5018 SAYILI KANUN VE BİLİŞİM SİSTEMLERİ DENETİMİ

Transkript

1 5018 SAYILI KANUN VE BİLİŞİM SİSTEMLERİ DENETİMİ Özcan Rıza YILDIZ Sayıştay Uzman Denetçisi GİRİŞ Belirlenen politika ve hedefler doğrultusunda, kaynakların etkin, ekonomik ve verimli şekilde elde edilmesi ve kullanılması için gerçekleştirilen kamu mali yönetimi ve kontrolüne ilişkin yapılan düzenlemelerde, kurumların belirli ilkeler çerçevesinde iç kontrol yapılarını kurmaları istenmektedir. Bu yapılar kurulurken ve ilgili mevzuatları hazırlanırken, işlemlerin genelde manuel (elle) yapılacağı, bir başka deyişle kâğıtlı ortamda yürütüleceği varsayılmaktadır. Ancak bugün ülkemizde iş ve işlemlerin yürütülmesinde bilişim teknolojileri araçlarından yararlanmayan kamu kurumu neredeyse bulunmamaktadır. Bilakis, kurumların daha kaliteli ve iyi hizmet sunabilmek için büyük bütçeler ayırarak önemli teknoloji yatırımları (Say 2000i, Mernis, Uyap gibi) gerçekleştirdikleri ve/veya gerçekleştirmeye de devam ettikleri görülmektedir. Bu noktada, manuel olarak (elle) yürütülecek işlemler için belirlenen risklere uygun olarak oluşturulan kontrollerin bilişim ortamı riskleri için de geçerli olacağını beklemek yersiz olacaktır. Çünkü bilişim teknolojilerinin ve bunların çalıştığı ortamı oluşturan sistemlerin kendine özgü riskleri vardır ve bunlar sıklıkla göz ardı edilebilmektedir. Bilişim teknolojilerinin giderek vazgeçilmez bir şekilde görevli kılınan işlerin yürütülmesinde kullanılması, beraberinde gelen risklerin yol açabileceği zararlarının da dikkate alınmasını gerektirir. Bu teknolojileri kullanan kamu kurumlarından beklenen, iç kontrollerini bu yeni durumlara uygun şekilde yapılandırmalarıdır. Bu açıdan, 5018 sayılı Kanunun 55 inci maddesinde iç kontrol,.varlık ve kaynakların korunmasını,..malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare tarafından oluşturulan kontroller bütünüdür şeklinde tanımlanmıştır. Buna göre, kamu idarelerinin sahip oldukları bilişim teknolojileri unsurlarının güvenliğini ve üretilen verilerin güvenilirliğini sağlayacak kontrolleri oluşturması gerekir. Bu çalışmada, kamu varlıklarının güvenlik ve güvenilirliğinin sağlanması için, bir kısmı teknolojinin kendisinden kaynaklanan, bir kısmı ise teknolojinin getirdiği imkânların bilerek veya bilmeyerek kötüye kullanılması yoluyla ortaya çıkan bilişim teknolojileri risklerini makul seviyeye indirecek kontrollere ilişkin incelemeler değerlendirilecektir. Bu inceleme, hem iç denetim hem de dış denetimin konusu olabilecek ve sadece mali karar ve işlemleri destekleyen sistemlerde değil, kurumun tüm 116 TEMMUZ - AGUSTOS

2 Özcan Rıza YILDIZ bilişim sistemlerinde uygulanabilecek olan bilişim sistemleri denetimi olarak adlandırılmaktadır. 1. BİLİŞİM SİSTEMLERİ DENETİMİ Sistem, belirli bir amacı gerçekleştirmek veya başarmak amacıyla bir araya getirilen, ortak özellikleri olan, birbiriyle etkileşimli parçalar bütünüdür. Bilişim sistemleri de, bilginin toplanmasını, işlenmesini, bakımını, kullanımını, paylaşımını, dağıtımını veya düzenlenmesini açık şekilde organize eden bilişim kaynaklarının tümüdür (NIST, 2007, 1). Bilişim sistemleri denetimi ise, bir bilişim sisteminin, kurum amaçlarına etkin bir şekilde ulaşılmasını, kaynakların verimli kullanılmasını, varlıkların korunmasını ve veri bütünlüğünün sürdürülmesini sağlayacak şekilde tasarlanıp tasarlanmadığını tespit etmeye yönelik kanıt toplama ve değerlendirme süreci (ASOSAI, 2003) olarak tanımlanmaktadır. Buna göre, içerisinde bilişim sistemlerinin bulunması durumunda bile, önceden belirlenmiş standartlar, ilkeler veya mevzuat çerçevesinde kanıt toplama ve değerlendirme süreci olan denetimin amacında bir değişim olmayacaktır. Bilişim sistemleri denetiminde, kurumlar tarafından oluşturulan sistemlerin güvenli çalışması ve güvenilir veri üretmesi için kurulması gereken iç kontrollere ilişkin kanıt toplanmakta ve bunlar değerlendirilmektedir. Bu durumun, bilişim sistemlerini, işlemlerinde yoğun şekilde kullanan kurumlarda yürütülecek denetimlerin kalitesi ve sonuçlarının güvenilirliği açısından- ki hangi denetim türü uygulanırsa uygulansın bu değişmeyecektir- vazgeçilmez bir zorunluluk olduğu, çeşitli uluslararası meslek kuruluşları tarafından belirlenen denetim standartlarında da açıkça ifade edilmektedir. Uluslararası Sayıştaylar Birliği (INTOSAI) tarafından hazırlanan ve tüm Sayıştaylarca referans olarak kullanılan Denetim Standartlarına göre, muhasebe veya diğer bilgi sistemlerinin bilişim ortamında bulunduğu yerlerde, denetçi, iç kontrollerin, verinin doğruluğu, güvenilirliği ve tamlığını sağlamak için uygun şekilde işleyip işlemediğini belirlemelidir. Ayrıca, bilişim ortamında bulunan veri, denetimin önemli bir parçası ve verinin güvenilirliği de denetim hedefinin esası olduğunda, denetçiler verinin güvenilir ve hedefle ilgili olduğu konusunda güvence elde etmeye ihtiyaç duyar. Aynı şekilde, Uluslararası Muhasebeciler Federasyonu (IFAC) tarafından hazırlanan ve tüm dünyadaki denetim kurumlarına ve onların mensuplarına yol gösteren Uluslararası Denetim Standartlarına göre de, denetçi kurumun bilişim teknolojilerinden kaynaklanan risklere karşı aldığı önlemler hakkında bir güvence elde etmelidir. Denetçi, kurumun bilişim sistemlerinden kaynaklanan risklere karşı yeterli önlem alıp alınmadığını, genel ve uygulama kontrollerini kullanarak değerlendirmelidir 1. Risk tabanlı bir metodolojiyle yürütülecek bu denetimin sonuçları, hem bir kurumun mali karar ve işlemlerine dayalı olarak üretilen mali tabloların ve raporların doğruluğu ve güvenilirliği hem de kaynakların ekonomik, verimli ve etkin olarak kullanılıp kullanılmadığının tespit edilmesi için yapılacak denetimlerde dikkate alınmaktadır. Ayrıca, son dönemlerde, bilişim teknolojilerinin, riskleri dikkate almadan kullanımıyla oluşan kırılgan çalışma ortamlarının varlığına yönelik farkındalığı artırmak ve kamu kaynaklarının zarara uğratılmasının önüne geçebilmek için denetim sonuçları, yüksek denetimde diğer raporlar kapsamında bağımsız olarak doğrudan parlamentoya gönderilmektedir(waag, 2009). Bu noktada, bilişim teknolojilerinin, doğru ve yeterli şekilde uygulanmadığı, izlenmediği ve kontrol edilmediği zaman kurumlardaki iç kontrol yapılarını değiştirebilecek önemli riskler oluşturabilen bir yapısı bulunduğundan, bu risklerin neler olabileceği ve bunların etkilerinin kurum varlıklarına olan zararlarının hangi kontrollerle azaltılabileceği konusunun açıklanması yerinde olacaktır. 2. BİLİŞİM TEKNOLOJİLERİNİN RİSKLERİ VE KONTROLLER Bilginin toplanmasında, işlenmesinde, depolanmasında, ağlar aracılığıyla bir yerden bir yere iletilmesinde ve kullanıcıların hizmetine sunulmasında yararlanılan ve iletişim ve bilgisayar teknolojilerini de kapsayan bütün teknolojilere bilişim teknolojileri denilmektedir. Bir başka deyişle, yazılım, donanım, ağ ve personelden oluşan bilişim teknolojileri unsurlarının yol açabileceği risklerin bilinmesi ve bunlara karşı etkin önlemler alınması gerekmektedir. Ancak gerekli önlemlerin alınmış olması durumunda bile, risklerin bir kısmı varlığını sürdürecektir. Çünkü risklerin tümünün karşılanması, maddi imkân bulunsa dahi teknolojik olarak mümkün değildir. O nedenle, riskler sıfırlanamayacağından, onların doğru bir şekilde yönetilmesi gerekir. Burada hedef, yüzde yüz güvenli bir ortam oluşturmak yerine, var olan risklerin etkilerini mevcut imkânlar ölçüsünde kurulacak kontrollerle kabul edilebilir bir seviyeye çekmek olmalıdır. Bu çerçevede, bilişim teknolojilerinin karmaşıklığı, unsurlarının çokluğu ve kurumsal yapıların farklılığı dikkate alındığında risklerin ve kontrollerin tümünün birebir ifade edilmesinin imkânı bulunmamaktadır. İleriki bölümlerde daha ayrıntılı durulacak olmakla birlikte, burada bu risklerin ve ilgili kontrollerin neler olabileceğinin genel olarak belirtilmesi uygun olacaktır. 1 Daha fazla bilgi için ve bakınız. 117 TEMMUZ - AGUSTOS - - EYLUL

