Günümüzde bilgisayar
teknolojisi hızla gelişmekte ve teknolojinin sunduğu olanaklardan faydalanmak amacıyla
kurumlarda bilişim sistemleri her alanda giderek daha yaygın bir şekilde
kullanılmaktadır. Mali konulardan başlayarak, kurumların tüm alanlarında bilişim
sistemlerinin kullanımı teknolojiye özgü riskleri de beraberinde getirmektedir.
Bilişim sistemleri,
bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile
kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar
ve onları kullananlardan oluşur. Bir sistemi anlamak için; kurum bilişim
sistemlerinin donanım yapısı, kullanılan yazılımlar ve ağ yapısı incelenmeli
sistemi işleten ve kullanan personel ile sisteme veri giriş yöntemleri
konusunda bilgi edinilmelidir.
Uzunca zamandır
şirketlerimizde sadece Kurumsal Yönetimden değil Kurumsal Risk Yönetiminden
bahsediyoruz. Operasyonel, Finansal,
Stratejik, Yönetilemeyen Dış Riskler başlıklarında oluşturulan Kurumsal Risk
Yönetiminin Operasyonel riskler bölümü altında konumlandırdığımız Teknolojik
riskler başlığında Bilgi işlem konusunu irdeliyor ve oluşabilecek riskleri
yönetmeye çalışıyoruz. Riskleri önleyecek etkin kontrol mekanizmalarının
oluşturulmaması durumunda sistemlerde üretilen bilginin gizliliği, bütünlüğü ve
kullanılabilirliği, dolayısıyla bu bilgiyi işleyen, tutan ve raporlayan
sistemlerin güvenliği ve güvenilirliği zarar görebilmektedir. Bu nedenle, bu teknolojilerin
yoğun kullanıldığı ortamlarda yürütülecek denetimler sırasında bu risklerin
etkilerini dikkate alan yaklaşım, metot ve tekniklerin benimsenmesi
gerekmektedir.
Burada karşımıza
çıkan Bilişim sistemlerinin denetlenmesi nasıl yapılacağıdır. Bu denetleme,
iç denetim
fonksiyonu faaliyetleri odaklı yapılabilir. Ama sadece kurumun iş süreçlerinden
biri olarak görülmemeli, bağımsız dış denetimlerin bir parçası halinde
görülmelidir. Birçok bağımsız denetim şirketinin Bilgi Teknolojileri Denetimi
yaptığını ve bu konuda yetkin personelleriyle, uluslararası norm ve kalitede denetim
hizmeti verdiğini görmekteyiz. Kurumlarda bilişim sistemleri denetiminin
planlanmasında denetçinin yapacakları sistematik bir şekilde oluşturulur. Bunlar;
kurum bilişim sistemlerinin anlaşılması, sistem risk değerlendirmelerinin
yapılması, denetim kapsamının ve uzman ihtiyacının belirlenmesi, denetim
stratejisinin oluşturulması ve denetim programlarının hazırlanmasından oluşur. Sistem
kontrollerinin değerlendirilmesinde kontrol alanları göz önünde tutulur. Her
bir kontrol alanı için, kontrol hedefi, o alana ilişkin riskler ve bu riskleri
minimize edecek kontrol faaliyetleri açıklanacak şekilde düzenlenmiş ve o
alandaki kontrollerin varlığı ve etkinliğinin nasıl değerlendirileceği
gösterilmelidir.
Kurumların bilgi işlem denetiminde dikkat edilecek
başlıkları şu şekilde ifade etmek mümkündür.
ü Bilgi güvenliği politika belgesi olup var mı?
ü Güvenlik politika belgesi anlaşılır bir dille
yazılıp/basılıp tüm çalışanlara dağıtılmış mı?
ü Bu güvenlik politikası üst yönetim tarafından
onaylanmış mı?
ü Güvenlik tedbirlerine uyulmaması durumunda,
karşılaşılabilecek riskler belirtilmiş mi?
ü Güvenlik politikalarını destekleyen diğer politika ve
prosedürlere referans verilmiş mi?
ü Elektronik posta, şifre, kötü niyetli yazılımlardan
korunma, internet erişim ve kullanım, sunucu ve ağ cihazları güvenlik, ağ
yönetimi güvenlik, uzaktan erişim, sanal
özel ağ (VPN), güvenlik açıkları tespit etme, kablosuz iletişim, İnternet DMZ
cihazları politikası var mı?
ü Bilgi işlem risk değerlendirme politikası oluşturulmuş
mu?
ü Bilgi işlem kriz/acil durum yönetimi politikası var
mı?
ü Bilgi sistemlerinin genel kullanım politikası var mı?
ü Donanım ve yazılım envanteri oluşturulmuş mu?
ü Fiziksel güvenlik, kimlik doğrulama ve yetkilendirme,
veri tabanı güvenlik, değişim yönetimi, bilgi sistemleri yedekleme, bakım, kişisel
kayıtların güvenliği politikası oluşturulmuş mu?
ü Çalışanlar politika belgesine kolayca ulaşmasını
sağlayacak bilgilendirme, dağıtım ve duyuru prosedürleri var mı?
ü Kurum bilişim sistemlerine yetkisiz erişimi
engelleyecek ve kurum varlıklarını koruyacak her türlü fiziksel ve çevresel
tehlikelere karşı önlemler almış mı?
ü Donanımın ve yazılımların yetkisiz kişiler tarafından
çalınmasına karşı önlemler alınmış mı?
ü Bilgi işlem bölümlerine yetkisiz kişilerin fiziksel
müdahalesine karşı önlemler alınmış mı?
Bilgi işlem denetim planlamasında;
dikkat edilecek bunlara benzer başlıklar oluşturulması ve etkin hale
getirilmesi gerekmektedir.
Bu planlama yapılmazsa;
bilişim sisteminin çalışanın isteyerek veya istemeyerek verebileceği zararlara
açık hale gelmesi, kritik veya gizli bilgilerin görülmesi, kopyalanması veya
kaybedilmesi, kurum dışına çıkarılması, bilgisayar donanımının veya üzerindeki
yazılım ve bilgi bulunduran parçaların çalınması-bozulması, sistemin yetkisiz
kişilerin izinsiz erişimi sonucu bozulması-hasar görmesi, bilişim sisteminin
yangın, sel, elektrik kesintileri veya voltaj düzensizlikleri, sıcaklık ve nem
gibi çevresel tehlikelerle kısmen veya tamamen çalışamaz duruma gelmesi ve
hizmette aksaklıklara veya veri kayıplarına neden olması gibi durumlarla
karşılaşılabilir, kurumlar büyük zararlar görebilir.
Kurumlarda bilgi
işlem denetimi prosedürlerinin hazırlanması ve uygulanmaya konmasına öncelik
verilmelidir. Denetimi iç kontrol konuları arasına alınmalı ve kurumun
büyüklüğüne ve iş süreçlerinin bilgi teknolojilerine bağımlılığına göre
tercihan bağımsız dış denetim hizmeti alınmalıdır.
