3.Oturum: Bilgi Teknolojileri Süreçlerinde Kontroller

Transkript

1 3.Oturum: Bilgi Teknolojileri Süreçlerinde Kontroller 1. Kontrol ortamı, risk değerlendirme, kontrol faaliyetleri 2. Kontrol türleri ve BT uygulamaları 3. Kurum seviyesi kontroller, uygulama kontrolleri ve genel bilgi teknolojileri kontrolleri 4. Kontrollere ilişkin genel çerçeve ve standartlar ile uygulamaları a. COBIT b. Kamu BT Denetim rehberi c. ISO

2 Risk yönetimi, risk belirlemek, değerlendirmek ve riski kabul edilebilir bir seviyeye indirmek için aksiyon alma sürecidir. Bilgi sistemleri risk yönetimini, her biri farklı öneme sahip ancak birbirini etkileyen ve destekleyen beş temel fonksiyonla yerine getirmek mümkündür; 1. Risk Belirleme 2. Risk Analizi 3. Risk Değerlendirme 4. Riske Müdahale Etme 5. Risk Yönetimini İzleme BİLGİ SİSTEMLERİ RİSK YÖNETİMİ Bilgi sistemleri risk yönetim süreci, servisler ile iş birimleri arasında iletişim kurmalı, organizasyona uygun, yapısal ve tekrar edilebilir, uluslararası en iyi uygulamalara yatkın ve bu konuda denetim sahibi iç ve dış birimlerce kontrol edilebilir olmalıdır. 2

3 KURUM SEVİYESİ KONTROLLER / İÇ KONTROL VE İÇ DENETİM Kurum Seviyesi Kontroller / İç Kontrol ve İç Denetim Mali Tablolar Operasyon Muhasebe Pazarlama Hukuk Uygulama Kontrolleri A Uygulaması B Uygulaması C Uygulaması BT Genel Kontrolleri Uygulama Geliştirme Bilgi Güvenliği Veritabanı operasyonu Veri Yedekleme Kullanıcı kimlik yönetimi 3

4 BT DENETİMİNDE KONTROLLER Kontrol tasarımlarının testi Kontrol tasarımının uygunluğunun değerlendirilmesi Mevcut kontrollerin tasarlanan şekilde çalıştığının doğrulanması BT kontrollerinin test edilmesinde uygulanan yöntemler Bilgi toplama Sorgulama ve doğrulama Gözden geçirme Gözlemleme Tekrar gerçekleştirme / Tekrar hesaplama Bilgisayar destekli veri analizi Kontrol Testlerindeki Sahip Olunması Gereken Bakış Açısı Yazılı ve yönetim tarafından onaylanmış güncel bir kontrol sürecinin varlığı, Kontrol süreci ile ilgili denetim kanıtlarının varlığı, Sorumluluk ve hesap verilebilirlik ilkelerinin açıklığı ve etkinliği, Gerekli noktalarda telafi edici kontrollerin uygulanması. 4

5 BT KONTROLLERİNİN HEDEFİ Bilgi güvenliği, bütün BT kontrollerinin tamamlayıcı bir parçasıdır. Bilgi güvenliği, hem altyapıya hem de verilere uygulanır ve diğer pek çok BT kontrolünün güvenilirliğinin de temelidir. BT kontrolleri, bilgi güvenilirliği ve bilgi hizmetleri konusunda güvence sağlarlar. Bilginin güvenliğinin sağlanabilmesi için üç parametreyi sağlaması/koruması gerekmektedir; Gizlilik : Bilginin yetkisiz erişime karşı korunmasıdır. Bütünlük : Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilişim sistemlerinin ve bilginin sadece yetkili kişilerce veya sistemlerce değiştirilebilmesidir. Erişilebilirlik : Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. Bilginin bilgiye erişimi olanlar tarafından istenildiği anda ulaşılabilir, kullanılabilir olmasıdır. 5

6 BT KONTROLLERİNİN İLİŞKİLENDİRİLMESİ BT Kurum Seviyesi Kontrolleri: Kurum yönetiminin yönergelerinin ve talimatlarının eksiksiz uygulandığına dair makul bir güvence sağlanması için kuruma ve personelin tümüne yaygın şekilde tasarlanmış olan iç kontrollerdir. Uygulama Kontrolleri: Bilgi sistemleri içerisinde yer alan ve iş faaliyetlerini yürütmek veya desteklemek için kullanılan finansal verilerin tanımlanması, üretilmesi, kullanılması, bütünlük ve güvenilirliğinin sağlanması, verilere erişimin yetkilendirilmesi gibi tüm iş süreçlerinde kullanılması gereken iç kontrolleri kapsar. BT Kontrol Piramidi BT Genel Kontrolleri: Kurumun amaçlarına ulaşabilmesi için belirlenen yönün takip edilebilmesini sağlayan tüm BT aktivitelerinin planlanması, geliştirilmesi, işletilmesi ve izlenmesine ilişkin faaliyetler, BT genel kontrolleri kapsamında değerlendirilmektedir. 6

7 KONTROL TÜRLERİ BT Kurum Seviyesi Kontrolleri, Uygulama kontrolleri BT Kurum Seviyesi Kontrolleri Kurum seviyesi kontroller, genel tanımı itibariyle kurum yönetiminin yönergelerinin ve talimatlarının eksiksiz uygulandığına dair makul bir güvence sağlanması için kuruma ve personelin tümüne yaygın şekilde tasarlanmış olan iç kontrollerdir. BT kurum seviyesi kontrolleri de söz konusu alanlarda bilgi teknolojileriyle ilgili üst seviye kontrolleri ifade etmekle birlikte, aynı zamanda BT yönetişimiyle ilgili hususlara da değinir. Uygulama kontrolleri Uygulama kontrolleri, kritik BT işlevselliğinin yerine getirilmesini sağlayan ve kurumun bilgi sistemleri tarafından otomatik olarak yerine getirilen kontrol prosedürlerini içermektedir. Uygulama kontrolleri temelde beş grup olarak ele alınmaktadır: 1. Kaynak Veri Hazırlığı ve Yetkilendirme: Bilgi sistemlerine veri girişinde kaynak belge kontrolleri, veri giriş yetkileri, vb. 2. Kaynak Verilerin Toplanması ve Girilmesi: Kaynak belgelerin zamanlılığı, tamlığı ve doğruluğu, veri giriş yetkileri, veri girişi hata takibi ve düzeltmeleri, vb. 3. Doğruluk, Tamlık ve Orijinallik Kontrolleri: Kaynak veri girişi sırasında giriş, düzeltme ve raporlamalar, veri girişine ait görevler ayrılığı, vb. 4. Veri İşleme Bütünlüğü ve Doğrulaması: Veri işlem bütünlüğünün sağlanması, işlemlere ilişkin denetim izlerinin oluşturulması, hata kontrolleri, vb. 5. Çıktı Kontrolü, Mutabakatı ve Hata Yönetimi: Çıktıların kontrolü, çıktı transfer kontrolleri, çıktıların saklanması, vb. 7

8 BT UYGULAMA KONTROLLERİ Veri hazırlama prosedürleri Kaynak belge yetkilendirme prosedürleri Çıktıların ele alınması ve muhafazası Çıktıların dağıtımı Kaynak belge verilerinin toplanması Kaynak belgelerdeki hataların ele alınması Kaynak belgelerin muhafazası Veri oluşturma/ yetkilendirme kontrolleri Çıktı kontrolleri Çıktı uyumluluğu ve mutabakatı Çıktıların gözden geçirilmesi ve hataların ele alınması Çıktı raporlarının güvenliğinin sağlanması Girdi kontrolleri Veri işleme kontrolleri Girdi yetkilendirme prosedürleri Doğruluk, bütünlük ve yetkilendirme kontrolleri Veri girdilerindeki hataların ele alınması Veri işlemede bütünlük Veri işlemede onaylama ve değiştirme Veri işlemedeki hataların ele alınması 8

