BİLGİ VE İLETİŞİM GÜVENLİĞİ REHBERİNİN UYGULANMASI VE DENETİMLERİNE YÖNELİK İYİLEŞTİRME ÖNERİLERİ

Year 2023, Volume: 1 Issue: 1 (Eylül 2023), 1 - 41, 02.10.2023

Halil İbrahim Özbilger , Birsen Sarıyar , Ahmet Ertürk

Abstract

Teknolojik gelişmelerin etkisiyle giderek artan dijitalleşme, hayatı hızla değiştirmektedir. Bu dönüşüm fırsatlarıyla beraber riskleri de beraberinde getirmektedir. Bunun doğal sonucu olarak günümüzde, siber tehditlerin kurumların riskleri arasında en üst sıralarda yerini aldığı gözlemlenmektedir. Örneğin; veri sızıntısı, dağıtılmış hizmet reddi (DDoS), kimlik avı, yapılandırılmış sorgu dili (SQL) enjeksiyon, zararlı yazılım ve oltalama (Phishing), casus, reklam ve fidye yazılımları ile truva atları (Trojan), solucanlar (Worm), tuş kaydediciler, botlar olarak nitelendirilen kötü amaçlı zararlı yazılımlar (Malware) kurumların karşılaşabildiği bu tür siber tehditlerden bazılarıdır. Bu nedenle, tüm kurum ve kuruluşlarda olduğu gibi kamu idarelerinde de yürütülen iş ve işleyişin planlanması ile yeniden tasarımında gerek mevcut ve(ya) doğabilecek siber güvenlik risklerine karşı önlem alınması ve gerekse de bu risklerin gerçekleşmesi durumunda doğacak etkinin azaltılması amacıyla proaktif şekilde harekete geçmek içinde bulunulan dönemde anahtar aksiyon haline gelmiştir. Bu çalışmada, öncelikle konu hakkında teorik çerçeve çizilmiş olup sonrasında 2022 yılında gerçekleştirilen Rehber denetiminde sahada karşılaşılan zorluklar ve uygulama sonuçlarının değerlendirilmesinden yola çıkarak T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi (DDO) tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi (BİGR)’ni uygulayacak idarelerde birincil denetim sorumlusu konumundaki iç denetçilerin BİGR’yi ve Bilgi ve İletişim Güvenliği Denetim Rehberi (BİGDR)’ni esas alarak gerçekleştirecekleri denetim faaliyetlerinde ihtiyaç duyulan iyileştirme önerileri sunulmuştur. Çalışma sonucunda ulaşılan ve sekiz başlıkta sayılan iyileştirilmesi gereken alanlarla ilgili getirilen çözüm önerilerinin yapılacak denetimlerin etkililiğini ve etkinliğini artıracağı değerlendirilmektedir.

Keywords

Bilgi Güvenliği, Siber Güvenlik, Dijital Dönüşüm, İç Denetim, Bilgi ve İletişim Güvenliği Denetimi.

Thanks

Merhabalar; malumunuz Dijital Dönüşüm Ofisi (DDO) tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi uygulamalarına ilişkin ilk denetimler 2022 yılı sonu itibarıyla tamamlanmıştır. Bu kapsamda; ekli makalemizde, konu hakkında öncelikli teorik çerçeve çizilmiş olup sonrasında 2022 yılında gerçekleştirilen Rehber denetiminde sahada karşılaşılan zorluklar ve uygulama sonuçlarının değerlendirilmesinden yola çıkarak Rehberi uygulayacak idarelerde birincil denetim sorumlusu konumundaki iç denetçilerin gerçekleştirdikleri denetim faaliyetlerinde ihtiyaç duyulan iyileştirme önerileri sunulmaktadır. Bahse konu Rehberin halen yürütülmekte olan güncelleme çalışmalarına ve gerçekleştirilecek denetimlere maksimum katkı sağlanabilmesi açısından makalemizin bilgi güvenliğindeki yadsınamaz rolü bulunan BTK'nın ilk dergi sayınızda yayımlanması arzusuyla ekte bilgilerinize sunulmuştur. Teşekkür ederiz...

