Akıllı Cihazların Denetimi ( Turkish).pdfVeri depolama ve yedekleme ùifreleme gibi uygun güvenlik tedbirleri uygulanmadığı takdirde akıllı cihazlarda bulunan kiisel ve kurumsal

İç Denetçiler Enstitüsü – Global www.globaliia.org www.theiia.org

Akıllı Cihazların Denetimi

İç Denetçinin Akıllı Cihazları Anlama ve

Denetleme Rehberi

Ek Kılavuz

GTAG®

Global Teknoloji Denetim Kılavuzu

UMUÇ

Uluslararası Mesleki

Uygulama Çerçevesi

http://www.globaliia.org/

http://www.theiia.org/


İçindekiler

Yönetici Özeti ..........................................................................................................................................3

Giriş..........................................................................................................................................................4

İlgili Riskler .............................................................................................................................................5

Uyum Riskleri ..........................................................................................................................................5

Mahremiyet Riskleri ................................................................................................................................5

Güvenlik Riskleri .....................................................................................................................................5

Fiziksel Güvenlik Riskleri .......................................................................................................................5

Bilgi Güvenliği Riskleri ...........................................................................................................................6

İlgili Kontroller ........................................................................................................................................7

Akıllı Cihaz Güvenlik Kontrolleri ...........................................................................................................7

BT Politika Kontrolü ile ilgili Düşünceler ...............................................................................................8

Akıllı Cihaz Denetim Görevi .................................................................................................................10

Görev Planlaması ...................................................................................................................................11

Görevin Amacı .......................................................................................................................................11

Görev Kapsamı ve Kaynak Tahsisi ........................................................................................................11

Göreve İlişkin Çalışma Programı ...........................................................................................................12

Ek A. İlgili IIA Standartları ve Rehberleri .............................................................................................13

Ek B. Anahtar Kavramların Tanımları ...................................................................................................16

Ek C. Akıllı Cihaz Denetim Programı ...................................................................................................18

Yazarlar/Katkıda Bulunanlar………………………………………...…………………… 22




Yönetici Özeti

Cep telefonu ve tablet gibi akıllı cihazlar uzaktan çalışmak için gerçekten taşınabilir ve uygun

seçenekler sunmaktadır. Her yeni veya büyüyen teknoloji gibi akıllı cihazlar da kurumlar için

ek riskler getirirler.

Yeni teknolojiler ortaya çıktıkça ve cihaz çeşitleri arttıkça iç denetimin akıllı cihazlarla ilgili

riskleri ve kontrolleri değerlendirme yaklaşımı da gelişmektedir. Bu zorlukların üstesinden gelmek için iç denetçilere aşağıdaki görevler düşmektedir:

Kurumun akıllı cihaz stratejisini anlamak.

Akıllı cihaz teknolojisinin kurum üzerindeki etkisini değerlendirmek.

Akıllı cihaz ortamına dair güvence sunmak için aşağıdakilerin yapılması:

o Bu tür cihazların kullanımından dolayı kurumun maruz kaldığı riskleri tespit

etmek ve değerlendirmek.

o Bu cihazlarla ilgili uygulamadaki yönetişimin, risk yönetiminin ve kontrollerin

yeterlilik seviyesini belirlemek.

o İlgili kontrollerin tasarımını ve etkinliğini gözden geçirmek.

İç denetim yöneticileri (İDY) akıllı cihazların kurum ve iç denetim faaliyeti açısından ortaya

koyduğu fırsatları ve tehditleri tam ve her yönüyle anlamalıdır. İç denetim faaliyeti, yönetimin

akıllı cihazların kullanımıyla ilişkilendirilen riskleri hafifletmeye yönelik çabalarını

destekleyebilir.

Bu rehberin amacı iç denetçilerin akıllı cihazlarla ilişkilendirilen teknolojiyi, riskleri ve

kontrolleri daha iyi anlamalarına yardım etmektir. Ek C, akıllı cihazlarla ilgili risk yönetimini

ve kontrolleri değerlendirmek için özellikle tasarlanmış risk değerlendirmesi de içeren bir görev

iş programı sunar.




Giriş

Akıllı cihazlar — bilgisayar teknolojisiyle programlanan ve kontrol edilen elektronik cihazlar

— işgücünde devrim yaratmış ve “mobil çalışan” kavramına yeni bir anlam kazandırmıştır.

Uzaktan çalışmak bir zamanlar kurumun sağladığı bir dizüstü bilgisayarla kurumun ağına

bağlanmakla sınırlıyken bugünkü seçenekler gerçekten taşınabilir (mobil) bir şekilde çalışmak

amacıyla özel olarak tasarlanmış uygulamaların (apps) ve özelliklerin kullanıldığı telefonları

ve tabletleri içermektedir.

Akıllı cihazlar; kurumsal kullanıcılara taşınabilir bilişim gücü sunmanın yanında kablosuz ağ

bağlantısının (Wi-Fi) veya hücresel hizmetin olduğu her yerde internet bağlantısıyla birlikte

hem kişisel hem de iş amaçlı kullanıma uygun bir cihaz sağlar. Akıllı cihaz türleri gibi, bu

cihazların işletim sistemleri, güvenlik mekanizmaları, uygulamaları ve ağları da büyük

farklılıklar göstermektedir. Buna örnek olarak akıllı telefonlar, tabletler, taşınabilir dijital

asistanlar (PDA’lar olarak bilinirler), giyilebilir cihazlar (örn. saatler ve gözlükler) ve avuç-içi

oyun cihazları sayılabilir.

Aşağıda, akıllı cihazlarla ilişkilendirilen bazı ayırt edici özellikler belirtilmiştir:

Biçim faktörü (örn. tablet, kapaklı, giyilebilir).

İşletim sistemi (örn. Apple iOS, Android, Windows Mobile, Blackberry OS).

Ağ üzerinde ses ve veri alışverişi

Video ve fotoğraf.

Veri depolama (çıkarılabilir ve çıkarılamaz).

Konum hizmetlerini mümkün kılan Küresel Konum Belirleme Sistemi (GPS).

Tüketici ve işletme uygulamaları (önceden kurulu veya sonradan indirilen).

Bazı kurumlarda, iş faaliyetlerini yürütmek için çalışanlardan kendi cihazlarını kullanmaları

talep edilebilir veya çalışanlar böyle bir talepte bulunabilir ki bu durum kendi cihazını kendin

getir (İfadenin İngilizce baş harfleriyle BYOD – Bring Your Own Device) olarak bilinir. İster

kurum tarafından sağlansın ister çalışanların kendilerine ait olsun, her yeni veya büyüyen

teknoloji gibi akıllı cihazlar da BT departmanının geleneksel risk yönetimi yaklaşımına meydan

okuyan sayısız riski beraberinde getirir.

İç denetim faaliyeti yönetimin akıllı cihazların kullanımıyla ilişkilendirilen riskleri yönetmeye

yönelik çabalarını destekleyebilir. Standart 2120.A1 ve Standart 2130.A1’e göre, iç denetim

faaliyeti, kurumun yönetişim süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı

risklerin yanı sıra bu risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini de

değerlendirmek zorundadır 1 . Bu rehber akıllı cihazların kullanımıyla ilgili risklerin tam

tanımını vernekte, ayrıca bu riskleri kabul edilebilir bir seviyeye indirgemek için

kullanılabilecek kontroller ile kurumun yönetişim yapısını, risk yönetimini ve akıllı cihazlarla

ilgili kontrollerini etkin bir şekilde değerlendirmek için kullanılabilecek bir görev iş programı

sunmaktadır.

1 Bu ve diğer ilgili IIA standartlarının tam metinlerine ulaşmak için EK A’ya bakınız.




İlgili Riskler

Akıllı cihazlarla ilgili riskler uyum, mahremiyet (kişisel veri gizliliği), fiziksel güvenlik ya da

bilgi güvenliği olarak sınıflandırılabilir.

Uyum Riskleri

BYOD durumlarında, kurumlar kullanıcıların yazılım veya işletme sistemi güncelleme

kılavuzları gibi yürürlükteki politika ve prosedürlere uymalarına aşırı derecede bağımlı

olabilirler. Güncellemelerin cihazın performansı açısından aşırı elverişsiz veya geriletici

olduğunu düşünen kullanıcılar kontrolleri atlamayı tercih edebilir veya güncellemeleri

kurmayabilir. BYOD ortamları kurumun BT destek servislerinin becerilerini ve kabiliyetlerini

geliştirmelerini gerektirir. Cihazların çeşidindeki ve sayısındaki artış kurumun bir dizi zafiyete

maruziyetini katlayarak artırır. Mahrem verilere erişebilen ve bu verileri saklayabilen donanım

ve yazılımların çeşitli versiyonlarını yönetmek, özellikle kural koyucu ve yönlendirici politika,

prosedür ve protokollerin bulunmadığı durumlarda zor olabilir.