9 BT UYGULAMA KONTROLLERİ VERİ OLUŞTURMA/ YETKİLENDİRME KONTROLLERİ: Kaynak Veri Hazırlığı ve Yetkilendirme: Bilgi sistemlerine veri girişinde kaynak bilgi ve belgelerin uygunluğu ve bu girişleri yetkili kişilerin yapmasının sağlanmasına ilişkin yapılan kontrollerdir. Kaynak Verilerin Toplanması ve Girilmesi: Kaynak belgelerin zamanlılığı, tamlığı ve doğruluğu, veri giriş yetkileri, veri girişi hata takibi ve düzeltmeleri ile ilgili kontrollerdir. GİRDİ KONTROLLERİ: Doğruluk, Tamlık ve Orijinallik Kontrolleri: Kaynak veri girişi sırasında giriş, düzeltme ve raporlamalar, veri girişine ait görevler ayrılığı ilkelerine uyum ile ilgili kontrollerdir. VERİ İŞLEME KONTROLLERİ: Veri İşleme Bütünlüğü ve Doğrulaması: Veri işlem bütünlüğünün sağlanması, işlemlere ilişkin denetim izlerinin oluşturulması, hata kontrolleri ile ilgili kontrollerdir. ÇIKTI KONTROLLERİ: Çıktı Kontrolü, Mutabakatı ve Hata Yönetimi: Çıktıların kontrolü, çıktı transfer kontrolleri, çıktıların saklanması ile ilgili kontrollerdir. 9

10 UYGULAMA KONTROLLERDEKİ ZAYIFLIKLARIN NEDEN OLABİLECEĞİ RİSKLER Yetkili olmayan kişilerce veri girişi yapılması, Eksik veya hatalı veri girilmesi, Sistematik hataların oluşması, Hatalı veri girişlerinin tespit edilememesi ve düzetilememesi, Mükerrer kayıtların sistem tarafından kabul edilmesi, Transfer edilen verinin bozulması, kaybolması, çalınması veya değiştirilmesi, Denetim izinin kaybolması ve işlem sahibine başvurulamaması, İşlemlerin doğrulanamaması, Çıktıların tam ve doğru olmaması, Çıktıların yetkisiz kişilerin eline geçmesi. 10

11 BT Genel Kontrolleri Rehber in önemli bir bölümünü oluşturan BT genel kontrolleri, bilgi teknolojilerinden beklenen kritik işlevselliklerin sürekli ve düzgün çalışmasını destekleyecek prosedürleri içermektedir. BT genel kontrolleri literatürde (COSO ya göre) en dar anlamıyla aşağıdaki unsurları kapsamaktadır: 1. Uygulama sistemlerinin geliştirilmesi ve bakımına ilişkin kontroller 2. Sistem yazılımı kontrolleri 3. Erişim güvenliği kontrolleri 4. Veri merkezi operasyonlarına ilişkin kontroller BT Kontrolleri rehberde 2 alt grup olarak ele alınmıştır: KONTROL TÜRLERİ BT Genel Kontrolleri 1. Süreç seviyesi: BT genel kontrolleri, BT yönetim süreçleri üzerinde bulunan genel kontrollerden oluşur. 2. Altyapı seviyesi: BT genel kontrolleri ise, BT uygulamaları, veritabanları, işletim sistemleri ve ağ katmanları üzerinde yer alan teknik genel kontrolleri içerir. Söz konusu teknik genel kontroller de aslen süreç seviyesi kontrollerinin ayrılmaz bir parçası olmakla birlikte, BT denetim çalışma planının hazırlanması, iç denetçilere görev dağılımının yapılabilmesi ve saha çalışmaları hususlarında önemli bir pratiklik sağladığından, ayrı bir grup olarak ele alınmıştır. 11

12 BT GENEL KONTROLLERİ Bilgi Güvenliği Fiziksel erişim Yetkilendirme Erişim yönetimi İzleme Veriye Erişim Değişiklik Yönetimi Geliştirme, test ve onay Üretim ortamına aktarım Konfigürasyon değişiklikleri Acil değişiklikler Uygulama geliştirme ve edinim metodolojileri Veri dönüşümü Tasarım, geliştirme, test, onay ve uygulama Program ve Uygulama Geliştirme Erişilebilirlik ve Operasyon Sürekliliği Operasyon ve iş takibi Yedekleme ve geri dönüş Olay ve problem yönetimi 12

13 BT GENEL KONTROLLERİ VERİYE ERİŞİM: Verinin bütünlüğünün korunarak, yetkili kişiler tarafından güvenli şekilde erişim sağlanmasına ilişkin yapılan kontrollerdir. DEĞİŞİKLİK YÖNETİMİ: Değişiklik yönetimi süreci, kurum kritik iş faaliyetlerini ve süreçlerini destekleyen BT uygulamaları ve altyapısı üzerindeki tüm değişikliklerin kontrollü bir biçimde gerçekleştirilmesi ve üretim ortamlarının güvenilirlik ve bütünlüklerinin korunması amacını taşımaktadır. Bu değişiklikler, uygulama kodlarında yapılacak bir değişiklik olabileceği gibi, veritabanları, işletim sistemleri, uygulamaya ait kritik konfigürasyon dosyaları gibi bir dizi diğer değişiklik tiplerini de içerebilir. ERİŞİLEBİLİRLİK & OPERASYON SÜREKLİLİĞİ: Olası bir sistem kesintisi ve/veya felaket halinde geri dönüşlerin gerçekleştirilebilmesi amacıyla verilerin yedeklenmesi, zamanlanmış işlerden sapmaların izlenmesi ve düzeltici aksiyonların zamanında alınması ve BT operasyonlarına dair problem ve olayların belirlenmesi, iletilmesi ve çözülmesi, gözden geçirilmesi ve analiz edilmesi gibi kontroller bu süreç kapsamındadır. PROGRAM VE UYGULAMA GELİŞTİRME: İşletmenin bir sürecini veya tümünü etkileyecek yazılımların geliştirilmesinde/ değiştirilmesinde yazılım süreçlerinin (Analiz, tasarım, geliştirme, test, onay) standartlara uygunluğunun ve oluşturacağı risklerin kontrol edilmesine yönelik kontrollerdir. 13

14 GENEL KONTROLLERDEKİ ZAYIFLIKLARIN NEDEN OLABİLECEĞİ RİSKLER Kurumun karşı karşıya kalacağı tehlikelerin belirlenememesi, etkilerinin ölçülememesi ve riskin yönetilememesi, Sorumluluklarda karmaşa, aşırı yetki verme veya açıkların oluşması, Uygun olmayan görev ayrımlarının yapılması, Yetersiz personel istihdamı, İşten ayrılan veya işine son verilen personelin sisteme yetkisiz erişebilmesi, Sistemi kötü amaçlarla kullanan personelin tespit edilememesi, Maddi zararların meydana gelmesi, Bilgisayar donanımının veya üzerinde yazılım ve bilgi bulunduran parçaların çalınması veya bozulması, Kritik veya gizli bilginin görülmesi, kopyalanması veya kaybedilmesi, Yetersiz şifre uygulamalarının, sisteme ve uygulama programlarına yetkisiz erişimi kolaylaştırması, Kullanıcıların kim olduklarının ve erişim seviyelerinin belirlenememesi, ayrıcalıklı kullanıcıların izlenememesi, yetki ve sorumlulukların işin gereğine uygun tespit edilememesi (yetersiz veya aşırı yetkilendirme), Veri kaybı, verilerin değiştirilmesi veya bozulması, Fikri mülkiyet haklarının ihlali ve bilişim suçları gibi yürürlükteki yasal mevzuata aykırılıkların gözden kaçırılması, Bir felaket durumunda iletişim imkânları, bilgi işleme kapasitesi, eğitimli insan kaynağı ve tüm varlıklar yitirilebileceğinden kurumun faaliyetlerini sürdürmesinde devamlılığın sağlanamaması. 14

15 COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) 15

16 COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) NEDİR? COBIT in temel amacı, süreç performans metriklerini ve olgunluk modellerini belirleyerek ve IT nin iş sorumluluklarını tayin ederek, iş hedefleriyle IT hedeflerini bağdaştırmaktır. 16