THE INCREASING IMPORTANCE OF INFORMATION SECURITY IN DIGITAL TRANSFORMATION AND THE ROLE OF INTERNAL AUDITORS IN ENSURING

Abstract

Increasing digitalization with the effect of technological developments is rapidly changing life. This transformation brings risks along with opportunities. As a natural consequence of this, it is observed that cyber threats take their place among the top risks of institutions today. For example; data leakage, distributed denial of service (DDoS), phishing, structured query language (SQL) injection, malware and phishing (Phishing), spyware, adware and ransomware, as well as trojans (Trojans), worms (Worm), keyloggers, Malicious malware (Malware), which is described as boots, are some of these types of cyber threats that institutions may encounter. For this reason, as in all institutions and organizations, in the planning and redesign of the work and operation carried out in public administrations, it is necessary to take proactive action in order to take precautions against the existing or cyber security risks that may arise, and to reduce the impact that will arise in the event of the realization of these risks. became the key action in the period. In this study, firstly the theoretical framework was drawn on the subject, and then the based on the evaluation of the difficulties encountered in the field and the results of the implementation during the Guideline inspection carried out in 2022, The improvement needed in the audit activities to be carried out by the internal auditors, who are the primary auditors in the administrations that will implement the Information and Communication Security Guide (ICSG) published by the the Republic of Turkey Presidency Digital Transformation Office (DTO), based on the ICSG and the Information and Communication Security Audit Guide (ICSAG). recommendations are presented. In the study, it is evaluated that the solution proposals regarding the areas that need improvement listed in the eight titles will increase the effectiveness and efficiency of the audits to be made.

Keywords

Information Security, Cyber Security, Digital Transformation Internal Audit, Information and Communication Security Audit.