3 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi 2.1 Riskler Bilişim teknolojileri, bir yandan iş ve işlemlerin yürütülmesinde basitleşme ve hızlılık sağlarken, diğer yandan, sistematik hatalar, birbirini besleyen tutarsızlıklar, mantıksız işlemler, kontrol edilemeyen sisteme girişler, işlem hataları, kurum bilgilerinin bozulması, kaybolması veya çalınması gibi durumları da kolaylaştırabilmektedir. Başka bir deyişle, bilişim teknolojilerinin bu tür olumsuzluklarının, kurumun tüm varlıklarına zarar verme tehlikesi bulunmaktadır. Nitekim risk de, zarara uğrama tehlikesi 2 olarak tanımlanmaktadır. Bilişim sistemlerine ilişkin kontrollerin etkin şekilde uygulanmaması durumunda karşılaşılabilecek risklerin bir kısmı şunlardır (GAO, 2009,): - Harcamalar ve gelirler gibi kamu kaynakları kaybolabilir veya çalınabilir; - Bilişim kaynakları, başkalarına saldırı başlatmak da dahil olmak üzere yetkisiz amaçlar için kullanılabilir; - Hassas bilgiler olarak kabul edilen, sosyal güvenlik kayıtları, sağlık kayıtları ve diğer kişisel bilgiler ile iş bilgileri, uygun olmayan şekilde, silinebilir, okunabilir, kopyalanabilir, açıklanabilir, başka hususlar eklenebilir veya casusluk, kimlik hırsızlığı veya diğer suç türleri gibi amaçlar için değiştirilebilir; - Ulusal savunma ve acil hizmetler gibi kritik faaliyetler engellenebilir; - Sahtecilik ve bozma amaçlı olarak veriler değiştirilebilir veya ortadan kaldırılabilir; - Kurum faaliyetleri sürdürülemeyebilir, sorumluluklar yerine getirilemeyebilir ve itibar kaybı yaşanabilir. Bu açıdan, bilişim teknolojileri, yanılmaz araçlar değildir. İlgili kontrollerin uygulamada olmamaları halinde, eksik, yanlış ve geçersiz veri üretme olasılığı vardır. Giderek artan sorunları, güvenlik tehditleri, veri kalitesi ve gizlilik gerektiren düzenlemelerle birlikte, günümüzde kuruluşlar varlıkların güvenliği ve verilerinin güvenilirliği konusunda hiç olmadığı kadar sistemlerini koruma ihtiyacı içindedirler. İlgili kontrollerin kurulması, uygulanması ve titizlikle izlenmesi bu risklerin azaltılmasına yardımcı olabilir. Kurumların karşı karşıya olduğu riskler sürekli olarak değişeceğinden düzenli aralıklarla yapılacak risk değerlendirme çalışmalarıyla kontrollerin gözden geçirilmeleri de sağlanmalıdır. 2.2 Kontroller Bilişim teknolojileri risklerini karşılayacak kontrollerin, ayrıntılı şekilde oluşturulacak iş süreçleri içerisinde gerekli olan noktalarda yer alması gerekmektedir. Bu husus, manuel olarak yürütülen işlerde olduğu gibi bili- 2 Türk Dil Kurumu Büyük Sözlük şim teknolojileri ortamlarında da aynı şekilde kurulmalıdır. Bilişim teknolojileri için kurulabilecek kontroller üç başlık altında incelenmektedir: Önleyici, ortaya çıkarıcı ve düzeltici kontroller (IDI, 2008). Önleyici kontroller: Bu kontrol bir hata, ihmal veya zarar verici bir faaliyetin meydana gelmesini engellemek için oluşturulmaktadır. Örneğin, mali sistemlere erişim için parolaların kullanılması, yetkisiz kişilerin erişimine engel olduğundan bu kontrollere güzel bir örnektir. Ortaya koyucu kontroller: Bu kontrol, meydana gelen hata, ihmal veya zararlı faaliyetleri ortaya çıkarmak için kurulmuşlardır. Sistemdeki tüm faaliyetlerin günlük kayıtlarının (logs) tutulması geriye dönülerek uygun olmayan faaliyetlerin tespit edilmesine imkân verebilmesi açısından bu kontrollere bir örnek olarak verilebilir. Düzeltici kontroller: Bu kontrol, diğer iki kontrolün arasında yer alır. Engellenemeyen hata, ihmal veya bir zararlı faaliyetin meydana geldiğinin tespit edilmesi durumunda etkisinin düzeltilmesini sağlayan kontrollerdir. Hatalı tarih girilen bir yerde, faturaların varsayılan tarihleri kullanarak üretilmesi bu kontrollere bir örnektir. Ancak en güzel örnek, iş sürekliliği planının bulunmasıdır. Bu kontroller, idari, teknik ve fiziksel uygulamalarla gerçekleştirilebilmektedir. İdari uygulamalar, politika ve süreçler gibi hususlardır. Teknik uygulamalar ise mantıksal olarak kontrolü güçlendiren araçlar ve yazılımlardır. Fiziksel uygulamalar ise, güvenlik görevlileri, kapalı kapılar gibi fiziksel araçlardır. Ancak bu kontrollerin, maliyet-etkinlik ve fayda-maliyet itibariyle bir değerlendirmesinin de yapılması gerekmektedir. Örneğin, her zaman önleyici kontroller tercih edilmekle birlikte, bazı durumlarda bu kontrollerin maliyet etkinlik bakımından çözüm için uygun olmadığı, diğer kontrollerin fayda maliyet açısından daha uygun olduğu durumlar bulunabilmektedir. Kamu kurumları bunları kurumsal yapı, kontrolün maliyeti ve getireceği etkinlik açısından bir değerlendirme yaptıktan sonra uygulamaya almaları gerekmektedir. Bilişim sistemleri denetimi, bu çalışmanın ileriki bölümlerinde de değinileceği gibi, üç kontrolü içinde barındıran genel ve uygulama kontrolleri başlıkları altında yürütülmektedir. 3. KONTROL İÇİN GEREKLİ STANDARTLAR Bilişim teknolojileri, birçok kişi ve/veya kurum için en değerli fakat en az anlaşılan varlıkların başında gelmektedir. Bunların yönetimi ise, değer, risk ve kontrol üzerine kuruludur. Başka bir deyişle, kurumların iş hedef- 118 TEMMUZ - AGUSTOS

4 Özcan Rıza YILDIZ lerini ve gereksinimlerini karşılayacak bilgilerin üretimi ve aktarımının hızlı, sürekli ve güvenli olarak sağlanabilmesi için bilgi teknolojileri kullanımından kaynaklanan risklerin belirlenmesi, yönetimi ve kontrolünün etkin ve verimli olarak yapılması gerekmektedir. Bu çerçevede, gerekli iç kontrol süreçlerinin kurulmasını sağlamak üzere, bilişim sistemleri yöneticilerinin, kurum üst yönetiminin de desteğini alarak uygulayabilecekleri standartlar, iyi uygulama örnekleri de bulunmaktadır. İster COSO, isterse bir başka model benimsenmiş olsun, bilişim sistemlerinde iç kontrollerin kurulmasına yönelik olarak öne çıkan üç tanesine burada değinmek yerinde olacaktır: TS/ISO Bilgi Güvenliği Yönetim Sistemi, COBIT ve ITIL. 3.1 (TS) ISO/IEC 27001/2 Bilgi Güvenliği Yönetim Sistemi Standardı Bilgi güvenliği, iş devamlılığının sağlanması, iş zararlarının asgariye indirilebilmesi, yatırımların ve iş imkânlarının arttırılması için geniş bir tehdit kümesine karşı bilginin korunmasıdır. Bu standart, bilgi güvenliğinin bütünlük (varlıkların doğruluğunun ve tamlığının korunması), kullanılabilirlik (yetkisi olanlar tarafından talep edildiğinde erişilebilir ve kullanılabilir olması) ve gizlilik (bilginin yetkisiz kişiler, varlıklar ya da süreçlerce kullanılmaması ya da açıklanmaması) ilkeleri dikkate alınarak oluşturulan bir süreç sistemidir. Bu üç ilkenin gereklerini yerine getiren kontroller kurumun ihtiyaçları doğrultusunda uygun şekilde kurulmalıdır. Kuruşlar kendi ihtiyaçları doğrultusunda bu üç bileşen arasındaki ilişkileri belirler. Örneğin bazı kuruluşlarda gizlilik diğer ikisinden önemliyken bazılarında bütünlük ve/veya erişilebilirlik gizlilikten daha önemlidir. Örneğin, askeri bir kurumda gizlilik ve bütünlük ön plana çıkarken, bir üniversitede erişilebilirlik daha önemli olabilir. Bilgi güvenliği yönetim sistemi, Planla-Uygula- Kontrol et-değerlendir (PUKD) döngüsünü öngören bir süreçtir. Buna göre, önce ne yapılacağına karar verilecek; sonra, bu karar uygulanacak; daha sonra ise, uygulamanın çalışıp çalışmadığı kontrol edilecek; ve en sonunda, değerlendirme yapılarak çalışmayanlar için önlemler alınacaktır. Böylece, tekrar karar verilme noktasına geri gelinmektedir. Bu süreç riske dayalı bir yönetim sistemidir. Başka bir deyişle, yapılan risk analizi sonucunda ortaya konan risklerin bir plan eşliğinde tedavi edilmesi sürecidir. Bilgi güvenliği yönetim sistemi hakkında detaylı açıklama yapmak bu çalışmanın sınırlarını aştığından, burada sadece, esas alınan üç ilkeye kısaca değinilmesi yeterli olacaktır. Bilginin gizliliği, bilgiye sadece izin verilen kişilerin izin verilen yollarla erişimi anlamına gelir. Buradaki erişim, okumaya yönelik bir erişimdir (örn: kopyalama, yazıcıdan çıkarma, basılı durumdaki bilgi için fotokopi). Hatta bazı durumlarda bir bilginin varlığının bilgisi dahi kısıtlama altında olabilir. Yani yetkisi olmayan kişilerin herhangi bir bilginin varlığının bilgisine erişimleri dahi gizlilik amacının bir ihlali olabilir. Bu amacı ihlal etmeye yönelik saldırı türü izinsiz erişimdir. Bilginin bütünlüğü, duruma göre birçok anlama gelebilir. Özel durumlar için bilginin bütünlüğü, özel şeyleri ifade etmek için kullanılabilir. Bütün oluştan kasıt, bilginin her şeyden önce doğru ve kesin oluşu, şüphe uyandırmayan bir durumda oluşudur. Bilgi aynı zamanda değiştirilemez olmalı, bir başka deyişle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla değiştirilebilmelidir. Bilginin anlamlı ve tutarlı oluşu, kendi içinde çelişik olmaması da bilgi bütünlüğündeki amaçlar olarak sıralanabilir. Bilginin bütünlüğünü ihlale yönelik saldırı türleri engelleme veya zarar verme, değişiklik yapma ve üretim olabilir. Bilginin kullanılabilirliği, bilginin yetkili kişilerce erişilebilir olmasının yanında kullanılabilir de olması demektir. Aynı zamanda bilgi kullanıcılar tarafından zamanında ulaşılabilmeli ve ulaşım sırasındaki kaynak paylaşımı izin verilen şekilde olmalıdır. Kullanılabilirliğe yönelik saldırı türleri engelleme veya değişiklik yapma şeklinde olabilir. 3.2 COBIT (Control Objectives for Information and related Technology-Bilgi ve İlgili Teknoloji için Kontrol Amaçları) 3 Kendisi bir standart olmamakla birlikte, tüm bilgi işlem teknolojilerinin iş hedefleriyle uyumlu olarak kurulması, sürdürülebilir bir şekilde işletilmesi ve denetimi için son derece gelişmiş bir kontrol çerçevesi sağlamaktadır. ISACA (Information Systems Audit and Control Association-Bilgi Sistemleri Denetim ve Kontrol Birliği) tarafından bir denetim aracı olarak tasarlanmış, ancak bilgi işlem ve iş yönetiminde de kullanılan bir araçtır. COBIT, bilgi teknolojileri yönetişimi için sunulmuş bir model, kurum hedeflerine bilgi teknolojileri alt yapılarını etkin kullanarak ulaşmayı sağlayan iç kontrol odaklı bir yaklaşımdır. İş ve bilgi teknolojileri arasında köprü görevini gören bir metodoloji olup, birçok standardı iyi uygulama örnekleri içerisinde sindirmiştir. COBIT, bilişim faaliyetlerini, planlama ve organizasyon, edinme ve uygulama, sunum ve destek, izleme ve değerlendirme olmak üzere dört temel etki alanına ayırarak genel bir süreç modeli oluşturulmasını sağlar. Bu etki alanlarında toplam 34 süreç, yaklaşık 318 kontrol söz konusudur. Bu kontrollerin belirlenen yedi adet bilgi kriterini (verimlilik, etkinlik, gizlilik, bütünlük, kul- 3 Daha fazla bilgi için bakınız. 119 TEMMUZ - AGUSTOS - - EYLUL

