Upload
others
View
10
Download
1
Embed Size (px)
Citation preview
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Akıllı Cihazların Denetimi
İç Denetçinin Akıllı Cihazları Anlama ve
Denetleme Rehberi
Ek Kılavuz
GTAG®
Global Teknoloji Denetim Kılavuzu
UMUÇ
Uluslararası Mesleki
Uygulama Çerçevesi
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
İçindekiler
Yönetici Özeti ..........................................................................................................................................3
Giriş..........................................................................................................................................................4
İlgili Riskler .............................................................................................................................................5
Uyum Riskleri ..........................................................................................................................................5
Mahremiyet Riskleri ................................................................................................................................5
Güvenlik Riskleri .....................................................................................................................................5
Fiziksel Güvenlik Riskleri .......................................................................................................................5
Bilgi Güvenliği Riskleri ...........................................................................................................................6
İlgili Kontroller ........................................................................................................................................7
Akıllı Cihaz Güvenlik Kontrolleri ...........................................................................................................7
BT Politika Kontrolü ile ilgili Düşünceler ...............................................................................................8
Akıllı Cihaz Denetim Görevi .................................................................................................................10
Görev Planlaması ...................................................................................................................................11
Görevin Amacı .......................................................................................................................................11
Görev Kapsamı ve Kaynak Tahsisi ........................................................................................................11
Göreve İlişkin Çalışma Programı ...........................................................................................................12
Ek A. İlgili IIA Standartları ve Rehberleri .............................................................................................13
Ek B. Anahtar Kavramların Tanımları ...................................................................................................16
Ek C. Akıllı Cihaz Denetim Programı ...................................................................................................18
Yazarlar/Katkıda Bulunanlar………………………………………...…………………… 22
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Yönetici Özeti
Cep telefonu ve tablet gibi akıllı cihazlar uzaktan çalışmak için gerçekten taşınabilir ve uygun
seçenekler sunmaktadır. Her yeni veya büyüyen teknoloji gibi akıllı cihazlar da kurumlar için
ek riskler getirirler.
Yeni teknolojiler ortaya çıktıkça ve cihaz çeşitleri arttıkça iç denetimin akıllı cihazlarla ilgili
riskleri ve kontrolleri değerlendirme yaklaşımı da gelişmektedir. Bu zorlukların üstesinden gelmek için iç denetçilere aşağıdaki görevler düşmektedir:
Kurumun akıllı cihaz stratejisini anlamak.
Akıllı cihaz teknolojisinin kurum üzerindeki etkisini değerlendirmek.
Akıllı cihaz ortamına dair güvence sunmak için aşağıdakilerin yapılması:
o Bu tür cihazların kullanımından dolayı kurumun maruz kaldığı riskleri tespit
etmek ve değerlendirmek.
o Bu cihazlarla ilgili uygulamadaki yönetişimin, risk yönetiminin ve kontrollerin
yeterlilik seviyesini belirlemek.
o İlgili kontrollerin tasarımını ve etkinliğini gözden geçirmek.
İç denetim yöneticileri (İDY) akıllı cihazların kurum ve iç denetim faaliyeti açısından ortaya
koyduğu fırsatları ve tehditleri tam ve her yönüyle anlamalıdır. İç denetim faaliyeti, yönetimin
akıllı cihazların kullanımıyla ilişkilendirilen riskleri hafifletmeye yönelik çabalarını
destekleyebilir.
Bu rehberin amacı iç denetçilerin akıllı cihazlarla ilişkilendirilen teknolojiyi, riskleri ve
kontrolleri daha iyi anlamalarına yardım etmektir. Ek C, akıllı cihazlarla ilgili risk yönetimini
ve kontrolleri değerlendirmek için özellikle tasarlanmış risk değerlendirmesi de içeren bir görev
iş programı sunar.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Giriş
Akıllı cihazlar — bilgisayar teknolojisiyle programlanan ve kontrol edilen elektronik cihazlar
— işgücünde devrim yaratmış ve “mobil çalışan” kavramına yeni bir anlam kazandırmıştır.
Uzaktan çalışmak bir zamanlar kurumun sağladığı bir dizüstü bilgisayarla kurumun ağına
bağlanmakla sınırlıyken bugünkü seçenekler gerçekten taşınabilir (mobil) bir şekilde çalışmak
amacıyla özel olarak tasarlanmış uygulamaların (apps) ve özelliklerin kullanıldığı telefonları
ve tabletleri içermektedir.
Akıllı cihazlar; kurumsal kullanıcılara taşınabilir bilişim gücü sunmanın yanında kablosuz ağ
bağlantısının (Wi-Fi) veya hücresel hizmetin olduğu her yerde internet bağlantısıyla birlikte
hem kişisel hem de iş amaçlı kullanıma uygun bir cihaz sağlar. Akıllı cihaz türleri gibi, bu
cihazların işletim sistemleri, güvenlik mekanizmaları, uygulamaları ve ağları da büyük
farklılıklar göstermektedir. Buna örnek olarak akıllı telefonlar, tabletler, taşınabilir dijital
asistanlar (PDA’lar olarak bilinirler), giyilebilir cihazlar (örn. saatler ve gözlükler) ve avuç-içi
oyun cihazları sayılabilir.
Aşağıda, akıllı cihazlarla ilişkilendirilen bazı ayırt edici özellikler belirtilmiştir:
Biçim faktörü (örn. tablet, kapaklı, giyilebilir).
İşletim sistemi (örn. Apple iOS, Android, Windows Mobile, Blackberry OS).
Ağ üzerinde ses ve veri alışverişi
Video ve fotoğraf.
Veri depolama (çıkarılabilir ve çıkarılamaz).
Konum hizmetlerini mümkün kılan Küresel Konum Belirleme Sistemi (GPS).
Tüketici ve işletme uygulamaları (önceden kurulu veya sonradan indirilen).
Bazı kurumlarda, iş faaliyetlerini yürütmek için çalışanlardan kendi cihazlarını kullanmaları
talep edilebilir veya çalışanlar böyle bir talepte bulunabilir ki bu durum kendi cihazını kendin
getir (İfadenin İngilizce baş harfleriyle BYOD – Bring Your Own Device) olarak bilinir. İster
kurum tarafından sağlansın ister çalışanların kendilerine ait olsun, her yeni veya büyüyen
teknoloji gibi akıllı cihazlar da BT departmanının geleneksel risk yönetimi yaklaşımına meydan
okuyan sayısız riski beraberinde getirir.
İç denetim faaliyeti yönetimin akıllı cihazların kullanımıyla ilişkilendirilen riskleri yönetmeye
yönelik çabalarını destekleyebilir. Standart 2120.A1 ve Standart 2130.A1’e göre, iç denetim
faaliyeti, kurumun yönetişim süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı
risklerin yanı sıra bu risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini de
değerlendirmek zorundadır 1 . Bu rehber akıllı cihazların kullanımıyla ilgili risklerin tam
tanımını vernekte, ayrıca bu riskleri kabul edilebilir bir seviyeye indirgemek için
kullanılabilecek kontroller ile kurumun yönetişim yapısını, risk yönetimini ve akıllı cihazlarla
ilgili kontrollerini etkin bir şekilde değerlendirmek için kullanılabilecek bir görev iş programı
sunmaktadır.
1 Bu ve diğer ilgili IIA standartlarının tam metinlerine ulaşmak için EK A’ya bakınız.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
İlgili Riskler
Akıllı cihazlarla ilgili riskler uyum, mahremiyet (kişisel veri gizliliği), fiziksel güvenlik ya da
bilgi güvenliği olarak sınıflandırılabilir.
Uyum Riskleri
BYOD durumlarında, kurumlar kullanıcıların yazılım veya işletme sistemi güncelleme
kılavuzları gibi yürürlükteki politika ve prosedürlere uymalarına aşırı derecede bağımlı
olabilirler. Güncellemelerin cihazın performansı açısından aşırı elverişsiz veya geriletici
olduğunu düşünen kullanıcılar kontrolleri atlamayı tercih edebilir veya güncellemeleri
kurmayabilir. BYOD ortamları kurumun BT destek servislerinin becerilerini ve kabiliyetlerini
geliştirmelerini gerektirir. Cihazların çeşidindeki ve sayısındaki artış kurumun bir dizi zafiyete
maruziyetini katlayarak artırır. Mahrem verilere erişebilen ve bu verileri saklayabilen donanım
ve yazılımların çeşitli versiyonlarını yönetmek, özellikle kural koyucu ve yönlendirici politika,
prosedür ve protokollerin bulunmadığı durumlarda zor olabilir.