Mahremiyet Riskleri

BYOD uygulamaları hem kurum hem de çalışan açısından mahremiyet kaygılarına neden

olabilir. Örneğin, kişisel kimlik bilgilerine bir akıllı cihaz üzerinden erişilmesi veya bahse konu

bilgilerin bu cihazda depolanması durumunda kurum için paydaşlarının mahremiyetini

korumak zor olabilir ki bu giderek yaygınlaşan bir durumdur. Aynı şekilde, çalışanlar kurumsal

veriler silindiği zaman akıllı cihazlarının kurumun kendilerini izinsiz izlemelesine imkân

verdiğine veya kurumun onlara ait kişisel bilgileri (örn. resimler ve iletişim bilgileri) yanlışlıkla

silebileceğine veya başka bir yere atabileceğine dair mahremiyet kaygıları taşıyabilirler.

Üçüncü şahıslar (satıcılar/tedarkçiler, misafirler veya ziyaretçiler) kurumsal ağlara ve

sistemlere kendi akıllı cihazlarıyla giriş yaptıklarında ek riskler ortaya çıkar.

Güvenlik Riskleri

Akıllı cihazlarda depolanan bilgiler kişisel ve kurumsal verileri içerebilir. Bu akıllı cihaz

kaybolursa veya çalınırsa ya da cihaz kullanıcısı cihazdaki gizli veriler silinmeden kurumdaki

işinden ayrılırsa ya da uygun güvenlik kontrolleri uygulanmazsa veya amaçlanan şekilde

işlemezse, bahsedilen bilgiler tehlikeye girebilir. İç denetçiler akıllı cihazlara ilişkin bir denetim

programı tasarlamadan önce çeşitli güvenlik riski kategorilerinin detaylarını anlamalıdırlar.

Fiziksel Güvenlik Riskleri

Akıllı cihazlar devamlı fiziksel güvenlik risklerine maruz kalırlar. Akıllı cihazlar tabiatları

itibariyle taşınabilir olmalarından dolayı, pek çok farklı yerde kullanılırlar ve kaybolma veya

çalınma olasılıkları yüksektir. Bu cihazlar kurumun hassas verilerini depolamak veya bu

verilere erişmek için kullanılıyorsa, kurumun hassas verileri risk altında olabilir. Kurumların

kayıp ve çalıntı vakalarını raporlamak ve güvenlik sorunlarına yanıt vermek için yerleşik

protokolleri bulunmalıdır (örneğin, akıllı cihazda bulunan verileri uzaktan silmek).

Bilgi Güvenliği Riskleri




Veri depolama ve yedekleme

Şifreleme gibi uygun güvenlik tedbirleri uygulanmadığı takdirde akıllı cihazlarda bulunan

kişisel ve kurumsal veriler tehlikeye girebilir. Cihazların uygun şekilde yedeklenmediği

durumlarda verilerin cihazdan kurtarılması veya sistem hatası da sorun teşkil edebilir.

İşletim sistemleri

Çeşitli akıllı cihaz işletim sistemlerinin (OS) her biri farklı şekilde yönetilmesi, yapılandırılması

ve güvenceye alınması gerekebilen özgün güvenlik özellikleri ve riskleri arz eder. Kullanıcılar

jailbreaking2 (Apple OS) veya rooting3 (Android OS) işlemleriyle OS (işletim sistemi) yönetici

sınırlamalarını atlattığında fabrika ayarlarında kurulu olan güvenlik kontrolleri devredışı

bırakılır ve ilave güvenlik açıkları ortaya çıkabilir. Ayrıca platformlardaki farklılık

çalışanlardan birinin cihazı başka bir cihazla değiştirmesi veya hizmet sağlayıcıları değiştirmesi

durumunda verileri silmeyi kurumlar için daha karmaşık bir hale getirir.

Ağ bağlatıları

Akıllı cihazlar, internete kablosuz veya hücresel ağlar aracılığıyla bağlanır ve bunlar

güvenilmez olabilir. Güvenilmeyen ağlar (örneğin, güvenli olmayan kablosuz ağlar veya

Bluetooth), oturumun başkası tarafından ele geçirilmesi (session hijacking - yetkisiz amaçlar

için geçerli bir ağ oturumunun kullanılması), gizlice dinleme (eavesdropping) ve arya giren

davetsiz misafir (man-in-the-middle4 ) gibi aktarımdaki verileri tehlikeye atabilecek çeşitli

güvenlik risklerinden etkilenirler.

Uygulamalar

Mobil uygulama mağazalarından temin edilebilecek çok sayıda ve çeşitte uygulama akıllı

cihaza doğrudan indilebilmektedir. Bu uygulamalar genellikle büyük yazılım geliştirme

şirketlerinden evden çalışan kişilere kadar uzanan hârici tedarikçiler tarafından

geliştirilmektedir. Mobil cihaz platformları ve uygulama mağazaları (app stores) tedarikçilerin

yayınladığı uygulamalar konusunda güvenlik sınırlamaları veya başka kısıtlamalar

uygulamadıkları takdirde kullanılan akıllı cihaza virüsler, truva atları ve diğer zararlı yazılımlar

bulaşabilir.

Konum

Konum belirleme hizmetlerini sunmayı sağlayan GPS, akıllı cihazların izini sürmek, kullanıcı

davranışını izlemek ve siber saldırıları planlamak için kullanılabilir. Bir kişinin konumu ve

kişisel özellikleri sosyal medya, arama motorları ve navigasyon uygulamaları gibi çeşitli

kaynaklardan elde edilebilen verileri karşılaştırılarak potansiyel olarak belirlenebilir. GPS

etiketi olan fotoğraflarından ek konum bilgileri de sızdırılabilir.

2 Jailbreaking: Apple firmasının üretim sırasında cihaza koyduğu yazılım kısıtlamalarının kaldırılması. 3 Rooting, jailbreaking kavramının Android işletim sistemi için kullanılan karşılığı. 4 Saldırganın kurbanın sisteminin iki kısmı arasındaki iletişim akışını kestiği ve daha sonra, iki bileşen arasındaki

trafiğin davetsiz misafirin kendi kanalıyla değiştirildiği, iletişimin kontrolünü üstlendiği fan saldırı stratejisi.




İlgili Kontroller

Akıllı Cihaz Güvenlik Kontrolleri

Akıllı cihazlar kurumların riskleri azaltmak için kullanabilecekleri çok sayıda güvenlik özelliği

sunmaktadır.

Kimlik Doğrulama – Bir akıllı cihazı güvenli hale getirmek için atılacak ilk adım olan kimlik

doğrulama yetkisiz kullanıcıların cihazın uygulamalarına ve verilerine erişiminin önüne geçer.

Akıllı cihazlar genellikle aşağıdaki kimlik doğrulama yöntemlerinden birini veya birkaçını

kullanır: şifre, desenli ekran kilidi (desen kilidi), biyometrik özellikler, güvenlik soruları veya

Kişisel Kimlik Tanıma Numarası (PIN). Kişisel Kimlik Tanıma Numarası (PIN) sayısal

(nümerik) bir koddur ve en basit kimlik doğrulama biçimidir. Şifreler ise sayılar, harfler ve

diğer simgelerden oluşan bir kombinasyonu kullanır. Başka bir kimlik doğrulama yöntemi ise

kullanıcıların başlangıç ekranında seçili bir nokta matrisini parmaklarını üzerinden

kaldırmaksızın (kaydırarak) çizmelerini gerektiren desenli ekran kilitleridir. Son olarak,

güvenlik soruları kullanıcıların önceden belirlenmiş bir veya birden fazla kişisel güvenlik

sorusunu cevaplamalarını gerektirir. Bu yöntemler kullanıcının takdirine bağlıdır; kodu veya

deseni (pattern) kullanıcı seçer.

