Organizasyonların teknolojiye bağımlılığı ve siber riskler artarken, sibergüvenlik her geçen gün daha kritik hale gelmektedir. Sibergüvenlik (cybersecurity) kurumların varlıklarının (bilgisayarlar, ağlar, programlar, bilgi) yetkisiz erişimden korunması için dizayn edilen teknoloji, süreç ve uygulamalar olarak tanımlanmaktadır (GTAG, Global Technology Audit Guide, Assessing Cybersecurit Risk). Sibergüvenliği, siber tehditlere karşı organizasyonların aldıkları önlemler ya da iç kontroller olarak da tanımlayabiliriz. Sibergüvenliğin başarılı bir şekilde uygulanmasında, organizasyonda bulunan tüm taraflara önemli görevler düşmektedir. Bu süreçte, rol çatışmalarına neden olunmadan ve sahipsiz bir süreç bırakılmadan, her birimin rol ve sorumluğunun net olarak belirlenmesi, sahiplenilmesi, sorumlulukların zamanında ve eksiksiz bir şekilde yerine getirilmesi kritik önem taşımaktadır.
Firmalarda siber güvenlikle ilgili rol ve sorumlulukları üçlü savunma hattı modeli (three line of defence) çerçevesinde değerlendirdiğimizde; birinci savunma hattında operasyonel birimler ve uyguladıkları iç kontroller yer almaktadır. Operasyonel birimler kendi alanıyla ilgili olarak organizasyonun karşı karşıya olduğu riskleri belirlemek, bu riskleri minimize edecek kontrolleri tasarlamak ve uygulamakla sorumludur. Diğer bir deyişle, risklerin de, kontrollerin de sahibi bu birimlerdir. Organizasyonda teknolojiden sorumlu genel müdür yardımcısı (CTO, Chief Technology Officer), güvenlik yöneticileri ve sahada operasyonlarını yürüten personel sibergüvenlikte birinci savunma hattında yer alır. Bazı kurumlarda güvenlikten sorumlu genel müdür yardımcılığı (CSO, Chief Security Officer) olabiliyor bu durumda güvenlikle ilgili en üst sorumluluk bu birimde olabiliyor. Ayrıca bazı kurumlarda bilgi güvenliğinden sorumlu yöneticiler de (CIO, Chief Information Officer) bulunabiliyor. Teknoloji birimleri dışında organizasyonda bulunan satış, pazarlama, insan kaynakları, finans gibi diğer operasyonel ve destek birimleri de kendi süreçlerinde birinci savunma hattında yer alır. Uluslararası İç Denetim Enstitüsü (IIA, the Institute of Internal Auditors) tarafından yayınlanan “GTAG, Asssessing Cybersecurity Risk” adlı rehberde birinci savunma hattında yer alan operasyonel ekibin sibergüvenlikle ilgili savunma aktiviteleri şöyle özetlenmiştir:
- Güvenlik prosedürlerinin yönetimi, eğitim ve testi,
- Konfigürasyonların güvenli bir şekilde sağlanması, uygulamaların güncellenmesi, yamaların yapılması,
- Saldırı tespit sisteminin kurulması, penetrasyon testlerinin yürütülmesi,
- Ağların güvenli konfigürasyonu, ağdaki trafiğin yönetimi ve korunması,
- Bilgi varlıkları, teknoloji araçları ve uygulama envanterlerinin oluşturulması,
- Bilginin korunması ve kaybın önlenmesi programlarının oluşturulması ve gözetimi,
- Yüksek yetkili kullanıcıların yetkilerinin sınırlandırılması,
- Gerekli yerlerde dataların şifrelenmesi,
- Maruziyet taramalarının yapılması,
- Sertifikalı IT (IT, Information Technologies) risk ve bilgi güvenliği personelinin görevlendirilmesi ve elde tutulması.
İkinci savunma hattında ise (IT) risk yönetimi, (IT) uyum fonksiyonları yer almaktadır. Bu hattın sorumluluğu; birinci savunma hattında yer alan operasyonel birimlerin iç ve dış mevzuata uyumunu takip etmek, yüklenilen risklerin organizasyonun risk iştahı ile uyumlu olup olmadığını değerlendirmek ve ilgili kontrollerin sağlam bir şekilde dizaynında operasyonel birimlere yardımcı olmak ve onları yönlendirmektir. Yukarıda andığımız GTAG rehberinde ikinci savunma hattında yer alan gözetim birimlerinin sibergüvenlikle ilgili savunma aktiviteleri ise aşağıdaki gibi özetlenmişdir:
- Sibergüvenlik politika, eğitim ve testlerinin dizaynı,
- Siber risk değerlendirmesinin yapılması,
- Siber tehdit bilgilerinin toplanması,
- Yüksek yetkili kullanıcıların erişim rollerinin sınıflandırılması ve dizaynı,
- Olayların (incident), ana risk göstergelerinin takibi ve iyileştirme,
- IT risk personelinin görevlendirilmesi ve elde tutulması,
- Üçüncü taraflar, tedarikçiler ve hizmet sağlayıcılarla ilişkilerin değerlendirilmesi,
- İş sürekliliği planlarının yapılması ve testi, felaketten kurtulma tatbikatları ve testlerine katılım.