17 COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) NEDİR? COBIT; IT yönetim çerçevesinde aşağıdaki sorulara yanıt verir: - Neler tanımlanmalı? - Neler ölçülmeli? - Neler otomatize edilmeli? - En iyi pratikler nelerdir? - Bunun için bir sertifikasyon var mıdır? - IT kontrollerini nasıl yapmalıyız ve fayda-maliyet analizini nasıl yaparız? - Hedefler ve anahtar metrikler nelerdir? - IT işlevlerinin yerine getirilememe riskleri nelerdir? - Başkaları ne yapıyor ve nasıl yapıyor? - Kurumun IT olgunluğunu diğerlerine kıyasla nasıl ölçebiliriz? - Kurumun IT gelişim stratejisi nedir? 17

18 COBIT GELİŞİM ÇİZELGESİ 18

19 KURUMSAL BT YÖNETİMİ VE YÖNETİŞİMİ İÇİN BİR İŞ ÇERÇEVESİ OLARAK COBIT 5 COBIT 5 süreç modeli 37 yönetişim ve yönetim sürecini içerir; bu süreç grubu COBIT 4.1, Val IT ve Risk IT süreçlerinin yerine geçer ve kurumsal BT yönetişim ve yönetiminin baştan sona uygulanmasında gerekli olan tüm süreçleri içerir. 19

20 COBIT İLKELERİ 1) Paydaş İhtiyaçlarının Karşılanması: Kuruluşlar, paydaşları için faydaları gerçekleştirmek ile risk seviyeleri ve kaynak kullanımını optimize etmek aracılığıyla değer üretmek için vardır. COBIT 5, BT kullanımıyla iş değeri yaratmayı desteklemek için gerekli tüm süreçleri ve diğer gerçekleştiricileri sunar. 2) Kuruluşun Uçtan Uca Kapsanması: COBIT 5, kurumsal BT yönetişimini kurumsal yönetişimle birleştirir. Bir kuruluşta yer alan tüm fonksiyonları ve süreçleri kapsar. Tüm BT-bağıntılı yönetişim ve yönetim gerçekleştiricilerini kuruluş çapında ve uçtan uca değerlendirir. COBIT 5 sadece BT fonksiyonuna odaklanmaz; bilgi ve bilgi bağlantılı teknolojilere kuruluştaki herkesin diğer varlıklarla ilgilendiği gibi ilgilenilmesi gerektiği varlıklar olarak yaklaşır. 3) Tek Bir Bütünleşik Çerçevenin Uygulanması: Her biri BT faaliyet alt kümesine dair rehberlik sağlayan birçok BT-bağıntılı standart ve iyi uygulamalar vardır. COBIT 5, ilgili diğer standartlar ve çerçevelerle üst seviyede uyuşur, böylelikle kurumsal BT yönetişimi ve yönetimi için kapsayıcı çerçeve olarak hizmet verebilir. 20

21 COBIT İLKELERİ 4) Bütüncül Bir Yaklaşımın Sağlanması Kurumsal BT nin verimli ve etkili yönetişimi ile yönetimi, birbirleriyle etkileşen birkaç ögenin dikkate alındığı bütüncül bir yaklaşımı gerektirir. COBIT 5, kurumsal BT için kapsamlı bir yönetişim ve yönetim sisteminin uygulanmasını desteklemek üzere bir küme gerçekleştirici tanımlar. COBIT 5 çerçevesi yedi gerçekleştirici kategorisi tanımlar: 1- İlkeler, Politikalar ve Çerçeveler 2- Süreçler 3- Organizasyon Yapıları 4- Kültür, Etik ve Davranış 5- Bilgi 6- Hizmetler, Altyapı ve Uygulamalar 7- İnsanlar, Beceriler ve Yeterlikler 21

22 COBIT İLKELERİ 5) Yönetişim ve Yönetimin Ayrılması: COBIT 5 çerçevesi yönetişim ve yönetim arasında açık bir ayrım yapar: Yönetişim (Governance) Yönetişim, ulaşılmak istenen dengeli, üzerinde anlaşılmış kurumsal amaçların belirlenmesinde, paydaş ihtiyaçlarının, koşullarının ve seçeneklerinin değerlendirildiğini garanti altına alır; önceliklendirme ve karar verme aracılığıyla yön belirler; üzerinde anlaşılmış yön ve amaçlara karşı performansı ve uyumluluğu izler. Çoğu kuruluşta, yönetişim kurul başkanın liderliği altındaki yönetim kurulunun sorumluluğundadır. Yönetim (Management) Yönetim, kurumsal amaçlara ulaşmak için yönetişim organının belirlediği yönle uyumlu olarak faaliyetleri planlar, kurar, yürütür ve izler. Çoğu kuruluşta yönetim icra kurulu başkanının (CEO) liderliğindeki yönetici kadronun sorumluluğudur. 22

23 COBIT 5 SÜREÇ DEĞERLENDİRME MODELİ Süreç değerlendirme modeli, 2 boyutlu (süreç ve yetkinlik) süreç yetkinlik modelidir. Süreç boyutunda süreçler tanımlanır ve süreç kategorilerine göre sınıflandırılır. Yetkinlik boyutu olarak adlandırılan diğer boyutta ise, yetkinlik seviyelerine gruplandırılmış bir süreç özniteliği kümesi tanımlanır. Süreç öznitelikleri süreç yetkinliğinin ölçülebilir niteliklerini sağlar. 23

24 COBIT 5 SÜREÇ REFERANS MODELİ 24

25 COBIT 5 ETKİ ALANLARI 1- Değerlendir, Yönlendir ve İzle (EDM) Bu yönetişim süreçleri paydaş yönetişim hedefleri ile ilgilidir-değer sunumu, risk optimizasyonu ve kaynak optimizasyonu- ve BT ye yönlendirme sağlama ve sonuçların izlenmesi, stratejik seçeneklerin değerlendirilmesine yönelik uygulamalar ve faaliyetleri içerir. 2- Hizala, Planla ve Düzenle (APO) Çözüm sunumuna (BAI) ve hizmet sunumu ve desteğine (DSS) yönlendirme sağlar. Bu etki alanı stratejileri ve taktikleri kapsar ve kurumsal amaçlara ulaşmak için BT nin en iyi şekilde nasıl katkı sağlayabileceğini belirlemekle ilgilenmektedir. Stratejik vizyonun gerçekleştirilmesi farklı perspektifler için planlanmalı, bildirilmeli ve yönetilmelidir. Teknolojik bir alt yapı ile birlikte düzgün bir organizasyon oluşturulmalıdır. 3- Kur, Edin ve Uygula (BAI) Çözümler sağlar ve bunların hizmete dönüştürülmesi için iletir. BT stratejisini gerçekleştirmek için, BT çözümlerinin tanımlanması, geliştirilmesi veya edinilmesi ve bunlarla birlikte çözümlerin uygulanması ve iş süreçlerine entegre edilmesi gerekir. Mevcut sistemlerin değişikliği ve bunların bakımı da çözümlerin iş amaçlarını karşılamaya devam ettiğinden emin olmak için bu etki alanının kapsamı içerisindedir. 4- Sağla, Hizmet Sun ve Destek Ver (DSS) Çözümleri alır ve bunları son kullanıcıların kullanabileceği hale getirir. Bu etki alanı hizmet sunumu, güvenliğin ve devamlılığın yönetimi, kullanıcılar için hizmet desteği, verilerin ve çalışma tesislerinin yönetimi dahil olmak üzere ihtiyaç duyulan hizmetlerin fiili olarak sunumu ve bu hizmetlere ilişkin destek sağlamakla ilgilidir. 5- İzle, Tespit Et ve Değerlendir (MEA) Sağlanan yönlendirmelerin takip edildiğinden emin olmak için tüm süreçler izlenir. Tüm BT süreçleri zaman içerisinde kaliteleri ve kontrol gereklerine uygunlukları açısından düzenli olarak değerlendirilmelidirler. Bu etki alanı performans yönetimini, iç kontrolün izlenmesini ve düzenlemelere uyumu ve yönetişimi ele almaktadır 25

