlaması öncesinde öncelikle bilgi teknolojileri denetim
uzayının (audit universe) oluşturulması yani denetlenebilir birimlerin (auditable
units) oluşturulması gerekir. Bu birimler zaman içinde farklılaşabilir, ancak risk
değerlendirmesi yapılabilmesi için genel kabul görmüş yöntem olarak merkeze bu kavram
oturmaktadır. Denetlenebilir birim tanımı farklı bir denetlenebilir birime referans
vermeden denetlenebilecek, girdileri ve çıktıları olan ve lojistik olarak belirli
bir sürede denetlenebilecek organizasyonlar, altyapılar veya sistemler olarak yapılabilir.
Örnek olarak veritabanı yönetimi, yazılım geliştirme yaşam döngüsü, ağ yönetimi,
BT proje yönetimi, log yönetimi verilebilir.
Risk değerlendirme metodu olarak pek çok metot kullanılabilir. Ancak her metodun
içinde etki kriterleri ve zayıflık kriterleri bulunmalı ve riski ifade etmek için
bu iki faktör ölçümlenmeye çalışılmalıdır.
Periyodik denetim planında bazı kritik denetlenebilir birimler her dönem yer alabilirken
bazı birimler de rotasyona tabi tutulabilir. Bazı denetlenebilir birimler ise çevresel
şartlardaki veya iş hedeflerindeki değişimlere bağlı olarak belirli zamanlarda önem
kazanabilir. Risk değerlendirmesinin ana amacı da bu değişimleri zamanında farkedebilmek
ve doğru önceliklendirmeyi gerçekleştirmektir.
Denetlenecek bilgi teknolojileri kontrollerinin belirlenmesinde kullanılabilecek
en iyi uygulamalar çerçeve ve standartları bulunmaktadır. Bunlardan başlıcaları
COBIT, ITIL, ISO27001 ve ISO27002, PRINCE, CMMI olarak sayılabilir.
BT denetiminde genel kontrol denetim teknikleri olan mülakat, gözlem, doküman inceleme
ve yeniden gerçekleştirme (reperformance) teknikleri kullanılır. Kontrol denetimlerindeki
genel yaklaşımla uyumlu olarak otomatik kontrollerde manuel kontrollere nazaran
daha az örnek üzerinde test yapılabilir. Yine diğer denetim alanlarında olduğu gibi
uzaktan izleme imkanının bulunduğu bazı kritik kontroller için sürekli denetim (continuous
audit) yöntemi uygulanabilir.
Bilgi teknolojileri alanında yapılacak olan denetim faaliyetleri için genel olarak
belirli faydalardan bahsetmek mümkündür. Ancak bu faydaları sektörel olarak değerlendirmek
durumu çok daha kolay anlaşılır hale getirecektir. Buna göre BT denetimi ile aşağıdaki
sektörlerde şu özel faydalar beklenebilir:
Holding Şirketi: Bilgi teknolojileri standardizasyonu ve desteğinde merkezi
bir konumda bulunuyorsa bir holding şirketinde aşağıdaki konularda güvence sağlanabilir:
- BT Mimari Yönetimi: Grup BT altyapı yatırımlarının gelecek öngörüleri ve
mevcut yapılarına uygun biçimde yönlendirilmesi, bunun neticesinde daha hızlı ve
esnek çözüm üretme, donanım, yazılım ve personel kaynaklarının yönetiminde ve satın
almalarda optimizasyon
- BT Proje ve Yatırım Yönetimi: Grup BT yatırımlarının grup iş stratejilerine
uygunluğuna göre önceliklendirilmesi, yapılan yatırımların beklenen faydayı sağlayıp
sağlamadığından emin olunması
- Merkezi Güvenlik Danışmanlık ve Olay Müdahalesi Desteği: Güvenlik uzmanlığını
barındırmak suretiyle iştiraklere güvenlik danışmanlık desteği ve gerçekleşen güvenlik
ihlallerinde teknik destek sağlanması
Finans Sektörü: Sıkı biçimde düzenlenen, hem mali sonuçlara etkisi hem de
