Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
b) Denetim Kapsamı
BT denetimlerinin kapsamı çok daha geniş tutulabilirken siber gü- venlik denetimlerinde daha kısıtlı bir kapsam söz konusu olmakta- dır. Siber güvenlik denetim / teftiş / güvence programı, aşağıdaki beş kritik siber güvenlik faaliyeti üzerine kurulmuştur: Şekil 12.1. Siber Güvenlik Yaşam Döngüsü S İ B E R G Ü V E N L İ K D E N E T İ M İ 353 Denetimi gerçekleştiren denetçi, gözden geçirilecek kurumsal sis- temlerin ve varlıkların kapsamını belirleyecektir. Denetim / güven- ce programı, farklı güvenlik gerekliliklerine sahip çeşitli iş süreçle- rini, uygulamaları veya sistemleri desteklemek üzere uyarlanabilir. c) İş Etkisi ve Risk Değerlendirmesi Siber olay, finansal, operasyonel, yasal ve itibar etkisine sahip ola- bilir. Bir kuruluşun kritik altyapıdaki rolü, bir internet sitesinin po- tansiyel etkisini de artırabilir. Bir siber ihlalin sonuçları bakımından dikkate alınabilecek olumsuz örnekleri şunları içerebilir: • İtibar kaybıyla sonuçlanan olumsuz tanıtım, hisse kaybı, değer düşüklüğü, itibarsızlık • Fikri mülkiyet veya ticari sırların kaybedilmesi • Uygunsuzluk, gizli veya tüketici kişisel bilgilerinin kaybından veya suiistimalinden kaynaklanan para cezaları, davalar ve yasal ücretler • Adli soruşturma masrafları • Kurum veya şirket imajını iyileştirmek için halkla ilişkiler kam- panyası maliyetleri • Siber güvenlik kontrollerini azaltmak ve iyileştirmek için tekno- loji geliştirme maliyetleri • Zaman ve verimlilik kaybı Dolayısıyla bir siber güvenlik denetiminde siber ihlallerin iş süreç- lerine etkileri kapsamında risk değerlendirmesi yapılması büyük önem arz etmektedir. d) Gerekli Asgari Denetim Becerileri BT denetim ve güvence uzmanı, güvenlik ve kontrol anlayışına sa- hip olmalıdır. Özellikle siber güvenlik denetimi yapacak olanların CISA; CRISK, CISM, CSX, CEH veya CISSP gibi temel sertifikas- yonlara sahip olmalarında büyük yarar vardır. Bu çok dinamik bir alan olduğu için, bu denetimi gerçekleştiren profesyoneller, siber tehditler ve saldırıları tanımlamak, korumak, tespit etmek ve bunla- ra cevap vermek için siber güvenlikte kullanılan temel teknolojileri anlamak için gerekli araştırmaları yaptıklarından emin olmalıdır. D R . A H M E T E F E 354 Bölüm 1 ve Bölüm 2’yi gözden geçirmenizi öneririz. Ancak, denet- çinin iş stratejisi ile uyumu değerlendirmek için yeterli işlevsel ve iş bilgisine sahip da olması önemlidir. Yüklə 3,91 Mb. Dostları ilə paylaş:
|