5 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi lanılabilirlik, uyumluluk, güvenilirlik) sağlaması gerekmektedir. Kontrolün tanımını COSO dan almış olan COBIT, kurumun, iş hedefleri doğrultusunda hizmet vermesini sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını ve verilen hizmetlerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini sağlar. Neler yapılması gerektiği ile ilgilidir ama bunların nasıl yapılmaları gerektiği ile ilgilenmez (Uzunay, 2007). 3.3 ITIL (Information Technology Infrastructure Library-Bilgi İşlem Altyapı Kütüphanesi) 1987 de İngiltere Ticaret Bakanlığı tarafından geliştirilen ITIL, bilişim hizmetlerinin eksiksiz ve beklenen kalitede yürütülmesi için geliştirilmiş uluslararası hizmet yönetim metodolojisidir. Bilişim teknolojilerinin, en iyi uygulamalar üzerine kurulan ITIL, bilişim teknolojileri hizmet yönetimi ve dağıtımı süreçleri ile dünyada yaygın olarak kullanılmakta ve kabul görmüş bir standart olarak benimsenmektedir (TBD, 2008). İş süreç yaklaşımı sayesinde ITIL, müşteri, tedarikçi, bilgi işlem birimi ve kullanıcıları arasında başarılı bir şekilde iletişim kurulmasını sağlamaktadır. ITIL de tanımlanan tüm süreçlerin her biri diğeriyle ilintilidir. Hizmet yönetiminde yer alan ve birbiriyle bütünleşik olarak çalışan Hizmet Desteği (konfigürasyon yönetimi, değişiklik yönetimi, sürüm yönetimi, olay yönetimi, problem yönetimi, servis masası) ve Hizmet Sunumu (hizmet düzeyi yönetimi, kapasite yönetimi, bilişim teknolojileri hizmetlerinin finansal yönetimi, kullanılabilirlik yönetimi, bilişim teknolojileri hizmet süreklilik yönetimi) adı altında iki ana süreçten oluşmaktadır. ITIL, hizmet yönetimi ve sağlama süreçleri için en uygun başvuru kaynağıdır. ITIL yaklaşımının hizmet yönetimi süreçlerine nasıl uygulanacağı her kurum tarafından, kurumun kendi kültürüne, yapısına ve teknolojisine göre belirlenmelidir. Ancak, ana amaç, kaliteli bilişim teknolojileri hizmet yönetimi ve sunumuna altyapı oluşturmak için yol göstermek ve kurumların kendi ana iş süreçlerine özgü uyarlamalarla bilişim teknolojilerinin yönetim ve işletimine yönelik süreçlerini ve kontrollerini oluşturmaktır. 4. BİLİŞİM SİSTEMLERİ DENETİMİNİN YÜRÜTÜLMESİ Bilişim sistemleri denetimi yürütülürken risk tabanlı denetim yaklaşımına uygun olarak, öncelikle incelenen bilişim sisteminden kaynaklanabilecek riskler belirlenir; bu riskleri minimize edecek kontrol mekanizmaları tespit edilir; bu kontrol mekanizmalarının kurum tarafından oluşturulup oluşturulmadığı, oluşturulmuş ise etkin çalışıp çalışmadığı incelenir; inceleme sonrası, iç kontrollerdeki zayıflıklar değerlendirilir ve elde edilen bulgular belli bir prosedüre göre raporlanır. Buna göre, bilişim sistemleri denetimi planlama, sistem kontrollerinin değerlendirilmesi ve raporlama safhalarından oluşmaktadır. Burada, diğer ülke Sayıştayları (ABD, Kanada) bilişim sistemleri denetim rehberleri, genel kabul görmüş mesleki kuruluşların standartları ve denetim rehberleri (ISACA, INTOSAI, IFAC, ASOSAI) ve uluslararası standartlar (ISO 27001, NIST , COBIT) dikkate alınarak oluşturulan Sayıştay Başkanlığı Taslak Bilişim Sistemleri Denetim Rehberinden yararlanılarak, sistem kontrollerinin değerlendirilmesi daha detaylı olmak üzere bilişim sistemleri denetim süreci incelenmeye çalışılacaktır. 4.1 Denetimin Planlanması Denetim faaliyeti, denetimin planlanmasıyla başlar. Planlama, denetçinin, denetlenen kurumun bilişim sistemlerine ilişkin kontrolleri değerlendirmek için maddi kanıt toplamanın etkin ve verimli metotlarını belirlemesine imkân verir. Planlama sürecinde öncelikle, denetlenen kurumun, mali raporlama ve iş yönetim süreci içerisinde kullanılan bilişim sistemi hakkında yeterli düzeyde bilgi sahibi olunabilmesi için kurum ve kurum bilişim sistemleri tanınmalıdır. Bu gerçekleştirilirken, bilişim sistemlerini oluşturan unsurlar tanınır, denetlenen kuruma ilişkin yasal düzenlemeler belirlenir, iç denetim raporları ve/ veya diğer denetim raporlarından bilgi toplanır, kurum iş süreçleri ve bilişim ortamında gerçekleştirilen işler tespit edilir. Bu sürecin en önemli adımlarından biri iş akış şemalarının çıkarılmasıdır. İş akış şemaları, iş akış süreçlerinde; süreç adımlarının, otomatik/manuel kontrollerin, sürecin özel durumlarını da gösteren alternatif akış yollarının, paralel işleyen adımların gösterildiği diyagramlardır. Bu şemalarda, yapılan işin kurumun hangi birimi tarafından ve hangi sistem kullanılarak yapıldığı da görülebilmelidir. Kurum iş akışlarını incelerken, iş süreçlerinde oluşturulmuş kontroller belirlenmeli ve daha sonraki detaylı incelemeler için notlar alınmalıdır. Ayrıca, kurum iş süreçleri belirlenirken, muhasebe ve hesap alanlarını etkileyen sistemlerin de ortaya konması gerekir. Kurum ve kurum bilişim sistemlerinin tanınması sonrasında, belirlenen sistemlerde çeşitli kriterlere (önemlilik, kritiklik, karmaşıklık, teknik altyapı, kontrol çevresi) göre risk değerlendirmesi yapılır ve risk puanları dikkate alınarak, denetimde öncelik verilecek sistemlerin, önemlilik sıralaması oluşturulur. Daha sonra, sistem kontrollerinin incelenmesine geçmeden önce, hangi kontrol alanlarının inceleneceği, inceleme esnasında hangi kontrollerin varlığının aranacağı ve eğer varsa ilgili kontrollerin etkin çalışıp çalışmadığının hangi yöntemleri kullanarak test edileceğinin belirlemesi gerekir. 120 TEMMUZ - AGUSTOS

6 Özcan Rıza YILDIZ 4.2 Sistem kontrollerinin değerlendirilmesi Sistem kontrollerinin değerlendirilmesinde üç aşamalı bir süreç izlenmektedir: Kontrol varlığının belirlenmesi, kontrol etkinliğinin değerlendirilmesi, bulguların değerlendirilmesi. Öncelikle olması gereken kontrollerin var olup olmadığı araştırılmaktadır. Bunun için, planlama safhasında elde edilen bilgiler çerçevesinde incelenecek kontrollere ilişin kontrol seti önceden hazırlanarak, kurumdan kanıtlayıcı belge, bilgi ve uygulamaya yönelik cevaplar alınmakta ve bu cevaplar ve yerinde yapılan incelemeler doğrultusunda kontrollerin var olup olmadığı belirlenmektedir. Burada birebir kontroller olmasa da telafi edici olabilecek kontrollerin de olup olmadığı tespit edilir. Olması gereken kontrolün var olup olmadığı belirlendikten sonra, varsa, bu kontrolün etkinliği değerlendirilmektedir. Bunun için belirlenen kontrollere ilişkin gerektiğinde yardımcı yazılımların da kullanılabildiği bir takım testler uygulanmakta ve elde edilen sonuçlara göre kontrol zafiyetinin bulunup bulunmadığı tespit edilmektedir. Bu tespitler bulgu olarak değerlendirmeye alınmaktadır. Bulgu, bir kontrol eksikliğini ya da mevcut bir kontrol zayıflığını ifade etmektedir ve her bir denetim bulgusu kurumun bilgi varlıklarına yönelik bir riski içermektedir. Bulguların risk değerlendirmesi, tespit edilen bulgunun ortaya çıkardığı riskin etki düzeyi ile risk gerçekleşme olasılığının birlikte değerlendirilmesiyle yapılmaktadır. Etki kavramı, aşağıdaki unsurların birini, birkaçını ya da tümünü içerir; Kurumun bilgi varlıklarının güvenliğine, bütünlüğüne ve kullanılabilirliğine olan etki. Sistemin işleyişine olan etki. Sahteciliğin ve yolsuzluğun ortaya çıkma ihtimali. Kurumun mali tablolarına olan etki ve ortaya çıkabilecek muhtemel mali kayıplar. Kontrol eksikliğinin ya da zayıflığının ne kadar süre içinde giderilmesi gerektiği (tedbir alma konusundaki aciliyet). Gerçekleşme olasılığı, belli bir zaman dilimi içerisinde bu riskin gerçekleşmesi ihtimalini ifade eder. Elde edilen her bir bulguya ilişkin risk düzeyi, yukarıda tanımlanan kriterler ışığında belirlenen etki düzeyi ve gerçekleşme olasılıkları göz önünde bulundurularak, çok yüksek, yüksek, orta ve düşük olarak belirlenmektedir. Bunların ifade ettiği anlam ise şöyledir; Çok Yüksek, derhal önlem alınmazsa kurum varlıklarında telafisi güç kayıplara sebebiyet verebilecek belirgin kontrol zayıflıkları veya eksiklikleri var. Kesinlikle kabul edilemeyecek bir risk düzeyidir ve ivedili olarak gerekli tedbirler alınmalıdır. Yüksek, önemli bir kontrol zayıflığı ya da eksikliği görülmekte ve makul bir süre içerisinde önlem alınmasını gerektirmektedir. İstenmeyen bir risk düzeyi ve kurum tarafından mevcut riskler değerlendirilerek gerekli tedbirler alınmalıdır. Orta, kurum tarafından tekrar değerlendirilmesi gereken bir risk düzeyidir. Sistemde belirli kontrol zayıflıkları olmakla birlikte etkisi derhal önlem almayı gerektirmeyebilir, ancak uzun dönemde bu zayıflıkların giderilmesi gerekir. Düşük, kabul edilebilir risk seviyesidir. Ancak Kurumun dikkatli olmasında yarar vardır. Bu süreçler, genel ve uygulama kontrolleri başlığı altında yürütülmekte olup, bu kontrollerin alt kontrollerini oluşturan ve kontrol alanı olarak isimlendirilen işlevsel bölümlere ayrılmaktadır. Sistem kontrollerinin değerlendirilmesi kontrol alanları itibariyle yapılmaktadır. 121 TEMMUZ - AGUSTOS - - EYLUL