References

• Ağdeniz, Ş. (2021). Bilgi ve İletişim Güvenliği Denetiminde Kamu İç Denetçilerinin Rolü ve Yetkinliklerine İlişkin Bir Araştırma. Alanya Akademik Bakış, 5(2), 525-545. DOI: 10.29023/alanyaakademik.869215.
• Ak, T. (2019). İç Güvenlik Yönetimi Açısından Kritik Altyapılarını Korunması. Assam Uluslararası Hakemli Dergi 13. Uluslararası Kamu Yönetimi Sempozyumu Bildirileri Özel Sayısı, 42-51.
• Aloul, F.A. (2012). The Need for Effective Information Security Awareness. Journal of Advances in Information Technology, 3(3), 176-183. DOI:10.4304/jait.3.3
• Appelbaum, D., ve Nehmer, R.A. (2017). Using Drones in Internal and External Audits: An Exploratory Framework. Journal of Emerging Technologies in Accounting, 14, 99-113.
• Arslan, Y ve Özbilger H.İ. (2022). Ulusal Mevzuat Perspektifinde Bilgi İşlem Birimlerinin İç Denetiminde Bir Model Önerisi, Denetişim. 13(26), 1-12.
• Bahar, M. ve Somuncu Demir, N. (2021). Delphi tekniği uygulama sürecine yönelik örnek bir çalışma: Çok fonksiyonlu tarım okuryazarlığı. Bolu Abant İzzet Baysal Üniversitesi Eğitim Fakültesi Dergisi, 21(1), 35-53. https://dx.doi.org/10.17240/aibuefd.2021.21.60703-814729
• Barrigon, C.F. (2020). Innovation and Digital Auditing The Journey of The European Commission’s IAS Towards State-Of-The-Art Technologies. ECA Journal, 97-100.
• Bartz, D. ve Alper A. (2023). U.S. Bans New Huawei, ZTE Equipment Sales, Citing National Security Risk, REUTERS, https://www.reuters.com/business/media-telecom/us-fcc-bans-equipment-sales-imports-zte-huawei-over-national-security-risk-2022-11-25. 14.03.2023 tarihinde erişildi.
• BBC (2018). Facebook Scandal 'Hit 87 Million Users', https://www.bbc.com/news/technology-43649018. 05.07.2023 tarihinde erişildi.
• Bıçakçı, S. (2013). 21. Yüzyılda Siber Güvenlik. Bilgi Üniversitesi Yayınları.
• Bilge, S. ve Kiracı, M. (2010). Kamu Sektöründe İç Denetim ve İç Denetimin Başarıyla Uygulanmasında Rol Oynayan Faktörler (Kamu İç Denetçileri Üzerine Bir Araştırma). Gazi Kitabevi.
• Chu, B. ve Holt, T.J. (2012). Examining the Creation, Distribution, and Function of Malware On-Line. Bibliogov Publisher.
• DDO. (2020). Bilgi ve İletişim Güvenliği Rehberi. Ankara: T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi.
• DDO. (2021). Bilgi ve İletişim Güvenliği Denetim Rehberi. Ankara: T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi.
• DDO. (2023). Dijital Devlet Stratejisi. https://cbddo.gov.tr/dijital-devlet-stratejisi. 15.01.2023 tarihinde erişildi.
• Darıcılı, B. A. (2014). Rusya Federasyonu Kaynaklı Olduğu İddia Edilen Siber Saldırılar, Uludağ Üniversitesi Sosyal Bilimler Dergisi, 7(2), 1-16.
• DPT (2000). Uzun Vadeli Strateji ve Sekizinci Beş Yıllık (2001-2005) Kalkınma Planı. Ankara: T.C. Başbakanlık Devlet Planlama Teşkilatı.
• Gupta, M. (2020). Asian Journal of Government Audit. (Ed.) Singh K. ASOSAI.
• ISACA. (2021). Blockchain Framework Audit Program. https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2021/volume-25/new-resource-evaluates-blockchain-controls. 03.02.2023 tarihinde erişildi.
• ITU. (2021). Global Cybersecurity Index 2020. https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2021-PDF-E.pdf, 15.03.2023 tarihinde erişildi.
• İDKK. (2022a). 2021 Yılı Kamu İç Denetim Genel Raporu, chromeextension://efaidnbmnnnibpcajpcglclefindmkaj/https://ms.hmb.gov.tr/uploads/2022/08/2021-Kamu-Ic-Denetim-Genel-Raporu-Son-Hali.pdf. 05.02.2023 tarihinde erişildi.
• İDKK. (2022b). Kamu İdarelerindeki İç Denetim Faaliyetlerine İlişkin Duyuru, https://www.hmb.gov.tr/duyuru/kamu-idarelerindeki-ic-denetim-faaliyetlerine-iliskin-duyuru. 11.02.2023 tarihinde erişildi.
• Karagöz, U. (2022). Bilgi ve İletişim Güvenliği/Denetimi Rehberleri ve İç Denetim. İdarecinin Sesi Dergisi, 210.
• Kavitha, V. ve Preetha. S. (2019). Cyber Security Issues and Challenges - A Review. International Journal of Computer Science and Mobile Computing, 8(11), 1-16.
• Kızılboğa, R. (2013). İç Denetim Sisteminde Denetçilerin Bağımsızlık ve Tarafsızlığının Önemi. Siyasal Bilgiler Dergisi, 1(1), 107-121.
• Kusek J. Z. ve Rist R.C. (2004). Ten Steps to a Results-Based Monitoring and Evaluation System: A Handbook for Development Practitioners, World Bank Publications.
• Lambet, P. (2017). Equifax Data Breach, 143 Million Only Tip of the Iceberg. Int'l J. Data Protection Officer, Privacy Officer & Privacy Couns, 30, 33-34.
• Lois, P., Drogalas, G., Karagiorgos, A. ve Tsikalakis, K. (2020). Internal Audits in the Digital Era: Opportunities Risks and Challenges. EuroMed Journal of Business, 15(2), 205-217. http://doi.org/10.1108/emjb-07-2019-0097.
