• +90 212 702 00 00
  • +90 532 281 01 42
  • info@muayene.com
trarbgzh-TWenfrkadefaru

Güvenlik Denetimleri

Teknik Destek Denetimleri
Bilgi teknolojileri denetimi kapsamına esas olarak şu konular girmektedir: • Veri tabanı yönetim sistemleri (Oracle, Microsoft SQL server, Sybase ve DB2) • Ağ sistemleri (güvenlik duvarları (firewall), yerel alan ağları (LAN), yönlendiriciler (routers, switches), IDS / IPS yönetimi ve kablosuz ağlar) • İşletim sistemleri (Microsoft Windows, Linux (Red Hat Enterprise ve benzerleri), UNIX (Sun Solaris, HP-UX, IBM AIX, ve benzerleri) • Uygulamalar (işletmelerin ihtiyaçları dorultusunda geliştirilen, muhasebe, kurumsal kaynak planlama, finansal raporlar ve envanter yönetimi benzeri yazılımlar) Teknik destek denetimleri yukarıdaki ilk üç başlık üzerinde yoğunlaşmaktadır. Teknik destek hizmetleri kapsamında verilen başlıca hizmetleri şunlardır: • Firewall yönetimi (bilgisayar ağlarının en önemli savunma hattını firewall, yani güvenlik duvarları oluşturmaktadır). • IPS / IDS yönetimi (IDS, saldırı tespit sistemi anlamına gelmektedir. Bu sayede sisteme bir saldırı yapıldığı anlaşılmakta ve bu saldırıyı yapan kaynağın bir daha sisteme ulaşması engellenmektedir. IPS, saldırı önleme sistemi anlamına gelmektedir. Amacı kötü niyetli ağ hareketlerini önlemektir). • VPN yönetimi (sanal özel ağ anlamına gelen VPN, internete başka bir IP adresi üzerinden bağlanma imkanı vermektedir. Bu uygulama internet bağlantısını güvenli hale getirmekte ve herhangi bir ağa bağlanırken şifre ve kimlik bilgilerinin bulunamamasını sağlamaktadır). • DLP yönetimi (veri kaybı ve sızıntısı önleme sistemi olan DLP, internetin güvenliği alanında gittikçe kullanımı artan bir veri koruma uygulamasıdır. Bu sayede sistemden istenmeyen bilgilerin çıkışını önlenebilmektedir). • Antispam filtreleme (istenmeyen mesajları e-posta gelen kutusundan uzak tutmaya ve ayrı bir klasöre atmaya yarayan bir uygulamadır). • Envanter çalışması (belli bir ağa bağlı veya tek başına çalışan bütün yazılımların ve donanımların envanterinin çıkartılmasına yönelik bir çalışmadır). • MDM çözümleri (mobil cihaz yönetimi anlamına gelen MDM çözümleri, kişisel bilgisayarda yapılan herşey mobil cihazlarda yapılabiliyorsa, ofiste yapılan işler de mobil cihazlara taşınabilir düşüncesi ile ortaya çıkmıştır. Böyle olunca da mobil cihazların yönetimi ciddi boyut kazanmıştır). • Privileged password management çözümleri (uygulamaların bu kadar çoğalması güvenlik bakımından şifreleme ihtiyaçlarını da arttırmıştır). Kuruluşumuz denetim hizmetleri kapsamında teknik destek denetim hizmetleri vermektedir. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun faaliyet göstermektedir.

Uygulama Kontrolleri Denetimleri

Genel anlamı ile uygulama kontrolleri, verilerin düzenlenmesi, iş süreçlerinin ayrılması, eşleştirilmesi ve dengelenmesi ve hataların raporlanmasına yönelik uygulama sistemlerinin kapsamına ilişkin kontrollerin bütünüdür. Başka bir anlatımla uygulama kontrolleri şu noktalarda emin olmak için yapılmaktadır:

  • Sisteme girilen bilgilerin kesin, tam, doğru ve sadece yetkisi olan kişiler tarafından oluşturulmuş olduğu
  • Bilgilerin kabul edilebilir bir zaman içinde ve hedeflenen şekilde sisteme girilmiş olduğu
  • Sistemde tutulan bilgilerin tam ve doğru olduğu
  • Sistemden elde edilen çıktıların tam ve doğru olduğu
  • Bilgilerin sisteme girilmesi, sistemde saklanması ve çıktı alınması süreçlerinin kayıt altında olduğu

