3.oturum: bilgi teknolojileri süreçlerinde · cobit 5 çerçevesi yedi gerçekleştirici...

3.Oturum: Bilgi Teknolojileri Süreçlerinde

Kontroller 1. Kontrol ortamı, risk değerlendirme, kontrol faaliyetleri 2. Kontrol türleri ve BT uygulamaları 3. Kurum seviyesi kontroller, uygulama kontrolleri ve genel bilgi teknolojileri kontrolleri 4. Kontrollere ilişkin genel çerçeve ve standartlar ile uygulamaları

a. COBIT b. Kamu BT Denetim rehberi c. ISO 27001

www.tebit.com.tr 1

Risk yönetimi, risk belirlemek, değerlendirmek ve riski kabul edilebilir bir seviyeye indirmek için aksiyon alma sürecidir. Bilgi sistemleri risk yönetimini, her biri farklı öneme sahip ancak birbirini etkileyen ve destekleyen beş temel fonksiyonla yerine getirmek mümkündür;

1. Risk Belirleme 2. Risk Analizi 3. Risk Değerlendirme 4. Riske Müdahale Etme 5. Risk Yönetimini İzleme Bilgi sistemleri risk yönetim süreci, servisler ile iş birimleri arasında iletişim kurmalı, organizasyona uygun, yapısal ve tekrar edilebilir, uluslararası en iyi uygulamalara yatkın ve bu konuda denetim sahibi iç ve dış birimlerce kontrol edilebilir olmalıdır.

BİLGİ SİSTEMLERİ RİSK YÖNETİMİ

www.tebit.com.tr 2

KURUM SEVİYESİ KONTROLLER / İÇ KONTROL VE İÇ DENETİM

Uygulama Geliştirme

Bilgi Güvenliği

A Uygulaması B Uygulaması C Uygulaması

Veritabanı operasyonu

Hukuk Operasyon Muhasebe Pazarlama

Mali Tablolar

Kullanıcı kimlik yönetimi

BT Genel

Kontrolleri

Uygulama

Kontrolleri

Veri Yedekleme

Kurum Seviyesi Kontroller / İç Kontrol ve İç Denetim

www.tebit.com.tr 3

Kontrol tasarımlarının testi Kontrol tasarımının uygunluğunun değerlendirilmesi Mevcut kontrollerin tasarlanan şekilde çalıştığının doğrulanması BT kontrollerinin test edilmesinde uygulanan yöntemler Bilgi toplama Sorgulama ve doğrulama Gözden geçirme Gözlemleme Tekrar gerçekleştirme / Tekrar hesaplama Bilgisayar destekli veri analizi

Kontrol Testlerindeki Sahip Olunması Gereken Bakış Açısı Yazılı ve yönetim tarafından onaylanmış güncel bir kontrol sürecinin varlığı, Kontrol süreci ile ilgili denetim kanıtlarının varlığı, Sorumluluk ve hesap verilebilirlik ilkelerinin açıklığı ve etkinliği, Gerekli noktalarda telafi edici kontrollerin uygulanması.

BT DENETİMİNDE KONTROLLER

www.tebit.com.tr 4

BT KONTROLLERİNİN HEDEFİ

Bilgi güvenliği, bütün BT kontrollerinin tamamlayıcı bir parçasıdır. Bilgi güvenliği, hem altyapıya hem de verilere uygulanır ve diğer pek çok BT kontrolünün güvenilirliğinin de temelidir. BT kontrolleri, bilgi güvenilirliği ve bilgi hizmetleri konusunda güvence sağlarlar. Bilginin güvenliğinin sağlanabilmesi için üç parametreyi sağlaması/koruması gerekmektedir; Gizlilik : Bilginin yetkisiz erişime karşı korunmasıdır. Bütünlük : Bilginin yetkisiz kişiler tarafından değiştirilmemesidir. Bilginin doğruluğunun ve tamlığının sağlanmasıdır. Bilişim sistemlerinin ve bilginin sadece yetkili kişilerce veya sistemlerce değiştirilebilmesidir. Erişilebilirlik : Bilginin ilgili ya da yetkili kişilerce ulaşılabilir ve kullanılabilir durumda olmasıdır. Bilginin bilgiye erişimi olanlar tarafından istenildiği anda ulaşılabilir, kullanılabilir olmasıdır.

www.tebit.com.tr 5

BT KONTROLLERİNİN İLİŞKİLENDİRİLMESİ

BT Kurum Seviyesi Kontrolleri: Kurum yönetiminin yönergelerinin ve talimatlarının eksiksiz uygulandığına dair makul bir güvence sağlanması için kuruma ve personelin tümüne yaygın şekilde tasarlanmış olan iç kontrollerdir.

BT Genel Kontrolleri: Kurumun amaçlarına ulaşabilmesi için belirlenen yönün takip edilebilmesini sağlayan tüm BT aktivitelerinin planlanması, geliştirilmesi, işletilmesi ve izlenmesine ilişkin faaliyetler, BT genel kontrolleri kapsamında değerlendirilmektedir.

Uygulama Kontrolleri: Bilgi sistemleri içerisinde yer alan ve iş faaliyetlerini yürütmek veya desteklemek için kullanılan finansal verilerin tanımlanması, üretilmesi, kullanılması, bütünlük ve güvenilirliğinin sağlanması, verilere erişimin yetkilendirilmesi gibi tüm iş süreçlerinde kullanılması gereken iç kontrolleri kapsar.

BT Kontrol Piramidi

www.tebit.com.tr 6

BT Kurum Seviyesi Kontrolleri Kurum seviyesi kontroller, genel tanımı itibariyle kurum yönetiminin yönergelerinin ve talimatlarının eksiksiz uygulandığına dair makul bir güvence sağlanması için kuruma ve personelin tümüne yaygın şekilde tasarlanmış olan iç kontrollerdir. BT kurum seviyesi kontrolleri de söz konusu alanlarda bilgi teknolojileriyle ilgili üst seviye kontrolleri ifade etmekle birlikte, aynı zamanda BT yönetişimiyle ilgili hususlara da değinir. Uygulama kontrolleri Uygulama kontrolleri, kritik BT işlevselliğinin yerine getirilmesini sağlayan ve kurumun bilgi sistemleri tarafından otomatik olarak yerine getirilen kontrol prosedürlerini içermektedir. Uygulama kontrolleri temelde beş grup olarak ele alınmaktadır: 1. Kaynak Veri Hazırlığı ve Yetkilendirme: Bilgi sistemlerine veri girişinde kaynak belge kontrolleri, veri giriş yetkileri, vb. 2. Kaynak Verilerin Toplanması ve Girilmesi: Kaynak belgelerin zamanlılığı, tamlığı ve doğruluğu, veri giriş yetkileri, veri girişi hata takibi ve

düzeltmeleri, vb. 3. Doğruluk, Tamlık ve Orijinallik Kontrolleri: Kaynak veri girişi sırasında giriş, düzeltme ve raporlamalar, veri girişine ait görevler ayrılığı, vb. 4. Veri İşleme Bütünlüğü ve Doğrulaması: Veri işlem bütünlüğünün sağlanması, işlemlere ilişkin denetim izlerinin oluşturulması, hata

kontrolleri, vb. 5. Çıktı Kontrolü, Mutabakatı ve Hata Yönetimi: Çıktıların kontrolü, çıktı transfer kontrolleri, çıktıların saklanması, vb.

KONTROL TÜRLERİ

BT Kurum Seviyesi Kontrolleri, Uygulama kontrolleri

www.tebit.com.tr 7

BT UYGULAMA KONTROLLERİ

Çıktı kontrolleri

Veri işleme kontrolleri

Girdi kontrolleri

Veri oluşturma/ yetkilendirme

kontrolleri

• Çıktıların ele alınması ve muhafazası

• Çıktıların dağıtımı

• Çıktı uyumluluğu ve mutabakatı

• Çıktıların gözden geçirilmesi ve hataların ele alınması

• Çıktı raporlarının güvenliğinin sağlanması

• Veri işlemede bütünlük

• Veri işlemede onaylama ve değiştirme

• Veri işlemedeki hataların ele alınması

• Girdi yetkilendirme

prosedürleri

• Doğruluk, bütünlük ve yetkilendirme kontrolleri

• Veri girdilerindeki hataların ele alınması

• Veri hazırlama prosedürleri

• Kaynak belge yetkilendirme prosedürleri

• Kaynak belge verilerinin

toplanması

• Kaynak belgelerdeki hataların

ele alınması

• Kaynak belgelerin muhafazası

www.tebit.com.tr 8

BT UYGULAMA KONTROLLERİ

VERİ OLUŞTURMA/ YETKİLENDİRME KONTROLLERİ:

Kaynak Veri Hazırlığı ve Yetkilendirme: Bilgi sistemlerine veri girişinde kaynak bilgi ve belgelerin uygunluğu ve bu girişleri yetkili kişilerin yapmasının sağlanmasına ilişkin yapılan kontrollerdir.

Kaynak Verilerin Toplanması ve Girilmesi: Kaynak belgelerin zamanlılığı, tamlığı ve doğruluğu, veri giriş yetkileri, veri girişi hata takibi ve düzeltmeleri ile ilgili kontrollerdir.

GİRDİ KONTROLLERİ:

Doğruluk, Tamlık ve Orijinallik Kontrolleri: Kaynak veri girişi sırasında giriş, düzeltme ve raporlamalar, veri girişine ait görevler ayrılığı ilkelerine uyum ile ilgili kontrollerdir.

VERİ İŞLEME KONTROLLERİ:

Veri İşleme Bütünlüğü ve Doğrulaması: Veri işlem bütünlüğünün sağlanması, işlemlere ilişkin denetim izlerinin oluşturulması, hata kontrolleri ile ilgili kontrollerdir.