Kullanıcıların zayıf PIN kodları veya şifreler seçmeleri riskini azaltmak amacıyla kurumların

BT birimi mobil cihaz yönetim (MDM) yazılımlarını kullanarak daha güçlü şifreler

oluşturulmasını sağlayabilirler ya da kurumun uygulamalarına erişmek için ikinci bir kimlik

doğrulamasını şart koşabilir. Güvenlik soruları akıllı cihazlarda sıklıkla ikincil (tamamlayıcı)

kimlik doğrulama yöntemi olarak kullanılmaktadır (örn. kullanıcı şifresini unuttuğu zaman,

kullanıcının kimliğini doğrulamak için bu güvenlik soruları seçeneği kullanılabilir).

Muhtemelen en güvenli kimlik doğrulama yöntemi yüz tanıma ve parmak izi okuyucuları gibi

teknolojilerin kullanılmasını ifade eden biyometrik kimlik doğrulama yöntemidir.

Uzaktan silme – Uzaktan silme, kullanıcının veya BT yöneticisinin cihaza fiziksel erişimi

olmaksızın ağ yoluyla verileri ve uygulamaları silebilmesidir. Uzaktan silme işlemi aynı

zamanda varsayılan ayarları da geri yükleyebilir ve şifrelenmiş verilerin artık erişilmez olacak

şekilde kilitleyebilir. Kurumun sahip olduğu cihazlar söz konusu olduğunda, BT yöneticileri

akıllı cihazları uzaktan silmek için MDM yazılımlarını veya Microsoft Exchange ActiveSync

gibi alternatif çözümleri kullanmalıdır.

Uzaktan silme işleminin bir akıllı cihazdaki tüm verileri tamamen ortadan kaldırmadığını

belirtmek gerekir. Bazı MDM yazılımları Güvenli Dijital (SD) kartları uzaktan silmeye izin

vermez. Uzaktan silme işlemi bir masaüstü bilgisayarına veya buluta yedeklenen verileri

silmez. Jailbreaking ve rooting işlemleri de uzaktan silme işlemine engel olabilir.

Donanım veya Cihaz Şifrelemesi – Akıllı cihazlar genellikle donanımların şifrelenmesini

destekler. Etkinleştirildiği takdirde, şifrelenmiş veriler ve uygulamalar şifre girilinceye kadar

şifreli kalır. Şifreleme anahtarları, genellikle, fabrika tarafından atanan benzersiz bir kod ve

kullanıcı-tanımlı bir şifre kullanılarak üretilebilir. Donanımların şifrelenmesi akıllı cihazlarda

bulunan verileri korumaya yönelik temel kontrollerden biridir.




Yazılım Şifrelemesi – Yazılımların şifrelenmesi tüm kurumsal uygulamalar, özellikle e-posta,

için bir zorunluluktur. Donanımların şifrelenmesini desteklemeyen akıllı cihazlar için, kurumun

uygulamalarını ve verilerini korumak amacıyla uygulamalara erişim için ikinci bir şifre

gerektiren yazılım şifrelemesi kullanılabilir. Cihazda bulunan tüm verileri şireleyen donanım

şifrelemesinden farklı olarak yazılım şifrelemesi sadece söz konusu uygulamayla ilgili olup

şifreleme algoritmasını kullanan uygulamaların verilerini şifreler. Kurumun asgari

standartlarını karşıladığını temin etmek için uygulama geliştiricisinin kullandığı şifreleme

seviyesi değerlendirilmelidir.

Aktarılmakta olan Verilerin Şifrelenmesi – Çoğu akıllı cihaz e-postaları, web trafiğini ve sanal

özel ağları (VPN) şifrelemek için Taşıma Katmanı Güvenliğini (TLS) destekler.

BT Politika Kontrolü ile ilgili Düşünceler

Cihaz düzeyinde kontrollerin tesisine ek olarak yönetim, politika ve prosedür düzeyinde

güvenlik özelliklerini uygulamaya koyabilir.

Zararlı Yazılıma karşı yazılımlar – Bu yazılımlar akıllı cihazları olumsuz etkileyen ve gizli

verilere erişim izni verebilen zararlı yazılımları tespit eder ve kaldırır. Akıllı cihaz politikası

zararlı yazılımlara karşı korunma sağlamak için kullanıcıların

a. Zararlı yazılımlara karşı yazılım (Anti-virüs programı gibi) kurmalarını ve tüm akıllı

cihazların mevcut durumda koruma altında olduklarını temin etmelerini gerektirir

b. İşletim sistemlerini güncel tutmalarını gerektirir. Akıllı cihaz üreticileri bilinen zararlı

yazılımlarla ve güvenlik zafiyetleriyle mücadele eden güvenlik özelliklerini veya

savunma mekanizmalarını iyileştirmek amacıyla işletim sistemlerini oldukça sık

günceller.

c. Sadece tanınmış mobil uygulama mağazalarından uygulama indirmelerini gerektirir.

Kurumlar ayrıca çalışanlarının kullanımı için kendi güvenli kurumsal uygulama

mağazalarını da geliştirebilirler.

d. Uygulama geliştiriciler güvenlik özelliklerinde sık sık iyileştirme yaptıkları için

uygulamaları zamanında güncellemelerini gerektirir.

e. Jeailbreaking/rooting işlemlerinden uzak durmalarını gerektirir. Akıllı cihazın işletim

sistemini değiştirmek ve üreticinin kendi sınırlamalarını ve kontrollerini ortadan

kaldırmak önemli güvenlik özelliklerinin atlanmasına olanak verir ve bu durum da

cihazları tehditlere karşı savunmasız hale getirir. Bu işlemler bazı ülkelerde yasal

olmasına karşın, yerel telif kanunlarını ihlal edebilir ve üreticinin cihaz için sunduğu

garantiyi geçersiz kılabilir. Kurumlar jailbreak veya rooting işlemlerine tâbi tutulmuş

akıllı cihazların kullanımını yasaklamalıdır.

BYOD Politikası (Kendi Cihazını Getirme ve Kullanma durumu ile ilgili Politika) – Çalışanların

çalışmak için kişisel akıllı cihazlarını kullanmalarına izin veriliyorsa, kapsamlı bir BYOD

politikası uygulamaya konmalıdır. Bu politika diğerlerinin yanı sıra aşağıdakileri kapsamalıdır:

a. Onaylanmış cihazları ve muhtemelen işletim sistemlerini (örn. iOS, Android) ve bakım

sorumluluklarını.




b. Akıllı cihazda kayıtlı kurumsal ve kişisel bilgilerle ilgili beklentiler ve sorumluluklar.

Örneğin, cihazda gizli bilgiler bulunuyorsa, kurum veri indirme veya veri transferi

işlemlerini sınırlamaktan sorumluyken, personel bu cihazı diğer aile fertleriyle

paylaşmamaktan sorumlu olabilir.

c. Güçlü şifreler ve güncel işletim sistemleri gibi asgari güvenlik gereklilikleri.

d. Güvenlik ihlallerinin ve cihazın kaybolması veya çalınması vakalarının zamanında

bildirilmesi.

e. Kimin hangi uygulamalara hangi yollarla (örn. web, VPN veya uygulama-tabanlı

olarak) erişebileceği bilgisi de dâhil kurumun verilerine, uygulamalarına ve ağ

kaynaklarına erişimi.

f. Yedekleme ve aktarım, yani daha da somutlaştırmak gerekirse, kurumun verilerinin

nasıl ve nerede yedekleneceği ve nelerin başka cihazlara aktarılabileceği. Örneğin,

çalışanlardan biri kurumsal verileri bir ev bilgisayarına veya herkese açık bir veri

depolama servisine yedekleyebilir mi? Bu kararlar veri güvenliğini ve bazı kişisel

verilerin korunması ile ilgili yasalara, mevzuata veya sözleşme yükümlülüklerine

uyumu etkileyebilir. (örn. Türkiye için Kişisel Verilerin Korunması Kanunu, Birleşik

Devletler Sağlık Sigortası Taşınabilirlik ve Sorumluluk Kanunu (HIPAA), 2002 tarihli

Birleşik Devletler Sarbanes-Oxley Kanunu, Ödeme Kartı Sektörü Veri Güvenliği

Standardı (PCI DSS) ve Kişisel Kimlik Bilgileri (PII)).

g. Uzaktan silme. Kullanıcılar uzaktan silme seçeneğini etkinleştirmeli ve uzaktan silme

işlemi için belirli uygulamalar tanımlamalıdır. Bu konudaki kaygılardan birisi uzaktan

silme işleminin kişisel ve kurumsal verileri etkileme ihtimalidir. Kurumun erişim ve

silme hakkının tüm verileri mi yoksa sadece kurumsal verileri mi kapsayacağının

belirlenmesi önemlidir. BYOD politikaları olan kurumların uygun uzaktan silme

politikaları ve prosedürleri geliştirirken hukuk departmanlarını da bu sürece dâhil

etmeleri gerekir.

h. Akıllı cihazların satılması, değiş-tokuş edilmesi, bağışlanması, değiştirilmesi veya

başka şekillerde elden çıkarılmasına ilişkin seçenekler de dâhil akıllı cihazların

kullanımdan çekilmesi süreci.

i. Çalışanın tüm uygun politikaları ve prosedürleri kabul etmesi ve imzalaması.