Uygulama kontrollerini yapmak amacı ile başvurulan birçok yöntem bulunmaktadır. Örneğin girdi kontrolü, sisteme girilen bilgilerin bütünlüğünü ve bu bilgilerin ne şekilde sisteme kirliğini kontrol etmek amacı ile yapılmaktadır. Bu bilgiler sisteme doğrudan çalışanlar tarafından veya uzaktan bir iş ortağı tarafından girilmiş olabilir, ya da internet üzerinden girilmiş olabilir. Bilgi işleme kontrolü, sisteme girilen bilgilerin tam, doğru ve izin verilmiş olduğundan işletmenin emin olması için yapılmaktadır. Çıktı kontrolleri, sistemden alınan bilginin ne şekilde kullanıldığını tespit etmek amacı ile yapılmaktadır. Bütünlük kontrolleri, bilginin tutarlı olduğundan ve tam olduğundan emin olmak için yapılmaktadır. Yönetim izi kontrolleri ise bilginin girilmesi, işlenmesi ve çıktısının alınmasına yönelik uygulamaların tarihsel izini takip etmek amacı ile yapılmaktadır.

Esas olarak uygulama kontrolleri iki yönde yapılmaktadır: önleyici kontroller ve tespit edici kontroller. Her iki tür uygulama kontrolünde de amaçlanan, uygulama içinde ortaya çıkacak hataları önlemektir. Ancak önleyici kontroller, girilen bilgilerin yazılımın mantığına uygun olup olmadığından emin olmak için yapılmaktadır. Bu durumda sisteme sadece doğru bigilerin girilmesine izin verilmiş olmaktadır. Yanlış bilgiler, daha girilirken önlenmiş olmaktadır. Tespit edici kontrollerde ise sisteme girilmiş bilgilerin, yazılımın mantığı açısından uygun uygun olup olmadığı sonradan kontrol edilmektedir.

Uygulama kontrolleri belirli bir uygulamaya özgüdür. Oysa bilgi teknolojileri genel kontrolleri, sistemdeki bütün kayıtların tamlığı, doğruluğu ve bütünlüğüne özgüdür.

Kuruluşumuz denetim hizmetleri kapsamında uygulama kontrolleri hizmetleri vermektedir. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun faaliyet göstermektedir.

 

 

Kuruma Özel Güvenlik Denetimleri

Bilgi teknolojileri denetimi, altyapı ve süreçlerinden beklenen yararların sağlanıp sağlanmadığına yönelik olarak güvence duymak amacı ile yapılmaktadır. Bu yararlar şu şekilde sıralanabilir:

  • Altyapı ve süreçler iş ihtiyaçlarını ne derece karşılama gücüne sahiptir? (etkililik)
  • Kaynaklar ne derece verimli kullanılmaktadır? (etkinlik)
  • Bilgi varlıklarının gizliliği, bütünlüğü ve sürekliliğinin korunması ne derece sağlanmaktadır? (güvenlik)
  • Nihayet bu sayılan konularda ne kadar yasal düzenlemelere uygun hareket edilmektedir?

Gerçekleştirilecek bilgi teknolojileri denetimi, bu konuda ayrı bir uzmanlık alanıdır. Ancak genel denetim ilke ve kriterlerinden tamamen ayrı değil, aksine uyumlu bir şekilde planlanmalı ve yapılmalıdır. Bu açıdan bakınca bilgi teknolojileri güvenlik denetimleri de risk tabanlı ve nesnel kanıtlara dayalı bir denetim süreci gerektirmektedir.

Bilgi teknolojileri denetimlerinin temelini esas olarak, organizasyonel, süreçsel ve teknik kontroller oluşturmaktadır. Bunun yanında bilgi teknolojileri altyapısının da güvenlik açıklarına karşı korunmasını destekleyen fiziksel kontroller gözardı edimemelidir.