26 COBIT 5 SÜREÇLERİ Beş etki alanı içerisinde 37 adet tanımlanmış BT süreci bulunmaktadır. Bu süreçler; Değerlendir, Yönlendir ve İzle (EDM) EDM01 Yönetimi Çerçevesi Kurulum ve Sürdürülmesini Sağla EDM02 Fayda Yaratımı Sağla EDM03 Risk Optimizasyonu Sağla EDM04 Kaynak Optimizasyonu Sağla EDM05 Paydaş Şeffaflığını Sağla Hizala, Planla ve Düzenle (APO) APO01 BT Yönetim Çerçevesini Yönet APO02 Stratejiyi Yönet APO03 Kurumsal Mimariyi Yönet APO04 Yeniliği Yönet APO05 Portföyü Yönet APO06 Bütçe ve Maliyeti Yönet APO07 İnsan Kaynaklarını yönet APO08 İlişkileri Yönet APO09 Hizmet Anlaşmalarını Yönet APO10 Tedarikçileri Yönet APO11 Kaliteyi Yönet APO12 Riski Yönet Kur, Edin ve Uygula (BAI) BAI01 Program ve Projeleri Yönet BAI02 Gereksinimlerin Tanımlanmasını Yönet BAI03 Çözüm Belirleme ve Oluşturmayı Yönet BAI04 Kullanılabilirliği ve Kapasiteyi Yönet BAI05 Organizasyonel Değişimin Olabilirliğini Yönet BAI06 Değişiklikleri Yönet BAI07 Değişiklik Kabulü ve Geçişini Yönet BAI08 Bilgiyi Yönet BAI09 Varlıkları Yönet BAI10 Yapılandırmayı Yönet Sağla, Hizmet Sun ve Destek Ver (DSS) DSS01 İşlemleri Yönet DSS02 Hizmet Taleplerini ve Olayları Yönet. DSS03 Problemleri Yönet. DSS04 Sürekliliği Yönet DSS05 Güvenlik Hizmetlerini Yönet DSS06 İş Süreç Kontrollerini Yönet İzle, Tespit Et ve Değerlendir (MEA) MEA01 Performans ve Uyumu İzle, İncele ve Değerlendir MEA02 İş Kontrol Sistemini İzle, İncele ve Değerlendir. MEA03 Dış Gereksinimlere Uygunluğu İzle, İncele ve Değerlendir APO13 Güvenliği Yönet 26

27 COBIT 5 YETKİNLİK BOYUTU Seviye 0 Tamamlanmamış süreç Süreç uygulanmıyor ya da süreç amacına ulaşmakta başarısız olmaktadır. Bu seviyede, süreç amacının sistematik başarısı hakkındaki kanıtlar ya çok azdır ya da yoktur. Seviye 1 Gerçekleştirilmiş süreç (tek öznitelik) Uygulanan süreç, amacına ulaşır. Seviye 2 Yönetilen süreç (iki öznitelik) Gerçekleştirilmiş süreç artık yönetilen (planlanmış,izlenmiş ve ayarlanmış) bir şekilde uygulanmakta ve sürecin iş ürünleri uygun şekilde yerleşmiş, kontrol edilmiş ve sürdürülmektedir. Seviye 3 Yerleşmiş süreç (iki öznitelik) Yönetilen süreç artık kendi süreç çıktılarını elde edebilen tanımlı bir süreç kullanarak gerçekleşmektedir. Seviye 4 Kestirilebilir süreç (iki öznitelik) Yerleşmiş süreç artık, süreç çıktılarını başarmak için tanımlanan limitler içinde işler. Seviye 5 En iyileşen süreç (iki öznitelik) Kestirebilir süreç, mevcut ve öngörülen ilgili iş amaçlarını karşılamak için sürekli olarak iyileştirilir. 27

28 COBIT İN BT DENETÇİLERİNE SAĞLADIĞI YARARLAR BT personeli bilişim teknolojileri denetiminin hangi kriterlere göre yapıldığını bilerek denetimin daha verimli gerçekleştirilmesine katkıda bulunabilir. COBIT BT denetimi alanında çok sayıda uzmanın katkısı ile, var olan diğer kriterlerin de dikkate alınarak hazırlandığı kabul görmüş bir metodolojidir. BT denetçileri tüm denetim konularında yaşanabilecek kapsam ve objektif kriter belirleme sorununu COBIT ile aşabilir. BT denetçileri denetim rehberinden faydalanarak tespit edilen risklerin doğurabileceği zararları somutlaştırabilir ve yönetime daha net bir bakış açısı kazandırabilir. COBIT te her süreç için sunulan kritik başarı faktörlerinden yola çıkarak denetim sonuçlarını ölçümleyebilir ve iyileştirme önerileri getirebilir. Bir kontrol metodolojisinin uygulanması iç ve dış kullanıcılara kullanılan bilgi kaynaklarının kontrollü olarak yönetildiğini ifade edecektir. Özellikle dış kullanıcılara sağladığı güvence zorunlu yükümlülüklerin yerine getirilmesine imkan tanıyabileceği gibi, kurum için bir rekabet avantajı haline de dönüşebilir. Birden fazla denetçi tarafından farklı şirketlerde yapılan denetimlerin kapsamlarının ve uyum kriterlerinin aynı şekilde değerlendirilebilmesini sağlar. 28

29 KAMU BİLGİ TEKNOLOJİLERİ DENETİMİ REHBERİ 29

30 Rehber in yapısı KAMU BİLGİ TEKNOLOJİLERİ DENETİMİ REHBERİ Bölüm 1; BT Denetimi Temel Kavramları konusunda bilgilendirici bir nitelik taşımaktadır. Bu bölümde BT denetimi ile ilgili temel prensipler, uygulama alanları, etik kurallar, kabul görmüş yetkinlikler, sertifikasyonlar ve yararlanılabilecek uluslararası standartlar ve çerçevelere değinilmektedir. Ayrıca bu bölüm altında BT denetiminin diğer denetim türleri ile olan ilişkisi ve bu tür denetimlerde BT denetiminin oynayabileceği rol hakkında bilgiler verilmektedir. Bölüm 2; BT Denetimi Metodolojisi ne yer vermektedir. Bu bölümde öncelikle BT denetimini ilgilendiren kontrol tipleri ve bunların birbiriyle olan ilişkisine değinilmiştir. Sonrasında denetim öncesi gerçekleştirilmesi gereken çalışmalardan planlamaya, risk analizinden denetimin yürütülmesine ve raporlanmasına kadar kullanılabilecek yöntem ve araçlar hakkında bilgi verilmektedir. Bölüm 3; BT Yönetişim Süreçlerine ilişkin denetim yaklaşımı ele alınmakta, bu doğrultuda kurum seviyesi kontrolleri ile yönetişim kontrollerine ve bunlar ile ilgili denetim testlerine yer verilmektedir. Bölüm 4; BT Yönetim Süreçlerine ilişkin denetim yaklaşımı ele alınmakta ve bu süreçlere ait BT genel kontrollerine ve ilgili denetim testlerine yer verilmektedir. Bölüm 5; Uygulama Kontrollerine ilişkin detaylı bilgiler verilmekte ve söz konusu kontrollerin denetlenmesine ilişkin yöntemler üzerinde durulmaktadır. Bölüm 6; BT yönetim süreçleri kapsamında veya tek başına yürütülecek güvenlik denetimlerinde BT altyapısı seviyesinde değerlendirilmesi gereken BT genel kontrollerine ve bunlara ilişkin denetim testlerine yer verilmektedir. 30

