Yazarlar 26 MAYIS 2014 / 08:14

Bilgi işlem ve bilgi teknolojilerinde denetimin önemi

Riskleri önleyecek etkin kontrol mekanizmalarının oluşturulmaması durumunda sistemlerde üretilen bilginin gizliliği, bütünlüğü ve kullanılabilirliği, dolayısıyla bu bilgiyi işleyen, tutan ve raporlayan sistemlerin güvenliği ve güvenilirliği zarar görebilmektedir. Bu nedenle, bu teknolojilerin yoğun kullanıldığı ortamlarda yürütülecek denetimler sırasında bu risklerin etkilerini dikkate alan yaklaşım, metot ve tekniklerin benimsenmesi gerekmektedir.

Günümüzde bilgisayar teknolojisi hızla gelişmekte ve teknolojinin sunduğu olanaklardan faydalanmak amacıyla kurumlarda bilişim sistemleri her alanda giderek daha yaygın bir şekilde kullanılmaktadır. Mali konulardan başlayarak, kurumların tüm alanlarında bilişim sistemlerinin kullanımı teknolojiye özgü riskleri de beraberinde getirmektedir.
Bilişim sistemleri, bir faaliyeti desteklemek amacıyla kurulan bilgisayar donanımı, yazılımı ile kaynak paylaşımını gerçekleştirmek için bilgisayarları birbirine bağlayan ağlar ve onları kullananlardan oluşur. Bir sistemi anlamak için; kurum bilişim sistemlerinin donanım yapısı, kullanılan yazılımlar ve ağ yapısı incelenmeli sistemi işleten ve kullanan personel ile sisteme veri giriş yöntemleri konusunda bilgi edinilmelidir.
Uzunca zamandır şirketlerimizde sadece Kurumsal Yönetimden değil kurumsal risk yönetiminden bahsediyoruz. Operasyonel, finansal, stratejik, yönetilemeyen dış riskler başlıklarında oluşturulan kurumsal risk yönetiminin operasyonel riskler bölümü altında konumlandırdığımız teknolojik riskler başlığında bilgi işlem konusunu irdeliyor ve oluşabilecek riskleri yönetmeye çalışıyoruz. Riskleri önleyecek etkin kontrol mekanizmalarının oluşturulmaması durumunda sistemlerde üretilen bilginin gizliliği, bütünlüğü ve kullanılabilirliği, dolayısıyla bu bilgiyi işleyen, tutan ve raporlayan sistemlerin güvenliği ve güvenilirliği zarar görebilmektedir. Bu nedenle, bu teknolojilerin yoğun kullanıldığı ortamlarda yürütülecek denetimler sırasında bu risklerin etkilerini dikkate alan yaklaşım, metot ve tekniklerin benimsenmesi gerekmektedir.
Burada karşımıza çıkan bilişim sistemlerinin denetlenmesi nasıl yapılacağıdır. Bu denetleme, iç denetim fonksiyonu faaliyetleri odaklı yapılabilir. Ama sadece kurumun iş süreçlerinden biri olarak görülmemeli, bağımsız dış denetimlerin bir parçası halinde görülmelidir. Birçok bağımsız denetim şirketinin bilgi teknolojileri denetimi yaptığını ve bu konuda yetkin personelleriyle, uluslararası norm ve kalitede denetim hizmeti verdiğini görmekteyiz. Kurumlarda bilişim sistemleri denetiminin planlanmasında denetçinin yapacakları sistematik bir şekilde oluşturulur. Bunlar; kurum bilişim sistemlerinin anlaşılması, sistem risk değerlendirmelerinin yapılması, denetim kapsamının ve uzman ihtiyacının belirlenmesi, denetim stratejisinin oluşturulması ve denetim programlarının hazırlanmasından oluşur. Sistem kontrollerinin değerlendirilmesinde kontrol alanları göz önünde tutulur. Her bir kontrol alanı için, kontrol hedefi, o alana ilişkin riskler ve bu riskleri minimize edecek kontrol faaliyetleri açıklanacak şekilde düzenlenmiş ve o alandaki kontrollerin varlığı ve etkinliğinin nasıl değerlendirileceği gösterilmelidir.
Bilgi işlem denetim planlamasında; dikkat edilecek bunlara benzer başlıklar oluşturulması ve etkin hale getirilmesi gerekmektedir.
Bu planlama yapılmazsa; bilişim sisteminin çalışanın isteyerek veya istemeyerek verebileceği zararlara açık hale gelmesi, kritik veya gizli bilgilerin görülmesi, kopyalanması veya kaybedilmesi, kurum dışına çıkarılması, bilgisayar donanımının veya üzerindeki yazılım ve bilgi bulunduran parçaların çalınması-bozulması, sistemin yetkisiz kişilerin izinsiz erişimi sonucu bozulması-hasar görmesi, bilişim sisteminin yangın, sel, elektrik kesintileri veya voltaj düzensizlikleri, sıcaklık ve nem gibi çevresel tehlikelerle kısmen veya tamamen çalışamaz duruma gelmesi ve hizmette aksaklıklara veya veri kayıplarına neden olması gibi durumlarla karşılaşılabilir, kurumlar büyük zararlar görebilir.
Kurumlarda bilgi işlem denetimi prosedürlerinin hazırlanması ve uygulanmaya konmasına öncelik verilmelidir. Denetimi iç kontrol konuları arasına alınmalı ve kurumun büyüklüğüne ve iş süreçlerinin bilgi teknolojilerine bağımlılığına göre tercihan bağımsız dış denetim hizmeti alınmalıdır.

Kurumların bilgi işlem denetiminde dikkat edilecek başlıklar

• Bilgi güvenliği politika belgesi olup var mı?
• Güvenlik politika belgesi anlaşılır bir dille yazılıp/basılıp tüm çalışanlara dağıtılmış mı?
• Bu güvenlik politikası üst yönetim tarafından onaylanmış mı?
• Güvenlik tedbirlerine uyulmaması durumunda, karşılaşılabilecek riskler belirtilmiş mi?
• Güvenlik politikalarını destekleyen diğer politika ve prosedürlere referans verilmiş mi?
• Elektronik posta, şifre, kötü niyetli yazılımlardan korunma, internet erişim ve kullanım, sunucu ve ağ cihazları güvenlik, ağ yönetimi güvenlik, uzaktan erişim, sanal özel ağ (VPN), güvenlik açıkları tespit etme, kablosuz iletişim, internet DMZ cihazları politikası var mı?
• Bilgi işlem risk değerlendirme politikası oluşturulmuş mu?
• Bilgi işlem kriz/acil durum yönetimi politikası var mı?
• Bilgi sistemlerinin genel kullanım politikası var mı?
• Donanım ve yazılım envanteri oluşturulmuş mu?
• Fiziksel güvenlik, kimlik doğrulama ve yetkilendirme, veritabanı güvenlik, değişim yönetimi, bilgi sistemleri yedekleme, bakım, kişisel kayıtların güvenliği politikası oluşturulmuş mu?
• Çalışanlar politika belgesine kolayca ulaşmasını sağlayacak bilgilendirme, dağıtım ve duyuru prosedürleri var mı?
• Kurum bilişim sistemlerine yetkisiz erişimi engelleyecek ve kurum varlıklarını koruyacak her türlü fiziksel ve çevresel tehlikelere karşı önlemler almış mı?
• Donanımın ve yazılımların yetkisiz kişiler tarafından çalınmasına karşı önlemler alınmış mı?
• Bilgi işlem bölümlerine yetkisiz kişilerin fiziksel müdahalesine karşı önlemler alınmış mı?
ETİKETLER : Sayı:973