ÇIKTI KONTROLLERİ:

Çıktı Kontrolü, Mutabakatı ve Hata Yönetimi: Çıktıların kontrolü, çıktı transfer kontrolleri, çıktıların saklanması ile ilgili kontrollerdir.

www.tebit.com.tr 9

UYGULAMA KONTROLLERDEKİ ZAYIFLIKLARIN NEDEN OLABİLECEĞİ RİSKLER

• Yetkili olmayan kişilerce veri girişi yapılması,

• Eksik veya hatalı veri girilmesi,

• Sistematik hataların oluşması,

• Hatalı veri girişlerinin tespit edilememesi ve düzetilememesi,

• Mükerrer kayıtların sistem tarafından kabul edilmesi,

• Transfer edilen verinin bozulması, kaybolması, çalınması veya değiştirilmesi,

• Denetim izinin kaybolması ve işlem sahibine başvurulamaması,

• İşlemlerin doğrulanamaması,

• Çıktıların tam ve doğru olmaması,

• Çıktıların yetkisiz kişilerin eline geçmesi.

www.tebit.com.tr 10

BT Genel Kontrolleri Rehber’in önemli bir bölümünü oluşturan BT genel kontrolleri, bilgi teknolojilerinden beklenen kritik işlevselliklerin sürekli ve düzgün çalışmasını destekleyecek prosedürleri içermektedir. BT genel kontrolleri literatürde (COSO’ya göre) en dar anlamıyla aşağıdaki unsurları kapsamaktadır: 1. Uygulama sistemlerinin geliştirilmesi ve bakımına ilişkin kontroller 2. Sistem yazılımı kontrolleri 3. Erişim güvenliği kontrolleri 4. Veri merkezi operasyonlarına ilişkin kontroller BT Kontrolleri rehberde 2 alt grup olarak ele alınmıştır: 1. Süreç seviyesi: BT genel kontrolleri, BT yönetim süreçleri üzerinde bulunan genel kontrollerden oluşur. 2. Altyapı seviyesi: BT genel kontrolleri ise, BT uygulamaları, veritabanları, işletim sistemleri ve ağ katmanları üzerinde yer

alan teknik genel kontrolleri içerir. Söz konusu teknik genel kontroller de aslen süreç seviyesi kontrollerinin ayrılmaz bir parçası olmakla birlikte, BT denetim çalışma planının hazırlanması, iç denetçilere görev dağılımının yapılabilmesi ve saha çalışmaları hususlarında önemli bir pratiklik sağladığından, ayrı bir grup olarak ele alınmıştır.

KONTROL TÜRLERİ

BT Genel Kontrolleri

www.tebit.com.tr 11

BT GENEL KONTROLLERİ

Değişiklik Yönetimi

Erişilebilirlik ve Operasyon

Sürekliliği

Program ve Uygulama Geliştirme

Veriye Erişim

• Uygulama geliştirme

ve edinim metodolojileri

• Veri dönüşümü

• Tasarım, geliştirme, test, onay ve uygulama

• Geliştirme, test ve onay

• Üretim ortamına aktarım

• Konfigürasyon değişiklikleri

• Acil değişiklikler

• Operasyon ve iş takibi

• Yedekleme ve geri dönüş

• Olay ve problem yönetimi

• Bilgi Güvenliği

• Fiziksel erişim

• Yetkilendirme

• Erişim yönetimi

• İzleme

www.tebit.com.tr 12

BT GENEL KONTROLLERİ

VERİYE ERİŞİM: Verinin bütünlüğünün korunarak, yetkili kişiler tarafından güvenli şekilde erişim sağlanmasına ilişkin yapılan

kontrollerdir.

DEĞİŞİKLİK YÖNETİMİ: Değişiklik yönetimi süreci, kurum kritik iş faaliyetlerini ve süreçlerini destekleyen BT uygulamaları ve

altyapısı üzerindeki tüm değişikliklerin kontrollü bir biçimde gerçekleştirilmesi ve üretim ortamlarının güvenilirlik ve

bütünlüklerinin korunması amacını taşımaktadır. Bu değişiklikler, uygulama kodlarında yapılacak bir değişiklik olabileceği gibi,

veritabanları, işletim sistemleri, uygulamaya ait kritik konfigürasyon dosyaları gibi bir dizi diğer değişiklik tiplerini de içerebilir.

ERİŞİLEBİLİRLİK & OPERASYON SÜREKLİLİĞİ: Olası bir sistem kesintisi ve/veya felaket halinde geri dönüşlerin

gerçekleştirilebilmesi amacıyla verilerin yedeklenmesi, zamanlanmış işlerden sapmaların izlenmesi ve düzeltici aksiyonların

zamanında alınması ve BT operasyonlarına dair problem ve olayların belirlenmesi, iletilmesi ve çözülmesi, gözden geçirilmesi

ve analiz edilmesi gibi kontroller bu süreç kapsamındadır.

PROGRAM VE UYGULAMA GELİŞTİRME: İşletmenin bir sürecini veya tümünü etkileyecek yazılımların geliştirilmesinde/

değiştirilmesinde yazılım süreçlerinin (Analiz, tasarım, geliştirme, test, onay) standartlara uygunluğunun ve oluşturacağı

risklerin kontrol edilmesine yönelik kontrollerdir.

www.tebit.com.tr 13

GENEL KONTROLLERDEKİ ZAYIFLIKLARIN NEDEN OLABİLECEĞİ RİSKLER

• Kurumun karşı karşıya kalacağı tehlikelerin belirlenememesi, etkilerinin ölçülememesi ve riskin yönetilememesi,

• Sorumluluklarda karmaşa, aşırı yetki verme veya açıkların oluşması,

• Uygun olmayan görev ayrımlarının yapılması,

• Yetersiz personel istihdamı,

• İşten ayrılan veya işine son verilen personelin sisteme yetkisiz erişebilmesi,

• Sistemi kötü amaçlarla kullanan personelin tespit edilememesi,

• Maddi zararların meydana gelmesi,

• Bilgisayar donanımının veya üzerinde yazılım ve bilgi bulunduran parçaların çalınması veya bozulması,

• Kritik veya gizli bilginin görülmesi, kopyalanması veya kaybedilmesi,

• Yetersiz şifre uygulamalarının, sisteme ve uygulama programlarına yetkisiz erişimi kolaylaştırması,

• Kullanıcıların kim olduklarının ve erişim seviyelerinin belirlenememesi, ayrıcalıklı kullanıcıların izlenememesi, yetki ve sorumlulukların işin gereğine uygun tespit edilememesi (yetersiz veya aşırı yetkilendirme),

• Veri kaybı, verilerin değiştirilmesi veya bozulması,

• Fikri mülkiyet haklarının ihlali ve bilişim suçları gibi yürürlükteki yasal mevzuata aykırılıkların gözden kaçırılması,

• Bir felaket durumunda iletişim imkânları, bilgi işleme kapasitesi, eğitimli insan kaynağı ve tüm varlıklar yitirilebileceğinden kurumun faaliyetlerini sürdürmesinde devamlılığın sağlanamaması.

www.tebit.com.tr 14

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY)

www.tebit.com.tr 15

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) NEDİR?

COBIT’in temel amacı, süreç performans metriklerini ve olgunluk modellerini belirleyerek ve IT’nin iş sorumluluklarını

tayin ederek, iş hedefleriyle IT hedeflerini bağdaştırmaktır.

www.tebit.com.tr 16

COBIT; IT yönetim çerçevesinde aşağıdaki sorulara yanıt verir:

- Neler tanımlanmalı ?

- Neler ölçülmeli ?

- Neler otomatize edilmeli ?

- En iyi pratikler nelerdir?

- Bunun için bir sertifikasyon var mıdır?

- IT kontrollerini nasıl yapmalıyız ve fayda-maliyet analizini nasıl yaparız?

- Hedefler ve anahtar metrikler nelerdir?

- IT işlevlerinin yerine getirilememe riskleri nelerdir?

- Başkaları ne yapıyor ve nasıl yapıyor?

- Kurumun IT olgunluğunu diğerlerine kıyasla nasıl ölçebiliriz?

- Kurumun IT gelişim stratejisi nedir?

COBIT (CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY) NEDİR?

www.tebit.com.tr 17

COBIT GELİŞİM ÇİZELGESİ

www.tebit.com.tr 18

COBIT 5 süreç modeli 37 yönetişim ve yönetim sürecini içerir; bu süreç grubu COBIT 4.1, Val IT ve Risk IT süreçlerinin yerine geçer ve kurumsal BT yönetişim ve yönetiminin baştan sona uygulanmasında gerekli olan tüm süreçleri içerir.

KURUMSAL BT YÖNETİMİ VE YÖNETİŞİMİ İÇİN BİR İŞ ÇERÇEVESİ OLARAK COBIT 5

www.tebit.com.tr 19

COBIT İLKELERİ

1) Paydaş İhtiyaçlarının Karşılanması: Kuruluşlar, paydaşları için faydaları gerçekleştirmek ile risk seviyeleri ve kaynak kullanımını optimize etmek aracılığıyla

değer üretmek için vardır. COBIT 5, BT kullanımıyla iş değeri yaratmayı desteklemek için gerekli tüm süreçleri ve diğer gerçekleştiricileri sunar.

2) Kuruluşun Uçtan Uca Kapsanması: COBIT 5, kurumsal BT yönetişimini kurumsal yönetişimle birleştirir.

Bir kuruluşta yer alan tüm fonksiyonları ve süreçleri kapsar. Tüm BT-bağıntılı yönetişim ve yönetim gerçekleştiricilerini kuruluş çapında ve uçtan uca

değerlendirir. COBIT 5 sadece “BT fonksiyonuna” odaklanmaz; bilgi ve bilgi bağlantılı teknolojilere kuruluştaki herkesin diğer varlıklarla ilgilendiği gibi

ilgilenilmesi gerektiği varlıklar olarak yaklaşır.