31 KAMU BİLGİ TEKNOLOJİLERİ DENETİM REHBERİ KAPSAMI BT denetim kapsamı: 1. BT Yönetişim Süreçleri 2. BT Yönetim Süreçleri 3. BT Altyapısı Rehber içerisinde her bir sürecin ve alanın denetimi için aşağıdaki detaylara yer verilmiştir: 1. Sürecin ve sürece ilişkin ana kontrol hedefinin tanımı 2. Sürecin BT denetimi açısından önemi 3. Süreçte yer alan temel kontroller 4. Kontrollerin süreç içerisindeki akışına ilişkin örnek şema 5. Sürece ilişkin risk ve kontrol eşleşmeleri 6. Her bir kontrole ilişkin denetim testleri 7. Ek kaynaklar 31

32 BT DENETİMİNE İLİŞKİN SERTİFİKALAR Uluslararası Sertifikalı Bilgi Sistemleri Denetçisi (Certified Information Systems Auditor) Sertifikalı Bilgi Güvenliği Yöneticisi (Certified Information Security Manager) Kurumsal BT Yönetişim Sertifikası (Certified in the Governance of Enterprise IT) Sertifikalı Risk ve Bilgi Sistemleri Kontrolleri Uzmanı (Certified in Risk and Information Systems Control) 32

33 BT DENETİMİNE İLİŞKİN SERTİFİKALAR Sertifikalı İç Denetçi (Certified Internal Auditor) Risk Yönetimi Güvence Sertifikası (Certification in Risk Management Assurance) Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı (Certified Information Systems Security Professional) 33

34 BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ-1 BT KURUM SEVİYESİ KONTROLLERİ VE YÖNETİŞİM SÜREÇLERİ DENETİMİ Bu bölümde aşağıdaki BT kurum seviyesi kontrolleri ve yönetişim süreçleri denetimine yönelik olarak hazırlanmış olan denetim prosedürleri yer almaktadır: Kurum Seviyesi Kontroller BT Yönetişim Süreci Denetimi BİLGİ TEKNOLOJİLERİ YÖNETİM SÜREÇLERİ DENETİMİ Bu bölümde aşağıdaki BT yönetim süreçlerinin denetimine yönelik olarak hazırlanmış olan denetim prosedürleri yer almaktadır: Değişiklik Yönetimi Güvenlik Hizmetleri Yönetimi Yardım Masası, Olay ve Problem Yönetimi BT Operasyon ve Yedekleme Yönetimi Süreklilik Yönetimi BT Altyapı ve Yazılım Edinim, Kurulum ve Bakımı BT Hizmet Yönetimi BT Risk Yönetimi 34

35 BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ-1 UYGULAMA KONTROLLERİNİN DENETİMİ Bu bölümde uygulama kontrolleri denetiminde uygulama kontrollerine ilişkin kontrol kategorileri ve BT denetimlerinde karşılaşılabilecek temel kontrol örnekleri yer almaktadır. Uygulama Kontrolleri Uygulama Kontrolleri - BT Genel Kontrolleri İlişkisi BT ALTYAPI GENEL KONTROLLERİ DENETİMİ İşletim Sistemleri Veritabanı Sistemleri Ağ Sistemleri Uzaktan erişim 35

36 BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ ÖRNEK: GÜVENLİK HİZMETLERİ YÖNETİMİ (KONTROLLER) 36

37 BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ ÖRNEK: GÜVENLİK HİZMETLERİ YÖNETİMİ (RİSK KONTROL EŞLEŞMELERİ) 37

38 BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ ÖRNEK: GÜVENLİK HİZMETLERİ YÖNETİMİ (RİSK KONTROL EŞLEŞMELERİ) T/İ: Tasarım/İşletim Z/O: Zorunlu/Opsiyonel YS: Yetkinlik Seviyesi 38

39 YETKİNLİK DÜZEYİ BEKLENTİ DÜZEYLERİ 1.Seviye (Başlangıç seviyesi) Kamu idarelerinde iç denetim faaliyetlerinde bulunmuş Temel BT Denetimi Eğitimi ne katılmış Seviye (Gelişme olan seviye) 3.Seviye (Uzman seviyesi) Kamu kurumlarında en az 1-2 yıl BT denetimi çalışmalarında bulunmuş CISA sertifikasına sahip ya da sınavı almaya hazır seviyede gerekli eğitimlerini tamamlamış BT denetimi alanında en az 2-3 yıl tecrübeye sahip

40 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDI 40

41 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDI ISO Bilgi Güvenliği Yönetim Sistemi Standardı Kurum içinde bilgi güvenliğinin yönetimi için standart ISO döngüsüyle çalışan bir yönetim sistemi kurulması için gerekli aktivitelerin belirtildiği bir standarttır. Kurum güvenliğine önem verdiği hassas bilgilerin / varlıkların kapsamını belirler ve onları yaşam döngüleri boyunca standart uyarınca hazırlanan prosedürlere uygun olarak yönetir. Bir organizasyon içinde belgelenmiş bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak, uygulamak, işletmek, incelemek, sürdürmek, geliştirmek ve izlemek için gereksinimleri belirtir. Ayrıca, bilgi varlıklarını korumak için yeterli ve uygun güvenlik kontrollerinin seçimini sağlamak için tasarlanmıştır. Bu standart, genellikle her türlü ticari şirketler, kamu kuruluşları, vb. kuruluşlar için uygulanabilir. 41

42 ISO BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN İŞLETİMİ Standart bir kuruluşun BGYS etkinliğini artırmak amacı ile "Planla Uygula - Kontrol Et - Önlem al (PUKÖ) modeli olarak bilinen bir döngüsel model oluşturmaya yardım eder. PUKÖ döngüsünün dört aşaması bulunmaktadır. 42

43 ISO BELGELENDİRME ADIMLARI 1. Sertifikasyon kapsamının belirlenmesi 2. Kapsamdaki varlıkların tespit edilmesi ve ortaya konması 3. Kapsam dahilinde bir risk analizi yapılması 4. Risk analizi sonucu tespit edilen riskler için tedavi planlarının oluşturulması ve standardın ekinde yayınlanmış olan kontrollerden hangilerinin uygulanacağına karar verilmesi 5. Kapsam dahilinde gerçekleştirilen her türlü faaliyetin dokümante edilmesi ve kayıt altına alınması 43

44 ISO KONTROL BAŞLIKLARI 1. Güvenlik Politikası 2. Bilgi Güvenliği Organizasyonu 3. Varlık Yönetimi 4. İnsan Kaynakları Güvenliği 5. Fiziksel ve Çevresel Güvenlik 6. İletişim ve İşletim Yönetimi 7. Erişim Kontrolü 8. Bilgi Sistemleri Alımı, Geliştirilmesi ve Bakımı 9. Bilgi Güvenliği Olay Yönetimi 10. İş Sürekliliği Yönetimi 11. Uyumluluk 44

45 4.Oturum: Bilgi Teknolojileri Denetimi BT Denetimi Örnek BT Denetim uygulaması «Kullanıcı Erişim Yönetimi Denetimi» 45

46 BT DENETİMİ KAPSAM KONULARI Genel kontrollerin kapsamı Sistem geliştirme Değişiklik yönetimi Mantıksal güvenlik, erişim ve yetkilendirme Fiziksel güvenlik BT operasyonları (yedekleme, planlı işler, olay yönetimi) Uygulama/sistem kapsamı Uygulamanın desteklediği uygulama kontrolü sayısı ve bunların önemi Uygulamada yapılan değişiklikler Toplam kullanıcı sayısı Admin lerin sayısı Veritabanına doğrudan erişim Merkezi yetkilendirme Destek hizmetleri 46

47 BT DENETİMİNİN UYGULANMASI 1 Kritik süreçlerin belirlenmesi 3 Örneklem belirlenmesi 5 Zayıflıkların ve bulguların değerlendirilmesi 2 Kontrol tasarımlarının test edilmesi 4 Kontrollerin etkinliğinin test edilmesi 47