Mahremiyet Riskleri
BYOD uygulamaları hem kurum hem de çalışan açısından mahremiyet kaygılarına neden
olabilir. Örneğin, kişisel kimlik bilgilerine bir akıllı cihaz üzerinden erişilmesi veya bahse konu
bilgilerin bu cihazda depolanması durumunda kurum için paydaşlarının mahremiyetini
korumak zor olabilir ki bu giderek yaygınlaşan bir durumdur. Aynı şekilde, çalışanlar kurumsal
veriler silindiği zaman akıllı cihazlarının kurumun kendilerini izinsiz izlemelesine imkân
verdiğine veya kurumun onlara ait kişisel bilgileri (örn. resimler ve iletişim bilgileri) yanlışlıkla
silebileceğine veya başka bir yere atabileceğine dair mahremiyet kaygıları taşıyabilirler.
Üçüncü şahıslar (satıcılar/tedarkçiler, misafirler veya ziyaretçiler) kurumsal ağlara ve
sistemlere kendi akıllı cihazlarıyla giriş yaptıklarında ek riskler ortaya çıkar.
Güvenlik Riskleri
Akıllı cihazlarda depolanan bilgiler kişisel ve kurumsal verileri içerebilir. Bu akıllı cihaz
kaybolursa veya çalınırsa ya da cihaz kullanıcısı cihazdaki gizli veriler silinmeden kurumdaki
işinden ayrılırsa ya da uygun güvenlik kontrolleri uygulanmazsa veya amaçlanan şekilde
işlemezse, bahsedilen bilgiler tehlikeye girebilir. İç denetçiler akıllı cihazlara ilişkin bir denetim
programı tasarlamadan önce çeşitli güvenlik riski kategorilerinin detaylarını anlamalıdırlar.
Fiziksel Güvenlik Riskleri
Akıllı cihazlar devamlı fiziksel güvenlik risklerine maruz kalırlar. Akıllı cihazlar tabiatları
itibariyle taşınabilir olmalarından dolayı, pek çok farklı yerde kullanılırlar ve kaybolma veya
çalınma olasılıkları yüksektir. Bu cihazlar kurumun hassas verilerini depolamak veya bu
verilere erişmek için kullanılıyorsa, kurumun hassas verileri risk altında olabilir. Kurumların
kayıp ve çalıntı vakalarını raporlamak ve güvenlik sorunlarına yanıt vermek için yerleşik
protokolleri bulunmalıdır (örneğin, akıllı cihazda bulunan verileri uzaktan silmek).
Bilgi Güvenliği Riskleri
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Veri depolama ve yedekleme
Şifreleme gibi uygun güvenlik tedbirleri uygulanmadığı takdirde akıllı cihazlarda bulunan
kişisel ve kurumsal veriler tehlikeye girebilir. Cihazların uygun şekilde yedeklenmediği
durumlarda verilerin cihazdan kurtarılması veya sistem hatası da sorun teşkil edebilir.
İşletim sistemleri
Çeşitli akıllı cihaz işletim sistemlerinin (OS) her biri farklı şekilde yönetilmesi, yapılandırılması
ve güvenceye alınması gerekebilen özgün güvenlik özellikleri ve riskleri arz eder. Kullanıcılar
jailbreaking2 (Apple OS) veya rooting3 (Android OS) işlemleriyle OS (işletim sistemi) yönetici
sınırlamalarını atlattığında fabrika ayarlarında kurulu olan güvenlik kontrolleri devredışı
bırakılır ve ilave güvenlik açıkları ortaya çıkabilir. Ayrıca platformlardaki farklılık
çalışanlardan birinin cihazı başka bir cihazla değiştirmesi veya hizmet sağlayıcıları değiştirmesi
durumunda verileri silmeyi kurumlar için daha karmaşık bir hale getirir.
Ağ bağlatıları
Akıllı cihazlar, internete kablosuz veya hücresel ağlar aracılığıyla bağlanır ve bunlar
güvenilmez olabilir. Güvenilmeyen ağlar (örneğin, güvenli olmayan kablosuz ağlar veya
Bluetooth), oturumun başkası tarafından ele geçirilmesi (session hijacking - yetkisiz amaçlar
için geçerli bir ağ oturumunun kullanılması), gizlice dinleme (eavesdropping) ve arya giren
davetsiz misafir (man-in-the-middle4 ) gibi aktarımdaki verileri tehlikeye atabilecek çeşitli
güvenlik risklerinden etkilenirler.
Uygulamalar
Mobil uygulama mağazalarından temin edilebilecek çok sayıda ve çeşitte uygulama akıllı
cihaza doğrudan indilebilmektedir. Bu uygulamalar genellikle büyük yazılım geliştirme
şirketlerinden evden çalışan kişilere kadar uzanan hârici tedarikçiler tarafından
geliştirilmektedir. Mobil cihaz platformları ve uygulama mağazaları (app stores) tedarikçilerin
yayınladığı uygulamalar konusunda güvenlik sınırlamaları veya başka kısıtlamalar
uygulamadıkları takdirde kullanılan akıllı cihaza virüsler, truva atları ve diğer zararlı yazılımlar
bulaşabilir.
Konum
Konum belirleme hizmetlerini sunmayı sağlayan GPS, akıllı cihazların izini sürmek, kullanıcı
davranışını izlemek ve siber saldırıları planlamak için kullanılabilir. Bir kişinin konumu ve
kişisel özellikleri sosyal medya, arama motorları ve navigasyon uygulamaları gibi çeşitli
kaynaklardan elde edilebilen verileri karşılaştırılarak potansiyel olarak belirlenebilir. GPS
etiketi olan fotoğraflarından ek konum bilgileri de sızdırılabilir.
2 Jailbreaking: Apple firmasının üretim sırasında cihaza koyduğu yazılım kısıtlamalarının kaldırılması. 3 Rooting, jailbreaking kavramının Android işletim sistemi için kullanılan karşılığı. 4 Saldırganın kurbanın sisteminin iki kısmı arasındaki iletişim akışını kestiği ve daha sonra, iki bileşen arasındaki
trafiğin davetsiz misafirin kendi kanalıyla değiştirildiği, iletişimin kontrolünü üstlendiği fan saldırı stratejisi.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
İlgili Kontroller
Akıllı Cihaz Güvenlik Kontrolleri
Akıllı cihazlar kurumların riskleri azaltmak için kullanabilecekleri çok sayıda güvenlik özelliği
sunmaktadır.
Kimlik Doğrulama – Bir akıllı cihazı güvenli hale getirmek için atılacak ilk adım olan kimlik
doğrulama yetkisiz kullanıcıların cihazın uygulamalarına ve verilerine erişiminin önüne geçer.
Akıllı cihazlar genellikle aşağıdaki kimlik doğrulama yöntemlerinden birini veya birkaçını
kullanır: şifre, desenli ekran kilidi (desen kilidi), biyometrik özellikler, güvenlik soruları veya
Kişisel Kimlik Tanıma Numarası (PIN). Kişisel Kimlik Tanıma Numarası (PIN) sayısal
(nümerik) bir koddur ve en basit kimlik doğrulama biçimidir. Şifreler ise sayılar, harfler ve
diğer simgelerden oluşan bir kombinasyonu kullanır. Başka bir kimlik doğrulama yöntemi ise
kullanıcıların başlangıç ekranında seçili bir nokta matrisini parmaklarını üzerinden
kaldırmaksızın (kaydırarak) çizmelerini gerektiren desenli ekran kilitleridir. Son olarak,
güvenlik soruları kullanıcıların önceden belirlenmiş bir veya birden fazla kişisel güvenlik
sorusunu cevaplamalarını gerektirir. Bu yöntemler kullanıcının takdirine bağlıdır; kodu veya
deseni (pattern) kullanıcı seçer.