3) Tek Bir Bütünleşik Çerçevenin Uygulanması: Her biri BT faaliyet alt kümesine dair rehberlik sağlayan

birçok BT-bağıntılı standart ve iyi uygulamalar vardır. COBIT 5, ilgili diğer standartlar ve çerçevelerle üst seviyede uyuşur, böylelikle kurumsal BT yönetişimi ve

yönetimi için kapsayıcı çerçeve olarak hizmet verebilir.

www.tebit.com.tr 20

4) Bütüncül Bir Yaklaşımın Sağlanması—Kurumsal BT’nin verimli ve etkili yönetişimi ile yönetimi, birbirleriyle etkileşen birkaç ögenin dikkate alındığı

bütüncül bir yaklaşımı gerektirir. COBIT 5, kurumsal BT için kapsamlı bir yönetişim ve yönetim sisteminin uygulanmasını desteklemek üzere bir küme

‘gerçekleştirici’ tanımlar. COBIT 5 çerçevesi yedi gerçekleştirici kategorisi tanımlar:

1- İlkeler, Politikalar ve Çerçeveler

3- Organizasyon Yapıları

2- Süreçler

4- Kültür, Etik ve Davranış

5- Bilgi

6- Hizmetler, Altyapı ve Uygulamalar

7- İnsanlar, Beceriler ve Yeterlikler

COBIT İLKELERİ

www.tebit.com.tr 21

5) Yönetişim ve Yönetimin Ayrılması: COBIT 5 çerçevesi yönetişim ve yönetim arasında açık bir ayrım yapar:

COBIT İLKELERİ

Yönetişim (Governance)

• Yönetişim, ulaşılmak istenen dengeli, üzerinde anlaşılmış kurumsal amaçların belirlenmesinde, paydaş ihtiyaçlarının, koşullarının ve seçeneklerinin değerlendirildiğini garanti altına alır; önceliklendirme ve karar verme aracılığıyla yön belirler; üzerinde anlaşılmış yön ve amaçlara karşı performansı ve uyumluluğu izler.

• Çoğu kuruluşta, yönetişim kurul başkanın liderliği altındaki yönetim kurulunun sorumluluğundadır.

Yönetim (Management)

• Yönetim, kurumsal amaçlara ulaşmak için yönetişim organının belirlediği yönle uyumlu olarak faaliyetleri planlar, kurar, yürütür ve izler.

• Çoğu kuruluşta yönetim icra kurulu başkanının (CEO) liderliğindeki yönetici kadronun sorumluluğudur.

www.tebit.com.tr 22

COBIT 5 SÜREÇ DEĞERLENDİRME MODELİ

Süreç değerlendirme modeli, 2 boyutlu

(süreç ve yetkinlik) süreç yetkinlik modelidir.

Süreç boyutunda süreçler tanımlanır ve

süreç kategorilerine göre sınıflandırılır.

Yetkinlik boyutu olarak adlandırılan

diğer boyutta ise, yetkinlik seviyelerine

gruplandırılmış bir süreç özniteliği

kümesi tanımlanır. Süreç öznitelikleri

süreç yetkinliğinin ölçülebilir niteliklerini

sağlar.

www.tebit.com.tr 23

COBIT 5 SÜREÇ REFERANS MODELİ

www.tebit.com.tr 24

COBIT 5 ETKİ ALANLARI

1- Değerlendir, Yönlendir ve İzle (EDM)—Bu yönetişim süreçleri paydaş yönetişim hedefleri ile ilgilidir-değer sunumu, risk optimizasyonu ve kaynak

optimizasyonu- ve BT’ye yönlendirme sağlama ve sonuçların izlenmesi, stratejik seçeneklerin değerlendirilmesine yönelik uygulamalar ve faaliyetleri

içerir.

2- Hizala, Planla ve Düzenle (APO)—Çözüm sunumuna (BAI) ve hizmet sunumu ve desteğine (DSS) yönlendirme sağlar. Bu etki alanı stratejileri ve

taktikleri kapsar ve kurumsal amaçlara ulaşmak için BT’nin en iyi şekilde nasıl katkı sağlayabileceğini belirlemekle ilgilenmektedir. Stratejik vizyonun

gerçekleştirilmesi farklı perspektifler için planlanmalı, bildirilmeli ve yönetilmelidir. Teknolojik bir alt yapı ile birlikte düzgün bir organizasyon

oluşturulmalıdır.

3- Kur, Edin ve Uygula (BAI)—Çözümler sağlar ve bunların hizmete dönüştürülmesi için iletir. BT stratejisini gerçekleştirmek için, BT çözümlerinin

tanımlanması, geliştirilmesi veya edinilmesi ve bunlarla birlikte çözümlerin uygulanması ve iş süreçlerine entegre edilmesi gerekir. Mevcut sistemlerin

değişikliği ve bunların bakımı da çözümlerin iş amaçlarını karşılamaya devam ettiğinden emin olmak için bu etki alanının kapsamı içerisindedir.

4- Sağla, Hizmet Sun ve Destek Ver (DSS)—Çözümleri alır ve bunları son kullanıcıların kullanabileceği hale getirir. Bu etki alanı hizmet sunumu,

güvenliğin ve devamlılığın yönetimi, kullanıcılar için hizmet desteği, verilerin ve çalışma tesislerinin yönetimi dahil olmak üzere ihtiyaç duyulan

hizmetlerin fiili olarak sunumu ve bu hizmetlere ilişkin destek sağlamakla ilgilidir.

5- İzle, Tespit Et ve Değerlendir (MEA)—Sağlanan yönlendirmelerin takip edildiğinden emin olmak için tüm süreçler izlenir. Tüm BT süreçleri zaman

içerisinde kaliteleri ve kontrol gereklerine uygunlukları açısından düzenli olarak değerlendirilmelidirler. Bu etki alanı performans yönetimini, iç

kontrolün izlenmesini ve düzenlemelere uyumu ve yönetişimi ele almaktadır www.tebit.com.tr 25

COBIT 5 SÜREÇLERİ Beş etki alanı içerisinde 37 adet tanımlanmış BT süreci bulunmaktadır. Bu süreçler;

Değerlendir, Yönlendir ve İzle (EDM)

• EDM01 Yönetimi Çerçevesi Kurulum ve Sürdürülmesini Sağla

• EDM02 Fayda Yaratımı Sağla

• EDM03 Risk Optimizasyonu Sağla

• EDM04 Kaynak Optimizasyonu Sağla

• EDM05 Paydaş Şeffaflığını Sağla

Hizala, Planla ve Düzenle (APO)

• APO01 BT Yönetim Çerçevesini Yönet

• APO02 Stratejiyi Yönet

• APO03 Kurumsal Mimariyi Yönet

• APO04 Yeniliği Yönet

• APO05 Portföyü Yönet

• APO06 Bütçe ve Maliyeti Yönet

• APO07 İnsan Kaynaklarını yönet

• APO08 İlişkileri Yönet

• APO09 Hizmet Anlaşmalarını Yönet

• APO10 Tedarikçileri Yönet

• APO11 Kaliteyi Yönet

• APO12 Riski Yönet

• APO13 Güvenliği Yönet

Kur, Edin ve Uygula (BAI)

• BAI01 Program ve Projeleri Yönet

• BAI02 Gereksinimlerin Tanımlanmasını Yönet

• BAI03 Çözüm Belirleme ve Oluşturmayı Yönet

• BAI04 Kullanılabilirliği ve Kapasiteyi Yönet

• BAI05 Organizasyonel Değişimin Olabilirliğini Yönet

• BAI06 Değişiklikleri Yönet

• BAI07 Değişiklik Kabulü ve Geçişini Yönet

• BAI08 Bilgiyi Yönet

• BAI09 Varlıkları Yönet

• BAI10 Yapılandırmayı Yönet

Sağla, Hizmet Sun ve Destek Ver (DSS)

• DSS01 İşlemleri Yönet

• DSS02 Hizmet Taleplerini ve Olayları Yönet.

• DSS03 Problemleri Yönet.

• DSS04 Sürekliliği Yönet

• DSS05 Güvenlik Hizmetlerini Yönet

• DSS06 İş Süreç Kontrollerini Yönet

İzle, Tespit Et ve Değerlendir (MEA)

• MEA01 Performans ve Uyumu İzle, İncele ve Değerlendir

• MEA02 İş Kontrol Sistemini İzle, İncele ve Değerlendir.

• MEA03 Dış Gereksinimlere Uygunluğu İzle, İncele ve Değerlendir

www.tebit.com.tr 26

COBIT 5 YETKİNLİK BOYUTU

Seviye 0 Tamamlanmamış süreç — Süreç uygulanmıyor ya da süreç amacına ulaşmakta başarısız olmaktadır. Bu seviyede, süreç amacının sistematik

başarısı hakkındaki kanıtlar ya çok azdır ya da yoktur.

Seviye 1 Gerçekleştirilmiş süreç (tek öznitelik) — Uygulanan süreç, amacına ulaşır.

• Seviye 2 Yönetilen süreç (iki öznitelik) — Gerçekleştirilmiş süreç artık yönetilen (planlanmış,izlenmiş ve ayarlanmış) bir şekilde uygulanmakta ve sürecin

iş ürünleri uygun şekilde yerleşmiş, kontrol edilmiş ve sürdürülmektedir.

Seviye 3 Yerleşmiş süreç (iki öznitelik) — Yönetilen süreç artık kendi süreç çıktılarını elde edebilen tanımlı bir süreç kullanarak gerçekleşmektedir.

Seviye 4 Kestirilebilir süreç (iki öznitelik) — Yerleşmiş süreç artık, süreç çıktılarını başarmak için tanımlanan limitler içinde işler.

Seviye 5 En iyileşen süreç (iki öznitelik) — Kestirebilir süreç, mevcut ve öngörülen ilgili iş amaçlarını karşılamak için sürekli olarak iyileştirilir.

www.tebit.com.tr 27

COBIT’İN BT DENETÇİLERİNE SAĞLADIĞI YARARLAR

BT personeli bilişim teknolojileri denetiminin hangi kriterlere göre yapıldığını bilerek denetimin daha verimli gerçekleştirilmesine

katkıda bulunabilir.

COBIT BT denetimi alanında çok sayıda uzmanın katkısı ile, var olan diğer kriterlerin de dikkate alınarak hazırlandığı kabul görmüş

bir metodolojidir. BT denetçileri tüm denetim konularında yaşanabilecek kapsam ve objektif kriter belirleme sorununu COBIT ile

aşabilir.

BT denetçileri denetim rehberinden faydalanarak tespit edilen risklerin doğurabileceği zararları somutlaştırabilir ve yönetime daha

net bir bakış açısı kazandırabilir.

COBIT’te her süreç için sunulan kritik başarı faktörlerinden yola çıkarak denetim sonuçlarını ölçümleyebilir ve iyileştirme önerileri

getirebilir.