48 BT DENETİMİ UYGULAMA ALANLARI 1) Sistem denetimi: Denetlenen birimin faaliyetlerinin ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi, kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin yeterliliğinin ölçülmesi suretiyle değerlendirilmesidir. 2) Performans denetimi: Yönetimin bütün kademelerinde gerçekleştirilen faaliyet ve işlemlerin planlanması, uygulanması ve kontrolü aşamalarındaki etkililiğin, ekonomikliğin ve verimliliğin değerlendirilmesidir. 3) Mali denetim: Muhasebe süreci başta olmak üzere mali denetim için kritiklik arz eden iş süreçlerinde yer alan verilerin doğruluğu ve bütünlüğünün değerlendirilmesi kapsamında önemli BT uygulamaları ve BT bileşenleri denetlenmektedir. 4) Uygunluk denetimi: Kamu idarelerinin faaliyet ve işlemlerinin ilgili kanun, tüzük, yönetmelik ve diğer mevzuata uygunluğunun incelenmesidir. İlgili mevzuat uyarınca BT kontrol ortamına ait belirli bir konunun denetlenmesine ya da ilgili iç kontrol sistemi ile ilgili bir güvence oluşturulmasına yönelik bir çalışma yürütülmesi mümkündür. 5) Güvenlik denetimi: Sistem, performans, uygunluk ya da mali denetimlere girdi sağlayabileceği gibi tek başına da kurumun bilgi teknolojileri altyapısı ve kontrol ortamının değerlendirilmesinde kullanılabilir. Kurumun bilgi güvenliği politikasından hareketle, kullanıcı ve yetkilendirme yönetimi, sistem güvenlik yapılandırmalarının uygunluğu, denetim izlerinin oluşturulması ve takibi, güvenlik olaylarının yönetimi vb. alanlarda değerlendirme çalışmalarını kapsar. 48

49 BT DENETİMİNİN KAPSAMI Denetlenen kurumda devlet otoriteleri tarafından kanun, yönetmelik ya da diğer düzenlemeler neticesinden kaynaklanan gereksinimlerin denetim planına dahil edilmesi. Bilgi Teknolojileri ve İletişim Kurumu Sermaye Piyasası Kurulu Hazine Müsteşarlığı Bankacılık Düzenleme ve Denetleme Kurumu Diğer yükümlülükler Denetlenen kurumun kendi iç yönetmelikleri ve standartlarından kaynaklanan gereksinimlerin denetim planına dahil edilmesi. BT ortamı ve organizasyonun anlaşılması, BT sistem ve süreç sahipleri ve sorumluları ile görüşmeler gerçekleştirilmesi ve ilgili sorumlulukların anlaşılması, BT sistem ve süreçleri ile ilgili mevcut politika ve prosedürlerin gözden geçirilmesi, Varsa iç kontrol ve iç denetim faaliyetlerinin ya da daha önce gerçekleştirilmiş dış denetim raporlarının incelenmesi. 49

50 BT DENETİMİNİN KAPSAMI Kritik süreçlerdeki kontrol hedeflerinin belirlenmesi BT denetimi kapsamında incelenecek BT sistem ve süreçlerinin belirlenmesinden sonra süreç üzerinde mevcut bulunan ve uluslar arası standartlar, çerçeve programlar ve lider uygulamalardan da faydalanılarak olması beklenen kontrollerin tespit edilmesi ve denetim planına dahil edilmesi BT denetimi kapsamında aşağıdaki sistemler olabilir Veri tabanı yönetim sistemleri Oracle Microsoft SQL server Sybase DB2 Ağ sistemleri Güvenlik duvarları(firewall) Yerel alan ağları(lan) Yönlendiriciler(Routers, Switches) IDS / IPS Kablosuz ağlar Uygulamalar Kurumsal Kaynak Planlama Muhasebe Finansal raporlama Envanter yönetimi İşletim Sistemleri Microsoft Windows 2008/2012 Linux (Red Hat Enterprise vb.) UNIX (Sun Solaris, HP-UX, IBM AIX, vb.) 50

51 BT DENETİMİNİN FAYDALARI Kurumsal yapının güçlendirilmesi ve standartlaşmanın artması BT ve iş birimleri, stratejileri ve planları arasındaki uyumun artması Kontrol bilincinin kurum kültürü haline gelmesi Risk yönetimi bilincinin artması Denetçilerle işbirliğinin oluşturulması Veri gizliliği, bütünlüğü, erişilebilirliği ve güvenilirliğinde iyileşmeler sağlanması Bilgi güvenliğinde kurum çapında iyileşme sağlanması Destek hizmeti ile ilgili genel risklerin daha iyi kontrol edilmesi Dokümantasyonun sağlanması yoluyla BT ile ilgili bir kurum hafızası oluşturulması 51

52 BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ BT denetim metodolojisi, denetim hedefine uygun olarak 1. Planlama 2. Saha Çalışması 3. Raporlama ve İzleme şeklinde üç ana adımdan oluşmaktadır. Planlama adımında yer alan risk değerlendirme ve kapsam belirleme çalışmalarının tamamı ve dolayısıyla BT denetim görevlerinin yürütülmesi, BT kontrol piramidinde yer alan üç temel BT kontrol grubuna odaklanmaktadır. 52

53 BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ 53

54 Planlama BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ- PLANLAMA 1. Denetim hedeflerinin anlaşılması 2. BT ortamının anlaşılması Ön araştırmanın yapılması Kurum/Birim ile ilgili temel mevzuatın anlaşılması Kurum/Birim iş süreçlerinin anlaşılması Önceki denetim raporlarının incelenmesi Açılış toplantısının yapılması BT Organizasyonunun Anlaşılması Üçüncü taraf hizmetlerin anlaşılması BT envanterinin anlaşılması 3. Risk değerlendirmesinin yapılması Kurum seviyesi BT risk değerlendirmesi Uygulama seviyesi BT risk değerlendirmesi 4. Kapsamın belirlenmesi Mali Denetim Kapsamında Yürütülecek BT Denetimi Kapsamı Sistem Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı Performans Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı Uygunluk Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı Güvenlik Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı 3. Çalışma Planının Hazırlanması 54

55 BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ SAHA ÇALIŞMASI, RAPORLAMA VE İZLEME, KALİTE GÜVENCE Saha Çalışması 1. Kontrollerin Değerlendirilmesi Anahtar Kontrollerin Tespit Edilmesi Tasarım Etkinliğinin Değerlendirilmesi Örneklem Seçimi İşletim Etkinliğinin Değerlendirilmesi Standart Denetim Prosedürlerinin Kullanılması BT Kurum Seviyesi Kontrolleri ve BT Yönetişim Kontrolleri Denetimi BT Genel Kontrollerinin (Yönetim Süreçlerinin) Denetimi Uygulama Kontrolleri Denetimi BT Altyapı Genel Kontrolleri Denetimi Çalışma Kâğıtlarının Kullanımı 2. Bulguların Değerlendirilmesi Raporlama ve İzleme 1. Denetim raporunun hazırlanması ve sunumu 2. Denetim sonuçlarının izlenmesi Kalite güvence 55