7 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi Ancak, verilerin güvenilir olmasını sağlayan uygulama kontrollerinin güvenli çalışması için genel kontrolleri oluşturan kontrol alanlarının güvenli bir bilişim ortamını tesis etmesi gerektiğinden, bir birine bağlı süreçlerden oluşmaktadır. 4.3 Genel Kontroller Genel kontroller, kuruma ait tüm bilişim sistemleri faaliyetlerinin sürekliliğinin sağlanmasına yönelik yapı, yöntem ve prosedürlere ilişkin kontrollerdir. Bu kontroller uygulama yazılımları ve bunlara ilişkin kontroller için güvenli bir ortam oluşturur. Genel kontroller, Yönetim kontrolleri, Fiziksel ve çevresel kontroller, Ağ yönetimi ve güvenliği kontrolleri, Mantıksal erişim kontrolleri, İşletim sistemi ve bilgisayar işlemleri kontrolleri, Veritabanı güvenliği kontrolleri, Sistem geliştirme ve değişim yönetimi kontrolleri ve Acil durum ve iş sürekliliği planlaması kontrolleri kontrol alanlarından oluşmaktadır. Bu kontrol alanları içerisinde yer alan risklerin ve kontrollerin tümünün burada değerlendirilmesi bu çalışmanın sınırlarını aşacaktır. Ancak her kontrol alanına ilişkin yürütülen denetimlerde sıklıkla karşılaşılan durumlarla birlikte, bazılarına genel olarak değinmek yeterli olacaktır. A. Yönetim kontrolleri Bu kontrollerin amacı, güvenli ve yeterli bir bilişim ortamının sağlanması için uygun politika ve prosedürler oluşturmaktır. Ayrıca, bilişim sisteminin kurum amaçlarına uygun çalışmasını ve işlevlerini doğru bir şekilde yerine getirmesini sağlayacak tedbirleri alması için kurum yönetimine rehberlik sağlar. Bu kontroller, denetçiye de, alt düzeydeki ayrıntılı kontrollerin varlığı ve etkinliği konusunda makul bir güvence vermektedir. Yönetim kontrolleri, stratejik planlama, güvenlik politikaları, organizasyon, varlık yönetimi, personel ve eğitim politikaları ile yasal düzenlemelere uygunluk alanlarından oluşmaktadır. Bilişim sistemleri yatırımları kayda değer düzeylere ulaşmış olan kurumlarda bile, yazılı bir güvenlik politika belgesinin bulunmadığı görülmektedir. Kurum yönetiminin bilişim sistemi güvenliği ile ilgili kurumsal politikaları ve düzenlemeleri yapmaması durumunda, güvenliğe ilişkin olaylara zamanında ve uygun karşılık verilemeyebilir, kontrol ve güvenlik kültürü zayıflayarak aksaklıklara neden olabilir, tehditler zamanında belirlenemeyebilir ve ihlaller artabilir. Bu nedenle, üst yönetim tarafından imzalanan, düzenli aralıklarla güncellenen ve kurum personeli tarafından kolay anlaşılabilir olan yazılı bir güvelik politika belgesi bulunmalıdır. Ayrıca, personelin politika belgesine kolayca ulaşmasını sağlayacak bir dağıtım ve duyuru prosedürü bulunmalı ve ilgili güvenlik tedbirlerine uyulmaması durumunda, karşılaşılabilecek riskler açık bir şekilde ifade edilmelidir. Güvenlik politika belgesi, e-posta, şifre, kötü niyetli yazılımlardan korunma, internet erişim ve kullanım, sunucu güvenliği, ağ yönetimi, fiziksel güvenlik, değişim yönetimi, yedekleme ve bakım gibi hususları düzenleyen politikaları da içermelidir. Bu kontrol alanına ilişkin olarak değinilmesi gereken bir diğer önemli konu ise, bilişim sistemleri stratejisi ve risk değerlendirmesidir. Bilişim sistemlerine ilişkin tüm faaliyetlerin, kurumun stratejik amaç ve hedefleri doğrultusunda ve risk değerlendirmesi çerçevesinde yürütülmesi gerekmektedir. Bilişim sistemine ilişkin riskler düzenli olarak değerlendirilmeli ve stratejik planlama çerçevesinde dikkate alınmalıdır. Bu kontrollerin etkin şekilde uygulanamaması durumunda, bilişim sistemlerinin ihtiyaçları, kurumsal amaç ve hedeflere uygun olarak karşılanamayabilir, iş öncelikleri doğru tanımlanamayabilir ve kaynaklar yanlış tahsis edilebilir, kurumun karşı karşıya kalacağı tehlikeler belirlenemeyebilir, etkileri ölçülemeyebilir ve risk yönetilemeyebilir, kaynaklar riskleri karşılamak için etkin kullanılamayabilir. Bu nedenle, kurumun üst yönetim tarafından onaylanmış bilişim sistemlerini de kapsayan yazılı bir stratejisi olmalıdır. Bu strateji düzenli aralıklarla gözden geçirilmeli ve kısa dönemli planlar ile uygulamaya geçirilebilecek detayda tasarlanarak eylem planları yapılmış olmalıdır. Ayrıca, bilişim sistemlerinin stratejik planlamasının yapılması ve koordinasyonun sağlanması için bir bilişim sistemleri yönlendirme kurulu olmalı ve bilişim sistemine ilişkin düzenli olarak risk değerlendirilmesi yapılmalıdır. B. Fiziksel ve çevresel kontroller Bu kontrollerin amacı, bilişim sistemleri donanımın ve yazılımının kasten ya da kazaen oluşan hasarlara, izinsiz erişim sonucu bozulma veya çalınma ile her türlü doğal tehlikelere karşı korunmasıdır. Bilişim sistemleri, bu sistemlere erişme yetkisi olmayan kişilerin yol açabilecekleri hasarlara ve müdahalelere karşı fiziksel engeller ile, yangın, su (ya da aşırı nem), elektrik voltaj dalgalanmaları veya güç yetersizlikleri gibi çevresel tehlikelere karşı ise bunlara ilişkin alınan önlemlerle korunmalıdır. Fiziksel ve çevresel korumaya yönelik kontrollerin hiç veya yeterli düzeyde kurulamaması durumunda, bilişim sistemleri, personelinin isteyerek veya istemeyerek verebileceği zararlara açık hale gelebilir; kritik veya gizli bilgi görülebilir, kopyalanabilir veya kaybedilebilir; bilişim sistemleri yangın, sel, elektrik kesintileri veya voltaj düzensizlikleri, sıcaklık ve nem gibi çevresel tehlikelerle kısmen veya tamamen çalışamaz duruma gelebilir ve hizmette aksaklıklara veya veri kayıplarına neden olabilir. 122 TEMMUZ - AGUSTOS

8 Özcan Rıza YILDIZ Bu nedenle, kurum yetkisiz fiziksel erişime ve çevresel tehlikelere ilişkin yazılı güvenlik politikasına ve prosedürlerine sahip olmalı ve ana bilişim sistemlerinin bulunduğu binalara yetkisiz fiziksel erişimi önlemek için gerekli tedbirleri almalıdır. Bunun için, binalar göze çarpmayan ve kullanılma amaçlarıyla ilgili en az göstergelerle belirlenmeli; uygun sızma tespit sistemleri (hırsız alarmı, kamera, projektör vs.) kurulmalı; stratejik noktaları izlemek üzere video kameralar konulmalı ve kayıtları saklanmalı; kurum binalarına girişlerde güvenlik görevlileri konumlandırılmalı; bina girişlerinde personel kimlik kartlarının kullanımına ilişkin uygulama geliştirilmeli; gelen ziyaretçiler deftere kaydedilmeli, ziyaretçi defterlerinde tarih, giriş-çıkış saati, imza, nereye gittiği, kiminle görüşeceği, hassas alanlara giriş yetkisi verilmiş olup olmadığı, bu alanlarla ilgili güvenlik bilgilerinin kendilerine anlatılıp anlatılmadığı, güvenlik görevlisi refakatinin gerekip gerekmediği gibi hususlar yer almalı; işten ayrılan personelin kurum kaynaklarına fiziksel erişimini engelleyen prosedürler bulunmalıdır. Ayrıca, kurum bilgisayar odalarına ve çalışma alanlarına fiziksel erişimin yetki dahilinde gerçekleştirilmesini sağlamalıdır. Bunun için de, sunucuların, terminallerin ve ağ teçhizatları gibi ana bilgisayar ve bağlantı noktaları özel olarak belirlenmiş odalarda tutulmalıdır; bu odalar binaların çalışma yoğunluğu az ve tecridi yapılmış iç kısımlarında yer almalıdır; bilgisayar odasına erişim sadece burada çalışanlarla sınırlandırılmalıdır; bilgisayar odalarına erişim hakları düzenli olarak gözden geçirilip güncellenmelidir; bilişim sistemlerinin bulunduğu odaların kapıları sağlam yapıda olması sağlanmalıdır; sık kullanılmayan alanlar (arşiv, depo alanları, yedekleme merkezleri ) fiziksel olarak kilitli tutulmalı ve periyodik olarak kontrol edilmelidir; bilişim sistemlerinin bulunduğu alanlarda çalışan personel bu yerler için alınan güvenlik önlemleri hakkında bilgilendirilmelidir; kişisel bilgisayarların ve yazıcıların, kullanılmadıkları zamanlarda açık olarak bırakılmamasına ve anahtar, şifre veya diğer araçlarla korunmasına yönelik prosedürler olmalıdır. Bu kontrol alanının bir diğer konusu yangın, su, elektrik gibi unsurların bilişim sistemlerine verebileceği zararlara karşı önlemlerin alınmasıdır. Özellikle elektrik kesilmeleri veya voltaj düzensizlikleri hassas aletlere zarar verebileceğinden, jeneratör ve düzenleyici kullanılması gerekmektedir. Ana bilişim sistemlerinin bulunduğu alanlar, sudan ve yoğun su kullanılan alanlardan uzakta tutulmalıdır. Bu alanların temizliğine önem verilmelidir. C. Ağ yönetimi ve güvenliği kontrolleri Bu kontrollerin amacı, ağ sistemini oluşturan tüm varlıkların korunması, ağ ve internet hizmetlerinin güvenli bir şekilde yürütülmesi ve ağ ve internet aracılığıyla gerçekleşebilecek yetkisiz erişim ve bunlar dolayısıyla oluşabilecek tehlikelerin önlenmesidir. Ağ, veri paylaşımı amacıyla iki ya da daha fazla cihazın birbiriyle bağlantılı hale getirilmesiyle oluşturulan bir yapıdır. Yüzlerce iş istasyonu veya kişisel bilgisayardan oluşabileceği gibi iki bilgisayarın birbirine bağlanmasıyla da elde edilebilir. Bu ağ ortamıyla iletişim, bilgiye ulaşım, kaynak paylaşımı, yedekleme gibi hizmetler sağlanabilmektedir. Kurumlar da bu gibi yararlarından dolayı giderek daha çok kendi ağ sistemlerini kurmaktadırlar. Ağı oluşturan sistemler tasarlanırken veya devreye alınırken güvenlik unsuru hesaba katılmadığında, bu sistemlerin çeşitli zayıflıkları nedeniyle kötü niyetli veya meraklı kişiler tarafından sistemler ve hizmetler kullanılamaz hale getirilebilir ya da kurumlar için çok önem taşıyan bilgilerin öğrenilmesi/değiştirilmesi mümkün olabilir. Veriler bozulabilir, kaybolabilir ve/veya çalınabilir, kötüye kullanılabilir; yetkisiz işlem tesis edilebilir; ağ bağlantıları ve sunucular kolaylıkla zarar görebilir; güvenliği zayıflatacak ve sistemde açıklıkların meydana gelmesine sebebiyet verecek virüs gibi kötü niyetli yazılımlar bulaşabilir; sistemin yavaş çalışması nedeniyle işin yürütülmesinde çeşitli aksamalar meydana gelebilir; Ceza Kanunu gibi yürürlükteki yasal mevzuat ihlal edilebilir. Bu nedenle, ağlar, yetkisiz erişimlerin engellenerek sadece yetkili kullanıcıların erişebilmesi için kontrol edilmelidir. Fiziksel güvenliği sağlanmayan cihaz üzerinde alınacak yazılımsal yöntemlerin hiç bir değeri bulunmadığından ağın fiziksel unsurlarının (kablolar, sunucular, iletişim araçları vs.) güvenliği fiziksel ve çevresel kontroller altında sağlanmalıdır. Bununla birlikte ağ ve internet güvenliğinin sağlanması için başka kontrollerin de kurulması gerekmektedir. Bilişim sistemleri güvenlik politikasının bir parçası olarak ağ ve internet kullanımına ilişkin güvenlik politikası olmalıdır. Şifre seçiminden e-posta eklentileri kullanımına kadar güvenlik konularında kullanıcıların ve bilgi işlem yöneticilerinin bilinçlendirilmesi sağlanmalıdır. Kurum oturum açmaların, şifrelerin ve kaynak erişim izinlerinin Mantıksal Erişim Kontrolleri politika ve prosedürlerine uygun olarak yürütüldüğünden emin olmalıdır. (Parola temelli kullanıcı doğrulama mekanizması genellikle birçok sistem için en zayıf noktalardan birisidir. Kullanıcılar tarafından seçilen parolaların genellikle kolayca tahmin edilebilir olması, saldırganların bu sistemlere daha kolay bir biçimde sızabilmesi ile sonuçlanmaktadır. Parolalar yerine kullanılabilecek diğer kullanıcı doğrulama mekanizmaları arasından kurum bütçesi için uygun olan bir diğer alternatifin seçilmesi ve uygulanması güvenliği önemli ölçüde arttırabilecek- 123 TEMMUZ - AGUSTOS - - EYLUL