Bir kontrol metodolojisinin uygulanması iç ve dış kullanıcılara kullanılan bilgi kaynaklarının kontrollü olarak yönetildiğini ifade

edecektir. Özellikle dış kullanıcılara sağladığı güvence zorunlu yükümlülüklerin yerine getirilmesine imkan tanıyabileceği gibi,

kurum için bir rekabet avantajı haline de dönüşebilir.

Birden fazla denetçi tarafından farklı şirketlerde yapılan denetimlerin kapsamlarının ve uyum kriterlerinin aynı şekilde

değerlendirilebilmesini sağlar. www.tebit.com.tr 28

KAMU BİLGİ TEKNOLOJİLERİ DENETİMİ REHBERİ

www.tebit.com.tr 29

Rehber’in yapısı Bölüm 1; BT Denetimi Temel Kavramları konusunda bilgilendirici bir nitelik taşımaktadır. Bu bölümde BT denetimi ile ilgili temel

prensipler, uygulama alanları, etik kurallar, kabul görmüş yetkinlikler, sertifikasyonlar ve yararlanılabilecek uluslararası standartlar ve çerçevelere değinilmektedir. Ayrıca bu bölüm altında BT denetiminin diğer denetim türleri ile olan ilişkisi ve bu tür denetimlerde BT denetiminin oynayabileceği rol hakkında bilgiler verilmektedir.

Bölüm 2; BT Denetimi Metodolojisi’ne yer vermektedir. Bu bölümde öncelikle BT denetimini ilgilendiren kontrol tipleri ve bunların birbiriyle olan ilişkisine değinilmiştir. Sonrasında denetim öncesi gerçekleştirilmesi gereken çalışmalardan planlamaya, risk analizinden denetimin yürütülmesine ve raporlanmasına kadar kullanılabilecek yöntem ve araçlar hakkında bilgi verilmektedir.

Bölüm 3; BT Yönetişim Süreçlerine ilişkin denetim yaklaşımı ele alınmakta, bu doğrultuda kurum seviyesi kontrolleri ile yönetişim kontrollerine ve bunlar ile ilgili denetim testlerine yer verilmektedir.

Bölüm 4; BT Yönetim Süreçlerine ilişkin denetim yaklaşımı ele alınmakta ve bu süreçlere ait BT genel kontrollerine ve ilgili denetim testlerine yer verilmektedir.

Bölüm 5; Uygulama Kontrollerine ilişkin detaylı bilgiler verilmekte ve söz konusu kontrollerin denetlenmesine ilişkin yöntemler üzerinde durulmaktadır.

Bölüm 6; BT yönetim süreçleri kapsamında veya tek başına yürütülecek güvenlik denetimlerinde BT altyapısı seviyesinde değerlendirilmesi gereken BT genel kontrollerine ve bunlara ilişkin denetim testlerine yer verilmektedir.

KAMU BİLGİ TEKNOLOJİLERİ DENETİMİ REHBERİ

www.tebit.com.tr 30

BT denetim kapsamı: 1. BT Yönetişim Süreçleri 2. BT Yönetim Süreçleri 3. BT Altyapısı

Rehber içerisinde her bir sürecin ve alanın denetimi için aşağıdaki detaylara yer verilmiştir: 1. Sürecin ve sürece ilişkin ana kontrol hedefinin tanımı 2. Sürecin BT denetimi açısından önemi 3. Süreçte yer alan temel kontroller 4. Kontrollerin süreç içerisindeki akışına ilişkin örnek şema 5. Sürece ilişkin risk ve kontrol eşleşmeleri 6. Her bir kontrole ilişkin denetim testleri 7. Ek kaynaklar

KAMU BİLGİ TEKNOLOJİLERİ DENETİM REHBERİ KAPSAMI

www.tebit.com.tr 31

BT DENETİMİNE İLİŞKİN SERTİFİKALAR

Uluslararası Sertifikalı Bilgi Sistemleri Denetçisi

(Certified Information Systems Auditor)

Sertifikalı Risk ve Bilgi Sistemleri Kontrolleri Uzmanı

(Certified in Risk and Information Systems Control)

Sertifikalı Bilgi Güvenliği Yöneticisi (Certified

Information Security Manager)

Kurumsal BT Yönetişim Sertifikası (Certified in the

Governance of Enterprise IT)

www.tebit.com.tr 32

BT DENETİMİNE İLİŞKİN SERTİFİKALAR

Risk Yönetimi Güvence Sertifikası (Certification in

Risk Management Assurance)

Sertifikalı İç Denetçi (Certified Internal Auditor)

Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı (Certified

Information Systems Security Professional)

www.tebit.com.tr 33

BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ-1

BT KURUM SEVİYESİ KONTROLLERİ VE YÖNETİŞİM SÜREÇLERİ DENETİMİ

Bu bölümde aşağıdaki BT kurum seviyesi kontrolleri ve yönetişim süreçleri denetimine yönelik olarak hazırlanmış olan denetim

prosedürleri yer almaktadır:

• Kurum Seviyesi Kontroller

• BT Yönetişim Süreci Denetimi

BİLGİ TEKNOLOJİLERİ YÖNETİM SÜREÇLERİ DENETİMİ

Bu bölümde aşağıdaki BT yönetim süreçlerinin denetimine yönelik olarak hazırlanmış olan denetim prosedürleri yer almaktadır:

• Değişiklik Yönetimi

• Güvenlik Hizmetleri Yönetimi

• Yardım Masası, Olay ve Problem Yönetimi

• BT Operasyon ve Yedekleme Yönetimi

• Süreklilik Yönetimi

• BT Altyapı ve Yazılım Edinim, Kurulum ve Bakımı

• BT Hizmet Yönetimi

• BT Risk Yönetimi www.tebit.com.tr 34

BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ-1

UYGULAMA KONTROLLERİNİN DENETİMİ

Bu bölümde uygulama kontrolleri denetiminde uygulama kontrollerine ilişkin kontrol kategorileri ve BT denetimlerinde karşılaşılabilecek

temel kontrol örnekleri yer almaktadır.

• Uygulama Kontrolleri

• Uygulama Kontrolleri - BT Genel Kontrolleri İlişkisi

BT ALTYAPI GENEL KONTROLLERİ DENETİMİ

• İşletim Sistemleri

• Veritabanı Sistemleri

• Ağ Sistemleri

• Uzaktan erişim

www.tebit.com.tr 35

BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ ÖRNEK: GÜVENLİK HİZMETLERİ YÖNETİMİ (KONTROLLER)

www.tebit.com.tr 36

BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ ÖRNEK: GÜVENLİK HİZMETLERİ YÖNETİMİ (RİSK KONTROL

EŞLEŞMELERİ)

www.tebit.com.tr 37

BİLGİ TEKNOLOJİLERİ KONTROLLERİ DENETİMLERİ ÖRNEK: GÜVENLİK HİZMETLERİ YÖNETİMİ (RİSK KONTROL

EŞLEŞMELERİ) T/İ: Tasarım/İşletim Z/O: Zorunlu/Opsiyonel YS: Yetkinlik Seviyesi

www.tebit.com.tr 38

YETKİNLİK DÜZEYİ BEKLENTİ DÜZEYLERİ

Kamu idarelerinde iç denetim faaliyetlerinde bulunmuş Temel BT Denetimi Eğitimi’ne katılmış

Kamu kurumlarında en az 1-2 yıl BT denetimi çalışmalarında bulunmuş

CISA sertifikasına sahip ya da sınavı almaya hazır seviyede gerekli eğitimlerini tamamlamış BT denetimi alanında en az 2-3 yıl tecrübeye sahip

1

2

3

1.Seviye (Başlangıç seviyesi)

3.Seviye (Uzman seviyesi)

2.Seviye (Gelişme olan seviye)

www.tebit.com.tr 39

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDI

www.tebit.com.tr 40

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ STANDARDI

ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı

• Kurum içinde bilgi güvenliğinin yönetimi için standart ISO döngüsüyle çalışan bir yönetim sistemi kurulması için gerekli aktivitelerin belirtildiği bir standarttır.

• Kurum güvenliğine önem verdiği hassas bilgilerin / varlıkların kapsamını belirler ve onları yaşam döngüleri boyunca standart uyarınca hazırlanan prosedürlere uygun olarak yönetir.

• Bir organizasyon içinde belgelenmiş bir Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmak, uygulamak, işletmek, incelemek, sürdürmek, geliştirmek ve izlemek için gereksinimleri belirtir.

• Ayrıca, bilgi varlıklarını korumak için yeterli ve uygun güvenlik kontrollerinin seçimini sağlamak için tasarlanmıştır.

• Bu standart, genellikle her türlü ticari şirketler, kamu kuruluşları, vb. kuruluşlar için uygulanabilir.

www.tebit.com.tr 41

Standart bir kuruluşun BGYS etkinliğini artırmak amacı ile "Planla – Uygula - Kontrol Et - Önlem al (PUKÖ)” modeli olarak bilinen bir döngüsel model oluşturmaya yardım eder. PUKÖ döngüsünün dört aşaması bulunmaktadır.

ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİNİN İŞLETİMİ

www.tebit.com.tr 42

1. Sertifikasyon kapsamının belirlenmesi 2. Kapsamdaki varlıkların tespit edilmesi ve ortaya konması 3. Kapsam dahilinde bir risk analizi yapılması 4. Risk analizi sonucu tespit edilen riskler için tedavi planlarının oluşturulması ve standardın ekinde yayınlanmış

olan kontrollerden hangilerinin uygulanacağına karar verilmesi 5. Kapsam dahilinde gerçekleştirilen her türlü faaliyetin dokümante edilmesi ve kayıt altına alınması

ISO 27001 BELGELENDİRME ADIMLARI

www.tebit.com.tr 43

1. Güvenlik Politikası 2. Bilgi Güvenliği Organizasyonu 3. Varlık Yönetimi 4. İnsan Kaynakları Güvenliği 5. Fiziksel ve Çevresel Güvenlik 6. İletişim ve İşletim Yönetimi 7. Erişim Kontrolü 8. Bilgi Sistemleri Alımı, Geliştirilmesi ve Bakımı 9. Bilgi Güvenliği Olay Yönetimi 10. İş Sürekliliği Yönetimi 11. Uyumluluk

ISO 27001 KONTROL BAŞLIKLARI

www.tebit.com.tr 44

4.Oturum: Bilgi Teknolojileri Denetimi • BT Denetimi • Örnek BT Denetim uygulaması «Kullanıcı Erişim Yönetimi Denetimi»

www.tebit.com.tr 45

BT DENETİMİ KAPSAM KONULARI

Genel kontrollerin kapsamı

Sistem geliştirme

Değişiklik yönetimi

Mantıksal güvenlik, erişim ve yetkilendirme

Fiziksel güvenlik

BT operasyonları (yedekleme, planlı işler, olay yönetimi)

Uygulama/sistem kapsamı

Uygulamanın desteklediği uygulama kontrolü sayısı ve bunların önemi

Uygulamada yapılan değişiklikler

Toplam kullanıcı sayısı

Admin’lerin sayısı

Veritabanına doğrudan erişim

Merkezi yetkilendirme

Destek hizmetleri

www.tebit.com.tr 46

BT DENETİMİNİN UYGULANMASI

1

Kritik süreçlerin belirlenmesi

2

Kontrol tasarımlarının test edilmesi

3

Örneklem belirlenmesi

4

Kontrollerin etkinliğinin test

edilmesi

5

Zayıflıkların ve bulguların

değerlendirilmesi

www.tebit.com.tr 47

1) Sistem denetimi: Denetlenen birimin faaliyetlerinin ve iç kontrol sisteminin; organizasyon yapısına katkı sağlayıcı bir yaklaşımla analiz edilmesi, eksikliklerinin tespit edilmesi, kalite ve uygunluğunun araştırılması, kaynakların ve uygulanan yöntemlerin yeterliliğinin ölçülmesi suretiyle değerlendirilmesidir.

2) Performans denetimi: Yönetimin bütün kademelerinde gerçekleştirilen faaliyet ve işlemlerin planlanması, uygulanması ve kontrolü aşamalarındaki etkililiğin, ekonomikliğin ve verimliliğin değerlendirilmesidir.

3) Mali denetim: Muhasebe süreci başta olmak üzere mali denetim için kritiklik arz eden iş süreçlerinde yer alan verilerin doğruluğu ve bütünlüğünün değerlendirilmesi kapsamında önemli BT uygulamaları ve BT bileşenleri denetlenmektedir.

4) Uygunluk denetimi: Kamu idarelerinin faaliyet ve işlemlerinin ilgili kanun, tüzük, yönetmelik ve diğer mevzuata uygunluğunun incelenmesidir. İlgili mevzuat uyarınca BT kontrol ortamına ait belirli bir konunun denetlenmesine ya da ilgili iç kontrol sistemi ile ilgili bir güvence oluşturulmasına yönelik bir çalışma yürütülmesi mümkündür.

5) Güvenlik denetimi: Sistem, performans, uygunluk ya da mali denetimlere girdi sağlayabileceği gibi tek başına da kurumun bilgi teknolojileri altyapısı ve kontrol ortamının değerlendirilmesinde kullanılabilir. Kurumun bilgi güvenliği politikasından hareketle, kullanıcı ve yetkilendirme yönetimi, sistem güvenlik yapılandırmalarının uygunluğu, denetim izlerinin oluşturulması ve takibi, güvenlik olaylarının yönetimi vb. alanlarda değerlendirme çalışmalarını kapsar.

BT DENETİMİ UYGULAMA ALANLARI

www.tebit.com.tr 48

BT DENETİMİNİN KAPSAMI

Denetlenen kurumda devlet otoriteleri tarafından kanun, yönetmelik ya da diğer düzenlemeler neticesinden kaynaklanan gereksinimlerin denetim planına dahil edilmesi. Bilgi Teknolojileri ve İletişim Kurumu Sermaye Piyasası Kurulu Hazine Müsteşarlığı Bankacılık Düzenleme ve Denetleme Kurumu Diğer yükümlülükler

Denetlenen kurumun kendi iç yönetmelikleri ve standartlarından kaynaklanan gereksinimlerin denetim planına dahil edilmesi. BT ortamı ve organizasyonun anlaşılması, BT sistem ve süreç sahipleri ve sorumluları ile görüşmeler gerçekleştirilmesi ve ilgili sorumlulukların

anlaşılması, BT sistem ve süreçleri ile ilgili mevcut politika ve prosedürlerin gözden geçirilmesi, Varsa iç kontrol ve iç denetim faaliyetlerinin ya da daha önce gerçekleştirilmiş dış denetim raporlarının

incelenmesi.

www.tebit.com.tr 49

BT DENETİMİNİN KAPSAMI

Kritik süreçlerdeki kontrol hedeflerinin belirlenmesi BT denetimi kapsamında incelenecek BT sistem ve süreçlerinin belirlenmesinden sonra süreç üzerinde mevcut bulunan ve uluslar arası standartlar, çerçeve programlar ve lider uygulamalardan da faydalanılarak olması beklenen kontrollerin tespit edilmesi ve denetim planına dahil edilmesi

BT denetimi kapsamında aşağıdaki sistemler olabilir

Veri tabanı yönetim sistemleri

Oracle Microsoft SQL server Sybase DB2

Ağ sistemleri Güvenlik duvarları(firewall) Yerel alan ağları(LAN) Yönlendiriciler(Routers, Switches) IDS / IPS Kablosuz ağlar

Uygulamalar Kurumsal Kaynak Planlama Muhasebe Finansal raporlama Envanter yönetimi İşletim Sistemleri Microsoft Windows 2008/2012 Linux (Red Hat Enterprise vb.) UNIX (Sun Solaris, HP-UX, IBM AIX, vb.)

www.tebit.com.tr 50

Kurumsal yapının güçlendirilmesi ve standartlaşmanın artması

BT ve iş birimleri, stratejileri ve planları arasındaki uyumun artması

Kontrol bilincinin kurum kültürü haline gelmesi

Risk yönetimi bilincinin artması

Denetçilerle işbirliğinin oluşturulması

Veri gizliliği, bütünlüğü, erişilebilirliği ve güvenilirliğinde iyileşmeler sağlanması

Bilgi güvenliğinde kurum çapında iyileşme sağlanması

Destek hizmeti ile ilgili genel risklerin daha iyi kontrol edilmesi

Dokümantasyonun sağlanması yoluyla BT ile ilgili bir kurum hafızası oluşturulması

BT DENETİMİNİN FAYDALARI

www.tebit.com.tr 51

BT denetim metodolojisi, denetim hedefine uygun olarak 1. “Planlama” 2. “Saha Çalışması” 3. “Raporlama ve İzleme” şeklinde üç ana adımdan oluşmaktadır. Planlama adımında yer alan risk değerlendirme ve kapsam belirleme çalışmalarının tamamı ve dolayısıyla BT denetim görevlerinin yürütülmesi, BT kontrol piramidinde yer alan üç temel BT kontrol grubuna odaklanmaktadır.

BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ

www.tebit.com.tr 52

BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ

www.tebit.com.tr 53

Planlama 1. Denetim hedeflerinin anlaşılması 2. BT ortamının anlaşılması

Ön araştırmanın yapılması • Kurum/Birim ile ilgili temel mevzuatın anlaşılması • Kurum/Birim iş süreçlerinin anlaşılması • Önceki denetim raporlarının incelenmesi

Açılış toplantısının yapılması BT Organizasyonunun Anlaşılması Üçüncü taraf hizmetlerin anlaşılması BT envanterinin anlaşılması

3. Risk değerlendirmesinin yapılması Kurum seviyesi BT risk değerlendirmesi Uygulama seviyesi BT risk değerlendirmesi

4. Kapsamın belirlenmesi Mali Denetim Kapsamında Yürütülecek BT Denetimi Kapsamı Sistem Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı Performans Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı Uygunluk Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı Güvenlik Denetimi Kapsamında Yürütülecek BT Denetimi Kapsamı

3. Çalışma Planının Hazırlanması

BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ-PLANLAMA

www.tebit.com.tr 54

Saha Çalışması 1. Kontrollerin Değerlendirilmesi

Anahtar Kontrollerin Tespit Edilmesi Tasarım Etkinliğinin Değerlendirilmesi Örneklem Seçimi İşletim Etkinliğinin Değerlendirilmesi Standart Denetim Prosedürlerinin Kullanılması

• BT Kurum Seviyesi Kontrolleri ve BT Yönetişim Kontrolleri Denetimi • BT Genel Kontrollerinin (Yönetim Süreçlerinin) Denetimi • Uygulama Kontrolleri Denetimi • BT Altyapı Genel Kontrolleri Denetimi

Çalışma Kâğıtlarının Kullanımı 2. Bulguların Değerlendirilmesi

Raporlama ve İzleme 1. Denetim raporunun hazırlanması ve sunumu 2. Denetim sonuçlarının izlenmesi

Kalite güvence

BİLGİ TEKNOLOJİLERİ DENETİM METODOLOJİSİ SAHA ÇALIŞMASI, RAPORLAMA VE İZLEME, KALİTE GÜVENCE

www.tebit.com.tr 55

ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ»

www.tebit.com.tr 56

ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ»-1

Planlama 1. Denetim hedeflerinin anlaşılması: Tebit A.Ş. Firmasının faaliyetleri kapsamında Internet TV ürünü sattığı müşterilerine yönelik ürün

ve müşteri talep/tahsis yönetimini yaptığı Tebit CRM uygulamasına erişim hakkı olan personel ve diğer kullanıcıların yetkilerinin tahsisi, iptali ve uygulamaya erişim yönetimlerinin genel bilgi güvenliği ilkeleri, ilgili mevzuat, kurumsal politika ve prosedürlere uygun yapılıp yapıldığı kontrol edilecektir.