56 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» 56

57 Planlama ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ»-1 1. Denetim hedeflerinin anlaşılması: Tebit A.Ş. Firmasının faaliyetleri kapsamında Internet TV ürünü sattığı müşterilerine yönelik ürün ve müşteri talep/tahsis yönetimini yaptığı Tebit CRM uygulamasına erişim hakkı olan personel ve diğer kullanıcıların yetkilerinin tahsisi, iptali ve uygulamaya erişim yönetimlerinin genel bilgi güvenliği ilkeleri, ilgili mevzuat, kurumsal politika ve prosedürlere uygun yapılıp yapıldığı kontrol edilecektir. 2. BT ortamının anlaşılması: Ön araştırmanın yapılması Kurum/Birim ile ilgili temel mevzuatın anlaşılması: BTK ilgili mevzuatı, Kurumsal Bilgi Güvenliği Politika ve Prosedürleri Kurum/Birim iş süreçlerinin anlaşılması: Tebit CRM uygulamasına erişim yetkileri Bilgi İşlem Kullanıcı Erişim Yönetimi Müdürlüğü vermektedir. Bilgi İşlem Güvenlik Müdürlüğü, hangi tipte kullanıcıya hangi rol/yetkinin verileceğine ilişkin rol/yetki matrisini hazırlayarak uygulaması için Bilgi İşlem Kullanıcı Erişim Yönetimi Müdürlüğü ne vermiştir. Ayrıca kullanıcı yetki talep/tahsis sürecine ilişkin süreci «Kullanıcı Erişim Yönetimi Prosedürü» kapsamında Bilgi İşlem Güvenlik Müdürlüğü hazırlamıştır. Görevden ayrılan/görevi değişen personel ve dış kaynak (danışman, hizmet alınan 3. parti firma vb) İnsan Kaynakları Müdürlüğü tarafından takip edilmekte ve böyle bir durumda yetkilerin kaldırılması/yeniden düzenlenmesi için Bilgi İşlem Kullanıcı Erişim Yönetimi Müdürlüğü ne bilgi verilmektedir. Önceki denetim raporlarının incelenmesi: Daha önce gerçekleştirilmiş bir denetim bulunmamaktadır. Açılış toplantısının yapılması: İlgili İnsan Kaynakları, Bilgi İşlem Kullanıcı Yönetimi ve Bilgi İşlem Güvenlik Müdürleri ile görüşülmüştür. Süreçler ve test edilecek kontroller hakkında bilgi verilmiş, sorumlu personelin iletişim bilgileri alınmıştır. BT Organizasyonunun Anlaşılması: Sorumlu personelin ve ilgili birimlerin birbirleri ile ilişkileri/ast-üst ilişkilerine yönelik organizasyon şemaları temin edilmiştir. BT envanterinin anlaşılması: Tebit CRM uygulaması, Kullanıcı Erişim Yönetimi Uygulaması 57

58 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ»-2 3. Risk değerlendirmesinin yapılması: Sürece ilişkin adımlar ve olası riskler belirlenmiş yüksek ve orta riskli süreçler, ilgili test edilecek kontroller (varlıkları ve mevcutsalar etkinlikleri) belirlenmiştir. 4. Kapsamın belirlenmesi: Tebit CRM uygulaması ve tüm kullanıcılarına ait son 1 yıllık süreye ilişkin işlemler 5. Çalışma Planının Hazırlanması: Planlama çalışması 1 hafta, saha çalışması 2 hafta ve raporlama çalışması 1 hafta olmak üzere toplam 1 aylık bir süre planlaması yapılmıştır. Saha Çalışması 1. Kontrollerin Değerlendirilmesi Anahtar Kontrollerin Tespit Edilmesi: Anahtar kontroller belirlenmiştir. Tasarım Etkinliğinin Değerlendirilmesi: Mevcut olmayan kontroller belirlenmiştir. Örneklem Seçimi: Değişik kriterlere göre makul sayılarda örneklem seçilmiştir. İşletim Etkinliğinin Değerlendirilmesi: Mevcut kontrollerden etkinliği test edilecek kontroller belirlenmiştir. Standart Denetim Prosedürlerinin Kullanılması: Risk kontrol matrisi hazırlanmış olup burada belirlenen test prosedürleri izlenmiştir. Çalışma Kâğıtlarının Kullanımı: Test amaçları, detayları, sonuçları, ilgili kanıtların yer aldığı çalışma kağıtları düzenlenmiştir. 2. Bulguların Değerlendirilmesi: Bulgular iş birimleri ve teknik birimlerle değerlendirilerek mutabakat sağlanmıştır. 58

59 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ»-3 Raporlama ve İzleme 1. Denetim raporunun hazırlanması ve sunumu: Mutabık kalınan bulgularla ilgili var olmayan veya işlemeyen kontrollere ilişkin öneriler, bu önerilere ilişkin aksiyon planları ve tarihleri üzerinde ilgili birimlerle mutabık kalınmıştır. 2. Denetim sonuçlarının izlenmesi: Aksiyon planları ve tarihleri düzenli olarak takip edilerek gerekli aksiyonun belirtilen vadede alınıp alınmadığı, alınmadıysa gerekçesinin öğrenilerek ek önlemlerde riskin ne şekilde yönetildiği öğrenilir. Yönetime bu yönde bilgi verilir. Kalite güvence İç Denetim Yöneticisi tarafından iç denetim usul ve esaslarına, prosedürlerine uygun hareket edilip edimediğine yönelik gerekli değerlendirmeler yapılmıştır. 59

60 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» RİSK/KONTROL-1 Ana Süreç Alt Süreç Risk Kullanıcıların güncel takibi 1 Kullanıcı erişim yönetimi R1: İşten ayrılmış kullanıcıların iptal edilmesi gereken erişim haklarının aktif kalması sonucu yetkisiz erişimler ve güvenlik ihlallerinin meydana gelmesi Risk Seviyesi Yüksek Kontrol Noktası K1: Kullanıcı listesinin güncel takibi 2 Kullanıcı erişim yönetimi 3 Kullanıcı erişim yönetimi 4 Kullanıcı erişim yönetimi Kullanıcı tanımlama ve yetkilendirme Kullanıcı hesap verilebilirliği Kullanıcı hesap tekilliği R2: Yazılı ve onaylı talep olmadan kullanıcı oluşturulması sonucu yetkisiz ve onaysız erişim hakkı tanımlanması R3: Kullanıcılara ayırt edilebilir kullanıcı adları tanımlanmaması sonucu güvenlik ihlallerinden sorumlu kişilerin tespit edilememesi R4: Kullanıcılara ayırt edilebilir ve eşsiz kullanıcı adları verilmemesi sonucu güvenlik ihlallerinden sorumlu kişilerin tespit edilememesi Yüksek Yüksek Yüksek K2: Kullanıcıların yazılı ve onaylı kullanıcı taleplerine istinaden tanımlanması K3: Kullanıcılara kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adları tanımlanması ve jenerik kullanıcı bulunmaması K4: Bir kullanıcıya ait yalnızca tek bir kullanıcı hesabı tanımlı olması 60

61 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» RİSK/KONTROL-2 Ana Süreç Alt Süreç Risk 5 Erişim kontrolleri Oturum açma kontrolleri R5: Sistemin aynı kullanıcı hesabı ile aynı anda birden fazla oturum açılmasına izin vermesi sonucu açık kalan oturumların başka kişilerce kullanılması veya kullanıcının bilgisi dışında hesabının üçüncü kişilerce kullanılması 6 Kullanıcı erişim Parola Yönetimi R6: Şirket parola kurallarına uyumsuz yönetimi parola kullanımı sonucu güvenlik 7 Kullanıcı erişim yönetimi zafiyetlerinin oluşması 3. parti firma kullanıcıları yönetimi R7: Süre sınırı olmayan hesap tanımlamaları nedeniyle işten ayrılma statüsü takip edilemeyen kullanıcıların işten ayrıldıkları halde kullanıcı hesaplarının aktif kalması sonucu erişim ve bilgi güvenliği ihlallerinin oluşması Risk Seviyesi Orta Yüksek Orta Kontrol Noktası K5: Aynı kullanıcı hesabı ile aynı anda açılabilen oturum sayısının kısıtlanması K6: Parola parametrelerinin Şirket parola politikası ile uyumlu olması K7: Üçüncü taraf firma kullanıcı hesap süreleri 61

62 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» RİSK/KONTROL-3 Ana Süreç Alt Süreç Risk 8 Erişim kontrolleri Oturum zaman aşımı R8: Uzun süre işlem yapılmadığı halde açık kalan oturumların kullanıcının bilgisi dışında başka kişiler tarafından kullanılması sonucu erişim ve bilgi güvenliği zafiyetlerinin oluşması 9 Erişim kontrolleri Oturum açma kontrolleri R9: Deneme yanılma yöntemi ile otomatik olarak sürekli parola denemeleri yaparak sistemlere izinsiz ve yetkisiz erişim yapılması 10 Profil yönetimi Kullanıcı tiplerine göre standart rol R10: Önceden belirlenmiş rol ve yetkilerin atanması paketlerine uygun olmayan rol/yetki ataması sonucu erişim ve bilgi güvenliği zafiyetlerinin oluşması Risk Seviyesi Orta Orta Yüksek Kontrol Noktası K8: Oturum zaman aşımı süresinin bulunması (idle time out) K9: Başarısız oturum denemelerinin kullanıcı hesabının pasife düşmesi K10: Rollerin kullanıcı gruplarına göre önceden belirlenmiş rol sepetlerine uygun olarak verilmesi 62