9 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi tir. Akıllı kartların, biometrik denetimlerin ya da saltyazılım ile gerçekleştirilebilen S/KEY gibi yalnız bir sefer kullanılabilen parola düzeneklerinin uygulanması parola güvenliğini arttırmak için uygun bir yaklaşım olabilir. Bunların herhangi bir gerekçe ile uygulanamıyor olması durumunda, parolalar için yaşlandırma mekanizmasının kullanılması ile parolaların belirli aralıklar ile değiştirilmesinin zorunlu hale getirilmesi ve parolaları sınayarak kolay tahmin edilebilir olanlarını belirlemek için kullanılabilecek yazılımların belirli aralıklar ile çalıştırılması uygun olacaktır). Ağların işletim sorumluluğu mümkün olan yerlerde bilgisayar işletmenlerinden alınarak, uygun eğitim almış ve tecrübeli olan personel tarafından yönetilmeli ve yönetim tarafından izlenmelidir. Ağda kurulu tüm sistemlerin ve ağ aktif cihazlarının üzerlerinde kurulu olan yazılımlarda, güvenlik sorunu olup olmadığı düzenli olarak takip edilmeli, yazılım güncellemeleri ve güncel yamalar uygulanmalı ve bunlar için gerekli önlemler alınmalıdır. Ağ hizmet sunucuları üzerinde işleyen sunucu yazılımları incelenmeli ve çalışması gerekli olmayan yazılımların durdurulması sağlanmalıdır. Ayrıca kötü niyetli yazılımların hızla tespit edilmesi ve yok edilmesi için kişisel bilgisayar sistemleri ve sunucu sistemler üzerinde ağ tabanlı anti-virüs sistemleri kurulmalı ve kurulu sisteme özgü olarak düzenli şekilde güncellenmelidir. Burada genellikle, ağ mimarisinin düzenlenmesi konusunda bazı aksaklıklar yaşandığı görülmektedir. Bunun nedeni uygun eğitim ve uygulama tecrübesi bulunmayan personel eliyle sistemin tasarlanması ve uygulanmasıdır. Sorumluluklar ve görevlerin ayrımı ilkelerine dikkat edilerek bir görevlendirme yapılması gerekmektedir. Kurum içerisine hizmet veren cihazlara dışarıdan erişim imkânın olmaması gerekir. Mimari düzenlenirken buna dikkat edilmelidir. Bir diğer konu, ağ cihazlarının sıkılaştırmalarının düzenli olarak yapılmaması, varsayılan parametrelerle cihazların kullanılmasıdır. Bu noktada, cihazın markasının öğrenilmesi durumunda cihazlara yetkisiz erişim gerçekleştirilebilir. Ayrıca, dışa açık unsurların başında gelen güvenlik duvarı özel ilgi konusu olmalıdır. Kural tabloları politikalara uygun olarak düzenlenmeli, kuralların birbirini engellemesinin önüne geçilmelidir. Ayrıca güvenlik duvarı cihazının sıkılaştırmalarının düzenli olarak yapılması sağlanmalı, yama ve diğer güncellemeleri gerçekleştirilmelidir. Bununla birlikte, dış ağlara açık olan cihazların özel güvenlik duvarlarıyla korunan bir alana konması, hizmet grupları veya kullanıcılar itibariyle ağ içersinde alt ağ grupları oluşturulması, sızma tespit ve saldırı önleme sistemlerinin kurulması, uygun kriptolama ve güvenlik protokollerinin uygulanması gibi kontroller güvenli bir ağ uygulaması için gereklidir. D. Mantıksal erişim kontrolleri Bu kontrollerin amacı, işletim sistemine, ağa, veri tabanına ve uygulama programlarına yetkisiz erişimin önlenmesi ve bilginin değiştirilmesi, açığa çıkarılması 124 TEMMUZ - AGUSTOS

10 Özcan Rıza YILDIZ ve kaybına karşı korunmasıdır. Mantıksal erişim kontrolleri, hem sistem hem de uygulama düzeyinde ortaya çıkabilir. Bilişim sistemi ortamındaki erişim kontrolleri ağa, işletim sistemine, sistem kaynaklarına, veri tabanına ve uygulama programlarına erişimi sınırlandırırken, uygulama düzeyindeki kontroller, tek tek uygulamalar bünyesindeki kullanıcı faaliyetlerini kısıtlar. Bu kontrol alanı, mantıksal erişim politikası, işletim sistemine erişim, uygulama programlarına erişim kontrollerinden oluşmaktadır. Bu kontrol alanında, genellikle mantıksal erişim politikalarının yazılı olarak belirlenmediği ve uygulamanın titizlikle takip edilmediği görülmektedir. Mantıksal erişim kontrollerinde kurumca politika ve prosedürlerin tanımlanmamış olması durumunda, kurum varlıklarına erişimde yetki karmaşıklığına, sorumluların belirlenememesine, kullanıcıların yeterli düzeyde bilgilenememelerine yol açabilir; yetersiz şifre uygulamalarının, sisteme ve uygulama programlarına yetkisiz erişimi kolaylaştırabilir; kullanıcıların kim oldukları ve erişim seviyeleri belirlenemeyebilir; ayrıcalıklı kullanıcılar izlenemeyebilir, yetki ve sorumluluklar işin gereğine uygun tespit edilemeyebilir (yetersiz veya aşırı yetkilendirme); kullanıcı şifreleri çalınabilir ve kullanılabilir; işten ayrılan personel sisteme yetkisiz erişebilir; yetkisiz erişim teşebbüsleri ve etkileri belirlenemeyebilir. Bu nedenle, tüm erişimlerin güvenli olmasını sağlayan bir mantıksal erişim politikası olmalıdır. Bu politikanın en önemli bölümü ve genellikle kurumlarda ihmal edileni ise, şifre politikasıdır. Kurumun güçlü şifre oluşturma (altıdan aşağı olmamak üzere minimum karakter uzunluğunun belirlenmesi, alfabetik ve sayısal karakterlerin karışık kullanılması, şifrede alfabetik karakterlerde büyük ve küçük harflerin karışık, her sistem kullanıcısının kendine özel ve kendisi tarafından tanımlanmış bir şifre kullanması, kullanıcıların basit ve kolay tahmin edilebilir şifre seçiminin engellenmesi ve bu konularda kullanıcıların bilgilendirilmesi, değişik sistemler için farklı şifrelerin kullanılma zorunluluğu), şifre koruma (kullanıcı şifrelerin kodlanarak şifre dosyalarında saklanması, şifre dosyalarına yetkisiz erişim denemelerinin raporlanması, kullanıcı şifresinin başkasıyla paylaşılmaması, kağıtlara ya da elektronik ortamlara kaydedilmemesi, görevden ayrılan personele ait şifrelerin hemen iptal edilmesi) ve şifre değiştirme (belirli periyotlarla şifre değiştirme zorunluluğu getirilmesi, önceden kullanılan kullanıcı şifrelerinin kayıtları belli bir süre (örneğin geçen 12 ay boyunca) saklanması ve yeniden kullanımının engellenmesi, şifre değişikliklerinde önceki şifrenin kullanılamaması, uygulama programlarının kurulumunu takiben varsayılan satıcı şifrelerinin hemen değiştirilmesi, şifre unutulması durumunda izlenecek prosedürlerin belirlenmesi) kurallarının bulunması gerekmektedir. Bu kuralların uygulamasının da izlenmesi yerinde olacaktır. Bunun yanında, ayrıcalıklı (sistem yöneticileri, bilgi işlem birimi sorumluları) kullanıcı ve diğer kullanıcıların erişimlerine ilişkin günlük kayıtları tutulmalı ve yetkisiz erişimler raporlanmalıdır. E. İşletim sistemi ve bilgisayar işlemleri Kontrolleri Bu kontrollerin amacı, uygulama yazılımların üzerinde çalıştığı işletim sisteminin kurulum ve işletilmesi ile bakım işlemlerinin sorunsuz yürütülmesini ve tüm bilgisayar işlemlerinin güvenli bir şekilde gerçekleştirilmesini sağlamaya yönelik her türlü kontrollerdir. Bu kontroller, bilişim sisteminin kendinden beklenen faaliyetlerin sürekliliğini ve güvenliğini sağlayacak şekilde işletilmesine ilişkin olup, yeterli düzeyde kurulamamaları durumunda, ihtiyaca uygun olmayan sistemler temin edilebilir; sistemler sıklıkla hizmet veremez duruma düşebilir; hizmetin gerçekleşmesi sağlanamayabilir; program ve veriler bozulabilir, kaybolabilir, değiştirilebilir, çalınabilir; olay ve problem yönetimine ilişkin yetkili birim ve prosedürlerin oluşturulmaması sonucunda olayların ve problemlerin çözümü gerçekleştirilemeyebilir veya çözümde gecikmeler meydana gelebilir ve bunlardan dolayı iş süreçlerinde aksama meydana gelerek hizmet kalitesi düşebilir. Bu nedenle, kurum ihtiyaçlarını giderecek en iyi işletim sisteminin kurulması sağlanmalıdır. Bu konuda kurumların fazla seçenekleri yoktur. Windows ve Linux en çok kullanılan iki sistemdir. Başka çalışmalar (pardus gibi) varsa da, henüz yaygınlık kazanamamıştır. İşletim sisteminin güvenli yönetilmesine yönelik tüm süreçler ve bunlara ilişkin görev ve sorumluluklar belirlenmelidir. Kurumlarda sıklıkla aksadığı görülen, sisteme ilişkin güncel yamalar takip ve kontrol edilmeli ve sistemin sıkılaştırılması düzenli olarak yapılmalı ve minimum özelliklerle konfigürasyon yapılarak performans arttırılmalıdır. Sistem kapasite ve performans durumunun düzenli olarak izlenmesi sağlanarak gelecekte gerekli olacağı düşünülen kapasite tahminleri ve planları yapılmalıdır. Bilgi ortamı araçlarının (kasetler, manyetik ve optik diskler vs) oluşturulma, transfer, korunma ve saklanma gibi işlemleri etkin şekilde yönetilmelidir. Bilişim sisteminden sorumlu birimin diğer birimlere sağlayacağı hizmetler yazılı olarak tanımlanmış olmalıdır. Bir başka konu ise, olay yönetimine ilişkin önceden belirlenmiş prosedürlerin olmamasıdır. Olayların takip ve çözümü için bunların tanımlanması, kaydının tutulması, analiz ve destek hizmetlerinin sağlanmasına yönelik prosedürler belirlenmeli, olayın işe etkisi değer- 125 TEMMUZ - AGUSTOS - - EYLUL