2. BT ortamının anlaşılması: Ön araştırmanın yapılması

• Kurum/Birim ile ilgili temel mevzuatın anlaşılması: BTK ilgili mevzuatı, Kurumsal Bilgi Güvenliği Politika ve Prosedürleri • Kurum/Birim iş süreçlerinin anlaşılması: Tebit CRM uygulamasına erişim yetkileri Bilgi İşlem Kullanıcı Erişim Yönetimi

Müdürlüğü vermektedir. Bilgi İşlem Güvenlik Müdürlüğü, hangi tipte kullanıcıya hangi rol/yetkinin verileceğine ilişkin rol/yetki matrisini hazırlayarak uygulaması için Bilgi İşlem Kullanıcı Erişim Yönetimi Müdürlüğü’ne vermiştir. Ayrıca kullanıcı yetki talep/tahsis sürecine ilişkin süreci «Kullanıcı Erişim Yönetimi Prosedürü» kapsamında Bilgi İşlem Güvenlik Müdürlüğü hazırlamıştır. Görevden ayrılan/görevi değişen personel ve dış kaynak (danışman, hizmet alınan 3. parti firma vb) İnsan Kaynakları Müdürlüğü tarafından takip edilmekte ve böyle bir durumda yetkilerin kaldırılması/yeniden düzenlenmesi için Bilgi İşlem Kullanıcı Erişim Yönetimi Müdürlüğü’ne bilgi verilmektedir.

• Önceki denetim raporlarının incelenmesi: Daha önce gerçekleştirilmiş bir denetim bulunmamaktadır. Açılış toplantısının yapılması: İlgili İnsan Kaynakları, Bilgi İşlem Kullanıcı Yönetimi ve Bilgi İşlem Güvenlik Müdürleri ile

görüşülmüştür. Süreçler ve test edilecek kontroller hakkında bilgi verilmiş, sorumlu personelin iletişim bilgileri alınmıştır. BT Organizasyonunun Anlaşılması: Sorumlu personelin ve ilgili birimlerin birbirleri ile ilişkileri/ast-üst ilişkilerine yönelik

organizasyon şemaları temin edilmiştir. BT envanterinin anlaşılması: Tebit CRM uygulaması, Kullanıcı Erişim Yönetimi Uygulaması

www.tebit.com.tr 57

3. Risk değerlendirmesinin yapılması: Sürece ilişkin adımlar ve olası riskler belirlenmiş yüksek ve orta riskli süreçler, ilgili test edilecek

kontroller (varlıkları ve mevcutsalar etkinlikleri) belirlenmiştir. 4. Kapsamın belirlenmesi: Tebit CRM uygulaması ve tüm kullanıcılarına ait son 1 yıllık süreye ilişkin işlemler 5. Çalışma Planının Hazırlanması: Planlama çalışması 1 hafta, saha çalışması 2 hafta ve raporlama çalışması 1 hafta olmak üzere

toplam 1 aylık bir süre planlaması yapılmıştır. Saha Çalışması 1. Kontrollerin Değerlendirilmesi

Anahtar Kontrollerin Tespit Edilmesi: Anahtar kontroller belirlenmiştir. Tasarım Etkinliğinin Değerlendirilmesi: Mevcut olmayan kontroller belirlenmiştir. Örneklem Seçimi: Değişik kriterlere göre makul sayılarda örneklem seçilmiştir. İşletim Etkinliğinin Değerlendirilmesi: Mevcut kontrollerden etkinliği test edilecek kontroller belirlenmiştir. Standart Denetim Prosedürlerinin Kullanılması: Risk kontrol matrisi hazırlanmış olup burada belirlenen test prosedürleri

izlenmiştir. Çalışma Kâğıtlarının Kullanımı: Test amaçları, detayları, sonuçları, ilgili kanıtların yer aldığı çalışma kağıtları düzenlenmiştir.

2. Bulguların Değerlendirilmesi: Bulgular iş birimleri ve teknik birimlerle değerlendirilerek mutabakat sağlanmıştır.


www.tebit.com.tr 58

Raporlama ve İzleme 1. Denetim raporunun hazırlanması ve sunumu: Mutabık kalınan bulgularla ilgili var olmayan veya işlemeyen kontrollere ilişkin

öneriler, bu önerilere ilişkin aksiyon planları ve tarihleri üzerinde ilgili birimlerle mutabık kalınmıştır. 2. Denetim sonuçlarının izlenmesi: Aksiyon planları ve tarihleri düzenli olarak takip edilerek gerekli aksiyonun belirtilen vadede alınıp

alınmadığı, alınmadıysa gerekçesinin öğrenilerek ek önlemlerde riskin ne şekilde yönetildiği öğrenilir. Yönetime bu yönde bilgi verilir.

Kalite güvence İç Denetim Yöneticisi tarafından iç denetim usul ve esaslarına, prosedürlerine uygun hareket edilip edimediğine yönelik gerekli değerlendirmeler yapılmıştır.


www.tebit.com.tr 59

Ana Süreç Alt Süreç Risk Risk

Seviyesi Kontrol Noktası 1 Kullanıcı erişim

yönetimi Kullanıcıların güncel takibi R1: İşten ayrılmış kullanıcıların iptal

edilmesi gereken erişim haklarının aktif kalması sonucu yetkisiz erişimler ve güvenlik ihlallerinin meydana gelmesi

Yüksek K1: Kullanıcı listesinin güncel takibi

2 Kullanıcı erişim yönetimi

Kullanıcı tanımlama ve yetkilendirme

R2: Yazılı ve onaylı talep olmadan kullanıcı oluşturulması sonucu yetkisiz ve onaysız erişim hakkı tanımlanması

Yüksek K2: Kullanıcıların yazılı ve onaylı kullanıcı taleplerine istinaden tanımlanması


Kullanıcı hesap verilebilirliği R3: Kullanıcılara ayırt edilebilir kullanıcı adları tanımlanmaması sonucu güvenlik ihlallerinden sorumlu kişilerin tespit edilememesi

Yüksek K3: Kullanıcılara kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adları tanımlanması ve jenerik kullanıcı bulunmaması


Kullanıcı hesap tekilliği R4: Kullanıcılara ayırt edilebilir ve eşsiz kullanıcı adları verilmemesi sonucu güvenlik ihlallerinden sorumlu kişilerin tespit edilememesi

Yüksek K4: Bir kullanıcıya ait yalnızca tek bir kullanıcı hesabı tanımlı olması

ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» RİSK/KONTROL-1

www.tebit.com.tr 60



Seviyesi Kontrol Noktası 5 Erişim kontrolleri Oturum açma kontrolleri R5: Sistemin aynı kullanıcı hesabı ile

aynı anda birden fazla oturum açılmasına izin vermesi sonucu açık kalan oturumların başka kişilerce kullanılması veya kullanıcının bilgisi dışında hesabının üçüncü kişilerce kullanılması

Orta K5: Aynı kullanıcı hesabı ile aynı anda açılabilen oturum sayısının kısıtlanması


Parola Yönetimi R6: Şirket parola kurallarına uyumsuz parola kullanımı sonucu güvenlik zafiyetlerinin oluşması

Yüksek K6: Parola parametrelerinin Şirket parola politikası ile uyumlu olması


3. parti firma kullanıcıları yönetimi R7: Süre sınırı olmayan hesap tanımlamaları nedeniyle işten ayrılma statüsü takip edilemeyen kullanıcıların işten ayrıldıkları halde kullanıcı hesaplarının aktif kalması sonucu erişim ve bilgi güvenliği ihlallerinin oluşması

Orta K7: Üçüncü taraf firma kullanıcı hesap süreleri

www.tebit.com.tr 61



Seviyesi Kontrol Noktası 8 Erişim kontrolleri Oturum zaman aşımı R8: Uzun süre işlem yapılmadığı halde

açık kalan oturumların kullanıcının bilgisi dışında başka kişiler tarafından kullanılması sonucu erişim ve bilgi güvenliği zafiyetlerinin oluşması

Orta K8: Oturum zaman aşımı süresinin bulunması (idle time out)

9 Erişim kontrolleri Oturum açma kontrolleri R9: Deneme yanılma yöntemi ile otomatik olarak sürekli parola denemeleri yaparak sistemlere izinsiz ve yetkisiz erişim yapılması

Orta K9: Başarısız oturum denemelerinin kullanıcı hesabının pasife düşmesi

10 Profil yönetimi Kullanıcı tiplerine göre standart rol ve yetkilerin atanması

R10: Önceden belirlenmiş rol paketlerine uygun olmayan rol/yetki ataması sonucu erişim ve bilgi güvenliği zafiyetlerinin oluşması

Yüksek K10: Rollerin kullanıcı gruplarına göre önceden belirlenmiş rol sepetlerine uygun olarak verilmesi

www.tebit.com.tr 62

ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» TEST İÇİN GEREKLİ BİLGİ/BELGE/SORUMLU BİRİM

Test İçin Gerekli Bilgi/Belge Bilgi/Belgenin Temin Edileceği Birim

1) Kullanıcı erişim yönetimi ile ilgili politika ve prosedürler 1) Bilgi İşlem Güvenlik Müdürlüğü

2) Kullanıcı görev durumu manuel takip ediliyorsa geçmişe dönük olarak yapılan son 3 takibe ilişkin doküman

2) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü

3) Güncel Tebit A.Ş. personel, dış kaynak firma çalışanı, danışman firma çalışanı, bayi çalışan listeleri (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı))

3) İnsan Kaynakları Müdürlüğü

4) Tebit CRM uygulaması için güncel aktif kullanıcı listesi alınır (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı), rol ve yetkiler, uygulama kayıt tarihi, parola değişiklik/yenileme tarihi, kullanıcı hesap geçerlilik tarihi).

4) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü

5) Görevi değişen personel listesi (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı))


6) Görevden ayrılan personel listesi (sicil, kullanıcı adı, TCKN/TCKN son 8 hane (kullanıcıyı ayırt edecek bilgi yoksa), e-posta, ad soyad, çalıştığı birim, görev/unvan (detaylı))


7) Yetki talep/onay belgeleri/sistem çıktıları 7) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü

8) Tebit CRM uygulamasına ait rol ve rollere bağlı yetkilere ait liste 8) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü

9) Hani tür kullanıcıya hangi rol ve yetkilerin atanacağına ilişkin rol/yetki matrisi 9) Bilgi İşlem Kullanıcı Erişim Yönetim Müdürlüğü

10) Tebit CRM uygulamasını kullanan personelin tümüne ait görev sorumluluk dökümleri 10) İnsan Kaynakları Müdürlüğü

www.tebit.com.tr 63

ÖRNEK BT DENETİM UYGULAMASI: «KULLANICI ERİŞİM YÖNETİMİ» KONTROL TESTİ/SONUÇ-1

Kontrol Noktası K1: Kullanıcı listesinin güncel takibi

Test Prosedürü 1) Kullanıcı erişim haklarının belirli aralıklar ile gözden geçirilmesine yönelik bir otomatik veya manuel bir kontrol var mı öğrenilir (örneğin; görevden ayrılan bir personelin hesabı sistemsel olarak otomatik sonlandırılmakta mıdır? Şirketten ayrılan veya görev değişikliği olan personele ilişkin manuel takip süreci mi vardır?). Varsa ilgili kontrol için kontrolün yapıldığına dair kanıtlayıcı belge istenir ve dokümante edilir. 2) Güncel Tebit A.Ş. personel, dış kaynak firma çalışanı, danışman firma çalışanı, bayi çalışan listeleri İnsan Kaynakları, Bayi Satış Müdürlüğü ve ilgili birimlerinden temin edilir. 3) İlgili uygulama için güncel aktif kullanıcı listesi alınır (en azından şu bilgilerden bir veya birkaçını içeren: güncel aktif kullanıcı listesi alınır 4) Güncel kullanıcı listesi ile güncel çalışan listesi karşılaştırılarak kullanıcı listesinde yer alan kişilerin çalışan listelerinde olduğu/görevden ayrıldığı halde uygulama erişim yetkileri aktif olan kullanıcılar test edilir. 5) Görev değişikliği olan personelin eski görevlerine ait rol ve yetkilerin yeni atandıkları görevin gerektirdiği rol ve yetkiler ile değiştirildiği kontrol edilir. 6) Görevden ayrılan kullanıcılar ile hesapları pasif kullanıcılar karşılaştırılır, görevden ayrıldıkları tarih ile hesapların pasiflendiği tarihler karşılaştırılır, bu işlemin eş zamanlı yapıldığı kontrol edilir.

Süreç Gözlemi/Test

Sonucu

1) Kullanıcı erişim yönetimine yönelik politika ve prosedür bulunmamaktadır. Yeni atanan Bilgi İşlem Kullanıcı Yönetimi Müdürü öncekinden farklı yöntemler izlemektedir. 2) Kullanıcıların yetkileri İnsan Kaynakları Müdürlüğü'nden yapılan geri bildirimle iptal edilmektedir. Görev değişikliği olan personelin yetkileri düzenlenmemektedir. Görevden alınan daha alt bir göreve atanan bir personelin eski yöneticilik dönemine ait yetkilerinin halen aktif olduğu görülmüştür. 3) Şirket personeli İnsan Kaynakları tarafından takip edilmekte geri bildirimler her ay sonunda toplu halde yapılmaktadır. Şirket personeli olmayan kullanıcıların takibi yapılmamaktadır. Görevden ayrıldığı halde erişim yetkileri pasiflenmemiş kullanıcılar bulunmaktadır.

Öneri 1) Genel kabul görmüş standartlar, standart ve çerçevelerce belirlenmiş güvenlik ilkeleri paralelinde parola politikasını da içerecek şekilde kullanıcı erişim yönetimine yönelik politika ve prosedürlerin hazırlanması ve şirket süreçlerinde kullanılması 2) Görevden ayrılan/görev değişikliği olan personelin işlemin olduğu gün içerisinde mümkünse eşzamanlı olarak yetkilerinin kaldırılması/yeni görevine uygun revize edilmesi sürecini otomatik yürütecek şekilde İnsan Kaynakları personel listesiyle entegre kullanıcı yönetim uygulamasının geliştirilmesi veya bu mümkün değilse sürecin manuel yürütülmesi 3) Şirket personeli olmayan kullanıcıların da İnsan Kaynakları Müdürlüğü tarafından takip edilerek personelde olduğu şekilde erişimlerinin yakından takip edilmesi

www.tebit.com.tr 64


Kontrol Noktası K2: Kullanıcıların yazılı ve onaylı kullanıcı taleplerine istinaden tanımlanması

Test Prosedürü 7) Uygulama kullanıcı talebi ve iptali için tanımlı bir süreç ve ilgili politika/prosedürler var mı öğrenilir. Sürecin işleyişi hakkında bilgi/belge, politika/prosedür temin edilir. 8) İlgili uygulama için güncel aktif kullanıcı listesi alınır (en azından şu bilgilerden bir veya birkaçını içeren: güncel aktif kullanıcı listesi alınır 9) Alınan kullanıcı listesinden seçilen örnekler için (Tüm admin ve benzeri yüksek yetkili kullanıcıları kapsayacak şekilde) erişim ve yetki taleplerine ilişkin talep formları istenerek kullanıcı tanımlamalarının sürece uygun şekilde ve onaylı taleplere istinaden yapıldığı test edilir.


Sonucu

4) Kullanıcı yetki talepleri e-mail veya telefonla yapılmaktadır, talep formu bulunmamaktadır. Seçilen örneklem arasından istenen taleplerden sadece çok az bir kısmına ait e-mail talebi bulunmuştur. 5) Talep sırasında talep sahibinin amiri tarafından talep değerlendirmesi yapılmamaktadır. Seçilen örneklem arasından istenen taleplerden hiçbirisinde amir onayı bulunmamaktadır. 6) Daha önceki Bilgi İşlem Kullanıcı Yönetim Müdürü görevden ayrıldığı için geçmiş döneme ait talep/onay e-maillerine ulaşılamamaktadır.

Öneri 4) Kullanıcı taleplerinin ıslak imzalı talep/onay formları ile ilgili personelin talebinin 1. olarak amiri tarafından imza ile 2. olarak da Bilgi İşlem Kullanıcı Yönetimi Müdürü tarafından onaylanması, bu formların muhafaza edilmesi/söz konusu sürecin sistemler üzerinden yürütülebileceği bir altyapının kurulması, söz konusu onayların sistemler üzerinde amir ve Bilgi İşlem Kullanıcı Yönetimi Müdürü tarafından verilmesi, talep edilmesi halinde bu sistemden geriye dönük olarak istenen kullanıcıya ait yetki talep/onay belgesinin temin edilebileceği bir sistemin kurulması

www.tebit.com.tr 65


Kontrol Noktası K3: Kullanıcılara kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adları tanımlanması ve jenerik kullanıcı bulunmaması

Test Prosedürü 10) İlgili uygulama için güncel aktif kullanıcı listesi alınır. 11) Kullanıcılara kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adları tanımlandığı test edilir. 12) Bu listeler üzerinden jenerik/ortak kullanıcı (kullanıcı ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte olmayan) olmadığı test edilir. 13) Jenerik/ortak kullanıcı adları varsa bunun gerçekten operasyonel bir zorunluluk olduğu ve bu kullanıcılar için yaptıkları işlemlerden sorumlu olmalarını sağlayacak ek önlemler alındığı test edilir.


Sonucu

7) Kime ait olduğu bilinmeyen Deneme, Satış, Destek, Teknik gibi jenerik isimli hesaplar bulunmaktadır. 8) CRM yönetici, CRM Ankara, CRM İstanbul, CRM İzmir gibi ortak kullanılan hesaplar bulunmaktadır.

Öneri 5) Kim tarafından kullanıldığı tespit edilemeyen jenerik isimli hesapların kapatılması, bir daha açılmaması

www.tebit.com.tr 66


Kontrol Noktası K4: Bir kullanıcıya ait yalnızca tek bir kullanıcı hesabı tanımlı olması

Test Prosedürü 14) İlgili uygulama için güncel aktif kullanıcı listesi alınır. 15) Bu listeler üzerinden aynı kişiye ait birden fazla kullanıcı tanımı yapılmadığı ve aynı kullanıcı adının farklı kişilere verilmediği test edilir. 16) Birden fazla hesabı olan kullanıcılar var ise bu kullanıcıların TCKN bilgilerinin aynı veya gerçek dışı girilip girilmediği kontrol edilir.


Sonucu

9) Kullanıcıların birbirinden farklı yetkilere sahip birden çok hesapları bulunmaktadır. 10) Kullanıcıların hesapları oluşturulurken TCKN karakter sayısı kadar rastgele girilen TCKN bilgisi sistemce kabul edilmektedir.

Öneri 6) Aynı TCKN ile birden fazla hesap açılamaması 7) MERNIS ile doğrulama yapılacak şekilde sadece gerçek kişilere ait TCKN bilgisi ile hesap açılabilmesi

www.tebit.com.tr 67


Kontrol Noktası K5: Aynı kullanıcı hesabı ile aynı anda açılabilen oturum sayısının kısıtlanması

Test Prosedürü 17) Uygulamaya erişim için geçici bir kullanıcı hesabı tanımlattırılır. Bu kullanıcı hesabı ile veya mevcut bir kullanıcı ile uygulamada oturum açılır. 18) İlk açılan oturum kapatılmadan aynı kullanıcı hesabı ile uygulamada yeni bir oturum açılır ve uygulamanın aynı kullanıcı hesabı için aynı anda birden fazla oturum açılmasına izin vermediği test edilir. 19) Varsa istisnai durumlar not edilir ve bu gibi durumlar için ne gibi ek kontroller bulunduğu öğrenilir.


Sonucu

11) Aynı anda aynı kullanıcı hesabıyla birden çok oturum açılabilmekte, daha önce açılmış hesaba yeni bir oturumun açıldığı bilgisi verilmemektedir. 12) Parola bilgilerinin personel arasında paylaşıldığı, bilgisayar monitörlerine parola bilgisi yazılı post-itler yapıştırılmakta, ofise gelen misafirlerce görülebilmektedir.