Kullanıcıların zayıf PIN kodları veya şifreler seçmeleri riskini azaltmak amacıyla kurumların
BT birimi mobil cihaz yönetim (MDM) yazılımlarını kullanarak daha güçlü şifreler
oluşturulmasını sağlayabilirler ya da kurumun uygulamalarına erişmek için ikinci bir kimlik
doğrulamasını şart koşabilir. Güvenlik soruları akıllı cihazlarda sıklıkla ikincil (tamamlayıcı)
kimlik doğrulama yöntemi olarak kullanılmaktadır (örn. kullanıcı şifresini unuttuğu zaman,
kullanıcının kimliğini doğrulamak için bu güvenlik soruları seçeneği kullanılabilir).
Muhtemelen en güvenli kimlik doğrulama yöntemi yüz tanıma ve parmak izi okuyucuları gibi
teknolojilerin kullanılmasını ifade eden biyometrik kimlik doğrulama yöntemidir.
Uzaktan silme – Uzaktan silme, kullanıcının veya BT yöneticisinin cihaza fiziksel erişimi
olmaksızın ağ yoluyla verileri ve uygulamaları silebilmesidir. Uzaktan silme işlemi aynı
zamanda varsayılan ayarları da geri yükleyebilir ve şifrelenmiş verilerin artık erişilmez olacak
şekilde kilitleyebilir. Kurumun sahip olduğu cihazlar söz konusu olduğunda, BT yöneticileri
akıllı cihazları uzaktan silmek için MDM yazılımlarını veya Microsoft Exchange ActiveSync
gibi alternatif çözümleri kullanmalıdır.
Uzaktan silme işleminin bir akıllı cihazdaki tüm verileri tamamen ortadan kaldırmadığını
belirtmek gerekir. Bazı MDM yazılımları Güvenli Dijital (SD) kartları uzaktan silmeye izin
vermez. Uzaktan silme işlemi bir masaüstü bilgisayarına veya buluta yedeklenen verileri
silmez. Jailbreaking ve rooting işlemleri de uzaktan silme işlemine engel olabilir.
Donanım veya Cihaz Şifrelemesi – Akıllı cihazlar genellikle donanımların şifrelenmesini
destekler. Etkinleştirildiği takdirde, şifrelenmiş veriler ve uygulamalar şifre girilinceye kadar
şifreli kalır. Şifreleme anahtarları, genellikle, fabrika tarafından atanan benzersiz bir kod ve
kullanıcı-tanımlı bir şifre kullanılarak üretilebilir. Donanımların şifrelenmesi akıllı cihazlarda
bulunan verileri korumaya yönelik temel kontrollerden biridir.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Yazılım Şifrelemesi – Yazılımların şifrelenmesi tüm kurumsal uygulamalar, özellikle e-posta,
için bir zorunluluktur. Donanımların şifrelenmesini desteklemeyen akıllı cihazlar için, kurumun
uygulamalarını ve verilerini korumak amacıyla uygulamalara erişim için ikinci bir şifre
gerektiren yazılım şifrelemesi kullanılabilir. Cihazda bulunan tüm verileri şireleyen donanım
şifrelemesinden farklı olarak yazılım şifrelemesi sadece söz konusu uygulamayla ilgili olup
şifreleme algoritmasını kullanan uygulamaların verilerini şifreler. Kurumun asgari
standartlarını karşıladığını temin etmek için uygulama geliştiricisinin kullandığı şifreleme
seviyesi değerlendirilmelidir.
Aktarılmakta olan Verilerin Şifrelenmesi – Çoğu akıllı cihaz e-postaları, web trafiğini ve sanal
özel ağları (VPN) şifrelemek için Taşıma Katmanı Güvenliğini (TLS) destekler.
BT Politika Kontrolü ile ilgili Düşünceler
Cihaz düzeyinde kontrollerin tesisine ek olarak yönetim, politika ve prosedür düzeyinde
güvenlik özelliklerini uygulamaya koyabilir.
Zararlı Yazılıma karşı yazılımlar – Bu yazılımlar akıllı cihazları olumsuz etkileyen ve gizli
verilere erişim izni verebilen zararlı yazılımları tespit eder ve kaldırır. Akıllı cihaz politikası
zararlı yazılımlara karşı korunma sağlamak için kullanıcıların
a. Zararlı yazılımlara karşı yazılım (Anti-virüs programı gibi) kurmalarını ve tüm akıllı
cihazların mevcut durumda koruma altında olduklarını temin etmelerini gerektirir
b. İşletim sistemlerini güncel tutmalarını gerektirir. Akıllı cihaz üreticileri bilinen zararlı
yazılımlarla ve güvenlik zafiyetleriyle mücadele eden güvenlik özelliklerini veya
savunma mekanizmalarını iyileştirmek amacıyla işletim sistemlerini oldukça sık
günceller.
c. Sadece tanınmış mobil uygulama mağazalarından uygulama indirmelerini gerektirir.
Kurumlar ayrıca çalışanlarının kullanımı için kendi güvenli kurumsal uygulama
mağazalarını da geliştirebilirler.
d. Uygulama geliştiriciler güvenlik özelliklerinde sık sık iyileştirme yaptıkları için
uygulamaları zamanında güncellemelerini gerektirir.
e. Jeailbreaking/rooting işlemlerinden uzak durmalarını gerektirir. Akıllı cihazın işletim
sistemini değiştirmek ve üreticinin kendi sınırlamalarını ve kontrollerini ortadan
kaldırmak önemli güvenlik özelliklerinin atlanmasına olanak verir ve bu durum da
cihazları tehditlere karşı savunmasız hale getirir. Bu işlemler bazı ülkelerde yasal
olmasına karşın, yerel telif kanunlarını ihlal edebilir ve üreticinin cihaz için sunduğu
garantiyi geçersiz kılabilir. Kurumlar jailbreak veya rooting işlemlerine tâbi tutulmuş
akıllı cihazların kullanımını yasaklamalıdır.
BYOD Politikası (Kendi Cihazını Getirme ve Kullanma durumu ile ilgili Politika) – Çalışanların
çalışmak için kişisel akıllı cihazlarını kullanmalarına izin veriliyorsa, kapsamlı bir BYOD
politikası uygulamaya konmalıdır. Bu politika diğerlerinin yanı sıra aşağıdakileri kapsamalıdır:
a. Onaylanmış cihazları ve muhtemelen işletim sistemlerini (örn. iOS, Android) ve bakım
sorumluluklarını.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
b. Akıllı cihazda kayıtlı kurumsal ve kişisel bilgilerle ilgili beklentiler ve sorumluluklar.
Örneğin, cihazda gizli bilgiler bulunuyorsa, kurum veri indirme veya veri transferi
işlemlerini sınırlamaktan sorumluyken, personel bu cihazı diğer aile fertleriyle
paylaşmamaktan sorumlu olabilir.
c. Güçlü şifreler ve güncel işletim sistemleri gibi asgari güvenlik gereklilikleri.
d. Güvenlik ihlallerinin ve cihazın kaybolması veya çalınması vakalarının zamanında
bildirilmesi.
e. Kimin hangi uygulamalara hangi yollarla (örn. web, VPN veya uygulama-tabanlı
olarak) erişebileceği bilgisi de dâhil kurumun verilerine, uygulamalarına ve ağ
kaynaklarına erişimi.
f. Yedekleme ve aktarım, yani daha da somutlaştırmak gerekirse, kurumun verilerinin
nasıl ve nerede yedekleneceği ve nelerin başka cihazlara aktarılabileceği. Örneğin,
çalışanlardan biri kurumsal verileri bir ev bilgisayarına veya herkese açık bir veri
depolama servisine yedekleyebilir mi? Bu kararlar veri güvenliğini ve bazı kişisel
verilerin korunması ile ilgili yasalara, mevzuata veya sözleşme yükümlülüklerine
uyumu etkileyebilir. (örn. Türkiye için Kişisel Verilerin Korunması Kanunu, Birleşik
Devletler Sağlık Sigortası Taşınabilirlik ve Sorumluluk Kanunu (HIPAA), 2002 tarihli
Birleşik Devletler Sarbanes-Oxley Kanunu, Ödeme Kartı Sektörü Veri Güvenliği
Standardı (PCI DSS) ve Kişisel Kimlik Bilgileri (PII)).