11 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi lendirilmeli ve bir daha olmasını önleyecek çarelere ilişkin planlar yapılmalıdır. Ayrıca olayların istatistiklerinin çıkarılarak yönetime bildirilmesi sağlanmalıdır. Yine olay yönetimi ile işbirliği içerisinde bulunmak kaydıyla problemlerin yönetimine ilişkin prosedürler belirlenerek ve yardım masası kurularak problemlerin uzman personele aktarılmasını sağlayacak yapı oluşturulmalıdır. F. Veritabanı güvenliği kontrolleri Bu kontrollerin amacı, kurumdaki veri tabanı için güvenilir bir çevre oluşturmaktır. Bu kontroller daha çok bir önceki kontrol alanı içerisinde bir bölüm olarak incelenmektedir. Ancak hassas verilerin tutulduğu veritabanının ayrı kontrollerle izlenmesi daha uygun olacaktır. Veritabanı güvenliğine ilişkin kontrollerin iyi uygulanmaması durumunda, kullanıcı kimlikleri çalınabilir, karışabilir; veri tabanındaki açıklıklar nedeniyle yetkisiz erişim gerçekleşebilir; sorumluluk kaybolabilir; veriler yok olabilir/bozulabilir, çalınabilir. Bu nedenle, veritabanı yönetimine ilişkin politika ve prosedürler tanımlanmalı ve işler buna göre yönetilmelidir. Veri tabanı ve uygulama arasında uyumluluk sağlanmalıdır. Veri tabanının bütünlüğü sağlanabilmelidir. Verinin bütünlük ve güvenliğini sağlamak için bilgi alma ve çıkarma prosedürleri diğer sistemlerle doğrulanmalıdır. Veritabanının yoğun bir şekilde kullanılmasından sonra bazı hataların ortaya çıkması olasılığına karşı çıkarılan yeni versiyonların kurulumu suretiyle gerekli güncellemeler yapılmalıdır. Yeni gelişmelere göre veri tabanının performansı izlenmelidir. Veri tabanında değişik nedenlerle olası kayıpları önlemek amacıyla, belli aralıklarla yedekleme ve geri yüklemeye ilişkin prosedürler tanımlanmış bulunmalıdır. Önemli veriye sahip tabloların denetim izleri sağlanmalı ve verinin içeriği denetime uygun olmalıdır. G. Sistem geliştirme ve değişim yönetimi kontrolleri Bu kontrollerin amacı, sistem geliştirme üzerindeki tüm proje yönetimi ve kontrollerinin tatmin edici olmasını, kalıcı ve yeterli iç kontrol ve denetim izine sahip olmasını, sistem geliştirme kalitesinin artırılmasını ve sistemin kullanıcıların ihtiyaçlarını karşıladığı kadar kurumun stratejik amaçlarını da desteklemesini sağlamaktır. Bu kontrol alanı, sistem geliştirme ve değişim yönetimi adı verilen iki başlık altında incelenmektedir. Sistem geliştirmede, bir sistemin ilk defa kurulması için gerekli olan adımların neler olabileceğini öngörmenin yanında, kurumlarda yürütülecek her türlü bilişim sistemleri projelerinin de nasıl ele alınması gerektiği konusunda bir rehberlik sağlamaktadır. Değişim yönetimi ise, kullanıcı görev ve sorumluluklarında meydana gelecek değişimlere ilişkin prosedürlerinin de içinde yer aldığı kurum bilişim sistemlerinin donanım, yazılım, ağ gibi tüm unsurları içine almakta ve her türlü değişimin yazılı kurallar çerçevesinde yürütülmesini öngören kontrollerden oluşmaktadır. Bu kontrollerin yeterli düzeyde uygulanmaması durumunda, sistem geliştirme projelerinin yetersiz şekilde hazırlanmasına yol açabilir; proje kurum ihtiyaçlarına ve/veya kullanıcı gereksinimlerine cevap veremeyebilir; kaynakların israf edilmesine yol açabilir; sistemin kurulumuna ilişkin sözleşmelerde yeterli güvenceler olmayabilir. Bu nedenle, başarılı bir bilişim sistemleri projesinin yeterli bir iç kontrol ve denetim izini de içerecek şekilde nasıl yürütüleceğini gösteren adımlara değinmek gereklidir. Öncelikle, sistem geliştirme projesi için standart hale getirilmiş politika ve prosedürler bulunmalıdır. Önceden belirlenmiş standartlar yeni bir sistemin geliştirilmesine yönelik süreç esaslı kontroller sağlar ve bu sürecin uyulması gereken aşamalarını gösterir. Sistem geliştirmenin söz konusu aşamalarına ilişkin olarak uygulama ve standartların, başlangıç, sistem analizi ve tespiti, sistem tasarımı, sistem geliştirme, kabul testi, uygulama ve uygulama sonrası kabul ve inceleme konuları itibariyle tutarlılığı sağlanmalıdır. Yeterli tecrübe ve birikime sahip proje yönetimi olmalıdır. Sistem geliştirme süresince benimsenen iyi bir yönetim sistemi projenin başarısı üzerinde olumlu yönde etkileyecektir. Bu nedenle proje yönetim metodolojisi kapsamında değerlendirilebilecek olan yetki ve sorumlukların yapısı, yönetim ekibinin deneyim ve nitelikleri değerlendirilmelidir. Yeterli mali ve insan kaynağı sağlanmalıdır. Bütün projelerin maliyet fayda analizlerinin yapılabilmesi için bütçelenmesine ihtiyaç vardır. Bu nedenle doğru bir bütçeleme gerçekçi bir plan için önemlidir. Ayrıca proje yetkililerinin gerek hazırlamada gerekse bütçelemede aktif katılımı önemlidir. Bu çalışmalara katılanlara gerekli bilgileri elde edebilmeleri ve gerçekçi tahminlerde (keşiflerde) bulunabilmeleri için yetki ve destek verilmelidir. Projenin düzenli olarak izlenmesi ve bütçe ve zaman hedeflerinin gerçekleşme düzeyini takip için iş programları ve çizelgeler hazırlanmalıdır. Proje yönetimi tarafından izleme ve değerlendirme faaliyetleri yapılmalı ve bunlar yazılı hale getirilmelidir. Projenin ayrıntılı planı olmalıdır. Planın başarılı olabilmesi için, projenin tüm aşamalarının ve ayrıntılarının tanımlaması, belgeye dayandırılması ve bunların takvime bağlaması, olasılıklarıyla birlikte projede olabilecek her türlü gecikmelerin dikkate alınmış olması gerekir. 126 TEMMUZ - AGUSTOS