çok miktarda kişisel bilgi barındıran BT sistemlerini yoğun olarak kullanan finans
sektörü açısından aşağıdaki konularda güvence sağlanabilir:
- Düzenlemelere Uyum: Kurumlar içinde düzenlemelere uyum için gerekli organizasyonel
yapıların geliştirilmesi, BT ve bilgi güvenliği yönetişimi için gerekli süreçlerin
oluşturulmuş olması
- Hizmet Sürekliliği: Finansal hizmetlerin kesintisiz veya öngörülen sürelerde
tekrar ayağa kaldırılabilecek biçimde sağlanması için gerekli yatırımların uygulanmış,
süreçlerin geliştirilmiş ve personelin eğitilmiş olması
- Kişisel Bilgilerin Güvenliği ve Kurum İtibarının Korunması: Veri sınıflarının
belirlenmesi ve veri yaşam döngüsü üzerinde gerekli erişim kontrolleri, kriptolama
kontrolleri, log yönetim kontrollerinin uygulanması
- Finansal Varlıkların Saldırganlara Karşı Korunması: Tehlikeli ağlara açık
kritik altyapıların, sunucuların ve uygulamaların güvenlik mimarilerinin sağlam
biçimde tasarlanmış olması ve teknik uyum denetimlerinden geçirilmesi yoluyla kurum
ve müşteri finansal varlıklarının korunması
Telekom Sektörü:Düzenleme iklimi açısından finans sektörüne benzeyen ancak
ürettiği veişlediği kişisel verilerin hassasiyeti ve verilen hizmetin ulusal güvenlik
ile de yakın ilgisi nedeniyle gizlilik ve süreklilik ihtiyacı telekom sektörü için
oldukça yüksek düzeydedir. Rekabetin fazlalığı ve bu nedenle yeni teknolojilerin
yoğun kullanımı, proje teslim süreleri üzerindeki yüksek baskı telekom sektörünü
daha da kırılgan hale getirmektedir. Bu nedenlerle bu hassas sektör için aşağıdaki
alanlarda yüksek güvence ihtiyacı bulunmaktadır:
- Müşteri Trafik Bilgilerinin Güvenliği ve Düzenlemelere Uyum: Sektörel olarak
kritik olan müşteri trafik ve iletişim içeriğinin korunması için gerekli önlemlerin
alınması, bu önlemlerin etkinliğinden emin olunması için gerekli yönetim sistemleri
ve süreçlerin uygulanması
- Müşteri CRM Bilgilerinin Rekabetin Eline Geçmemesi: Rekabetin üst düzeyde
olduğu bu sektör için bayilere, iş ortaklarına ve müşterilere açılan BT sistemleri
üzerinden, kurum içinden müşteri CRM (ürün, paket, konum, profil) bilgilerinin sızmasının
engellenmesi ve sızmaların izlenmesi
- Hizmet Sürekliliği: Gerekli altyapı yatırımlarının yapılması ve süreçlerin
geliştirilmesi ile hizmet sürekliliğinin mümkün olan en üst düzeyde tutulması
- Yeni Teknolojilerin Güvenli Adaptasyonu: Her geçen gün ortaya çıkan yeni
teknolojilerde öncü uygulayıcı (early adaptor) olan telekom sektöründe gerekli risk
analizlerinin yapılması ve güvenlik ihlallerine karşı önlemlerin alınması
- Yatırım Etkinliği: En yüksek BT yatırımı gerçekleştiren telekom sektörü için
yapılan yatırımlarda belli bir hata ve sapma payı bulunabilmekle birlikte yatırımların
stratejik hedeflere ve rekabet koşullarına uygun biçimde gerçekleştirilmesi
Enerji Sektörü: Finans ve Telekom sektörleri kadar olmasa da toplum hayatı
ve ekonomi açısından önemi nedeniyle sıkı düzenlemelere tabi olan Enerji sektöründe
son yıllarda bilgi güvenliği de düzenlemelere konu olmaktadır. Düzenlemelerin yanı
sıra sektörün bireysel kullanıcıya yönelik online işlem imkanlarını sağlaması nedeniyle
de ilgili kurumların bilgi güvenliği problemlerini yönetmeleri gerekmektedir. Enerji