g. Uzaktan silme. Kullanıcılar uzaktan silme seçeneğini etkinleştirmeli ve uzaktan silme
işlemi için belirli uygulamalar tanımlamalıdır. Bu konudaki kaygılardan birisi uzaktan
silme işleminin kişisel ve kurumsal verileri etkileme ihtimalidir. Kurumun erişim ve
silme hakkının tüm verileri mi yoksa sadece kurumsal verileri mi kapsayacağının
belirlenmesi önemlidir. BYOD politikaları olan kurumların uygun uzaktan silme
politikaları ve prosedürleri geliştirirken hukuk departmanlarını da bu sürece dâhil
etmeleri gerekir.
h. Akıllı cihazların satılması, değiş-tokuş edilmesi, bağışlanması, değiştirilmesi veya
başka şekillerde elden çıkarılmasına ilişkin seçenekler de dâhil akıllı cihazların
kullanımdan çekilmesi süreci.
i. Çalışanın tüm uygun politikaları ve prosedürleri kabul etmesi ve imzalaması.
Veri/Ek-Dosya İndirme – Hassas verilerin akıllı cihazlara indirilmesi caydırılmalıdır.
Kısıtlayıcı uygulamalar kullanıcılara hassas bilgiler içeren ek dosyaları SD kartlarına
indirmeden akıllı telefonlarında görüntüleyebilme imkânı sağlamaktadır. Benzer şekilde, ekran
görüntüsü alabilme fonksiyonunun kontrolünü dikkate almak da önemlidir.
Veri Yedeklemesi – Akıllı cihazlardaki veriler için güvenli yedekleme yapılması kayıp, zarar
görmüş veya uzaktan silinmiş cihazlardaki verilerin yeni bir cihaza tekrar yüklenebilmesini
sağlar. Çoğu akıllı cihaz bir masaüstü bilgisayarına, dizüstü bilgisayara veya bulut hizmetine
yedekleme yapmak için cihazın kendisinde bulunan yerel veri yedekleme programları sunar.
Kurumsal veriler ve uygulamalar kullanıcıların kontrolü altındaki yerel yedekleme yerine BT
yöneticisinin kontrolü altındaki kurumsal veri merkezinde yedeklenmelidir. Yedekleme
sistemleri usulünce güvenceye alınmalıdır.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Mobil Uygulama Yönetimi (MAM) – MAM yazılımının amacı belirli uygulamalarda bulunan
verileri yönetmek ve korumaktır. MAM yazılımı bir uygulamanın nasıl geliştirildiğinin,
yönetildiğinin, kullanıldığının, değiştirildiğinin ve akıllı cihaza aktarıldığının yanı sıra
uygulamanın kullandığı verileri korumak için uygulanan güvenlik kontrollerini de ele alır.
Mobil Cihaz Yönetimi (MDM) – MDM yazılım çözümleri uygulandığında MDM yazılımı daha
fazla etki gösterir. Bu tür yazılımlar, akıllı cihazın işletim sistemine gömülmüş güvenlik
kontrollerine müdahale etmek suretiyle kritik verileri koruyabilir.
MDM Yazılımı
Güçlü şifreler, şifreleme seviyeleri, uzaktan veri silme ve diğer cihaz güvenliği
önlemleri gibi BT kontrollerini uygulayabilir ve merkezden yönetebilir.
Uygulamaların listesini çıkarabilir, uygulamaları teslim edebilir, kurabilir,
güncelleyebilir ve kaldırabilir.
Cihazları izleyebilir, herhangi bir kontrol politikası çiğnendiğinde kullanıcıya ve
yönetime bildirimde bulunabilir ve hatta politikaları ihlal eden akıllı cihazları devre dışı
bırakabilir.
Wi-Fi (Kablosuz Internet) Sınırlamaları – Bunlar güvenliği sektördeki en iyi uygulamalara göre
sağlanan Wi-Fi ağlarının kullanımına ilişkin sınırlamalar getirir. Herhangi bir kurumun akıllı
cihazlarda bulunan uygulamalarına ve verilerine erişim sırasında sanal özel ağ çözümleri tercih
edilir.
Akıllı cihazları yönetme politikalarının, prosedürlerinin ve teknolojisinin geliştirilmesi ancak
ve sadece kullanıcıların bu cihazlarla ilişkilendirilen riskleri ve korucuyu önlemlerin nasıl
alınacağını anlamaları halinde etkili olur. Kurumun verilerine ve uygulamalarına erişmek için
kurumsal veya kişisel akıllı cihazları kullanan tüm çalışanlara kurumdaki rolleriyle uyumlu ve
akıllı cihazların uygun şekilde kullanımıyla ilgili periyodik eğitimler verilmelidir.
Akıllı Cihaz Denetim Görevi
Denetim görevi iş programı bu görevin amaçlarının ve kapsamının yanı sıra akıllı cihazlarla
ilgili risk ve kontrolleri ve kullanılacak denetim prosedürlerini de ana hatlarıyla açıklamalıdır.
İç denetimin, kontrol ortamının değerlendirilmesine katılması kurumların akıllı cihazların
kullanımıyla ilişkilendirilen risklerin daha fazla farkına varmasını sağlar ve bu durumun da
daha güçlü güvenlik kontrollerini ortaya çıkarması beklenir. Standart 2120.A1 ve Standart
2130.A1’de tarif edildiği gibi, bilgi sistemleriyle ilgili güvence sağlamanın bir gereği olarak, iç
denetim faaliyetinin risk maruziyetlerini değerlendirmesi ve kurumun kritik verilerini akıllı
cihazlarda, işletim sistemlerinde ve mobil uygulamalarda depolamak ve çalıştırmakla ilgili risk
yönetiminin ve kontrollerinin yeterliliğini ve etkinliğini dikkate alması basiretli bir davranıştır.
Görev Planlaması
Standart 2200 iç denetçilerin her görev için söz konusu görevin amaçlarını, kapsamını,
zamanlamasını ve tahsis edilen kaynakları da içeren ayrı bir plan geliştirmek ve yazılı hale
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
getirmek zorunda olduklarını belirtir. İç denetim biriminin bu görevi planlarken belirlemesi
gereken en önemli şeylerden birisi açık ve tutarlı bir rehberliğin kurumun tamamına sağlanması
için temel oluşturacak politika ve prosedürler de dâhil kurumda birleşik ve birleştirici bir
yönetişim yapısının bulunup bulunmadığını belirlemektir. Güçlü bir yönetişim modeli, ortamı
tutarlı bir şekilde yönetmek ve akıllı cihazlar ve uygulamalarla ilgili riskleri kontrol etmek için
gereken politikaları, süreçleri ve araçları sağlar ve bunlar da kurumun bilgilerini yeterince ve
uygun şekilde korumak için elzemdir. Kurum içinde birçok işlev akıllı cihaz stratejisinin bir
kısmını sahiplenebilirken (örn. BT birimi güvenliği ve hukuk birimi kişisel veri gizliliğini
sahiplenebilir), başarılı bir yönetişim programının anahtarı bunlar için tek bir sahip
belirlemektir. Tek sahip tutarlı standart ve prosedürleri, birimler arasında işbirliğini, iş
hedeflerine bağlılığı ve kaynakların optimizasyonunu temin etmelidir.
Görevin Amacı
Oldukça rekabetçi bir iş piyasasında, bir kuruluşun verisine ve kaynaklarına hızlı erişim çok
önemlidir. Bununla birlikte, ilişkili riskler ve organizasyon üzerindeki potansiyel etkileri
yönetim tarafından iyi anlaşılmalı ve iç denetim faaliyeti bu anlayışa katkıda bulunmalıdır.
İç denetçiler, gözden geçirilmekte olan faaliyetle ilişkili riskleri ele almak için görev amaçları
belirlemelidirler. İlk hedeflerin tanımlanmasına yardımcı olmak ve diğer önemli olası sorunlu
alanlarını belirlemek için bir risk değerlendirmesi yapılmalıdır.