12 Özcan Rıza YILDIZ Risk değerlendirmesi yapılmalıdır. Geliştirilmekte olan sistemin tatmin edici sonuç vermesini temin için projenin risk yönetimi oluşturulmalı ve kurumun varlıkları, tehditleri ve hassas noktaları belirlenmek suretiyle riskler tanımlanmalıdır. Her proje için kapsamlı proje teklif belgesi hazırlanmalıdır. Projeye ilişkin fizibilite raporu hazırlanmış olmalıdır. Bu belge ikna edici kanıtlarla desteklenmiş olabilirlik incelemesi içermelidir. Sistemin verimsiz çalışmasını önlemeye yönelik ihtiyaçların analizi ile her türlü teknik, performans, mali ve sosyal analizler yapılmalıdır. Paket seçiminin mevcut altyapı ve destek kaynaklarına etkisi ve ilave yatırımlar (yeni donanım alımı gibi) gerektirip gerektirmediği gibi hususlar değerlendirilmiş olmalıdır. Sözleşme, sistemin tatmin edici düzeyde teslimini sağlayacak tüm ayrıntıları içermeli ve buna ilişkin tanımlanan prosedürler yasal düzenlemelere uygun olmalıdır. Sistem kurulum sürecinin yürütülmesine ilişkin politika ve prosedürler bir tasarım belgesine dayandırılmalıdır. İhtiyaçların öngördüğü şekilde sistemin en az hatalarla bir bütün olarak çalışmasını sağlamak için yürütülmesi gereken kodlama işlemlerinin yanında birim testleri gibi bütünlük ve doğruluk testleri yeterli bir şekilde gerçekleştirilmiş olmalıdır. Sistemin gerçekte istendiği gibi çalıştığını öğrenmek için kullanıcılar üzerinde kullanıcı kabul testleri yapılmış olmalıdır. Uygulamaya geçişe ilişkin prosedürler belirlenmiş olmalıdır. Veri aktarma işlemlerinin sağlıklı bir şekilde gerçekleştirilmesini sağlayacak prosedürler oluşturulmalıdır. Paralel çalıştırmayı ve sonuçlarının değerlendirilmesini sağlayacak bir ortam oluşturulmalıdır. Sistemin başarı derecesini ölçebilmek amacıyla uygulama sonrasında sistem, iş amaçlarına uygunluk, kullanıcı beklentilerini ve diğer teknik koşulları karşılayıp karşılamadığı yönünden izlemeye alınmalıdır. H. Acil durum ve iş sürekliliği kontrolleri Bu kontrollerin amacı, acil durum nedeniyle bilişim sistemlerinin geçici veya sürekli olarak aksaması durumunda kurumun işlevlerini sürdürebilmesini ve tutulan bilginin işlenmesi, erişilmesi ve korunması yeteneklerinin kaybedilmemesini sağlamaktır. Acil durum, deprem, yangın, fırtına, sel, bombalama, sabotaj, donanım veya yazılım hatası, elektrik ve telekomünikasyon kesintisi gibi önceden tahmin edilebilen veya edilemeyen iç veya dış faktörler sonucu meydana gelen ve kurumun normal olarak işlerini sürdürmesi durumunu aksatan her şey olabilir. Bir felaket durumunda iletişim imkanları, bilgi işleme kapasitesi, eğitimli insan kaynağı ve tüm varlıklar yitirilebileceğinden kurumun faaliyetlerini sürdürmesinde devamlılığın sağlanması gerekmektedir. Bu çerçevede, kurumlar detaylı bir acil durum ve iş sürekliliği planına sahip olmalıdır. Acil durum ve iş sürekliliği planının olmaması veya yetersiz olması durumunda, felaketlere maruz kalma olasılığı artabilir; felaketin verdiği zararlarla başa çıkma imkânı azalabilir; felaketten kaynaklanan kayıp veya zarar ağırlaşabilir; felaket sonrasında makul bir sürede kurum faaliyetleri yeniden başlatılamayabilir; yasal veya üçüncü kişilere karşı olan sorumluluklar zamanında yerine getirilemeyebilir. Bu nedenlerle, etkisi yıkıcı boyutlarda olabilecek acil ve beklenmedik durumların kuruma verebileceği kayıp veya zararları en aza indirmek için önceden tahmin edilebilen veya edilemeyen iç veya dış faktörlerden kaynaklanan acil durumlara karşı hazırlıklı olunmalıdır. Bu nedenle kurumda acil durum ve iş sürekliliği için bir yönetim süreci oluşturulmalıdır. İş akışını kesintiye veya felakete uğratacak, kurumu ve binaları olumsuz etkileyebilecek olayları ve çevresel faktörleri belirlemek için risk değerlendirmesi yapılmalıdır. Yapılan risk değerlendirmesi sonucu belirlenen her bir risk için, olası bir acil durum esnasında kaybın veya aksaklıkların ana faaliyetler üzerindeki etkileri değerlendirilmeli ve potansiyel zararı önlemek veya kaybın etkilerini minimize etmek için uygun maliyetle gerekli tedbirler alınmalıdır. Olası felaketlere karşı hazırlıklı ve organize cevap verilebilmesi için yazılı bir acil durum ve iş sürekliliği planı bulunmalıdır. Hazırlanan bu plan düzenli olarak gözden geçirilmeli ve işleyip işlemediğini görmek için felaket senaryoları dikkate alınarak testleri yapılmalıdır. Acil durum ve iş sürekliliği planları belgelendirilmeli ve gerektiğinde güncellenmelidir. İşletim merkezlerinin mimarileri, tek nokta arızalara (single point of failure) esnek olmalıdır. Bu durum her ne kadar acil durum planının bir unsuru olarak görülmüyorsa da, alternatifi olmayan ve aksama olduğunda sisteme büyük zarar verebilecek arızaları önlemek için bu noktalar belirlenmeli ve dikkatle izlenmelidir. Bu noktaların bulunduğu yerlerde meydana gelecek aksaklıkların giderilmesi sorumlulukları belirlenmelidir. Sistem yazılımlarının, mali uygulamaların ve bunları destekleyen dosyaların yedek kopyaları düzenli olarak alınmalıdır. Yedeklemeler günlük, haftalık veya aylık şeklinde belirli periyotlar ile alınmalı ve acil durum planının bir kopyası ile birlikte kurum dışında özel olarak güvenlik önlemleri alınan bir yerde saklanmalıdır. Tüm bu kontrol alanlarına göre alınması gereken önlemlerin bir kısmı burada veril durumdadır. Kurumlar verilerinin kritiklik derecesine, eldeki kaynak ve perso- 127 TEMMUZ - AGUSTOS - - EYLUL

13 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi nel yapısına göre bu kontrollerin daha fazlasını uygulayabilirler. 4.4 Uygulama kontrolleri Uygulama programları, muhasebe, vergi, alacak takip işlemleri gibi bir iş fonksiyonuna destek veren yazılımlardır. Bu programlar, kurumun iş süreçlerinin bir kısmının veya tamamının bilgisayar ortamında yapılmasını sağlar. Tüm uygulamalar, özellikle mali olanlar, işlemlerin ve verilerin tamlığını, kullanılabilirliğini ve makul bir ölçüye kadar güvenilirliğini güvence altına alan kontrollere sahip olmalıdır. Uygulama kontrolleri, bilgilerin sistemlere ya da programlara tam olarak, zamanında ve sadece bir kere girilmesini, bilgi-işlem ortamında tüm işlem ve süreçlerin istenilen sıra ve düzen içinde gerçekleşmesini, raporların tam ve güvenilir olarak üretilmesini, yetkili kişilere ulaştırılmasını ve uygun şekilde arşivlenmesini sağlayan kontrollerdir. Uygulama kontrolleri değerlendirilmeden önce kurumun uygulama programları yeterince tanınmalıdır. Bunun için, verinin hazırlanması, veri giriş işlemlerinin yapılması, iletilmesi, işlenmesi ve çıktı alınması süreciyle ilgili iş akışları temin edilmeli ve bu süreçte kurum tarafından oluşturulmuş olan manuel ve otomatik kontroller belirlenmelidir. Ayrıca uygulamanın ilgili yasal düzenlemeler ve muhasebe sistemi ile ilişkilerinin iyi bilinmesi gerekir. Uygulama kontrolleri değerlendirilirken, uygulamaların güvenilirliğine ilişkin makul bir güvence elde edebilmek için uygulamalarda olması gereken kontroller test edilerek kanıt toplanır. Bu aşamada bilgisayar destekli denetim tekniklerinden (BDDT) de yararlanılır. BDDT, programlardaki süreçlerin doğruluğunun saptanması ve veri dosyalarının incelenmesinde kullanılır. Programlardaki süreçlerin doğruluğunun saptanmasında, anlık görüntü alma (snapshot), iz sürme (tracing), log analizi gibi teknikler kullanılabilir. Verilerin doğruluğu ve dosya güvenilirliği için paralel simülasyon, mükerrerlik kontrolü, sınıflandırma, örnekleme, karşılaştırma gibi analiz tekniklerinden yararlanılabilir. Uygulama kontrolleri, girdi kontrolleri, veri transferi kontrolleri, işlem kontrolleri ve çıktı kontrolleri başlıkları altıda incelenmektedir. A. Girdi kontrolleri Bu kontrollerin amacı, işlenmek üzere alınan verinin, gerçek, tam ve doğru olduğu, daha önceden işlenmediği ve uygun bir şekilde yetkilendirilmiş olduğu ve verinin çifte kayıt yapılmadan doğru şekilde girilmesini sağlamaktır. Bir başka deyişle, verilerin sisteme, tam, doğru ve yetki dahilinde girilmesinin gerçekleştirilmesidir. Girdi kontrolleri, bilişim sistemindeki hata veya sahteciliğin en önemli kaynağı olan girdinin doğru olmayan veya hileli olması durumunda son derece önemlidir. Girdi üzerindeki kontroller sistemin bütünlüğü açısından hayatidir. Veri girişine ilişkin kontrollerin yeterli şekilde uygulanmaması durumunda, yetkili olmayan kişilerce veri girişi yapılabilir, eksik veya hatalı veri girilebilir, mükerrer kayıtlar sistem tarafından kabul edilebilir, hatalı veri girişleri tespit edilemeyebilir, erişim kontrolleri ihlal edilebilir. Bu nedenle, girdi kontrollerinde, uygulama programlarına ilişkin teknik dokümanlar ve kullanım rehberleri hazır tutulmalıdır. Kaynak belgelerin kullanılmasına ilişkin prosedür tanımlanmış olmalıdır. Tüm veri hazırlama, veri giriş işlemleri ve ana dosyalardaki değişiklikler yetki dahilinde yapılmalıdır. Hatalı (eksik, yanlış, mantıksız veya mevcut verilerle çelişen) veri girişlerini engelleyecek otomatik kontrol mekanizmaları kurulmalı ve yanlış formatta veri girişlerinin sistem tarafından kabul edilmesi ile aynı verinin sisteme mükerrer kaydedilmesi önlenmelidir. Kullanılan programda, sistem tarafından verilerin doğruluğu ve geçerliliğini test edecek, üst limit, aralık, karşılaştırılabilirlik, zorunlu alan, rakam, seri veya sıra, mükerrerlik, geçerlilik, makullük, mevcutluk, tamlık ve boşluk kontrollerinin bulunması gerekmektedir. Ayrıca, mükerrer kayıtların önlenmesi amacıyla, kaynak dokümanların silinmez yazıyla işaretlenmesi; ayrı referans numaralarının kullanılması; kaynak belgelerin fiziksel olarak imhası veya işaretlenmesi; kullanıcı, sicil numarası, vatandaşlık numarası, hesap kodları, adres veya miktarlar gibi alanların birbirleriyle karşılaştırılarak eşleştirme yapılması; genel toplamların kontrol edilmesi; girdilerde seri numaralarının kullanılması sağlanmalıdır. Bunlara ilave olarak, hatalı ve kural dışı veri girişleri raporlanmalıdır. B. Veri transferi kontrolleri Bu kontrollerin amacı, verilerin tam, doğru, zamanında ve güvenli bir şekilde transferini sağlamaktır. Bir sistemden diğerine veri transferi için birçok metot bulunduğundan, her biri için kullanılan prosedürlerin iyi anlaşılması gerekir. Bu kontrollerin iyi uygulanmaması durumunda, transfer edilen veri bozulabilir, kaybolabilir, çalınabilir, değiştirilebilir; veri iletilemeyebilir veya iletilip iletilemediği bilinemeyebilir; mükerrer veri iletilebilir; veri transferi reddedilebilir. Bu nedenle, veri transferinden sorumlu personele rehberlik yapacak prosedürler tanımlanmış olmalıdır. Veri transferi ile ilgili detaylı teknik bilgiler yazılı hale getirilmeli ve personel ihtiyaç duyduğunda bu bilgilere 128 TEMMUZ - AGUSTOS