Veri/Ek-Dosya İndirme – Hassas verilerin akıllı cihazlara indirilmesi caydırılmalıdır.

Kısıtlayıcı uygulamalar kullanıcılara hassas bilgiler içeren ek dosyaları SD kartlarına

indirmeden akıllı telefonlarında görüntüleyebilme imkânı sağlamaktadır. Benzer şekilde, ekran

görüntüsü alabilme fonksiyonunun kontrolünü dikkate almak da önemlidir.

Veri Yedeklemesi – Akıllı cihazlardaki veriler için güvenli yedekleme yapılması kayıp, zarar

görmüş veya uzaktan silinmiş cihazlardaki verilerin yeni bir cihaza tekrar yüklenebilmesini

sağlar. Çoğu akıllı cihaz bir masaüstü bilgisayarına, dizüstü bilgisayara veya bulut hizmetine

yedekleme yapmak için cihazın kendisinde bulunan yerel veri yedekleme programları sunar.

Kurumsal veriler ve uygulamalar kullanıcıların kontrolü altındaki yerel yedekleme yerine BT

yöneticisinin kontrolü altındaki kurumsal veri merkezinde yedeklenmelidir. Yedekleme

sistemleri usulünce güvenceye alınmalıdır.




Mobil Uygulama Yönetimi (MAM) – MAM yazılımının amacı belirli uygulamalarda bulunan

verileri yönetmek ve korumaktır. MAM yazılımı bir uygulamanın nasıl geliştirildiğinin,

yönetildiğinin, kullanıldığının, değiştirildiğinin ve akıllı cihaza aktarıldığının yanı sıra

uygulamanın kullandığı verileri korumak için uygulanan güvenlik kontrollerini de ele alır.

Mobil Cihaz Yönetimi (MDM) – MDM yazılım çözümleri uygulandığında MDM yazılımı daha

fazla etki gösterir. Bu tür yazılımlar, akıllı cihazın işletim sistemine gömülmüş güvenlik

kontrollerine müdahale etmek suretiyle kritik verileri koruyabilir.

MDM Yazılımı

Güçlü şifreler, şifreleme seviyeleri, uzaktan veri silme ve diğer cihaz güvenliği

önlemleri gibi BT kontrollerini uygulayabilir ve merkezden yönetebilir.

Uygulamaların listesini çıkarabilir, uygulamaları teslim edebilir, kurabilir,

güncelleyebilir ve kaldırabilir.

Cihazları izleyebilir, herhangi bir kontrol politikası çiğnendiğinde kullanıcıya ve

yönetime bildirimde bulunabilir ve hatta politikaları ihlal eden akıllı cihazları devre dışı

bırakabilir.

Wi-Fi (Kablosuz Internet) Sınırlamaları – Bunlar güvenliği sektördeki en iyi uygulamalara göre

sağlanan Wi-Fi ağlarının kullanımına ilişkin sınırlamalar getirir. Herhangi bir kurumun akıllı

cihazlarda bulunan uygulamalarına ve verilerine erişim sırasında sanal özel ağ çözümleri tercih

edilir.

Akıllı cihazları yönetme politikalarının, prosedürlerinin ve teknolojisinin geliştirilmesi ancak

ve sadece kullanıcıların bu cihazlarla ilişkilendirilen riskleri ve korucuyu önlemlerin nasıl

alınacağını anlamaları halinde etkili olur. Kurumun verilerine ve uygulamalarına erişmek için

kurumsal veya kişisel akıllı cihazları kullanan tüm çalışanlara kurumdaki rolleriyle uyumlu ve

akıllı cihazların uygun şekilde kullanımıyla ilgili periyodik eğitimler verilmelidir.

Akıllı Cihaz Denetim Görevi

Denetim görevi iş programı bu görevin amaçlarının ve kapsamının yanı sıra akıllı cihazlarla

ilgili risk ve kontrolleri ve kullanılacak denetim prosedürlerini de ana hatlarıyla açıklamalıdır.

İç denetimin, kontrol ortamının değerlendirilmesine katılması kurumların akıllı cihazların

kullanımıyla ilişkilendirilen risklerin daha fazla farkına varmasını sağlar ve bu durumun da

daha güçlü güvenlik kontrollerini ortaya çıkarması beklenir. Standart 2120.A1 ve Standart

2130.A1’de tarif edildiği gibi, bilgi sistemleriyle ilgili güvence sağlamanın bir gereği olarak, iç

denetim faaliyetinin risk maruziyetlerini değerlendirmesi ve kurumun kritik verilerini akıllı

cihazlarda, işletim sistemlerinde ve mobil uygulamalarda depolamak ve çalıştırmakla ilgili risk

yönetiminin ve kontrollerinin yeterliliğini ve etkinliğini dikkate alması basiretli bir davranıştır.

Görev Planlaması

Standart 2200 iç denetçilerin her görev için söz konusu görevin amaçlarını, kapsamını,

zamanlamasını ve tahsis edilen kaynakları da içeren ayrı bir plan geliştirmek ve yazılı hale




getirmek zorunda olduklarını belirtir. İç denetim biriminin bu görevi planlarken belirlemesi

gereken en önemli şeylerden birisi açık ve tutarlı bir rehberliğin kurumun tamamına sağlanması

için temel oluşturacak politika ve prosedürler de dâhil kurumda birleşik ve birleştirici bir

yönetişim yapısının bulunup bulunmadığını belirlemektir. Güçlü bir yönetişim modeli, ortamı

tutarlı bir şekilde yönetmek ve akıllı cihazlar ve uygulamalarla ilgili riskleri kontrol etmek için

gereken politikaları, süreçleri ve araçları sağlar ve bunlar da kurumun bilgilerini yeterince ve

uygun şekilde korumak için elzemdir. Kurum içinde birçok işlev akıllı cihaz stratejisinin bir

kısmını sahiplenebilirken (örn. BT birimi güvenliği ve hukuk birimi kişisel veri gizliliğini

sahiplenebilir), başarılı bir yönetişim programının anahtarı bunlar için tek bir sahip

belirlemektir. Tek sahip tutarlı standart ve prosedürleri, birimler arasında işbirliğini, iş

hedeflerine bağlılığı ve kaynakların optimizasyonunu temin etmelidir.

Görevin Amacı

Oldukça rekabetçi bir iş piyasasında, bir kuruluşun verisine ve kaynaklarına hızlı erişim çok

önemlidir. Bununla birlikte, ilişkili riskler ve organizasyon üzerindeki potansiyel etkileri

yönetim tarafından iyi anlaşılmalı ve iç denetim faaliyeti bu anlayışa katkıda bulunmalıdır.

İç denetçiler, gözden geçirilmekte olan faaliyetle ilişkili riskleri ele almak için görev amaçları

belirlemelidirler. İlk hedeflerin tanımlanmasına yardımcı olmak ve diğer önemli olası sorunlu

alanlarını belirlemek için bir risk değerlendirmesi yapılmalıdır.

Görev Kapsamı ve Kaynak Tahsisi

Riskler tanımlandıktan sonra, gerçekleştirilecek prosedürler ve görevin kapsamı (niteliği,

zamanlaması ve boyutu) belirlenmelidir. Standart 2220.A1 - Görevin Kapsamı’na göre, "

Görevin kapsamı, üçüncü tarafların sahip oldukları dâhil, ilgili sistemlerin, kayıtların, personel

ve maddî varlıkların dikkate alınmasını da içermek zorundadır.”

Akıllı cihaz kullanımı kurumları çeşitli BT mimarisi katmanlarında kontrol gerektiren sayısız

riske maruz bırakır. Denetim görevi akıllı cihaz politikaları, Standartları ve prosedürleri de

dâhil strateji ve yönetişimi; çalışan farkındalığını ve eğitimini; akıllı cihaz ve uygulama

yönetimini ve veri korumasını kapsamalıdır.