Bu genel ilkeler yanında işletmelerin faaliyet alanlarına ve hizmet koşullarına bağlı olarak kuruma özel güvenlik denetimlerinin yapılması da mümkündür. Bu denetimlerde birçok farklı yöntem metot kullanılabilir. Ancak her yöntem kendi içinde farklı etki kriterlerine sahiptir. Krumun faaliyetlerine bağlı olarak bazı kritik denetlenebilir alanlar farklı özellikler taşıyabilir. Bazı alanlar da iş hedeflerindeki farklılaşmaya bağlı olarak belli dönemlerde önem kazanabilir. Önemli olan yapılacak denetim planlanamasında bu farklılıkları önceden farketmek ve önceliklendirmeyi buna göre yapmaktadır.

Bilgi teknolojileri denetimlerinde kuruma özel olarak farklı uygulamalar ve standartlar uygulanabilir. Örneğin,

·         COBIT (Control Objectives For Information and Related Technology, Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri)

·         TS ISO/IEC 27001 Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim sistemleri - Gereksinimler

·         TS ISO/IEC 27002 Bilgi Teknolojisi - Güvenlik Teknikleri - Bilgi Güvenliği Kontrolleri İçin Uygulama Prensipleri

·         PRINCE (Projects in Controlled Environments, Kontrol Edilmiş Ortamlardaki Projeler)

·         CMMI (Capability Maturity Model Integration, Kapasite Olgunluk Model Entegrasyonu

·         ITIL (Information Technology Infrastructure Library, Teknolojileri Altyapı Kütüphanesi)

 

Kuruluşumuz denetim hizmetleri kapsamında kuruma özel güvenlik denetimleri hizmetleri vermektedir. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun faaliyet göstermektedir.

BT Genel Kontrolleri Denetimleri

Bir işletmede iş süreçlerinin manuel yürütülmesi, yanlış finansal tabloların hazırlanmasına, çalışan sayısının olması gerekenden yüksek olmasına, hergün operasyonel risklerin daha fazla büyümesine ve olası kötü niyeteli davranışların önünün açılmasına neden olmaktadır. Bu yüzden işletmelerin gücünü arttırma konusunda sağlam bir bilgi teknolojileri alt yapısının olması ve işletmede güçlü bir kontrol ortamının kurulmuş olması son derece önemlidir.

Esas olarak işletmelerde bilgi teknolojileri genel kontrolleri çeşitli açılardan önemli olmaktadır. Bu sayede sisteme bağlı kontroller ve iş süreçleri desteklemiş olmakta ve finansal ve operasyonel riskler en düşük seviyeye çekilmiş olmaktadır. Ayrıca sisteme bağlı kontroller ve süreçlerin verimi arttırılmış ve en önemlisi bunlara güvence sağlanmış olmaktadır. Bir de olması gerekiği şekilde bilgi bütünlüğü, tamlığı ve doğruluğu güvencesi elde edilmiş olmaktadır.

Genel olarak bilgi teknolojileri genel kontrolleri üç aşamada yoğunlaşmaktadır. Bu alanların denetimi, kontrol noktalarının tespit edilmesi ve bu kontrol noktalarının ne kadar etkin olduklarınnın test edilmesi şeklinde olmaktadır. Bu alanlar şu şekildedir:

  • Veriye erişimi (bu alanda bilgi güvenliği, yetkilendirme, fiziksel erişim, erişim yönetimi ve izleme süreçleri kontrol edilmektedir)
  • Program ve uygulama geliştirme (bu alanda uygulama geliştirme yöntemleri, veri dönüşümü, geliştirme, test, onay ve uygulama süreçleri kontrol edilmektedir)
  • Yazılım değişiklikleri (bu alanda yazılım geliştirme, test ve onay, yazılımın üretim ortamına aktarılması, konfigürasyon çalışmaları ve acil değişiklik süreçleri kontrol edilmektedir)
  • Bilgi teknolojileri operasyonları (bu alanda operasyon takibi, yedekleme ve geri dönüş çalışmaları ve problem yönetimi süreçleri kontrol edilmektedir)

Gerçekleştirilen bilgi teknolojileri genel kontrolleri, iş süreçleri üzerinde olumlu etkilere sahiptir. Bugün bu kontroller, iş süreçlerinin temel dayanağıdır. Bu genel kontollerin güçlü yapılmaması durumunda, herhangi bir iş sürecinin denetiminde sisteme bağlı yapılan kontrollere ve süreçlere güvenmek güçtür. Genel kontroller sistemlerde tutulan verinin bütünlüğünü, doğruluğunu ve tamlığını güvence altına almaktadır. Dolayısıyla sistem kullanan bütün iş süreçleri, bilgi teknolojileri genel kontrollerinden etkilenmektedir.

