Editörler Prof. Dr. Şeref Sağıroğlu Prof. Dr. Mustafa Alkan Sağıroğlu / Alkan grafik
Yüklə 3,91 Mb. Pdf görüntüsü
|
|
a) Denetim kapsamı
Kullanıcılar evden çalışırken ev ağlarını kullanıyor olabilirler, uy- gulamalar bulutta çalışabilir veya bir denetime olanak sağlamak için daha fazla erişim veya yetkiye ihtiyaç duyabilecek özel gizli sistemler (örn. İK bilgileri, yasal belgeler) olabilir [3]. Veriler bu sis- temler arasında akabilecek ve bu durum risk oluşturabileceğinden, bu kapsamdaki kısıtlamalar, denetim kapsamının net olması için tanınmalı ve ele alınmalıdır. Kullanıcıların, çevrelerinin denetimine izin veren ev işlerinde çalışan sözleşmeler imzalamaları gerekebilir ya da mobil cihazların kullanımı, cihaz hakkında bilgi ve cihazın ya- pılandırmaya tabi tutulduğu bir belge tarafından desteklenmelidir. Bilgiyi nasıl ele geçirdiğini göstermek için KVKK kapsamında bilgi işleme süreci - özellikle yüksek duyarlılığa sahip olan veya kişisel S İ B E R G Ü V E N L İ K D E N E T İ M İ 365 verilerin yer aldığı bilgiler - gerekli olmalıdır. Bu, sözleşmede veya denetim görev emrinde yer alan bir denetim hakkı maddesi, bir gü- venlik standardı sertifikası (örn. ISO/IEC 27001, SSAE 16 SOC2 ra- poru, Cloud Security Alliance (CSA) Kontrol Matrisi raporu ve söz- leşme yükümlülüğü yoluyla gerçekleştirilebilir. Bir ihlal meydana geldiğinde, itibar hasarının veriyi işleyen alt birime değil, müşteri veya vatandaş tarafından yetki verilmiş olan kuruluşun hedeflen- mesi büyük olasılıktır. Siber güvenlik denetimleri genellikle genel denetimlerden daha teknik ve karmaşık olduğundan, denetimin yönetişim, risk, yöne- tim veya güvence alanına bağlı olarak denetimi kolaylaştırmak için farklı yaklaşımlar kullanılabilir. b) Siber Güvenlik Hedefleri ve İlgili Denetim Amaçları Denetimler birçok şekil alabilir ve siber güvenliğe genel yönetişim veya teknik test ile ilgili farklı odaklara sahip olabilir. Politika, pro- sedürler, standartlar ve kılavuz ilkelerin uygun olması, yönetim tarafından onaylanması ve iş değişikliklerine cevap olarak sıklıkla güncellenen ve gözden geçirilmesi sağlanması gerekir. Günümüzde dikkatin tespit ve müdahaleye daha çok kaymasıyla organizasyon, bir ihlal durumunda ne kadar iyi hazırlandığını belirlemek için de- netleme yapmak isteyebilir. İşletmenin tüm alanlarını denetlemek imkansız olduğundan, denetlemek için yüksek değerli alanlara ve riskin fazla olduğu süreçlere bakmak şarttır. Örneğin; - Bir çağrı merkezi ve gerekli sistemler arasındaki telekomünikas- yon bağlantısı başarısız olursa ne olur? - E-ticaret odaklı bir web sitesine yönelik bir hizmet reddi (DDoS) saldırısını önleyecek uygun kontroller var mı? - Kuruluşun, veri sızdırma ve ihlallerini zaman içinde fark edil- mesini veya bu verileri hedeflenen bir saldırıdan korumak için veri ortamlarının ayrılmasını sağlamak için uygun izleme kont- rolleri mevcut mu? Buna benzer sorular denetim hedef ve kapsamının belirlenmesinde sorulması gereken sorulardır. |