İç denetim faaliyeti denetim görevini tamamlamak için gerekli becerileri ve gereken toplam

kaynak miktarını belirlemelidir. İç denetim birimi personeli denetim görevini başarıyla yerine

getirmek için uygun uzmanlık ve bilgi düzeyine ve becerilere sahip olmalıdır ya da gereken

yeterliliklere sahip dış kaynaklar kullanılmalıdır.

Görev İş Programı

İç denetim faaliyeti, akıllı cihazlarla ilgili bir denetimine başlamadan önce, kurumun akıllı

cihazları kullanıma alma ve kullanma şeklini anlamalıdır. Standart 2240.A1 - Görev İş




Programı uyarınca, " İş programları, görev sırasında uygulanacak bilgi toplama, analiz,

değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır.”

Bir akıllı cihaz görev iş programı aşağıdakilere benzer sorular içerebilir:

Akıllı cihazlarla kurumun ağına erişilebiliyor mu?

Erişim mesajlaşma ile sınırlı mı yoksa kurumun verilerini de içeriyor mu?

Kurum çalışanlarına akıllı cihazlar sağlıyor mu?

İşleri yürütmek için çalışanların kendi akıllı cihazlarını kullanmalarına izin veriliyor mu?

Akıllı cihaz teknolojisi kurumla ve kullanıcı tabanıyla nasıl bütünleşmektedir?

Akıllı cihaz teknolojisini sahiplenen ve kurumun akıllı cihaz politikalarını ve

prosedürlerini uygulayan kimdir?

Arka uç bilgileri nasıl depolanır ve muhafaza edilir?

Kurum veri kaybına, veri hatalarına, güvenlik ihlallerine, ağ hizmeti kesintilerine ve

kayıp veya çalınmış cihazların doğurduğu risklere karşı kendisini nasıl korumaktadır?

Akıllı cihazlar kurumun işle ilgili hedeflerine ulaşmasını sağlayacak varlıklar veya

araçlar olarak destekleniyor ve korunuyor mu?

Kurum yasal ve mevzuatla ilgili politikalara uymaya devam ediyor mu?

Ek C’de risk değerlendirmesinin de dâhil edildiği bir akıllı cihaz güvenlik denetim görevi iş

programına ilişkin örnek verilmektedir.

Ek A. İlgili IIA Standartları ve Rehberlik

Standart 2110: Yönetişim/Kurumsal Yönetim

İç denetim faaliyeti, aşağıdakiler için Kurumun yönetişim süreçlerini değerlendirmek ve

iyileştirilmesi için gerekli tavsiyelerde bulunmak zorundadır:

Stratejik ve operasyonel kararlar alınması,

Risk yönetiminin ve kontrolün gözetimi,

Kurum içinde gerekli etik ve diğer değerlerin geliştirilmesi,

Etkili bir kurumsal performans yönetiminin ve hesap verebilirliğin temini,

Risk ve kontrol bilgilerinin kurumun gerekli alanlarına iletilmesi,

Kurulun, iç ve dış denetçilerin, diğer güvence sağlayıcıların ve üst yönetimin faaliyetleri

arasında eşgüdüm sağlamak ve bunlar arasında gerekli bilgilerin iletimini sağlamak.

Standart 2120: Risk Yönetimi

İç denetim faaliyeti; risk yönetimi süreçlerinin etkinliğini değerlendirmek ve

iyileştirilmesine katkıda bulunmak zorundadır.

2120.A1 – İç denetim faaliyeti, aşağıdakileri dikkate alarak, kurumun yönetişim

süreçlerinin, faaliyetlerinin ve bilgi sistemlerinin maruz kaldığı riskleri değerlendirmek

zorundadır:

Kurumun stratejik hedeflerine ulaşması,

Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,




Faaliyetlerin ve programların etkinlik ve verimliliği,

Varlıkların korunması,

Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.

Standart 2130: Kontrol

İç denetim faaliyeti, kontrollerin etkinlik ve verimliliğini değerlendirmek ve sürekli

gelişimi teşvik etmek suretiyle, kurumun etkin kontrollere sahip olmasına yardımcı

olmak zorundadır.

2130.A1 – İç denetim faaliyeti, kurumun yönetişim, faaliyet ve bilgi sistemlerinin içinde

bulunan risklere cevap olarak, kontrollerin yeterliliğini ve etkinliğini aşağıdaki

konularla ilgili olarak değerlendirmek zorundadır:

Kurumun stratejik hedeflerine ulaşması,

Mali ve operasyonel bilgilerin güvenilirliği ve doğruluğu,

Faaliyetlerin ve programların etkinlik ve verimliliği,

Varlıkların korunması,

Kanun, düzenleme, politika, prosedür ve sözleşmelere uyum.

Standart 2200: Görev Planlaması

İç denetçiler, her görev için, amaçları, kapsamı, zamanlama ve kaynak dağılımı hususlarını da

dikkate alan ayrı bir plan hazırlamak ve yazılı hâle getirmek zorundadır. Plan Kurumun

stratejilerini, hedeflerini ve göreve ilişkin riskleri dikkate almalıdır.

Standart 2201: Planlamada Dikkate Alınması Gerekenler

Bir görevi planlarken, iç denetçiler şu noktaları dikkate almak zorundadır:

Denetlenecek olan faaliyetin stratejileri ve hedefleri ve faaliyetin kendi

performansını kontrol etmesinin araçları,

Faaliyet’in hedeflerine, kaynaklarına ve operasyonlarına yönelik önemli riskler ve

bu potansiyel risklerin etki veya ihtimallerini kabul edilebilir bir seviyede tutmanın

yol ve araçları,

İlgili bir çerçeve veya modele kıyasla, ilgili faaliyetin yönetişim, risk yönetimi ve

kontrol süreçlerinin yeterlilik ve etkinliği,

Faaliyetin yönetişim, risk yönetimi ve kontrol süreçlerinde önemli gelişme sağlama

imkânları.

2201.C1 – İç denetçiler, görevlendirmenin amaçları, kapsamı, yerine getirilecek

sorumluluklar ve diğer müşteri beklentileri hakkında, danışmanlık hizmeti verecekleri

müşterileriyle anlaşmak zorundadır. Çok önemli görevlendirmelerde bu anlaşma yazılı hâle

getirilmek zorundadır.

Standart 2210: Görev Amaçları

Amaçlar, her bir görev için belirlenmek zorundadır.

2210.A1 – İç denetçiler, denetlenen faaliyetle ilgili risklerin ön değerlendirmesini yapmak




zorundadır. Görevin amaçları, bu risk değerlendirmesinin sonuçlarını yansıtmak

zorundadır.

2210.A3 – Yönetişim, risk yönetimi ve kontrollerin değerlendirilmesi için uygun ve yeterli

kıstaslara ihtiyaç vardır. İç denetçiler, yönetimin ve/veya yönetim kurulunun hedef ve

amaçlara ulaşılıp ulaşılmadığını belirlemek için oluşturduğu kıstasların yeterlilik derecesini

tespit etmek zorundadır. Bu kıstaslar yeterliyse, iç denetçiler de kendi değerlendirmelerinde

bunları kullanmak zorundadır. Kıstaslar yeterli değilse, iç denetçiler yönetimle ve/veya

yönetim kuruluyla görüşerek uygun değerlendirme kıstasları tespit etmek zorundadır.

Standart 2220: Görev Kapsamı

Görevin kapsamı, görevin amaçlarını karşılayacak seviyede olmak zorundadır.

2220.A1 – Görevin kapsamı, üçüncü tarafların sahip oldukları dâhil, ilgili sistemlerin,

kayıtların, personel ve maddî varlıkların dikkate alınmasını da içermek zorundadır.

Standart 2230: Görev Kaynaklarının Tahsisi

İç denetçiler, görevin niteliği, karmaşıklığı, zaman kısıtlamaları ve mevcut kaynakları dikkate

alarak görevin amaçlarına ulaşmak için uygun ve yeterli kaynakları tespit etmek zorundadır.

Standart 2240: Görev İş Programı

İç denetçiler, görev amaçlarına ulaşacak iş programları hazırlamak ve kayıtlı hâle getirmek

zorundadırlar.

2240.A1 – İş programları, görev sırasında uygulanacak bilgi toplama, analiz,

değerlendirme ve kayıtlı hale getirme prosedürlerini içermek zorundadır. İş programı, işe

başlanmadan önce onaylanmak zorunda olup, programda yapılan değişiklikler için de

derhal onay alınmak zorundadır.