Görev Kapsamı ve Kaynak Tahsisi
Riskler tanımlandıktan sonra, gerçekleştirilecek prosedürler ve görevin kapsamı (niteliği,
zamanlaması ve boyutu) belirlenmelidir. Standart 2220.A1 - Görevin Kapsamı’na göre, "
Görevin kapsamı, üçüncü tarafların sahip oldukları dâhil, ilgili sistemlerin, kayıtların, personel
ve maddî varlıkların dikkate alınmasını da içermek zorundadır.”
Akıllı cihaz kullanımı kurumları çeşitli BT mimarisi katmanlarında kontrol gerektiren sayısız
riske maruz bırakır. Denetim görevi akıllı cihaz politikaları, Standartları ve prosedürleri de
dâhil strateji ve yönetişimi; çalışan farkındalığını ve eğitimini; akıllı cihaz ve uygulama
yönetimini ve veri korumasını kapsamalıdır.
İç denetim faaliyeti denetim görevini tamamlamak için gerekli becerileri ve gereken toplam
kaynak miktarını belirlemelidir. İç denetim birimi personeli denetim görevini başarıyla yerine
getirmek için uygun uzmanlık ve bilgi düzeyine ve becerilere sahip olmalıdır ya da gereken
yeterliliklere sahip dış kaynaklar kullanılmalıdır.
Görev İş Programı
İç denetim faaliyeti, akıllı cihazlarla ilgili bir denetimine başlamadan önce, kurumun akıllı
cihazları kullanıma alma ve kullanma şeklini anlamalıdır. Standart 2240.A1 - Görev İş
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Programı uyarınca, " İş programları, görev sırasında uygulanacak bilgi toplama, analiz,
değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır.”
Bir akıllı cihaz görev iş programı aşağıdakilere benzer sorular içerebilir:
Akıllı cihazlarla kurumun ağına erişilebiliyor mu?
Erişim mesajlaşma ile sınırlı mı yoksa kurumun verilerini de içeriyor mu?
Kurum çalışanlarına akıllı cihazlar sağlıyor mu?
İşleri yürütmek için çalışanların kendi akıllı cihazlarını kullanmalarına izin veriliyor mu?
Akıllı cihaz teknolojisi kurumla ve kullanıcı tabanıyla nasıl bütünleşmektedir?
Akıllı cihaz teknolojisini sahiplenen ve kurumun akıllı cihaz politikalarını ve
prosedürlerini uygulayan kimdir?
Arka uç bilgileri nasıl depolanır ve muhafaza edilir?
Kurum veri kaybına, veri hatalarına, güvenlik ihlallerine, ağ hizmeti kesintilerine ve
kayıp veya çalınmış cihazların doğurduğu risklere karşı kendisini nasıl korumaktadır?
Akıllı cihazlar kurumun işle ilgili hedeflerine ulaşmasını sağlayacak varlıklar veya
araçlar olarak destekleniyor ve korunuyor mu?
Kurum yasal ve mevzuatla ilgili politikalara uymaya devam ediyor mu?
Ek C’de risk değerlendirmesinin de dâhil edildiği bir akıllı cihaz güvenlik denetim görevi iş
programına ilişkin örnek verilmektedir.
Ek A. İlgili IIA Standartları ve Rehberlik
Standart 2110: Yönetişim/Kurumsal Yönetim
İç denetim faaliyeti, aşağıdakiler için Kurumun yönetişim süreçlerini değerlendirmek ve
iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:
Stratejik ve operasyonel kararlar alınması,
Risk yönetiminin ve kontrolün gözetimi,
Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,
Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini,
Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,
Kurulun, iç ve dış denetçilerin, diğer güvence sağlayıcıların ve üst yönetimin faaliyetleri
arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.
Standart 2120: Risk Yönetimi
İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve
iyileştirilmesine katkıda bulunmak zorundadır.
2120.A1 – İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim
süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmek
zorundadır:
Kurumun stratejik hedeflerine ulaşması,
Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Faaliyetlerin ve programların etkinlik ve verimliliği,
Varlıkların korunması,
Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
Standart 2130: Kontrol
İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli
gelişimi teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı
olmak zorundadır.
2130.A1 – İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde
bulunan risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki
konularla ilgili olarak değerlendirmek zorundadır:
Kurumun stratejik hedeflerine ulaşması,
Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,
Faaliyetlerin ve programların etkinlik ve verimliliği,
Varlıkların korunması,
Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.
Standart 2200: Görev Planlaması
İç denetçiler, her görev için, amaçları, kapsamı, zamanlama ve kaynak dağılımı hususlarını da
dikkate alan ayrı bir plan hazırlamak ve yazılı hâle getirmek zorundadır. Plan Kurumun
stratejilerini, hedeflerini ve göreve ilişkin riskleri dikkate almalıdır.
Standart 2201: Planlamada Dikkate Alınması Gerekenler
Bir görevi planlarken, iç denetçiler şu noktaları dikkate almak zorundadır:
Denetlenecek olan faaliyetin stratejileri ve hedefleri ve faaliyetin kendi
performansını kontrol etmesinin araçları,
Faaliyet’in hedeflerine, kaynaklarına ve operasyonlarına yönelik önemli riskler ve
bu potansiyel risklerin etki veya ihtimallerini kabul edilebilir bir seviyede tutmanın
yol ve araçları,
İlgili bir çerçeve veya modele kıyasla, ilgili faaliyetin yönetişim, risk yönetimi ve
kontrol süreçlerinin yeterlilik ve etkinliği,
Faaliyetin yönetişim, risk yönetimi ve kontrol süreçlerinde önemli gelişme sağlama
imkânları.
2201.C1 – İç denetçiler, görevlendirmenin amaçları, kapsamı, yerine getirilecek
sorumluluklar ve diğer müşteri beklentileri hakkında, danışmanlık hizmeti verecekleri
müşterileriyle anlaşmak zorundadır. Çok önemli görevlendirmelerde bu anlaşma yazılı hâle
getirilmek zorundadır.
Standart 2210: Görev Amaçları
Amaçlar, her bir görev için belirlenmek zorundadır.
2210.A1 – İç denetçiler, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmak
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
zorundadır. Görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmak
zorundadır.
2210.A3 – Yönetişim, risk yönetimi ve kontrollerin değerlendirilmesi için uygun ve yeterli
kıstaslara ihtiyaç vardır. İç denetçiler, yönetimin ve/veya yönetim kurulunun hedef ve
amaçlara ulaşılıp ulaşılmadığını belirlemek için oluşturduğu kıstasların yeterlilik derecesini
tespit etmek zorundadır. Bu kıstaslar yeterliyse, iç denetçiler de kendi değerlendirmelerinde
bunları kullanmak zorundadır. Kıstaslar yeterli değilse, iç denetçiler yönetimle ve/veya
yönetim kuruluyla görüşerek uygun değerlendirme kıstasları tespit etmek zorundadır.
Standart 2220: Görev Kapsamı
Görevin kapsamı, görevin amaçlarını karşılayacak seviyede olmak zorundadır.
2220.A1 – Görevin kapsamı, üçüncü tarafların sahip oldukları dâhil, ilgili sistemlerin,
kayıtların, personel ve maddî varlıkların dikkate alınmasını da içermek zorundadır.
Standart 2230: Görev Kaynaklarının Tahsisi
İç denetçiler, görevin niteliği, karmaşıklığı, zaman kısıtlamaları ve mevcut kaynakları dikkate
alarak görevin amaçlarına ulaşmak için uygun ve yeterli kaynakları tespit etmek zorundadır.
Standart 2240: Görev İş Programı
İç denetçiler, görev amaçlarına ulaşacak iş programları hazırlamak ve kayıtlı hâle getirmek
zorundadırlar.
2240.A1 – İş programları, görev sırasında uygulanacak bilgi toplama, analiz,
değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır. İş programı, işe
başlanmadan önce onaylanmak zorunda olup, programda yapılan değişiklikler için de
derhal onay alınmak zorundadır.
Standart 2310: Bilgilerin Tanımlanması
İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı olan bilgileri
tespit etmek ve tanımlamak zorundadır.