63 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» TEST İÇİN GEREKLİ BİLGİ/BELGE/SORUMLU BİRİM Test İçin Gerekli Bilgi/Belge Bilgi/Belgenin Temin Edileceği Birim 1) Kullanıcı erişim yönetimi ile ilgili politika ve prosedürler 1) Bilgi İşlem Güvenlik Müdürlüğü 2) Kullanıcı görev durumu manuel takip ediliyorsa geçmişe dönük olarak yapılan son 3 takibe 2) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü ilişkin doküman 3) Güncel Tebit A.Ş. personel, dış kaynak firma çalışanı, danışman firma çalışanı, bayi çalışan listeleri (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı)) 4) Tebit CRM uygulaması için güncel aktif kullanıcı listesi alınır (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı), rol ve yetkiler, uygulama kayıt tarihi, parola değişiklik/yenileme tarihi, kullanıcı hesap geçerlilik tarihi). 5) Görevi değişen personel listesi (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı)) 3) İnsan Kaynakları Müdürlüğü 4) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü 5) İnsan Kaynakları Müdürlüğü 6) Görevden ayrılan personel listesi (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı)) 6) İnsan Kaynakları Müdürlüğü 7) Yetki talep/onay belgeleri/sistem çıktıları 7) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü 8) Tebit CRM uygulamasına ait rol ve rollere bağlı yetkilere ait liste 8) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü 9) Hani tür kullanıcıya hangi rol ve yetkilerin atanacağına ilişkin rol/yetki matrisi 9) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü 10) Tebit CRM uygulamasını kullanan personelin tümüne ait görev sorumluluk dökümleri 10) İnsan Kaynakları Müdürlüğü 63

64 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» KONTROL TESTİ/SONUÇ-1 Kontrol Noktası K1: Kullanıcı listesinin güncel takibi Test Prosedürü 1) Kullanıcı erişim haklarının belirli aralıklar ile gözden geçirilmesine yönelik bir otomatik veya manuel bir kontrol var mı öğrenilir (örneğin; görevden ayrılan bir personelin hesabı sistemsel olarak otomatik sonlandırılmakta mıdır? Şirketten ayrılan veya görev değişikliği olan personele ilişkin manuel takip süreci mi vardır?). Varsa ilgili kontrol için kontrolün yapıldığına dair kanıtlayıcı belge istenir ve dokümante edilir. 2) Güncel Tebit A.Ş. personel, dış kaynak firma çalışanı, danışman firma çalışanı, bayi çalışan listeleri İnsan Kaynakları, Bayi Satış Müdürlüğü ve ilgili birimlerinden temin edilir. 3) İlgili uygulama için güncel aktif kullanıcı listesi alınır (en azından şu bilgilerden bir veya birkaçını içeren: güncel aktif kullanıcı listesi alınır 4) Güncel kullanıcı listesi ile güncel çalışan listesi karşılaştırılarak kullanıcı listesinde yer alan kişilerin çalışan listelerinde olduğu/görevden ayrıldığı halde uygulama erişim yetkileri aktif olan kullanıcılar test edilir. 5) Görev değişikliği olan personelin eski görevlerine ait rol ve yetkilerin yeni atandıkları görevin gerektirdiği rol ve yetkiler ile değiştirildiği kontrol edilir. 6) Görevden ayrılan kullanıcılar ile hesapları pasif kullanıcılar karşılaştırılır, görevden ayrıldıkları tarih ile hesapların pasiflendiği tarihler karşılaştırılır, bu işlemin eş zamanlı yapıldığı kontrol edilir. Süreç Gözlemi/Test Sonucu Öneri 1) Kullanıcı erişim yönetimine yönelik politika ve prosedür bulunmamaktadır. Yeni atanan Bilgi İşlem Kullanıcı Yönetimi Müdürü öncekinden farklı yöntemler izlemektedir. 2) Kullanıcıların yetkileri İnsan Kaynakları Müdürlüğü'nden yapılan geri bildirimle iptal edilmektedir. Görev değişikliği olan personelin yetkileri düzenlenmemektedir. Görevden alınan daha alt bir göreve atanan bir personelin eski yöneticilik dönemine ait yetkilerinin halen aktif olduğu görülmüştür. 3) Şirket personeli İnsan Kaynakları tarafından takip edilmekte geri bildirimler her ay sonunda toplu halde yapılmaktadır. Şirket personeli olmayan kullanıcıların takibi yapılmamaktadır. Görevden ayrıldığı halde erişim yetkileri pasiflenmemiş kullanıcılar bulunmaktadır. 1) Genel kabul görmüş standartlar, standart ve çerçevelerce belirlenmiş güvenlik ilkeleri paralelinde parola politikasını da içerecek şekilde kullanıcı erişim yönetimine yönelik politika ve prosedürlerin hazırlanması ve şirket süreçlerinde kullanılması 2) Görevden ayrılan/görev değişikliği olan personelin işlemin olduğu gün içerisinde mümkünse eşzamanlı olarak yetkilerinin kaldırılması/yeni görevine uygun revize edilmesi sürecini otomatik yürütecek şekilde İnsan Kaynakları personel listesiyle entegre kullanıcı yönetim uygulamasının geliştirilmesi veya bu mümkün değilse sürecin manuel yürütülmesi 3) Şirket personeli olmayan kullanıcıların da İnsan Kaynakları Müdürlüğü tarafından takip edilerek personelde olduğu şekilde erişimlerinin yakından takip edilmesi 64

65 ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» KONTROL TESTİ/SONUÇ-2 Kontrol Noktası K2: Kullanıcıların yazılı ve onaylı kullanıcı taleplerine istinaden tanımlanması Test Prosedürü 7) Uygulama kullanıcı talebi ve iptali için tanımlı bir süreç ve ilgili politika/prosedürler var mı öğrenilir. Sürecin işleyişi hakkında bilgi/belge, politika/prosedür temin edilir. 8) İlgili uygulama için güncel aktif kullanıcı listesi alınır (en azından şu bilgilerden bir veya birkaçını içeren: güncel aktif kullanıcı listesi alınır 9) Alınan kullanıcı listesinden seçilen örnekler için (Tüm admin ve benzeri yüksek yetkili kullanıcıları kapsayacak şekilde) erişim ve yetki taleplerine ilişkin talep formları istenerek kullanıcı tanımlamalarının sürece uygun şekilde ve onaylı taleplere istinaden yapıldığı test edilir. Süreç Gözlemi/Test Sonucu Öneri 4) Kullanıcı yetki talepleri veya telefonla yapılmaktadır, talep formu bulunmamaktadır. Seçilen örneklem arasından istenen taleplerden sadece çok az bir kısmına ait talebi bulunmuştur. 5) Talep sırasında talep sahibinin amiri tarafından talep değerlendirmesi yapılmamaktadır. Seçilen örneklem arasından istenen taleplerden hiçbirisinde amir onayı bulunmamaktadır. 6) Daha önceki Bilgi İşlem Kullanıcı Yönetim Müdürü görevden ayrıldığı için geçmiş döneme ait talep/onay lerine ulaşılamamaktadır. 4) Kullanıcı taleplerinin ıslak imzalı talep/onay formları ile ilgili personelin talebinin 1. olarak amiri tarafından imza ile 2. olarak da Bilgi İşlem Kullanıcı Yönetimi Müdürü tarafından onaylanması, bu formların muhafaza edilmesi/söz konusu sürecin sistemler üzerinden yürütülebileceği bir altyapının kurulması, söz konusu onayların sistemler üzerinde amir ve Bilgi İşlem Kullanıcı Yönetimi Müdürü tarafından verilmesi, talep edilmesi halinde bu sistemden geriye dönük olarak istenen kullanıcıya ait yetki talep/onay belgesinin temin edilebileceği bir sistemin kurulması 65