Standart 2310: Bilgilerin Tanımlanması

İç denetçiler, görev amaçlarına ulaşmak için yeterli, güvenilir, ilgili ve faydalı olan bilgileri

tespit etmek ve tanımlamak zorundadır.

Önerilen İlgili IIA Rehberleri

Uygulama Rehberi "Gizlilik Risklerinin Denetlenmesi, 2. Baskı”

"GTAG: Global Teknoloji Denetim Kılavuzu”

"GTAG: Bilgi Güvenliği Yönetişimi”.




Ek B. Anahtar Kavramların Tanımları

Arka uç — Bir istemci/sunucu sisteminin sunucu tarafı5.

Kendi cihazını kendin getir (BYOD) — Çalışanların, iş ortaklarının ve diğer kullanıcıların

kurumun uygulamalarını çalıştırmak ve verilerine erişim elde etmek için kendilerinin seçtikleri

ve satın aldıkları bir istemciIbid cihazını kullanmalarına izin veren alternatif bir stratejidir. Bu

strateji genellikle akıllı telefonları ve tabletleri kapsar, ancak kişisel bilgisayarlar (PC’ler) için

de kullanılabilir. Buna bir ödenek de dâhil edilebilir.6

Bulut bilişimi — BT tarafından etkinleştirilen, ölçeklenebilir ve esnek kabiliyetlerin Internet

teknolojileri kullanılarak hizmet olarak sunulduğu bir bilişim türüdür.7

İç denetim faaliyeti — Kurumun faaliyetlerini geliştirmek ve bunlara değer katmak için

tasarlanan bağımsız, objektif güvence ve danışmanlık hizmeti sağlayan birim, bölüm, danışman

ekibi veya diğer uygulamacılardır. İç denetim faaliyeti, kurumun risk yönetim, kontrol ve

yönetişim süreçlerinin etkinliğini değerlendirmek ve geliştirmek amacına yönelik sistemli ve

disiplinli bir yaklaşım getirerek kurumun amaçlarına ulaşmasına yardımcı olur.8

Jailbreak — Yazılım açıklarından ve zafiyetlerinden istifade eden programları kullanarak

iOS’un, Apple işletim sisteminin, kullanıldığı cihazlarda bu işletim sistemi tarafından getirilen

yazılım sınırlamalarını kaldırma süreci. Jailbreaking iOS dosya sistemine ve yöneticisine kök

erişimi (yönetici erişimi) izni verir ve bu yolla da resmi Apple App Store’da bulunmayan ek

uygulamaların, uzantıların ve temaların indirilmesine olanak sağlar.9

Zararlı (Kötücül) yazılım (Malware) — Kötü amaçlı yazılımın (Malicious Software) kısa

yazılışıdır. Sahibinin izni ve rızası olmaksızın bir bilgisayar sisteminden bilgi sızdırmak,

bilgilere zarar vermek veya bu bilgileri ele geçirmek için tasarlanmıştır. Kötücül yazılım

genellikle bilgisayar virüslerini, solucanları, Truva atlarını, casus yazılımları ve reklam destekli

yazılımları içerdiği kabul edilir. Casus yazılımlar ise genelde pazarlama amaçlarıyla

kullanılmaktadır ve bu nedenle de genellikle istenmeyen nitelikte olmalarına karşın kötücül

yazılımlar değildir. Ancak casus yazılımlar kimlik hırsızlığı veya diğer açıkça yasadışı

amaçlarla bilgi toplamak için kullanılabilir.10

5 Gartner BT Terimleri Sözlüğü, http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016). 6 a.e. 7 a.e. 8 İç Denetçiler Enstitüsü, Uluskararası Mesleki Uygulama Çerçevesi (UMUÇ) (Altamonte Springs: The

Institute of Internal Auditors, Inc., 2013), 43. 9 "IOS Jailbreaking." Wikipedia. erişim tarihi: 9 Mart 2016. https://en.wikipedia.org/wiki/IOS

jailbreaking. 10 ISACA, “ISACA Terimler Sözlüğü,” 59. 2015. http://www.isaca.org/Knowledge-

Center/Documents/Glossary/glossary.pdf (erişim tarihi: 9 Mart 2016). Tüm hakları saklıdır. Kullanımı

izne tâbidir.



http://www.gartner.com/it-glossary

https://en.wikipedia.org/wiki/IOS_jailbreaking


http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf

http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf


Mobil uygulama yönetimi (MAM) — Hem akıllı cihazların şirket tarafından sağlandığı

durumlarda hem de BYOD stratejisinin uygulandığı durumlarda, iş ortamlarında kullanılan,

kurum içinde geliştirilmiş ve ticari piyasada bulunan mobil uygulamalara erişimi tedarik

etmekten ve kontrol etmekten sorumlu yazılımları ve hizmetleri tanımlar. Yöneticilerin

uygulama verilerini yönetmelerini ve güvenceye almalarını sağlayan, uygulama düzeyinde

oldukça ayrıntılı kontroller (granüler kontrol) sağlar. 11

Mobil uygulama mağazaları — ya cihaza gömülü olan ya da İnternet üzerinde bulunan bir

vitrinle mobil cihaz kullanıcılarına indirilebilir uygulamalar sunar. Herkese açık uygulama

mağazalarındaki uygulama kategorilerinden bazıları oyun, seyahat, verimlilik, eğlence, kitap,

yardımcı uygulamalar, eğitim vb.’dir ve ücretsiz veya ücretli olabilirler. Mobil çalışanlar için

işletmeler tarafından özel uygulama mağazaları oluşturulabilir.12

Mobil cihaz yönetimi (MDM) — aşağıda sayılan fonksiyonları sağlayan yazılımları içerir:

akıllı telefonlar ve medya tabletleri için yazılım dağılımı, politika yönetimi, envanter yönetimi,

güvenlik yönetimi ve hizmet yönetimi. MDM işlevselliği PC yapılandırma yaşam döngüsü

yönetimi (PCCLM) araçlarına benzer, ancak mobil plaformlara özgü gereklilikler çoğunlukla

MDM paketlerinin bir parçasıdır.13

Kişisel kimlik bilgileri (PII)— Bilginin ilgili olduğu kişinin kimliğinin doğrudan veya dolaylı

yollarla makul olarak çıkarsanmasına izin veren her türlü bilgi. Ayrıca PII (i) doğrudan bir

kişiyi tanımlayan (örn. isim, adres, sosyal güvenlik numarası veya başka bir tanımlayıcı numara

veya kod, telefon numarası, e-posta adresi vb.) veya (ii) bir kurumun kullanmak suretiyle başka

veri unsurlarıyla bağlantılı spesifik kişileri tanımlamayı/tespit etmeyi amaçladığı (örn. dolaylı

tanımlama) bilgiler olarak tanımlanır. Bu veri unsurları cinsiyet, ırk, doğum tarihi, coğrafi

gösterge ve diğer tanımlayıcıların bir kombinasyonunu içerebilir. Bunun yanında, belirli bir

kişiyle fiziksel veya online iletişime geçilmesine olanak sağlayan veriler de kişisel kimlik

bilgileriyle aynıdır. Bu bilgiler matbu olarak, eletronik ortamda veya başka ortamlarda

bulunabilir.14

Rooted veya Rooting — Android mobil işletim sistemiyle çalışan akıllı telefon, tablet ve diğer

cihazların kullanıcılarının çeşitli Android alt-sistemleri üzerinde ayrıcalıklı kontrol (kök

/yönetici erişimi olarak bilinir) elde etmelerine izin verme sürecidir. Android Linux çekirdeğini

kullandığından dolayı, bir Android cihazının işletim sistemi kısıtlamalarının kaldırılması

(rooting), Linux veya FreeBSD veya OSX gibi Unix benzeri tüm işletim sistemleri üzerinde

11 "IOS Jailbreaking." Wikipedia, https://en.wikipedia.org/wiki/IOS jailbreaking (erişim tarihi: 9

Mart 2016). 12 Gartner BT Terimleri Sözlüğü (2012), http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016). 13 Gartner BT Terimleri Sözlüğü (2012), http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016). 14 "Kişisel Kimlik Bilgilerinin Korunmasına İlişkin Kılavuz,” Birleşik Devletler Çalışma Bakanlığı,

http://www.dol.gov/dol/ppii.htm (erişim tarihi: 9 Mart 2016). Diğer yandan Türkiye için ilgili konu

“Kişisel Verilerin Korunması” adlı kanun ile düzenlenmiştir.






http://www.dol.gov/dol/ppii.htm


yönetimsel süper-kullanıcı izinlerine benzer bir erişim imkânı sağlar.15

SD hafıza kartı — Akıllı cihazlarda kullanılan Güvenli Dijital (Secure Digital) hafıza

kartlarına atıfta bulunur. Güvenli Dijital ifadesi 1999 yılında getirilen bir standarda atıfta

bulunur ve SD Derneği tarafından sürdürülmektedir.16

Akıllı telefon — Tanımlanabilir bir açık işletim sistemi (OS) kullanılan bir mobil iletişim

cihazıdır. Açık işletim sistemleri tanınmış bir geliştirici topluluğu tarafından yazılan üçüncü

şahıs uygulamalarınca desteklenmektedir. Üçüncü şahıs uygulamaları kurulup kaldırılabilir ve

cihazın işletim sistemi veya uygulama programlama arayüzleri (API) için yaratılabilirler.