sektörü açısından önemli güvence ihtiyaçları aşağıdaki alanlar olarak sayılabilir:
- Endüstriyel Kontrol Sistemleri’nin (ICS / SCADA) Sabotaj ve Terörist Saldırılara
Karşı Korunması: Son yıllarda enerji sektörünü devlet destekli seviyede hedef
alan siber saldırılara karşı gerekli önlemlerin alınması
- Tahsilat Sistem ve Entegrasyonlarının Sürekliliği ve Güvenliğinin Sağlanması:
Faturalama ve tahsilat süreçlerindeki olası gecikme ve hizmet kesintilerine karşı
gerekli süreklilik altyapı yatırımlarının yapılması ve süreçlerin geliştirilmesi,
gerekli güvenlik kontrollerinin uygulanması
- Müşteri CRM Bilgilerinin Rekabete Karşı Korunması: Yüksek rekabete konu enerji
sektöründe müşteri CRM bilgilerinin rekabetin eline geçmesinin engellenmesi için
gerekli erişim kontrolleri, log yönetimi ve izleme kontrollerinin uygulanması
Perakende Sektörü: Gıda, teknoloji, giyim v.d. alanlarda faaliyet gösteren
perakende sektörü için bilgi güvenliğinden ziyade BT kaynaklarının etkin kullanımı
neticesinde stok maliyetlerinin düşürülmesi ve karar destek sistemlerinin etkin
kullanımı önem kazanmaktadır. Buna göre bu sektörde öncelikli olarak aşağıdaki konularda
güvence ihtiyacı bulunmaktadır:
- Etkili BT Proje Yönetimi ve BT Çözümleri Teslim Etme Kabiliyeti: Kurumun
sahip olduğu iş gereksinimlerini karşılayabilecek bir BT organizasyonu / yönetimine
sahip olup olmadığı, yazılım geliştirme sürecinin sağlıklı yürüyüp yürümediği
- Yeterli Karar Destek Sistemlerinin Bulunması: Gerekli optimizasyonların sağlanması
için maliyet ve diğer verilerin toplandığı ve gerekli araçlarla analiz edildiği
ortamların sağlanması
- Kredi Kartı Bilgileri Güvenliği: Kredi kartı ödemeleri ile ilgili risklerden
kaçınılıp kaçınılmadığı veya bu risklerin ele alınıp alınmadığı
Üretim ve Taahhüt Sektörleri: Üretim sektörü açısından kaynakların etkin
kullanımını destekleyecek ve entegre iş uygulamalarının varlığı rekabet ihtiyaçları
açısından son derece önemlidir. Buna göre üretim ve taahhüt sektörlerinde (ör: Tekstil,
Madencilik, İnşaat) aşağıdaki alanlarda güvence ihtiyacı yüksek düzeydedir:
- Etkili BT Proje Yönetimi ve BT Çözümleri Teslim Etme Kabiliyeti: Kurumun
sahip olduğu iş gereksinimlerini karşılayabilecek bir BT organizasyonu / yönetimine
sahip olup olmadığı, yazılım geliştirme sürecinin sağlıklı yürüyüp yürümediği
- Yeterli Karar Destek Sistemlerinin Bulunması: Gerekli optimizasyonların sağlanması
için maliyet ve diğer verilerin toplandığı ve gerekli araçlarla analiz edildiği
ortamların sağlanması
Bunların dışında BT organizasyonları ve süreçleri açısından önemli hijyen kuralları
(ör: olay yönetimi, değişiklik yönetimi, yedekleme, loglama, kapasite ve performans
izleme, v.d. süreçler) gözden geçirilerek BT servislerinin sağlıklı biçimde gerçekleştirilmesine
ilişkin güvence sağlanabilir.
BT denetimi bir iş riski olan bilgi teknolojileri riskleri için önemli bir güvence
aracıdır. Bilgi teknolojileri kullanımı önemli olan tüm şirket ve sektörlerde mutlak
ihtiyaç duyulan bir denetim türüdür. Ayrıca bilgi teknolojileri denetimi bilgi paylaşımının
yüksek olduğu tedarikçi ve iş ortakları ile ilgili risklerin yönetilmesi açısından
da vazgeçilmez bir araçtır.