Kuruluşumuz denetim hizmetleri kapsamında bilgi teknolojileri genel kontrolleri hizmetleri vermektedir. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun faaliyet göstermektedir.

 

 

Cobit Denetimleri

COBIT, İngilizce Control Objectives For Information and Related Technology ifadesinin baş harflerinden oluşmuştur ve Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri anlamına gelmektedir. Bilgi teknolojileri alanında faaliyet gösteren firmalar, bu uygulama sayesinde bilgi teknolojileri yönetim modeli geliştirmekte ve işletmelerinin varlıklarını korumaya çalışmaktadır. Ancak COBIT sadece bir kontrol aracı değil, büyük ölçüde bir yönetim aracıdır. Yine de daha çok denetime odaklanmaktadır. Bu şekilde bilgi teknolojileri alanında işletmelerin yönetim kadrolarından çalışanlara kadar, işletmenin var olması ve faaliyetlerinde başarılı olması konusunda fayda sağlamayı hedeflemektedir.

Ülkemizde bilhassa finans sektöründe COBIT’in önemi farkedilmiş ve son yıllarda birçok alanda görülmeye başlanmıştır. COBIT, bilgi teknolojileri yönetiminde ulaşılması gereken hedefleri ortaya koymaktadır. COBIT, bütün bilgi teknolojileri fonksiyonlarını kapsayan bir çerçeve sunmaktadır. COBIT içinde dört grup süreç alanı ve 34 süreç bulunmaktadır ve bunları hepsi bilgi teknolojileri yönetiminin bütününü kapsamış olmaktadır. İşin doğrusu COBIT, bilgi teknolojileri süreçlerine değil bilgi teknolojileri yönetimine odaklanmaktadır. İlk olarak COBIT 1996 yılında yayımlanmıştır.

Ülkemizde ilk olarak BDDK tarafından bazı bankalar COBIT esaslı bir özel denetime tabi tutulmuştur. Bu denetim şekli 2006 yılında bütün bankalara yayılmıştır ve zorunlu tutulmuştur. Artık her iki yılda bir kez tekrar edilmektedir. Önceleri bir takım sıkıntılar yaşanmış olsa da bugün bankalar bilgi teknolojileri süreçlerini bu standarda uygun olarak yürütmekte ve süreçlerini daha verimli ve etkin olarak yönetmektedir.

Aslına bakılırsa BDDK’nın şart koşmasından önce de bazı bankalar bilgi teknolojileri süreçlerini COBIT’e uygun olarak yönetiyordu. Ancak COBIT’ın uygulandığı tek alan bankacılık değildir. Finans ve üretim sektörlerinde faaliyet gösteren birçok şirket COBIT’i süreç yönetimi için kullanmaktadır.

Bilgi teknolojileri süreçlerinin denetimi, artık bilgi teknolojilerine dayanan mühendislik alanı olmaktan çıkmış ve işletme bilimi kapsamında, muhasebe ve raporlama konularını da içine almış durumdadır. Özellikle ticari yaşamın daha güvenilir hale gelmesi ve bankacılık sektöründeki gelişmeler göz önüne alınırsa, bilgi teknolojileri denetimi ile birlikte yapılacak olan bağımsız denetim çok daha önemli bir hal almaktadır.

 

Kuruluşumuz denetim hizmetleri kapsamında COBIT denetimleri hizmetleri vermektedir. Bu çalışmalarda kuruluşumuz, ilgili yasal düzenlemelere, yerli ve yabancı kuruluşlar tarafından yayınlanan standartlara ve genel kabul görmüş denetim yöntemlerine uygun faaliyet göstermektedir.

Diğer Makaleler...

  1. PCI DSS Denetimleri ve Sertifikasyonu
  2. Sızma (Penetrasyon) Testleri

Sertifikasyon Hizmetleri