Geliştiriciler API’lere Java gibi gizli bir katman üzerinden erişebilirler. İşletim sistemi çoklu

bir görev ortamını ve aynı anda çok sayıda uygulamayı idare edebilen bir kullanıcı arayüzünü

destekler. Örneğin, müzik çalarken e-posta görüntüleyebilir.17

15 "Rooting,” Wikipedia, https://en.wikipedia.org/wiki/Rooting (Android OS) (erişim tarihi: 9 Mart 2016). 16 "Özet,” SD Derneği, https://www.sdcard.org/about_sda/fact_sheet/ (erişim tarihi: 9 Mart 2016). 17 Gartner BT Terimleri Sözlüğü (2012), http://www.gartner.com/it-glossary (erişim tarihi: 9 Mart 2016).



https://en.wikipedia.org/wiki/Rooting_(Android_OS)

http://www.sdcard.org/about_sda/fact_sheet/



Ek C: Akıllı Cihaz Denetim Programı

1. Amaç: Denetimi Planlamak ve Denetimin Kapsamını Belirlemek

Gözden Geçirme Faaliyetleri Kontrol

1.1 Görevin amaçlarını tanımlamak. (Standart 2210)

Denetim/güvence ile ilgili amaçlar üst düzeyde amaçlardır ve genel denetim hedeflerini tanımlar.

1.2 Riskleri tanımlamak ve değerlendirmek. (Standart 2210.A1)

Risk değerlendirmesi iç denetçilerin odaklanmaları gereken yerleri değerlendirmek için gereklidir.

1.2.1 İş sahiplerini ve anahtar paydaşları ilgilendiren, mobil bilişimle ilişklendirilen iş

risklerini tanımlamak.

1.2.2 İş risklerinin değerlendirilmekte olan BT riskleriyle uyumlu olduklarını teyit

etmek.

1.2.3 Gözden geçirmeyi gerçekleştirmek için genel risk faktörünü değerlendirmek.

1.2.4 Risk değerlendirmesi temelinde kapsamda yapılan değişiklikleri tanımlamak.

1.2.5 Riskleri yönetimle tartışmak ve risk değerlendirmesini buna göre ayarlamak.

1.2.6 Risk değerlendirmesini esas alarak denetim kapsamının güncellenmesi.

1.3 Görev kapsamını tanımlamak. (Standart 2220)

Gözden geçirme faaliyeti tanımlanmış bir kapsama sahip olmalıdır. Gözden geçiren kişi kurumun

kullandığı akıllı cihazları, bu cihazlardan geçen verileri ve bunun kurum için arz ettiği ilgili riski

anlamalıdır.

1.3.1 Kullanımda olan akıllı cihazların bir listesinin elde edilmesi.

1.3.2 Gözden geçirme faaliyetinin kapsamını belirlemek.

1.4 Görevin başarılı olma durumunun tanımlanması.

Başarı faktörleri tanımlanmalı ve üzerinde mutabakata varılmalıdır.

1.4.1 Başarılı bir denetim için gereken unsurları tanımlamak.

1.4.2 Süreç sahiplerine veya paydaşlara başarı için gerekenleri bildirmek ve mutabık

kalmak.

1.5 Denetim görevini yerine getirmek için gereken kaynakları tanımlamak. (Standart 2230)

Çoğu kurumda tüm süreçler için denetim kaynakları mevcut değildir.

1.5.1 Gözden geçirme için gereken denetim/güvence becerilerini belirlemek.

1.5.2 Gözden geçirme için gereken toplam denetim/güvence kaynaklarını (saat) ve

zaman çerçevesini (başlangıç ve bitiş tarihleri) tahmini olarak hesaplamak.




1.6 Süreç çıktılarını tanımlamak. (Standart 2210. A3)

Çıktılar sadece nihai raporla sınırlı değildir. Denetim/güvence ekipleri ve süreç sahibi

arasındaki iletişim, (denetim) görevin başarısı için elzemdir.

1.6.1 İlk bulgular, durum raporları, taslak raporlar, yanıtlar veya toplantılar için son

tarihler ve nihai rapor da dâhil geçici süreç çıktılarını belirlemek.

1.7 Süreci bildirmek. (Standart 2201.C1)

Denetim/güvence süreci denetim müşterisine açıkça bildirilmelidir.

1.7.1 Aşağıdakileri belirlemeye yönelik bir açılış toplantısı yapılması gereklidir:

Paydaşlarla kapsamı ve amaçları ele almak ve tartışmak.

Gözden geçirmeyi etkili bir şekilde gerçekleştirmek için gereken

dokümanları ve bilgi güvenliği kaynaklarını elde etmek.

Zamanlamayı ve süreç çıktılarını bildirmek.

2. Amaç: Destekleyici Dokümanları Tanımlamak ve Elde Etmek (Standart 2310)


2.1 Akıllı cihaz (BYOD da dâhil) ve güvenlik politikaları.

2.2 BT altyapı mimarisi dokümanlarını gözden geçirmek

2.3 MAM ve MDM prosedürlerini gözden geçirmek.

2.4 MAM ve MDM’den gelen gözden geçirme raporları.

3. Amaç: Akıllı Cihaz Ortamını Anlamak


3.1 Cihaz kuruma mı aittir yoksa kendi cihazını kendin getir (BYOD) stratejisi mi

uygulanmaktadır?

3.2 Kurumsal veriler kişisel verilerden ayrılmış mıdır?

3.3 Cihazın kişisel amaçlar için (oyunlar, sosyal medya vb. için) kullanılmasına izin veriliyor

mu?

3.4 Çalışanın kurumsal güvenlik politikasına bağlı kalmasını sağlayacak bir sözleşme

uygulanıyor mu?

3.5 Çalışan, cihazı uzaktan silmeyi kabul etti mi?

3.6 Çalışan, kendisine ait telefon görüşmelerinin kaydının kurum tarafından

görüntülenebileceğini kabul etti mi?

3.7 Cihazda gizli bilgi bulunuyor mu? Varsa, bu gizli bilgileri izlemek ve kontrol etmek için

uygulanan prosedürler nelerdir?

3.8 Ne tür akıllı cihazların ve işletim sistemlerinin kullanılmasına izin verilmektedir?

3.9 Akıllı cihazlar için uygulanan bir yedekleme stratejisi ve prosedürü bulunuyor mu?

3.10 Akıllı cihaz kurumun ağına bağlı mıdır? Nasıl bağlanmaktadır?

3.11 Cihaza uygulamalar nasıl yüklenmektedir? Kurum kendi uygulamalarını mı geliştiriyor?

Kurumun kendi uygulama mağazası veya pazarı mı var?




4. Amaç: Akıllı Cihaz Ortamını Destekleyen BT Mimarisini Anlamak


4.1 MDM çözümü bulut-tabanlı bir çözüm müdür yoksa kurum içinde uygulanan bir çözüm

müdür?

4.2 Bu çözüm, üçüncü şahıslar tarafından dışarıdan mı sağlanmaktadır yoksa kurumun

kaynaklarıyla mı desteklenmektedir?

4.3 Satıcıyla akdedilmiş bir üçüncü şahıs sözleşmesi yürürlükte midir?

5. Amaç: Akıllı Cihazların Güvenlikl Özelliklerini Anlamak


5.1 Şifre politikasının sektör standartlarını karşıladığını teyit etmek.

5.2 Şifreleme gerekliliklerini (özellikle gizli veriler için) ve şifrelemenin nasıl uygulandığını

gözden geçirmek.

