Maliye Bakanlığı İç Denetim Koordinasyon kurulu
tarafından Dünya Bankasından sağlanan hibe kapsamında, Hazine Müsteşarlığı ve
Sosyal Güvenlik Kurumunda yürütülen pilot bilgi teknolojileri denetimleri
sonuçlarından da yararlanılarak “Kamu Bilgi Teknolojileri Denetimi Rehberi
(TASLAK)” hazırlanmış ve Rehber Taslağına yönelik iç denetim birimlerinden
gelecek görüşler sonucunda rehberin son şeklinin verileceğine ilişkin duyuru
şurada yapılmıştır. Bu doğrultuda İç Denetim Birimleri Başkanlıklarından 22
Kasım 2013 tarihine kadar görüş istenmektedir.
Kendi
alanımla alakalı olduğu için dokümanı inceledim ve dokümana ilişkin hızlıca bir
bilgi notu hazırladım;
Doküman geneli ile ISACA çerçeveleri olan CobIT 4.1 ve
COBIT 5 üzerinde şekillenmiş ve aşağıda listelenen standartlar, rehberlerin de
katkısı sunularak tasarlanmıştır. Geneliyle diyorum çünkü dokümanın can alıcı
noktaları olan kurum seviyesi yönetişim ile ilgili kontroller ve süreç seviyesi
BT genel kontrolleri her iki çerçeve ile de birebir uyuşmaktadır.
IT Assurance Guide Using COBIT 4.1
(IT Governance Institute, 2007)
ITAF (ISACA, 2008)
ITAF 2nd Edition (ISACA, 2013)
ISACA Denetim Kılavuzları
The Institue of Internal Auditors –
Guide to the Assessment of IT Risk (GAIT)
The Institue of Internal Auditors –
Global Technology Audit Guides (GTAG)
The Institue of Internal Auditors –
Uygulama Kılavuzları
Committee of Sponsoring
Organizations of the Treadway Commission (COSO) – Enterprise Risk Management
ISO 2700x ailesi
Tübitak – Bilgem Kılavuzları
IT Infrastructure Library v3 (UK
Cabinet Office, 2011)
ISO 22301 (International Standards
Organization, 2012)
Dokümanın yapısı kontroller üzerine kurulmuştur. İkinci
bölümde BT Denetim Metodolojisinin anlatıldığı rehberde, kontroller 4 temel
başlıkta işlenmiştir. Kontroller, Kurum Seviyesi ve Yönetişim ile ilgili
kontroller, Süreç Seviyesi BT Genel Kontrolleri, Uygulama Kontrolleri ve alt
yapı seviyesi genel kontrolleri olmak üzere ayrı bölümlerde incelenmiş, her
kontrol türüne göre riskler ve kontroller paylaşılmış, risklerle kontroller
tablo şeklinde eşleştirilmiştir. Paylaşılan kontroller zorunlu ve isteğe
bağlı(opsiyonel) kategoride ayrılmış, zorunlu olanların her kurumda ortak
olduğu,İsteğe bağlı olanların ise kurum yapısına göre seçilebileceği
vurgulanmıştır.
Bölümlerin
Detaylı Başlıkları aşağıdaki gibidir:
3. BT KURUM
SEVİYESİKONTROLLERİ VE YÖNETİŞİM SÜREÇLERİ DENETİMİ
3.1. KURUM
SEVİYESİ KONTROLLER
3.2. BT
YÖNETİŞİM SÜRECİ DENETİMİ
4. BİLGİ
TEKNOLOJİLERİ YÖNETİM SÜREÇLERİ DENETİMİ
4.1.
DEĞİŞİKLİK
4.2.
GÜVENLİK HİZMETLERİ
4.3. YARDIM
MASASI, OLAY VE PROBLEM YÖNETİMİ
4.4. BT
OPERASYON VE YEDEKLEME
4.5.
SÜREKLİLİK YÖNETİMİ
4.6. BT
ALTYAPI VE YAZILIM EDİNİM, KURULUM VE BAKIMI
4.7. BT
HİZMET
4.8. RİSK
YÖNETİMİ
5. UYGULAMA
KONTROLLERİNİN DENETİMİ
5.1.
Uygulama kontrolleri
5.2.
Uygulama kontrolleri – BT genel kontrolleri ilişkisi
6. BT
ALTYAPI GENEL
6.1. İŞLETİM
SİSTEMLERİ
6.2.
VERİTABANI SİSTEMLERİ
6.3 AĞ
SİSTEMLERİ
6.4.
UZAKTAN ERİŞİM
Dokümanda kontrollerin detayı ile
paylaşıldığı 4 bölüm incelendiğinde 3. ve 4. Bölümün COBIT süreçleri ile
örtüştüğü, 5. Bölüme yönelik olarak uygulama kontrollerinin Kaynak veri
hazırlığı ve yetkilendirme, Kaynak Verilerin Toplanması ve Girilmesi, Doğruluk,
Tamlık ve Orijinallik Kontrolleri, Veriİşleme Bütünlüğü ve Doğrulaması, Çıktı
Kontrolü, Mutabakatı ve Hata Yönetimi şeklinde verinin giriş, işlenme, saklanma
ve çıkış aşamalarına yönelik kontrollerin paylaşıldığı görülmüştür. Ayrı bir
alt bölüm içerisinde ise uygulama kontrolleri ile genel kontroller arasındaki
ilişkiye değinilmiştir.
6. ve son bölümde ise sektörde yaygın
olarak kullanılan işletim sistemleri olan UNIX ve WINDOWS’a ve piyasada yaygın
olan VTYS olan MsSQL ve ORACLE veri tabanlarına yönelik olarak ürün bazlı
kontrol noktaları paylaşılmıştır. Alt yapıya yönelik kontrollerin devamında ise
üründen bağımsız olarak ağ sistemleri ve uzaktan erişime yönelik kontroller yer
almaktadır.