Savunma hattının son aşamasında ise iç denetim bulunur. İç denetim işletmenin sibergüvenlikle ilgili iç kontroller, organizasyonel yapılanma ve risk yönetimi faaliyetleri hakkında üst yönetime ve yönetim kuruluna objektif güvence (assurance) hizmeti sağlar, ihtiyaç duyulan alanlarda yönetime danışmanlık hizmeti verir. Bu çerçevede, sibergüvenlikle ilgili kontrollerin etkinliğini değerlendirir, risklerin farkındalığının artırılmasına yardımcı olur, özellikle ikinci savunma hattı olmayan veya yeterince olgun olmayan işletmelerde risk yönetimi aktivitelerinin koordinasyonuna yardımcı olur, siber risklerle ilgili konuların iş sürekliliği planları ve felaketten kurtarma testleri kapsamına dahip edilip edilmediğini doğrular, iş sürekliliği planlarını, sibergüvenlik risk değerlendirme sürecini, olay cevap verme planlarını, kriz yönetim planlarını değerlendirir, sibergüvenlikle ilgili proje ekiplerine katılarak projeleri takip edebilir ve gerektiğinde görüş verebilir. İç denetim bulunduğu kuruma sibergüvenlikle ilgili önemli katkılarda bulunabilir.
İç denetim birimlerinin söz konusu hizmetleri ne derece sağlayabildiğine baktığımızda, önemli oranda iç denetim biriminin bulundukları kuruma sibergüvenlikle ilgili bir iç denetim hizmeti veremediği görülmektedir. IIA tarafından 111 ülkede 2254 iç denetim yöneticisinin katılımıyla yapılan “2016 Global Pulse of Internal Audit” araştırması sonuçlarına göre; sibergüvenlikle ilgili denetimleri kimin gerçekleştirdiği sorusuna; katılanların % 25’i bulundukları kurumda sibergüvenlikle ilgili bir denetim hizmeti verilmediğini belirtmişlerdir. Yaklaşık % 17’si ise sibergüvenlikle ilgili denetimlerin tamamen dış kaynak kullanılarak (iç denetimin katılımı olmadan) yapıldığını belirtmiştir. Dolayısıyla, toplamda katılanların % 42’si sibergüvenlikle ilgili olarak iç denetim tarafından denetim hizmeti verilmediğini belirtmektedir. Aynı araştırmada sibergüvenlikle ilgili iç denetim hizmeti verilmeyenlerin gerekçeleri şöyle belirtilmiştir (katılımcılar birden fazla seçeneğe cevap verebiliyor) :
- %65 yeterli bilgi ve yetkinliklerinin olmaması,
- %55 gerekli araçlarının olmaması,
- %26 iç denetimin bu konuda risk değerlendirme yapmamış olması,
- %22 yeterli zaman olmaması,
- %19 üst yönetimin bu konuda iç denetime desteğinin olmaması,
- %16 dış kaynak kullanılarak güvence sağlanması,
- %16 yönetim kurulu ve denetim komitesinin desteklememesi,
- %14 kurum içinde başka birimlerce güvence sağlaması,
- %7 düşük riskli olarak değerlendirilmesi.
Hizmet veremeyenlerin çok büyük kısmı (%65) bu durumu gerekli bilgi, yetkinliklerinin olmamasına bağlamışlardır. Oysa, sibergüvenlik riski operasyonel nitelikteki bir risktir. Sistem, prosedür ve insan kaynaklı hatalardan kaynaklanan bu nitelikteki risklerin, konusunda uzman IT denetçileri olmasa da, temel eğitimlerini almış tüm denetçiler tarafından denetlenebilecek nitelikte olduğunu düşünüyorum. Elbette sadece IT denetçilerinin yapabileceği nitelikte bazı testlere ihtiyaç duyulabilir, ancak bu durumun iç denetim birimlerinin denetim hizmeti vermesine engel olabilecek nitelikte olduğunu düşünmüyorum. Uluslararası iç denetim standartlarına göre (1210.A3), tüm iç denetçilerin kilit IT riskleri ve kontrolleriyle, teknoloji tabanlı denetim teknikleri hakkında temel bilgilere sahip olması gerekmektedir. Denetçilerin ihtiyacı olan temel eğitim eksiklerinin tamamlanması, öncelikli bir konu olarak görülmektedir.