Önerilen İlgili IIA Rehberleri
Uygulama Rehberi "Gizlilik Risklerinin Denetlenmesi, 2. Baskı”
"GTAG: Global Teknoloji Denetim Kılavuzu”
"GTAG: Bilgi Güvenliği Yönetişimi”.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Ek B. Anahtar Kavramların Tanımları
Arka uç — Bir istemci/sunucu sisteminin sunucu tarafı5.
Kendi cihazını kendin getir (BYOD) — Çalışanların, iş ortaklarının ve diğer kullanıcıların
kurumun uygulamalarını çalıştırmak ve verilerine erişim elde etmek için kendilerinin seçtikleri
ve satın aldıkları bir istemciIbid cihazını kullanmalarına izin veren alternatif bir stratejidir. Bu
strateji genellikle akıllı telefonları ve tabletleri kapsar, ancak kişisel bilgisayarlar (PC’ler) için
de kullanılabilir. Buna bir ödenek de dâhil edilebilir.6
Bulut bilişimi — BT tarafından etkinleştirilen, ölçeklenebilir ve esnek kabiliyetlerin Internet
teknolojileri kullanılarak hizmet olarak sunulduğu bir bilişim türüdür.7
İç denetim faaliyeti — Kurumun faaliyetlerini geliştirmek ve bunlara değer katmak için
tasarlanan bağımsız, objektif güvence ve danışmanlık hizmeti sağlayan birim, bölüm, danışman
ekibi veya diğer uygulamacılardır. İç denetim faaliyeti, kurumun risk yönetim, kontrol ve
yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve
disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.8
Jailbreak — Yazılım açıklarından ve zafiyetlerinden istifade eden programları kullanarak
iOS’un, Apple işletim sisteminin, kullanıldığı cihazlarda bu işletim sistemi tarafından getirilen
yazılım sınırlamalarını kaldırma süreci. Jailbreaking iOS dosya sistemine ve yöneticisine kök
erişimi (yönetici erişimi) izni verir ve bu yolla da resmi Apple App Store’da bulunmayan ek
uygulamaların, uzantıların ve temaların indirilmesine olanak sağlar.9
Zararlı (Kötücül) yazılım (Malware) — Kötü amaçlı yazılımın (Malicious Software) kısa
yazılışıdır. Sahibinin izni ve rızası olmaksızın bir bilgisayar sisteminden bilgi sızdırmak,
bilgilere zarar vermek veya bu bilgileri ele geçirmek için tasarlanmıştır. Kötücül yazılım
genellikle bilgisayar virüslerini, solucanları, Truva atlarını, casus yazılımları ve reklam destekli
yazılımları içerdiği kabul edilir. Casus yazılımlar ise genelde pazarlama amaçlarıyla
kullanılmaktadır ve bu nedenle de genellikle istenmeyen nitelikte olmalarına karşın kötücül
yazılımlar değildir. Ancak casus yazılımlar kimlik hırsızlığı veya diğer açıkça yasadışı
amaçlarla bilgi toplamak için kullanılabilir.10
5 Gartner BT Terimleri Sözlüğü, http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016). 6 a.e. 7 a.e. 8 İç Denetçiler Enstitüsü, Uluskararası Mesleki Uygulama Çerçevesi (UMUÇ) (Altamonte Springs: The
Institute of Internal Auditors, Inc., 2013), 43. 9 "IOS Jailbreaking." Wikipedia. erişim tarihi: 9 Mart 2016. https://en.wikipedia.org/wiki/IOS
jailbreaking. 10 ISACA, “ISACA Terimler Sözlüğü,” 59. 2015. http://www.isaca.org/Knowledge-
Center/Documents/Glossary/glossary.pdf (erişim tarihi: 9 Mart 2016). Tüm hakları saklıdır. Kullanımı
izne tâbidir.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Mobil uygulama yönetimi (MAM) — Hem akıllı cihazların şirket tarafından sağlandığı
durumlarda hem de BYOD stratejisinin uygulandığı durumlarda, iş ortamlarında kullanılan,
kurum içinde geliştirilmiş ve ticari piyasada bulunan mobil uygulamalara erişimi tedarik
etmekten ve kontrol etmekten sorumlu yazılımları ve hizmetleri tanımlar. Yöneticilerin
uygulama verilerini yönetmelerini ve güvenceye almalarını sağlayan, uygulama düzeyinde
oldukça ayrıntılı kontroller (granüler kontrol) sağlar. 11
Mobil uygulama mağazaları — ya cihaza gömülü olan ya da İnternet üzerinde bulunan bir
vitrinle mobil cihaz kullanıcılarına indirilebilir uygulamalar sunar. Herkese açık uygulama
mağazalarındaki uygulama kategorilerinden bazıları oyun, seyahat, verimlilik, eğlence, kitap,
yardımcı uygulamalar, eğitim vb.’dir ve ücretsiz veya ücretli olabilirler. Mobil çalışanlar için
işletmeler tarafından özel uygulama mağazaları oluşturulabilir.12
Mobil cihaz yönetimi (MDM) — aşağıda sayılan fonksiyonları sağlayan yazılımları içerir:
akıllı telefonlar ve medya tabletleri için yazılım dağılımı, politika yönetimi, envanter yönetimi,
güvenlik yönetimi ve hizmet yönetimi. MDM işlevselliği PC yapılandırma yaşam döngüsü
yönetimi (PCCLM) araçlarına benzer, ancak mobil plaformlara özgü gereklilikler çoğunlukla
MDM paketlerinin bir parçasıdır.13
Kişisel kimlik bilgileri (PII)— Bilginin ilgili olduğu kişinin kimliğinin doğrudan veya dolaylı
yollarla makul olarak çıkarsanmasına izin veren her türlü bilgi. Ayrıca PII (i) doğrudan bir
kişiyi tanımlayan (örn. isim, adres, sosyal güvenlik numarası veya başka bir tanımlayıcı numara
veya kod, telefon numarası, e-posta adresi vb.) veya (ii) bir kurumun kullanmak suretiyle başka
veri unsurlarıyla bağlantılı spesifik kişileri tanımlamayı/tespit etmeyi amaçladığı (örn. dolaylı
tanımlama) bilgiler olarak tanımlanır. Bu veri unsurları cinsiyet, ırk, doğum tarihi, coğrafi
gösterge ve diğer tanımlayıcıların bir kombinasyonunu içerebilir. Bunun yanında, belirli bir
kişiyle fiziksel veya online iletişime geçilmesine olanak sağlayan veriler de kişisel kimlik
bilgileriyle aynıdır. Bu bilgiler matbu olarak, eletronik ortamda veya başka ortamlarda
bulunabilir.14
Rooted veya Rooting — Android mobil işletim sistemiyle çalışan akıllı telefon, tablet ve diğer
cihazların kullanıcılarının çeşitli Android alt-sistemleri üzerinde ayrıcalıklı kontrol (kök
/yönetici erişimi olarak bilinir) elde etmelerine izin verme sürecidir. Android Linux çekirdeğini
kullandığından dolayı, bir Android cihazının işletim sistemi kısıtlamalarının kaldırılması
(rooting), Linux veya FreeBSD veya OSX gibi Unix benzeri tüm işletim sistemleri üzerinde
11 "IOS Jailbreaking." Wikipedia, https://en.wikipedia.org/wiki/IOS jailbreaking (erişim tarihi: 9
Mart 2016). 12 Gartner BT Terimleri Sözlüğü (2012), http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016). 13 Gartner BT Terimleri Sözlüğü (2012), http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016). 14 "Kişisel Kimlik Bilgilerinin Korunmasına İlişkin Kılavuz,” Birleşik Devletler Çalışma Bakanlığı,
http://www.dol.gov/dol/ppii.htm (erişim tarihi: 9 Mart 2016). Diğer yandan Türkiye için ilgili konu
“Kişisel Verilerin Korunması” adlı kanun ile düzenlenmiştir.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
yönetimsel süper-kullanıcı izinlerine benzer bir erişim imkânı sağlar.15
SD hafıza kartı — Akıllı cihazlarda kullanılan Güvenli Dijital (Secure Digital) hafıza
kartlarına atıfta bulunur. Güvenli Dijital ifadesi 1999 yılında getirilen bir standarda atıfta
bulunur ve SD Derneği tarafından sürdürülmektedir.16
Akıllı telefon — Tanımlanabilir bir açık işletim sistemi (OS) kullanılan bir mobil iletişim
cihazıdır. Açık işletim sistemleri tanınmış bir geliştirici topluluğu tarafından yazılan üçüncü
şahıs uygulamalarınca desteklenmektedir. Üçüncü şahıs uygulamaları kurulup kaldırılabilir ve
cihazın işletim sistemi veya uygulama programlama arayüzleri (API) için yaratılabilirler.