Öneri 8) Aynı hesap ile birden fazla oturum açılamamasına yönelik sistemsel kısıt konulması, gereken hallerde yeni açılan oturumla ilgili önceki açılan oturuma aynı hesap ile yeni bir oturum açıldığı bilgisinin verilmesi

www.tebit.com.tr 68


Kontrol Noktası K6: Parola parametrelerinin Şirket parola politikası ile uyumlu olması

Test Prosedürü 20) Şirketin parola kuralları ne olduğu öğrenilir. Parola kuralları ile ilgili yazılı ve onaylı politika/prosedür olup olmadığı sorulur. Varsa ilgili prosedür alınır ve dokümante edilir. 21) Uygulamaya erişim için parola zorunluluğu olduğu test edilir. 22) Uygulamaya erişim için geçici olarak bir kullanıcı hesabı tanımlattırılır veya mevcut bir kullanıcı ile birlikte uygulamaya erişimde kullanılan parola değiştirme işlemi yapılır. 23) Önceden belirlenmiş parola belirleme kurallarına göre her seferinde bir kural (parametre) ihlal ederek yeni bir parola oluşturulmaya çalışılır ve uygulamanın belirlenen kurallara uymayan parola oluşturulmasına izin vermediği test edilir. (Sadece sayılardan veya harflerden oluşan/belirli karakter sayısından az, parola değişikliğinden bir önceki ve daha önceki parolanın aynısını belirleme vb) 24) Parola değişiklik/yenileme tarihi ile denetim test tarihi arasındaki süre farkı 6 aydan az olduğu test edilir. 25) Parolanın sistem tarafında hiçbir kimsenin müdahalesi olmadan oluşturulduğu, sadece yetki talep eden kişiye sistemde tanımı SMS/e-mail üzerinden iletildiği, uygulamanın parolanın ilk kullanımda zorunlu değişikliğe zorladığı kontrol edilir.


Sonucu

13) Sadece sayılardan veya harflerden oluşan parola belirlenebilmektedir. 14) 4 karakterli parola belirlenebilmektedir. 15) Parola geçerlilik süresi tanımlanmayan kullanıcılar için parola değiştirmeye dair sistemsel bir zorunluluk yoktur 16) Parola değiştirilirken bir önceki ve iki önceki parola yeni parola olarak belirlenebilmektedir. 17) İlk kullanıcı hesabı oluşturulduğunda ilk parola Bilgi İşlem Kullanıcı Yönetim Müdürlüğü tarafından "Kalem123" olarak belirlenmekte, kullanıcıya telefonla, e-mail'le veya sözel olarak bildirilmektedir. Uygulamada ilk oturum açıldığında bu parola değiştirilmeye zorlanmamakta yetkiler dahilinde her türlü işlem yapılabilmektedir.

Öneri 9) Parola politikası uyarınca alfanumerik/belirli karakterden fazla/belirli sürelerde değiştirmeye zorlayan/parola değiştirirken en az 3 önceki parolayı yeniden belirlemeye izin verecek tanımların yapılması 10) Parolaların hiçbir personelin müdahalesi olmadan sistemsel olarak oluşturulması, 3i bir kişinin erişime kapalı olarak sadece hesap sahibine sisteme tanımlı SMS/e-mail ile gönderilmesi, bu parolayı alan kullanıcının ilk oturum açtığında uygulamanın parolayı değiştirmeye zorlaması, kullanıcıya ait cep telefonu ve e-mail bilgilerinin Bilgi İşlem Müdürü onayı olmaksızın değiştirilememesi

www.tebit.com.tr 69


Kontrol Noktası K7: Üçüncü taraf firma kullanıcı hesap süreleri

Test Prosedürü 1) İlgili uygulama için güncel aktif kullanıcı listesi alınır. 2) Üçüncü taraf firma çalışanlarının tamamı için belli bir hesap sonlama tarihi belirlendiği kontrol edilir. 3) Üçüncü taraf firma çalışanlarının tamamı için belirlenmiş hesap geçerlilik süresi denetim test süresinden önce biten ancak halen aktif kullanıcı olup olmadığı kontrol edilir.


Sonucu

18) 3. parti firma çalışanları (danışmanlar, destek personeli, bayi personeli vb) takibi ilgili personelin görev yaptığı birimlerce yapılmaktadır. Görevden ayrılan bu tür kurum personeli olmayan kullanıcıların yetkilerinin kaldırılması için Bilgi İşlem Kullanıcı Yönetimi Müdürlüğü'ne bazı birimlerce geri bildirim yapılmaktadır, bazı birimler böyle bir geri bildirim yapmamaktadır. 19) 3. parti firma çalışanları (danışmanlar, destek personeli, bayi personeli vb) hesaplarının bazıları 6 ay geçerli bazıları ise süresiz olarak tanımlanmıştır. 20) Görevden ayrılan/sözleşmesi biten 3. parti firmaların personeli, danışmanlık hizmeti sona eren danışmanlardan bazılarının hesaplarının halen aktif olduğu görülmüştür.

Öneri 11) Şirket personeli olmayan kullanıcıların hesaplarının geçerlilik sürelerinin 1 ay olarak girilmesi, süresiz veya daha uzun süreler girilmesini engelleyecek kısıtların konulması 12) 1 aydan uzun süre hareket görmeyen/oturum açmayan hesapların otomatik olarak pasiflenmesi

www.tebit.com.tr 70


Kontrol Noktası K8: Oturum zaman aşımı süresinin bulunması (idle time out)

Test Prosedürü 26) Uygulamaya giriş yapılır. 27) Belirli bir süre boyunca uygulamada işlem yapılmadan uygulama açık olarak bırakılır. 28) Belirli bir süre sonunda uygulamanın otomatik olarak oturumu kapatıp kapatmadığı test edilir.


Sonucu

21) Sistemde oturum sonlandırma süresi bulunmamaktadır. Ofiste genelde bilgisayarların ekran koruyucusu aktif olarak devreye girmeyecek şekilde ayarlanmış olup öğle aralarında ekranlarda Tebit CRM uygulaması ekranı açık bırakılmakta, öğleden sonra ilgili personel tarafından kaldığı yerden işlem yapılmaya devam edilmektedir.

Öneri 13) Kullanıcı bilgisayarlarında ekran koruyucularının klavye ile işlem yapılmadığı durumlarda değiştirilemez bir şekilde belirlenecek kısa sürelerde devreye girecek şekilde düzenlemelerin yapılması 14) Tebit CRM uygulamasında belirli bir süre işlem yapılmadığı durumlarda oturumun otomatik olarak sonlanması ve yeniden oturum açılmaya zorlayacak altyapının kurulması

www.tebit.com.tr 71


Kontrol Noktası K9: Başarısız oturum denemelerinin kullanıcı hesabının pasife düşmesi

Test Prosedürü 29) Başarısız oturum açma denemesi yapılarak belirli bir sayıda hatalı parola denemesi sonunda oturum açmaya devam etmek için "captcha" (ekran da görülen metnin girilmesi) uygulamasının olduğu, belirli bir süre hesabın dondurulduğu ve hatalı giriş denemelerinin devam etmesi durumunda kullanıcı hesabının otomatik olarak pasife çekildiği test edilir.


Sonucu

22) Tebit CRM uygulamasına oturum açarken parola hatalı girilse dahi sınırsız olarak deneme yapılabilmekte, kullanıcı bloke olmamakta, captcha girişine zorlanılmamaktadır. 23) Seçilen bazı kullanıcı hesaplarının parolaları deneme yanılma metoduyla tespit edişmiş, uygulamada oturum açılabilmiştir.

Öneri 15) Başarısız oturum açma denemelerinin belirli bir sayıdan sonra hesabı bir süreliğine askıya alması/bloke etmesi veya bu tür durumlarda captcha ile ek karakterler girilmeye zorlayacak altyapının kurulması

www.tebit.com.tr 72


Kontrol Noktası K10: Rollerin kullanıcı gruplarına göre önceden belirlenmiş rol sepetlerine uygun olarak verilmesi

Test Prosedürü 30) Hani tür kullanıcıya hangi rol ve yetkilerin atanacağına ilişkin rol/yetki matrisi alınır. 31) İlgili uygulama için güncel aktif kullanıcı listesi alınır 32) Kullanıcı listesinde ilgili uygulama ve kullanıcı tipi bazında önceden belirlenmiş rol paketleri dışında rollere sahip kullanıcılar olmadığı test edilir. 33) Rol/yetki matrisi yoksa aynı görevdeki kullanıcıların aynı rol/yetkilere sahip olduğu kontrol edilir. 34) Yüksek yetkilere sahip kullanıcılardan örneklem seçilerek yürüttükleri görevin gerektirmediği rol ve yetkilere sahip olup olmadıkları kontrol edilir. 35) Tebit CRM uygulaması içinde amir onayı gerektiren işlemlerde hem onay talep eden hem de onaylayan yetkiler tanınmış görevlerin ayrılığı ilkesine aykırı rol/yetki tahsis edilmiş kullanıcılar olup olmadığı kontrol edilir.


Sonucu

24) Hani tip kullanıcıya hangi rol/yetkinin atanacağına ilişkin bir rol/yetki matrisi bulunmamaktadır. 25) Aynı görevde olduğu halde birbirinden çok farklı rol ve yetkileri olan kullanıcılar bulunmaktadır. 26) Bir adet aşçı, iki adet temizlik görevlisi personele ait hesaplarda sistem yöneticisi yetkisi ve müdür yetkisi bulunduğu belirlenmiştir. 27) IP TV ürününe ait fatura tahsilat ve fatura iptal yetkisinin atandığı kullanıcılar tespit edilmiştir. Bu kişilerden bir tanesinin müşterilerden fatura tutarını tahsil ettiği ardından müşteri bilgisi olmaksızın müdür yetkisinde onaya tabi olması gereken iptal işlemi gerçekleştirerek tahsil edilen fatura bedellerini zimmetine geçirdiği tespit edilmiştir.

Öneri 16) Kullanıcıların görev ve sorumlulukları paralelinde hangi yetkilere sahip olmaları gerektiğine yönelik değerlendirmelerin yapılması, buna göre her tip kullanıcı için ayrı bir rol paketi oluşturulması bu rol paketinin içine gereken yetkilerin tanımlanması, kullanıcılara görevlerinin gerektirdiği rol ve yetkilerin atanması için görev bazlı olarak otomatik yetki atanacak şekilde altyapının kurulması, bu mümkün değilse oluşturulan rol yetki matrisi uyarınca yetki tahsisinin manuel olarak yürütülmesi

www.tebit.com.tr 73

www.tebit.com.tr 74

TEŞEKKÜRLER

Kağan Temel CISA,ISO27001LA [email protected] 0 533 164 48 89 TEBIT Bilgi ve İletişim Teknolojileri Ltd. Şti.

mailto:[email protected]

3.oturum: bilgi teknolojileri süreçlerinde · cobit 5 çerçevesi yedi gerçekleştirici...

Documents