5.3 Cihazlar üzerindeki bağlantı noktası (port) kontrolleri (kamera kullanımı, Blootooth

kullanımı, Wi-Fi kontrolleri) için herhangi bir gereklilik belirlenmiş midir?

5.4 Cihazın uzaktan silinmesi/kilitlenmesi ve kilidinin açılması için hangi prosedür

uygulanmaktadır?

5.5 Kayıp cihazları bildirmek için hangi prosedür uygulanmaktadır?

5.6 Cihazlar nasıl takip edilmekte ve izlenmektedir?

5.7 Cihaza hangi yapılandırma yüklenektedir (VPN? E-posta? Vb.)?

5.8 Uygulamaların cihaza aktarımı nasıl kontrol edilmektedir? Özellikler nasıl

uygulanmaktadır?

5.9 Hangi denetim ve izleme özellikleri etkinleştirilmiştir? Hangi raporlar oluşurulmaktadır?

6. Amaç: Akıllı Cihazların MDM Yazılımlarına Nasıl Kaydedildiklerini Anlamak


6.1 Kurum bir oto-kayıt sistemi mi kullanıyor? Kullanıcılar cihazlarını nasıl kaydettiriyor?

6.2 Kullanıcılar yeni bir cihaz aldıklarına veya eski bir cihazı değiştirdiklerinde nasıl yeniden

kayıt ettiriyorlar? Eski cihaza ne oluyor? Veriler bu cihazdan siliniyor mu?

6.3 Cihaza uygun güvenlik politikasının yüklendiği nasıl teyit ediliyor?

7. Amaç: Akıllı Cihazların E-postalara, Kişilere (Kişi Rehberleri) ve Adres Defterlerine Karşı Nasıl

Hazırlandıklarını Anlamak.


7.1 E-postalar kurumun sunucularıyla nasıl senkronize edilmektedir? E-postalar şifreli midir?

7.2 Virüs kontrolü nerede ve nasıl yapılmaktadır?




8. Amaç: Uygulamaların Akıllı Cihazlara Nasıl Kurulduklarını Anlamak


8.1 Kullanılan uygulamaları ve verilerin cihazda nasıl depolandığını ve şifrelendiğini gözden

geçirmek.

8.2 Uygulamaların devreye alınmasını gözden geçirmek.

8.3 Uygulamalar için kimlik doğrulama prosedürünü gözden geçirmek. Şifreler nasıl

doğrulanmaktadır? Çalışanın kurumsal verileri kullanması için belirlenmiş bir kimlik

doğrulama süreci var mıdır?

9. Amaç: Akıllı Cihazların Kurumun Ağına Nasıl Bağlı Olduklarını Anlamak


9.1 Ne tür bir uzaktan bağlantı kullanılmaktadır?

9.2 Kurumun ağına erişim izni verilmeden önce hangi kimlik doğrulama yöntemi

kullanılmaktadır?

9.3 Uzaktan bağlantı için hangi şifreleme protokolleri uygulanmaktadır?

10. Amaç: Akıllı Cihazlar Hakkındaki Düzenleyici ve Mevzuata Uyumla İlgili Gereklilikleri

Anlamak


10.1 Düzenleyici ve mevzuata uyumla ilgili gereklilikleri (HIPAA, Sarbanes-Oxley, PCI, PII,

Kişisel Verilerin Korunması Kanunu ve vb.) desteklemek için hangi raporlar ve kontroller

uygulanmaktadır?

11. Amaç: Akıllı Cihazlar Hakkında Hazırlanan Raporları Anlamak


11.1 Yönetim hangi raporları gözden geçirir?

11.2 Hangi anahtar istatistikler izlenmekte ve gözden geçirilmektedir?




Yazarlar/Katkıda Bulunanlar

Brad Ames, CRMA, CISA

Frederick Brown, CISA, CRISC

John Bogert, CISA

Michelle Creer, CISA

Jacques Lourens, CIA, CISA, CGEIT, CRISC

Raj Patel, CISA, CISM, CRISC

Sajay Rai, CISM, CISSP

Steve Stein, CIA, CISA




IIA Hakkında

İç Denetçiler Enstitüsü (IIA) iç denetim mesleğinin en yaygın kabul görmüş savunucusu, eğitmeni

ve standart, rehber ve sertifika sağlayıcısıdır. 1941 yılında kurulan IIA bugün 170’i aşkın ülkede ve

bölgede 185.000’den fazla üyeye hizmet vermektedir. Birliğin küresel ölçekli genel merkezi

Altamonte Springs, Fla’dadır. Daha fazla bilgi için, lütfen www.globaliia.org veya www.theiia.org

web sitesini ziyaret ediniz.

Ek Rehber Hakkında

Ek Rehber IIA’nın Uluslararası Mesleki Uygulama Çerçevesi’nin (UMUÇ) bir parçasıdır ve iç

denetim faaliyetlerini yerine getirmeye yönelik tavsiye niteliğinde ek rehberlik (zorunlu olmayan)

sağlar. Ek Rehber, Standartlar’ı destekler, ancak bu Standartlara uyumun sağlanmasıyla doğrudan

bağlantı kurulması amaçlanmamaktadır. Daha ziyade, güncel alanları ve sektöre özgü konuları ele

almayı amaçlar ve ayrıntılı süreçleri ve prosedürleri içerir. Bu rehber resmi gözden geçirme ve onay

süreçlerinden geçirilerek IIA tarafından onaylamış bulunmaktadır.

Uygulama Rehberleri

Uygulama Rehberleri iç denetim faaliyetlerini gerçekleştirmek için ayrıntılı rehberlik

sağlayan Ek Rehber türlerinden biridir. Uygulama Rehberlerinde hem araçlar ve teknikler,

programlar ve adım-adım yaklaşımlar gibi detaylı süreçler ve prosedürler, hem de süreç

çıktılarının örnekleri bulunur. UMUÇ Rehberinin bir parçası olduklarından dolayı,

Uygulama Rehberlerine uyulması tavsiye edilmektedir (zorunlu değildir). Bu rehberler

resmi gözden geçirme ve onay süreçlerinden geçirilerek IIA tarafından onaylamış

bulunmaktadır.

Global Teknoloji Denetim Rehberleri (GTAG) bilgi teknolojisi yönetimi, kontrolü veya

güvenliği hakkındaki güncel bir sorunu ele almak amacıyla basit ticari dilde yazılan

Uygulama Rehberleridir.

IIA tarafından sağlanan diğer âmir rehberlik materyalleri için, lütfen

www.globaliia.org/standards-guidance veya www.theiia.org/guidance bağlantısından web

sitemizi ziyaret ediniz.

Sorumluluğun Reddi Beyanı

IIA, bu dokümanı sadece bilgilendirme ve eğitim amacıyla yayımlamaktadır. Bu rehber, belirli

somut münferit durumlara ve sorunlara kesin cevaplar vermek gibi bir amaç taşımamaktadır ve bu

nedenle de sadece bir kılavuz olarak kullanılması amaçlanmaktadır. IIA, herhangi bir somut

durumla doğrudan ilgili bağımsız uzman tavsiyesine başvurmanızı daima tavsiye eder. IIA, sadece

bu rehbere dayanarak karar alan kimseler nedeniyle herhangi bir sorumluluk kabul etmez.





http://www.globaliia.org/standards-guidance

http://www.theiia.org/guidance


Telif Hakkı

Telif Hakkı® 2016 İç Denetçiler Enstitüsü.

Çoğaltma izni için lütfen [email protected]. adresinden iletişime geçiniz.

Copyright 2009-2012 by The Institute of Internal Auditors ‘ dan , 1035 Greenwood Blvd #401, Lake

Mary, FL 32746, USA. All Rights reserved.

Telif hakkı sahibi olan The Institute of Internal Auditors ‘ dan , 1035 Greenwood Blvd #401, Lake

Mary, FL 32746, USA, bütün önemli açılardan orjinali ile aynı olan çevirinin – değiştirilmesi

onaylanmış durumlar hariç - yayınlanması konusunda izin alınmıştır. Bu dokümanın hiçbir parçası,

IIA Inc. ‘ dan yazılı izin alınmadan, tekrar çoğaltılamaz, herhangi bir sistemde saklanamaz veya

herhangi bir formatta paylaşılamaz, herhangi bir elektronik, mekanik, fotokopi, kayıt veya farklı bir

yöntemle çoğaltılamaz.

Ağustos 16



mailto:%[email protected].