Geliştiriciler API’lere Java gibi gizli bir katman üzerinden erişebilirler. İşletim sistemi çoklu
bir görev ortamını ve aynı anda çok sayıda uygulamayı idare edebilen bir kullanıcı arayüzünü
destekler. Örneğin, müzik çalarken e-posta görüntüleyebilir.17
15 "Rooting,” Wikipedia, https://en.wikipedia.org/wiki/Rooting (Android OS) (erişim tarihi: 9 Mart 2016). 16 "Özet,” SD Derneği, https://www.sdcard.org/about_sda/fact_sheet/ (erişim tarihi: 9 Mart 2016). 17 Gartner BT Terimleri Sözlüğü (2012), http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016).
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Ek C: Akıllı Cihaz Denetim Programı
1. Amaç: Denetimi Planlamak ve Denetimin Kapsamını Belirlemek
Gözden Geçirme Faaliyetleri Kontrol
1.1 Görevin amaçlarını tanımlamak. (Standart 2210)
Denetim/güvence ile ilgili amaçlar üst düzeyde amaçlardır ve genel denetim hedeflerini tanımlar.
1.2 Riskleri tanımlamak ve değerlendirmek. (Standart 2210.A1)
Risk değerlendirmesi iç denetçilerin odaklanmaları gereken yerleri değerlendirmek için gereklidir.
1.2.1 İş sahiplerini ve anahtar paydaşları ilgilendiren, mobil bilişimle ilişklendirilen iş
risklerini tanımlamak.
1.2.2 İş risklerinin değerlendirilmekte olan BT riskleriyle uyumlu olduklarını teyit
etmek.
1.2.3 Gözden geçirmeyi gerçekleştirmek için genel risk faktörünü değerlendirmek.
1.2.4 Risk değerlendirmesi temelinde kapsamda yapılan değişiklikleri tanımlamak.
1.2.5 Riskleri yönetimle tartışmak ve risk değerlendirmesini buna göre ayarlamak.
1.2.6 Risk değerlendirmesini esas alarak denetim kapsamının güncellenmesi.
1.3 Görev kapsamını tanımlamak. (Standart 2220)
Gözden geçirme faaliyeti tanımlanmış bir kapsama sahip olmalıdır. Gözden geçiren kişi kurumun
kullandığı akıllı cihazları, bu cihazlardan geçen verileri ve bunun kurum için arz ettiği ilgili riski
anlamalıdır.
1.3.1 Kullanımda olan akıllı cihazların bir listesinin elde edilmesi.
1.3.2 Gözden geçirme faaliyetinin kapsamını belirlemek.
1.4 Görevin başarılı olma durumunun tanımlanması.
Başarı faktörleri tanımlanmalı ve üzerinde mutabakata varılmalıdır.
1.4.1 Başarılı bir denetim için gereken unsurları tanımlamak.
1.4.2 Süreç sahiplerine veya paydaşlara başarı için gerekenleri bildirmek ve mutabık
kalmak.
1.5 Denetim görevini yerine getirmek için gereken kaynakları tanımlamak. (Standart 2230)
Çoğu kurumda tüm süreçler için denetim kaynakları mevcut değildir.
1.5.1 Gözden geçirme için gereken denetim/güvence becerilerini belirlemek.
1.5.2 Gözden geçirme için gereken toplam denetim/güvence kaynaklarını (saat) ve
zaman çerçevesini (başlangıç ve bitiş tarihleri) tahmini olarak hesaplamak.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
1.6 Süreç çıktılarını tanımlamak. (Standart 2210. A3)
Çıktılar sadece nihai raporla sınırlı değildir. Denetim/güvence ekipleri ve süreç sahibi
arasındaki iletişim, (denetim) görevin başarısı için elzemdir.
1.6.1 İlk bulgular, durum raporları, taslak raporlar, yanıtlar veya toplantılar için son
tarihler ve nihai rapor da dâhil geçici süreç çıktılarını belirlemek.
1.7 Süreci bildirmek. (Standart 2201.C1)
Denetim/güvence süreci denetim müşterisine açıkça bildirilmelidir.
1.7.1 Aşağıdakileri belirlemeye yönelik bir açılış toplantısı yapılması gereklidir:
Paydaşlarla kapsamı ve amaçları ele almak ve tartışmak.
Gözden geçirmeyi etkili bir şekilde gerçekleştirmek için gereken
dokümanları ve bilgi güvenliği kaynaklarını elde etmek.
Zamanlamayı ve süreç çıktılarını bildirmek.
2. Amaç: Destekleyici Dokümanları Tanımlamak ve Elde Etmek (Standart 2310)
Gözden Geçirme Faaliyetleri Kontrol
2.1 Akıllı cihaz (BYOD da dâhil) ve güvenlik politikaları.
2.2 BT altyapı mimarisi dokümanlarını gözden geçirmek
2.3 MAM ve MDM prosedürlerini gözden geçirmek.
2.4 MAM ve MDM’den gelen gözden geçirme raporları.
3. Amaç: Akıllı Cihaz Ortamını Anlamak
Gözden Geçirme Faaliyetleri Kontrol
3.1 Cihaz kuruma mı aittir yoksa kendi cihazını kendin getir (BYOD) stratejisi mi
uygulanmaktadır?
3.2 Kurumsal veriler kişisel verilerden ayrılmış mıdır?
3.3 Cihazın kişisel amaçlar için (oyunlar, sosyal medya vb. için) kullanılmasına izin veriliyor
mu?
3.4 Çalışanın kurumsal güvenlik politikasına bağlı kalmasını sağlayacak bir sözleşme
uygulanıyor mu?
3.5 Çalışan, cihazı uzaktan silmeyi kabul etti mi?
3.6 Çalışan, kendisine ait telefon görüşmelerinin kaydının kurum tarafından
görüntülenebileceğini kabul etti mi?
3.7 Cihazda gizli bilgi bulunuyor mu? Varsa, bu gizli bilgileri izlemek ve kontrol etmek için
uygulanan prosedürler nelerdir?
3.8 Ne tür akıllı cihazların ve işletim sistemlerinin kullanılmasına izin verilmektedir?
3.9 Akıllı cihazlar için uygulanan bir yedekleme stratejisi ve prosedürü bulunuyor mu?
3.10 Akıllı cihaz kurumun ağına bağlı mıdır? Nasıl bağlanmaktadır?
3.11 Cihaza uygulamalar nasıl yüklenmektedir? Kurum kendi uygulamalarını mı geliştiriyor?
Kurumun kendi uygulama mağazası veya pazarı mı var?
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
4. Amaç: Akıllı Cihaz Ortamını Destekleyen BT Mimarisini Anlamak
Gözden Geçirme Faaliyetleri Kontrol
4.1 MDM çözümü bulut-tabanlı bir çözüm müdür yoksa kurum içinde uygulanan bir çözüm
müdür?
4.2 Bu çözüm, üçüncü şahıslar tarafından dışarıdan mı sağlanmaktadır yoksa kurumun
kaynaklarıyla mı desteklenmektedir?
4.3 Satıcıyla akdedilmiş bir üçüncü şahıs sözleşmesi yürürlükte midir?
5. Amaç: Akıllı Cihazların Güvenlikl Özelliklerini Anlamak
Gözden Geçirme Faaliyetleri Kontrol
5.1 Şifre politikasının sektör standartlarını karşıladığını teyit etmek.
5.2 Şifreleme gerekliliklerini (özellikle gizli veriler için) ve şifrelemenin nasıl uygulandığını
gözden geçirmek.