UNIX’e yönelik olarak kontroller aşağıdaki
yapı altında detaylandırılmıştır;
1. KullanıcıHesap Yönetimi ve Şifreler
2. KullanıcıGüvenlik Dosyalarına Erişim
3. Şifre ve Güvenlik Parametreleri
4. KullanıcıOturum Açma Girişimlerinin Gözden Geçirilmesi
WINDOWS’a yönelik olarak kontroller
aşağıdaki yapı altında detaylandırılmıştır;
1. KullanıcıHesap Yönetimi ve Şifreler
2. Kritik Dosyalara Erişim
3. VarsayılanŞifre ve Güvenlik Parametreleri
MSSQL’e
yönelik olarak kontroller aşağıdaki yapı altında detaylandırılmıştır;
2. Kritik Dosyalara Erişim
3. Şifre ve Güvenlik Parametreleri
ORACLE’a
yönelik olarak kontroller aşağıdaki yapı altında detaylandırılmıştır;
1. KullanıcıHesap Yönetimi ve Şifreler
2. Kritik Dosyalara Erişim
3. Şifre ve Güvenlik Parametreleri
Ağ Sistemlerine yönelik olarak kontroller aşağıdaki
yapıaltında detaylandırılmıştır;
1. Ağayrıştırması (segmentasyon)
2. Ağ cihazları güvenliği
3. Güvenli iletişim
Ürün bazında detaylandırılan bu kontrol noktalarına
ilişkin detaylı ekran görüntüleri, veri toplamaya yönelik komutlar ve script
kodlarının rehber üzerinde yer aldığı görülmektedir.
Internet
üzerinden erişimi mümkün, denetim esnasında yön gösterici olarak
değerlendirilebilecek çeşitli kaynaklarda yer alan faydalı bilgilerin bir araya
getirildiği bir rehber olarak değerlendirilebilir. Doküman üzerinde daha öncede
açıklandığı gibi çeşitli standart ve rehberlerden bir harmanlama yapılmış.
Özellikle uygulama kontrollerine yönelik rehberleri Tubitak Ulusal Bilgi
Güvenliği Kapısı isimli web sitesinde paylaşılan rehberlerden faydalanıldığı
görülmektedir. Alt başlıkların kaynakça bölümlerinde alt başlığın hangi
süreçlerle ilişkilendirildiği paylaşılmıştır.
Dokümanın
ilk bölümünde geneli ile BT denetim tanımları, BT denetime yönelik sertifikalar
ve kısaca sertifikasyon sürecine ilişkin bilgiler verilmiştir. Sertifikalara
bakıldığında CISA, CISM, CGEIT, CRISC sertifikalarından bahsedildiği
görülmüştür.
Dokümanın Türkçe oluşu, geniş bir yelpazeden kontrol
noktalarına kadar detay derecede hükümlerin belirlenmişolması, detay çizimler,
görseller ve komutların paylaşılması kamu kesimindeki denetçiler tarafından
benimsenmesini sağlayabilir. Bunun yanında kontrollerin detayına kadar rehberde
yer alması, zorunluluk ve opsiyonellik bağlamında değerlendirilmesi dokümanın
esnekliği anlamında olumsuz değerlendirilebileceği gibi, rehber üzerinde örnek
bir modelin paylaşıldığı, kontrollerin önem derecesine göre zorunlu ve
opsiyonelliğinin belirlendiği yorumu da yapılabilir.
Türkiye
özelinde BT Denetim alanında Türkçe kaynak olabilmesi açısından ilkler arasında yer alacağını söylemek yanlış olmayacaktır. ISACA İstanbul tarafında
CobIT 4.1'den COBIT 5'e geçiş aşamasında faydalı olabilecek dokümanlar ve COBIT
5'in Türkçe versiyonlarının da yakın gelecekte hazırlanacak olması Türkiye'de
BT Denetim alanında Türkçe kaynak sayısının artması ve dolayısıyla BT Denetim
sektörünün gelişmesi açısından önemlidir.
BDDK tarafından 2006 yılından itibaren yasal zemine
oturtulan ve COBIT çerçevesinin referans edildiği Bilgi Teknolojileri Denetim
faaliyetleri ilk olarak Bankacılık sektöründe başlamış ve günümüze kadar
belirli bir olgunluk seviyesine gelmişti. Zamanla özellikle Bankaların iştiraki
olan sigorta şirketleriyle başlayan BT Denetimi alanındaki faaliyetler yasal
zorunluluk olmamasına rağmen neredeyse bütün sigorta kuruluşlarında icra edilir
hale gelmiştir. Teknoloji hizmeti üreten büyük Telekominikasyon şirketlerinde
de bu alanda faaliyet gösteren denetim birimleri ciddi çalışmalar yapmakta,
kimilerinde ise sadece COBIT çerçevesi değil, ABD borsalarına kote olunması
nedeniyle SOX kapsamında denetimler de yapılmaktadır. Otomotiv, Hızlı Tüketim,
Tekstil, Enerji gibi farklı sektörlerden bazı önemli oyuncularda da BT Denetimi
ve Yönetişimi alanında ekiplerin oluşturulması ve çeşitli faaliyetlerde
bulunulması önemli bir noktadır.
Kamu tarafında hazırlanan bu rehber, BT Denetim
konusunda Kamu kesiminin de konuya ilişkin ilgisinin yoğun olduğunu
göstermektedir. Gelecek vadede ise kritik önemi dolayısıyla ilginin her geçen
gün artacağı düşünülmektedir.
0 yorum:
Yorum Gönder