Geçtiğimiz ay, 7 Eylül günü, dünyanın en büyük, kredi raporlama hizmeti veren firmalarından Amerikan Equifax firması, sistemlerine yetkisiz erişim tespit ettiklerini ve 143 milyon (bu sayı en son 145.5 milyon olduğu belirtildi) Amerika’lının sosyal güvenlik numarası, adı, doğum tarihi ve adresi gibi hassas bilgilerine, 209 bin kişinin kredi kartı bilgilerine, 182 bin kişinin de kimlik… Okumaya devam et Başarısız Bir Siber Risk Yönetimi Örneği: Equifax
Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesi
Bilindiği üzere, COSO (The Committee of Sponsoring Organizations of the Treadway Commission) tarafından yayınlanan iki çerçeve var: Bir tanesi 1992 yılında yayınlanan ve 2013 yılında revize edilen İç Kontrol- Entegre Çerçevesi (Internal Control-Integrated Framework), diğeri ise, 2004 yılında yayınlanan “Kurumsal Risk Yönetimi-Entegre Çerçevesi”dir (Enterprise Risk Management – Integrated Framework). COSO, Kurumsal Risk Yönetimi Çerçevesi de… Okumaya devam et Yenilenen COSO Kurumsal Risk Yönetimi Çerçevesi
Müşteri Odaklı Denetçi
Zaman zaman bazı denetim elemanlarının, yanına yaklaşılmadığı, selam vermekten çekinildiği ve denetlenenlere uygun davranmadığı gibi hususlar ifade edilmektedir. Hiç bir denetim elemanının, denetlenene bu şekilde yaklaşımı kabul edilemez. Denetim müşterisi, denetim elemanından ne bekler? müşteri odaklı denetçi nasıldır? ve denetimi nasıl yapar? hususlarıyla ilgili görüş ve önerilerimi aşağıda ifade etmeye çalışacağım. Konunun detaylarına girmeden önce,… Okumaya devam et Müşteri Odaklı Denetçi
Sosyal Mühendislik Yöntemleri ve Güvenlik Farkındalığı Çalışmalarının Başarısında Kritik Faktörler
Araştırmalara göre, siber saldırıların büyük bir kısmı (%91, 2016 Phishing Susceptibility and Resiliency Report) sosyal mühendislik (social engineering) yöntemleriyle başlatılıyor. Siber saldırganların artan şekilde güvenliğin en zayıf noktası olan insanlara yönelmesi, siber güvenlikte insan faktörünün başarısını (etkinliğini) çok kritik hale getirdi. Saldırganlar, daha hızlı ve başarılı sonuç alabildikleri için, sistemsel engelleri aşmaya çalışmak yerine, bu… Okumaya devam et Sosyal Mühendislik Yöntemleri ve Güvenlik Farkındalığı Çalışmalarının Başarısında Kritik Faktörler
Petya Siber Saldırısından İç Kontrollere İlişkin Çıkarılması Gereken Dersler
27 Haziran Salı günü; başta Ukrayna, bazı Avrupa ülkeleri ve Amerika olmak üzere 64 ülkede Petya (PetrWrap, ExPetr) adı verilen yeni bir siber saldırı gerçekleştirildi. Saldırı fidye yazılımı (ransomware), olmakla birlikte, fidyeden daha büyük ve kalıcı zararlar vermeyi hedeflediği belirtiliyor. Saldırıdan çok sayıda kurum ve kuruluş etkilendi. 12 Mayıs’ta global olarak yaşanan WannaCry siber saldırısı… Okumaya devam et Petya Siber Saldırısından İç Kontrollere İlişkin Çıkarılması Gereken Dersler
Sibergüvenlikte Üçlü Savunma Hattı Nedir? İç Denetim Birimleri Sibergüvenliği Denetliyor mu?
Organizasyonların teknolojiye bağımlılığı ve siber riskler artarken, sibergüvenlik her geçen gün daha kritik hale gelmektedir. Sibergüvenlik (cybersecurity) kurumların varlıklarının (bilgisayarlar, ağlar, programlar, bilgi) yetkisiz erişimden korunması için dizayn edilen teknoloji, süreç ve uygulamalar olarak tanımlanmaktadır (GTAG, Global Technology Audit Guide, Assessing Cybersecurit Risk). Sibergüvenliği, siber tehditlere karşı organizasyonların aldıkları önlemler ya da iç kontroller olarak… Okumaya devam et Sibergüvenlikte Üçlü Savunma Hattı Nedir? İç Denetim Birimleri Sibergüvenliği Denetliyor mu?
İç kontrolleriniz etkin mi? “WannaCry” siber saldırısında sorumluluk kime ait?
Geçtiğimiz ay 12 Mayıs sabahı ağırlıkta Avrupa ülkeleri olmak üzere, tüm dünya genelinde “WannaCry” adlı bir siber saldırı gerçekleştirildi. Uzmanlar saldırının bugüne kadar yaşanmış en büyük ve en yaygın saldırı olduğunu belirtiyor. Saldırıdan özellikle hastaneler olmak üzere birçok kuruluş etkilendi. Sizler de belki şahit olmuşsunuzdur. 15 Mayıs’ta eşimle birlikte Ankara’da bir hastaneydik, hastane sistemlerinde işlemlerin… Okumaya devam et İç kontrolleriniz etkin mi? “WannaCry” siber saldırısında sorumluluk kime ait?
İç Denetim Birimleri Kendi Risklerini Değerlendiriyor mu?
Bilindiği üzere tüm dünyada Mayıs ayı iç denetçiler tarafından “iç denetim farkındalık ayı” olarak iç denetimi tanıtıcı çeşitli etkinliklerle kutlanıyor. Bu faaliyetlerin iç denetimin tanınması ve katkılarının anlaşılması açısından çok faydalı olduğunu düşünüyorum. Kişisel web sayfamın (nazifburca.com) açılışı da bu aya denk geldi. Bu sayfada iç denetim başta olmak üzere; iç kontrol, kurumsal yönetim, risk… Okumaya devam et İç Denetim Birimleri Kendi Risklerini Değerlendiriyor mu?
Dr. Nazif Burca 