5.3 Cihazlar üzerindeki bağlantı noktası (port) kontrolleri (kamera kullanımı, Blootooth
kullanımı, Wi-Fi kontrolleri) için herhangi bir gereklilik belirlenmiş midir?
5.4 Cihazın uzaktan silinmesi/kilitlenmesi ve kilidinin açılması için hangi prosedür
uygulanmaktadır?
5.5 Kayıp cihazları bildirmek için hangi prosedür uygulanmaktadır?
5.6 Cihazlar nasıl takip edilmekte ve izlenmektedir?
5.7 Cihaza hangi yapılandırma yüklenektedir (VPN? E-posta? Vb.)?
5.8 Uygulamaların cihaza aktarımı nasıl kontrol edilmektedir? Özellikler nasıl
uygulanmaktadır?
5.9 Hangi denetim ve izleme özellikleri etkinleştirilmiştir? Hangi raporlar oluşurulmaktadır?
6. Amaç: Akıllı Cihazların MDM Yazılımlarına Nasıl Kaydedildiklerini Anlamak
Gözden Geçirme Faaliyetleri Kontrol
6.1 Kurum bir oto-kayıt sistemi mi kullanıyor? Kullanıcılar cihazlarını nasıl kaydettiriyor?
6.2 Kullanıcılar yeni bir cihaz aldıklarına veya eski bir cihazı değiştirdiklerinde nasıl yeniden
kayıt ettiriyorlar? Eski cihaza ne oluyor? Veriler bu cihazdan siliniyor mu?
6.3 Cihaza uygun güvenlik politikasının yüklendiği nasıl teyit ediliyor?
7. Amaç: Akıllı Cihazların E-postalara, Kişilere (Kişi Rehberleri) ve Adres Defterlerine Karşı Nasıl
Hazırlandıklarını Anlamak.
Gözden Geçirme Faaliyetleri Kontrol
7.1 E-postalar kurumun sunucularıyla nasıl senkronize edilmektedir? E-postalar şifreli midir?
7.2 Virüs kontrolü nerede ve nasıl yapılmaktadır?
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
8. Amaç: Uygulamaların Akıllı Cihazlara Nasıl Kurulduklarını Anlamak
Gözden Geçirme Faaliyetleri Kontrol
8.1 Kullanılan uygulamaları ve verilerin cihazda nasıl depolandığını ve şifrelendiğini gözden
geçirmek.
8.2 Uygulamaların devreye alınmasını gözden geçirmek.
8.3 Uygulamalar için kimlik doğrulama prosedürünü gözden geçirmek. Şifreler nasıl
doğrulanmaktadır? Çalışanın kurumsal verileri kullanması için belirlenmiş bir kimlik
doğrulama süreci var mıdır?
9. Amaç: Akıllı Cihazların Kurumun Ağına Nasıl Bağlı Olduklarını Anlamak
Gözden Geçirme Faaliyetleri Kontrol
9.1 Ne tür bir uzaktan bağlantı kullanılmaktadır?
9.2 Kurumun ağına erişim izni verilmeden önce hangi kimlik doğrulama yöntemi
kullanılmaktadır?
9.3 Uzaktan bağlantı için hangi şifreleme protokolleri uygulanmaktadır?
10. Amaç: Akıllı Cihazlar Hakkındaki Düzenleyici ve Mevzuata Uyumla İlgili Gereklilikleri
Anlamak
Gözden Geçirme Faaliyetleri Kontrol
10.1 Düzenleyici ve mevzuata uyumla ilgili gereklilikleri (HIPAA, Sarbanes-Oxley, PCI, PII,
Kişisel Verilerin Korunması Kanunu ve vb.) desteklemek için hangi raporlar ve kontroller
uygulanmaktadır?
11. Amaç: Akıllı Cihazlar Hakkında Hazırlanan Raporları Anlamak
Gözden Geçirme Faaliyetleri Kontrol
11.1 Yönetim hangi raporları gözden geçirir?
11.2 Hangi anahtar istatistikler izlenmekte ve gözden geçirilmektedir?
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Yazarlar/Katkıda Bulunanlar
Brad Ames, CRMA, CISA
Frederick Brown, CISA, CRISC
John Bogert, CISA
Michelle Creer, CISA
Jacques Lourens, CIA, CISA, CGEIT, CRISC
Raj Patel, CISA, CISM, CRISC
Sajay Rai, CISM, CISSP
Steve Stein, CIA, CISA
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
IIA Hakkında
İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin en yaygın kabul görmüş savunucusu, eğitmeni
ve standart, rehber ve sertifika sağlayıcısıdır. 1941 yılında kurulan IIA bugün 170’i aşkın ülkede ve
bölgede 185.000’den fazla üyeye hizmet vermektedir. Birliğin küresel ölçekli genel merkezi
Altamonte Springs, Fla’dadır. Daha fazla bilgi için, lütfen www.globaliia.org veya www.theiia.org
web sitesini ziyaret ediniz.
Ek Rehber Hakkında
Ek Rehber IIA’nın Uluslararası Mesleki Uygulama Çerçevesi’nin (UMUÇ) bir parçasıdır ve iç
denetim faaliyetlerini yerine getirmeye yönelik tavsiye niteliğinde ek rehberlik (zorunlu olmayan)
sağlar. Ek Rehber, Standartlar’ı destekler, ancak bu Standartlara uyumun sağlanmasıyla doğrudan
bağlantı kurulması amaçlanmamaktadır. Daha ziyade, güncel alanları ve sektöre özgü konuları ele
almayı amaçlar ve ayrıntılı süreçleri ve prosedürleri içerir. Bu rehber resmi gözden geçirme ve onay
süreçlerinden geçirilerek IIA tarafından onaylamış bulunmaktadır.
Uygulama Rehberleri
Uygulama Rehberleri iç denetim faaliyetlerini gerçekleştirmek için ayrıntılı rehberlik
sağlayan Ek Rehber türlerinden biridir. Uygulama Rehberlerinde hem araçlar ve teknikler,
programlar ve adım-adım yaklaşımlar gibi detaylı süreçler ve prosedürler, hem de süreç
çıktılarının örnekleri bulunur. UMUÇ Rehberinin bir parçası olduklarından dolayı,
Uygulama Rehberlerine uyulması tavsiye edilmektedir (zorunlu değildir). Bu rehberler
resmi gözden geçirme ve onay süreçlerinden geçirilerek IIA tarafından onaylamış
bulunmaktadır.
Global Teknoloji Denetim Rehberleri (GTAG) bilgi teknolojisi yönetimi, kontrolü veya
güvenliği hakkındaki güncel bir sorunu ele almak amacıyla basit ticari dilde yazılan
Uygulama Rehberleridir.
IIA tarafından sağlanan diğer âmir rehberlik materyalleri için, lütfen
www.globaliia.org/standards-guidance veya www.theiia.org/guidance bağlantısından web
sitemizi ziyaret ediniz.
Sorumluluğun Reddi Beyanı
IIA, bu dokümanı sadece bilgilendirme ve eğitim amacıyla yayımlamaktadır. Bu rehber, belirli
somut münferit durumlara ve sorunlara kesin cevaplar vermek gibi bir amaç taşımamaktadır ve bu
nedenle de sadece bir kılavuz olarak kullanılması amaçlanmaktadır. IIA, herhangi bir somut
durumla doğrudan ilgili bağımsız uzman tavsiyesine başvurmanızı daima tavsiye eder. IIA, sadece
bu rehbere dayanarak karar alan kimseler nedeniyle herhangi bir sorumluluk kabul etmez.
İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org
Telif Hakkı
Telif Hakkı® 2016 İç Denetçiler Enstitüsü.
Çoğaltma izni için lütfen [email protected]. adresinden iletişime geçiniz.
Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 1035 Greenwood Blvd #401, Lake
Mary, FL 32746, USA. All Rights reserved.
Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 1035 Greenwood Blvd #401, Lake
Mary, FL 32746, USA, bütün önemli açılardan orjinali ile aynı olan çevirinin – değiştirilmesi
onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası,
IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya
herhangi bir formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı bir
yöntemle çoğaltılamaz.
Ağustos 16