Hizmet veremeyenlerin ikinci (%55) en büyük gerekçesi ise gerekli araçlarının olmaması olarak belirtilmiştir. Oysa, yukarıda da ifade ettiğimiz üzere, iç kontrol sistemleriyle ilgili araçlardan operasyonel birimler sorumludur. Kontrolleri test eden konumunda olan iç denetim birimlerinin, sibergüvenlikle ilgili birçok kontrol noktasını bir araca ihtiyaç duymadan test edebilecekleri kanaatindeyim. Bir örnek vermek gerekirse, sibergüvenlikle ilgili en önemli kontrollerden olan zaafiyet ve sızma (vulnerabilty and penetration) testlerinin yapılması doğrudan iç denetimin işi değildir. Bu testlerle ilgili araçların sahibi ve kullanıcısı ilgili IT birimleridir. Ancak iç denetim bu testlerinin yapılıp yapılmadığına, dokümante edilip edilmediğine, ikinci seviye birimler tarafından konunun takip edilip edilmediğine ve sonuçlarının üst yönetime raporlanıp raporlanmadığına bakabilir ve böylece bu kontrol noktası hakkında güvence hizmeti verebilir. Bulunulan kurumda bu testleri yapacak IT birimleri yoksa, üst yönetime bu testlerin yapılması konusunda dış kaynak kullanılması yönünde öneride bulunabilir ve dış kaynakla birlikte bu testlerin yapılmasına öncülük de edebilir.
Hizmet verememenin diğer önemli bir gerekçesi de, üst yönetim ve denetim komitesinin bu konuda iç denetime destek vermemesi olarak belirtilmektedir. Bu noktada, üst yönetim ve denetim komitesi/yönetim kurulunun beklentilerinin anlaşılmasının önemli olduğunu düşünüyorum. Yönetim kurulu/denetim komitesi ve üst yönetim; iç denetimden, organizasyonda yer alan tüm birimlerin üzerine düşen görevleri zamanında ve etkin bir şekilde yapıp yapamadıkları konusunda objektif bir güvence bekler. Yönetim kurulu gözetim görevlerini hakkıyla yerine getirebilmek için, siber tehditler ve organizasyona olası etkileri konusunda genel olarak ve faaliyette bulunulan sektöre ilişkin bilgiye ihtiyaç duyar. Gerektiğinde farkındalıklarını artıracak eğitimlere ihtiyaç duyabilirler. Ayrıca, iç denetim yöneticilerinin teknoloji, risk ve uyum gibi birimlerin üst yöneticileriyle sık sık bir araya gelerek iç denetim kaynaklarının nasıl kullanılacağını ve kurumun risk iştahını, onlarla birlikte değerlendirmeleri uygun olur. Yönetim kurulu ve üst yönetime doğrudan erişebilen/erişmesi gereken kişiler olarak, iç denetim yöneticilerinin, etkili bir iletişimle gerekli desteği sağlayabileceklerini düşünüyorum.
Son zamanlarda paydaşlarının gündeminde en üst sırada yer alan sibergüvenlik konusunda, iç denetim birimlerinin bulundukları kuruma katma değer sağlayan bir faaliyette bulunamaması, denetim kaynaklarının öncelikle ihtiyaç duyulan alanlarda kullanılamamasına ve ilgili iç denetim birimlerinin katkılarının sorgulanmasına neden olabilir. Bu nedenle, iç denetim yöneticilerinin, denetim planlarında sibergüvenlikle ilgili iç denetim hizmetlerine ne kadar kaynak ayırdıklarını gözden geçirerek, bu hizmetlerin verilebilmesi için, ihtiyaç duyulan eksikliklerin tamamlanmasını sağlamaları gerekmektedir. Ayrıca yönetim kurulları/denetim komitelerinin de iç denetimin siber güvenlikle ilgili ne tür hizmetler verdiğini gözden geçirerek, iç denetimden beklentilerini net olarak belirtmeleri ve muhtemel ihtiyaçları konusunda iç denetime destek olmaları önemlidir.
Siz de değerli görüş ve yorumlarınızı paylaşırsanız memnun olurum.
Dr. Nazif Burca 