14 Özcan Rıza YILDIZ erişebilmelidir. Sistemler arasında yapılan veri transferlerinin tam ve doğru olarak yapılmasını sağlayan manuel veya otomatik kontroller olmalıdır. Veri transferinin tam ve doğru olarak gerçekleşmesini sağlayacak otomatik ve manuel kontrollerin kaynak ve hedef uygulamalar üzerinde bulunmalıdır. Bunun için, transfer edilen dosyaların üstünde büyüklüğü ve parasal değerine ilişkin bilgiler yer almalı, elektronik olarak hedef veya kaynak dosya büyüklüğü karşılaştırılmalı; transferde doğru prosedürün uygulandığı kontrol edilmelidir. Ayrıca, mesaj veya raporlara ilişkin transferin başarıyla gerçekleşip gerçekleşmediğine ilişkin olarak, döngü\ yankı, fazlalık, eşlik, mükerrerlik, eşitlik, ardışık işlem (dizi) gibi kontroller kurulu olmalıdır. C. İşlem Kontrolleri Bu kontrollerin amacı, verinin uygulama programı içerisinde tam, doğru ve sadece bir defa işleme tabi tutulmasını ve denetlenebilir olmasını sağlamaktır. Girdi ve üretilen verinin tam ve doğru işlenmesi, değişik otomatik kontrollerin uygulamaya entegre edilerek sağlanabilmektedir. İşlem kontrollerinin yetersizliği durumunda, süreç yanlış işletilebilir, sistematik hatalar oluşabilir, yanlış dosyalar işleme tabi tutulabilir, hatalar tespit edilip düzeltilemeyebilir, denetim izi kaybolabilir ve işlem sahibine başvurulamayabilir, mantıksız işlemler meydana gelebilir, işlemler doğrulanamayabilir, aynı hatalar tekrarlanabilir. Bu nedenle, işlem kontrollerine ilişkin olarak, iş ve zaman çizelgesi hazırlanmalı ve bu çizelge kullanıcı ve işletim personeli tarafından anlaşılır olmalıdır. Yönetim tarafından bilgisayar işlemlerinin doğru zamanda ve doğru bir silsile ile işletildiğinin teyidini sağlayan yeterli bir kontrol mekanizması kurulmalıdır. Süreçte başarısızlık veya problemle karşılaşıldığında, personel, işlemleri onaylandıkları en son noktadan yeniden başlatabilmelidir. Bütün işlemler ve bilgisayar kaynaklı hatalar hata ve beklenmedik durum raporlarında yer almalı ve bunlar yönetim tarafından gözden geçirilmelidir. Burada yazılıma entegre edilmiş, düzen ve biçim kontrolü, programlanmış kontroller, birebir toplam kontrolü, hesaplanmış miktarlarda makullük kontrolü, hesaplanmış miktarlarda limit kontrolü, dosya toplamlarını uyumlaştırma kontrolü gibi kontrollerin bulunması gerekmektedir. D. Çıktı kontrolleri Bu kontrollerin amacı, bilişim sistemleri çıktılarının tam, doğru ve zamanında üretilmesini, doğru yere/kişilere dağıtılmasını, gizliliklerinin korunmasını, tespit edilen hataların detaylı olarak incelenmesini ve gereğinin yapılmasını sağlamaktır. İşlem zayıflıklar zaman zaman çıktı üzerindeki güçlü kontrollerle telafi edilebilmektedir. Girdi ve işlem açısından iyi kontrol edilen sistem çıktının kontrolsüz olup olmadığı tam olarak sarsabilir. Çıktı safhasının sonunda yürütülen uyumlaştırma döngüde önceki safhaların tamlık ve kesinliği üzerinde çok önemli bir güvence sağlayabilir. Çıktı kontrollerinin yetersizliği durumunda, çıktılar tam ve doğru olmayabilir, uygun bir şekilde sınıflandırılıp dağıtılamayabilir; yetkisiz kişilerin eline geçebilir; hatalar tespit edilemeyebilir ve düzetilemeyebilir; çıktılar muhafaza edilemeyebilir. Bu nedenle, çıktı kontrollerine ilişkin olarak, çıktıların elde edilmesine ve korunmasına ilişkin bir prosedür olmalıdır. Çıktıların dağıtımı ile ilgili prosedürler tanımlanmalı ve uygulanmalıdır. İlgili personel tarafından çıktı raporlarının doğruluğu gözden geçirilmeli ve hataları düzeltilmelidir. Çıktılara ilişkin hata veya beklenmedik durum raporu üretilmeli ve yönetim tarafından gözden geçirilmelidir. Çıktılar önceden tanımlanmış arşiv yönetmeliğine göre muhafaza edilmelidir. Ayrıca, kullanıcılar tarafından kullanılan özel rapor yazım araçları da kontrol edilmelidir. Kontrol raporlarının uygun bir başlık, tarih, birbirini takip eden sayfa numaraları ve raporun bitimini gösteren işaretlere sahip olmalıdır. Bir işlem süreci için üretilen bütün fiziksel çıktıların beklenen çıktı listesiyle karşılaştırılmalıdır. Fiziksel çıktı ile elektronik ortamdaki çıktı aynı olmalıdır. Her bir işletim sürecinin sonucunda, üretilen rapor toplamları ile fiziksel belge toplamlarının karşılaştırılmalı, bütün tutarsızlıklar anında incelenmeli ve düzeltilmelidir. Eğer muhasebe programı üzerinde çalışılıyorsa bilgisayar destekli denetim yazılımları vasıtasıyla alınmış tüm yevmiye kayıtlarından hareketle, mali tabloların yeniden üretilmesi ve belgelerde yer alan mali tablolarla karşılaştırılarak bir farklılığın olup olmadığı tespit edilmelidir. E. Raporlama Kesinleştirilen denetim bulguları temelinde denetim sonuçları denetim amacına uygun olarak denetçi görüşünü de içerecek şekilde raporlanır. Denetim sonuçlarının raporlanması, taslak raporun hazırlanması, kurumla görüşülmesi, nihai raporun yazılması ve ilgililere sunulması süreçlerinden oluşur. Denetim raporu tam, güvenilir, objektif, yeterli kanıta dayalı, açık, öz ve anlaşılır olmalıdır. Raporun tam olması; denetimden beklenen amaçların tamamının raporda yer alması, raporda yer verilmeyen hususlara ilişkin olarak objektif kriterlere dayalı açıklamaların yapılmasıdır. 129 TEMMUZ - AGUSTOS - - EYLUL

15 5018 Sayılı Kanun ve Bilişim Sistemleri Denetimi Raporun güvenilir olması; raporda yer alan bulguların yeterli ve ispat edilebilir kanıtlara dayalı olmasını ve raporun tam olmasını gerektirir. Raporun objektif olması; denetim sonucu elde edilen bulguların tarafsız bir şekilde rapora yansıtılmasıdır. Raporda denetimin tarafsızlığını zedeleyebilecek savunucu ve/veya suçlayıcı ifadelerden kaçınılmalıdır. Ayrıca yazılım ve donanıma ilişkin marka isimleri kullanılmamalıdır. Raporun yeterli kanıta dayalı olması; denetim sonunda elde edilen bulgu ve sonuçların yeterli sayıda ve ikna edici nitelikte olmasıdır. Raporunun açık, öz ve anlaşılır olması; yazılacak ifadelerin sade ve kısa olmasını, gereksiz detay ve tekrarlardan, teknik terim ve kısaltmalardan kaçınılmasını gerektirir. Teknik terimlerin veya kısaltmaların kullanılması gerekli olduğu durumlarda bu terimler ayrıca açıklanır ve kullanılan kısaltmalara ilişkin bilgilere raporda ayrı bir bölümde yer verilir. Denetim bulguları, kontrol açıklığının risk düzeyi, bu açıklığın olası etkileri, alınması gereken önlemlere ilişkin öneriler ve varsa kurumun çözüm çalışmaları bir değerlendirmeyle birlikte raporda yer alır. Bilişim sistemleri denetimi sonucunda hazırlanan nihai rapor, öncelikle denetlenen kuruma, ilgili denetim ekibi veya grubuna, veya yüksek denetim kurumlarında Parlamentoya gönderilmek üzere üst yönetime sunulur. Bilişim sistemleri denetim raporunda yer alan ve kurum tarafından kabul edilen öneriler konusunda yapılan çalışmaların düzenli aralıklarla izlenmesi ve yapılan bu izleme faaliyeti sonuçlarının, bir sonraki denetimin planlama aşamasında kullanılması gerekir. Bu amaçla, tespit edilen sorunların giderilmesi için kurum tarafından belirlenen takvimi gösteren bir İzleme Tablosu hazırlanır ve takibi ya bir denetim raporu ya da idarenin cevapları üzerinden yapılır. SONUÇ Her kurumun bir görevi vardır ve kurumlar bu görevlerini daha iyi ve kaliteli bir şekilde yerine getirmek için bilişim sistemlerini iş süreçlerinin bir parçası haline getirmektedir. Kısa ve uzun dönemli planlamalar çerçevesinde yürütülecek bilişim sistemleri denetiminin nihai hedefi de, kurumların bilişim teknolojilerini kullanırken beraberinde gelen risklerin kurum varlıklarında yol açabileceği zararlı etkilerini makul düzeyde tutacak önlemlerin alınmasını sağlamaktır. Bir başka deyişle, bilişim sistemleri denetimi, kamu varlıklarının, verimli, etkin ve tutumlu kullanılması için gerekli farkındalığın oluşturulması yanında, mali raporların güvenli ve güvenilir şekilde üretilmesi ve bu raporlarda yer alan verilerin doğru, tam, geçerli, kullanılabilir ve güvenilir olduğunun elde edilen bulgular çerçevesinde ifade edilmesidir. Bu içeriğiyle hem mali hem de performans denetiminin yararlandığı bir metodoloji olma durumundadır. Ayrıca bilişim teknolojilerindeki hızlı gelişim ve değişim sürekli bir şekilde sürmesi, e-devlet uygulamalarının genişletilmesine yönelik çalışmalar ve kurumların kendi sistemlerini kurma ve çalıştırma konusundaki istekliliğin devam etmesi, bu denetimi giderek daha çok dikkate alınmasını gerektiren bir noktaya taşımış bulunmaktadır. Bu nedenle, 5018 sayılı Kanun da öngörülen hem iç hem de dış denetim birimleri tarafından çok uzak olmayan gelecekte yoğun şekilde kullanacakları bir metodoloji olacaktır. YARARLANILAN KAYNAKLAR ASOSAI (2003), IT Audit Guidelines, ASOSAI Research Project, Eylül GAO (2009), Federal Information System Controls Audıt Manual (FISCAM), Şubat 2009, (Erişim: ). IDI-INTOSAI Geliştirme Girişimi (2007), Intorduction of IT Audit e-learning Course Notes, INTOSAI (2007), EDP Committee, IT Controls Student Notes, March IT Governance Institute, COBIT 4.1, TBD (2008), Bilgi Teknolojisi Altyapı Kütüphanesi- ITIL, Sürüm 1.0, Nisan 2008, (Erişim: ) (TS) ISO/IEC Bilgi Güvenliği Yönetimi Standardı, Mart, Uzunay, Vildan ( 2007), COBIT, B2EF209A85B5E49F32C4, (Erişim: ). WAAG-Western Australian Auditor General(2009), Information Systems Audit Report, Report 2, reports/pdfreports/report2009_02.pdf, Nisan, 2009, (Erişim: ). 130 TEMMUZ - AGUSTOS