• Meral, S. ve Bülbül, H.İ. (2022). Kamu Kurumlarının Bilgi Güvenliği Politikalarının Kurumsal Bilgi Güvenliğinin Sağlanması Açısından Etkinliğinin Analiz Edilmesi, Gazi Üniversitesi Fen Bilimleri Dergisi Part C: Tasarım ve Teknoloji, 10(2), 314-329. DOI: 10.29109/gujsc.1001706.
• Morgan, S. (2019). Global Ransomware Damage Costs Predicted To Reach $20 Billion (USD) By 2021. https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021. 12.03.2023 tarihinde erişildi.
• Nelson N.N., ve Madnick, S (2020). Case Study of the Capital One Data Breach, Information Institute Conferences, Las Vegas, NV, Mar 30 Apr 01, 2020, https://www.researchgate.net/publication/340012934_A_Case_Study_of_the_Capital_One_Data_Breach. 12.03.2023 tarihinde erişildi.
• OECD (2003). Emerging Risks in the 21st Century. Paris: OECD Publications Service.
• Otia, J. E. ve Bracci, E. (2022). Digital Transformation and the Public Sector Auditing: The SAI’s Perspective. Financial Accountability & Management, 38, 252–280. https://doi.org/10.1111/faam.12317.
• Özçayan, G. ve Aslan, N. (2021). Standardızatıon of Trıtıum By Cıemat/Nıst Method Wıth Lıquıd Scıntıllatıon Countıng in Turkey and Uncertaınty Budget . Turkish Journal of Nuclear Sciences, 33(1), 26-36.
• Özen, A. ve Gürel, F.N. (2022). Kamu Denetiminde Dijital Dönüşüm: Dijital İkiz Yöntemi. İzmir Sosyal Bilimler Dergisi, 2(1), 16-23.
• Özkaya, E. (2018). The Art of Human Hacking: Learn Social Engineering with Internationally Renowned Expert. Packt Publishing.
• Özkaya, E. (2023). Güncel Küresel Siber Eğilimler ve Alınması Gereken Önlemler. 6. Siber Güvenlik Ekosisteminin Geliştirilmesi Zirvesi, Ankara: 14-15 Mart 2023.
• Page, G. (2102). North Korea’s Lazarus hackers are exploiting Log4j flaw to hack US energy companies. https://techcrunch.com/2022/09/08/north-korea-lazarus-united-states-energy. 13.03.2023 tarihinde erişildi.
• Ping, G. (2016). What should we do before 5G? https://www.huawei.com/us/huaweitech/publication/winwin/25/what-should-we-do-before-5g. 11.03.2023 tarihinde erişildi.
• Pizzi, S., Venturelli, A., Variale, M. ve Macario, G.P. (2021). Assessing the Impacts of Digital Transformation on Internal Auditing: A Bibliometric Analysis. Technology in Society, 67, 1-11.
• Potii, O. (2018). Cybersecurity Ecosystem. https://www.itu.int/en/ITU-D/Regional-Presence/CIS/Documents/Events/2018/05_Kiev/ITU%20Seminar%2015.05.18%20-%20Oleksandr%20Potii.pdf. 13.03.2023 tarihinde erişildi.
• Sağıroğlu, Ş. ve Şenol M. (Ed.) (2018). Siber Güvenlik ve Savunma: Farkındalık ve Caydırıcılık. BGD Siber Güvenlik ve Savunma Kitap Serisi 1, Grafiker Yayınları.
• Savita, M. ve Patil, M. (2017). A Brief Study of Wannacry Threat: Ransomware Attack 2017. International Journal of Advanced Research in Computer Science, 8(5), 1938-1940.
• Schwab, K., Marcus, A., Oyola, J.R., Hoffman, W. ve Luzi, M. (2011). Personal Data: The Emergence of a New Asset Class. An Initiative of the World Economic Forum. https://www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf. 11.03.2023 tarihinde erişildi.
• Selimoğlu, S. ve Saldı, M.H. (2022). İç Denetimin Blok Zincir Yoluyla Siber Güvenlik Yönetimine Adaptasyonu. Denetim ve Güvence Hizmetleri Dergisi, 2(2), 121-134.
• Shepardson, D. (2023). Exclusive: White House Sets Deadline For Purging Tiktok From Federal Devices, REUTERS, https://www.reuters.com/technology/white-house-gives-agencies-30-days-impose-federal-device-tiktok-ban-2023-02-27. 14.03.2023 tarihinde erişildi.
• Stewart, J., ve Subramaniam, N. (2010). Internal Audit İndependence and Objectivity: Emerging Research Opportunities. Managerial Auditing Journal, 25(4), 328-360.
• Taffel, S. (2021). Data and Oil: Metaphor, Materiality and Metabolic Rifts. New Media & Society, 0(0). 140-175. Taş, İ. , Uçacak, K. ve Çiçek, Y. (2017). Türk Kamu Yönetiminde Yaşanan Dijital Dönüşümün Bürokratik İşlemlerin Azaltılması Üzerindeki Etkileri. Süleyman Demirel Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi Kayfor 15 Özel Sayısı, 2303-2319.
• Tzu, S. (2019), The Art of War. (Çev.) Giles, L., Karbon Kitaplar.
• Tulgar M., Zaim A. ve Aydın M.A. (2022). Ulusal Bilgi ve İletişim Güvenliği Rehberi: IOT Güvenliği İçin Bir Uygulama Örneği. İstanbul Ticaret Üniversitesi Fen Bilimleri Dergisi, 21(42), 353-382.
• UDHB (2014). Kurumsal SOME Kurulum ve Yönetim Rehberi. https://hgm.uab.gov.tr/uploads/pages/siber-guvenlik/kurumsal-some-reh-v1.pdf. 29.02.2023 tarihinde erişildi.
• Verma, A. ve Charu, S. (2022). Cyber Security: A Review of Cyber Crimes, Security Challenges and Measures to Control. Vision: The Journal of Business Perspective, 09(0), 24-45.
• Yanık, S. ve Karataş, M. (2017). Denetim Raporlarının Geleceği: Yeni Düzenlemeler ve Ülke Uygulamaları. Muhasebe ve Finansman Dergisi, (73), 1-26. DOI: 10.25095/mufad.396739.