İÇ DENETİM VE BİLGİ GÜVENLİĞİ İLİŞKİSİ: BÖLGESEL BİR ARAŞTIRMA

Öz

Şirketlerin sahip olduğu ticari varlıkların en önemlilerinden birisi de “bilgi”dir. Bilgi, sözlü, basılı veya elektronik ortamlarda bulunabilir. Günümüzdeki hızlı teknolojik gelişmeler nedeniyle sahip olunan bilginin korunması iş dünyasının stratejik önceliklerinden birisi haline gelmiştir. Şirketler bunun için günümüzde önlemler alıp ve önemli yatırımlar yapmaya başlamışlar ve yatırım yapmaya da devam edeceklerdir.

Bir şirketin kendi ürünlerine, iş süreçlerine, pazarlama stratejilerine, müşterilerine yönelik her türlü bilgi, onun rakipleriyle arasındaki farkı oluşturur. Şirketler sahip oldukları bilgiyi koruyabildikleri ve kullanabildikleri ölçüde rakiplerine göre daha başarılı sonuçlar elde edebilirler. Günümüzde şirket bilgilerinin elektronik ortamlarda tutulması
zorunluluğu, bu bilgileri korumayı daha zor hale getirmiştir. Şirketler bilgi kayıpları nedeniyle para, zaman, müşteri ve pazar kayıpları, çeşitli cezai yaptırımlar ve itibar kayıpları ile karşılaşabilmektedirler. Bundan dolayı, bilgi güvenliği konusuna önem vermek durumunda kalmışlardır.

Bilgi güvenliği, kayıpların en aza indirilmesine ve ticari fırsatlardan faydalanmaya imkân sağlamaktadır. Bilginin güvenliğinin sağlanması işletme yönetiminin sorumluluğundadır. Bilgi güvenliği personeli, örgütün bilgi kaynaklarını korumak için çeşitli prosedürleri ve teknolojileri tasarlar, uygular ve yönetirler. İç denetim; bilgi güvenliğinin sağlanmasındaki riskleri değerlendirir, bu etkinliklerin iyileştirilebilmesi ve verimliliğinin artırılması için geri bildirimlerde ve önerilerde bulunur. Fakat yapılan araştırmalar bu iki fonksiyonun her zaman uyumlu bir ilişki içerisinde olmadığını gösterir. Bu çalışma, iç denetim ve bilgi güvenliği fonksiyonları arasındaki ilişkinin doğasını etkileyen faktörlerin ortaya çıkarılması amacıyla planlanmıştır. Bu sayede şirketler kendi lehlerine çıkarımda bulunabileceklerdir. Çalışmanın verileri, ege bölgesinde faaliyette bulunan kurumlardaki iç denetçiler ile bilgi güvenliği uzmanlarıyla yapılan yarı yapılandırılmış görüşmeler sonucunda elde edilmiştir.

Kaynakça

1. AICPA ve CICA, Trust Services Principles And Criteria. American Institute Of Certified Public Accountants And Canadian Institute Of Chartered Accountants, 2008.
2. Arce, I., The weakest link revisited, IEEE Security & Privacy Magazine, 1(2):72-74, 2003.
3. Barrett, N., Penetration testing and social engineering: Hacking the weakest link, Information Security Technical Report, 8(4):56-58, 2003.
4. Bodin, L. D., Gordon, L. A., ve Loeb, M. P., Evaluating Information Security Investments Using The Analytical Hierarchy Process, Communications Of The ACM 2005.
5. Bodin, L. D., Gordon, L. A., ve Loeb, M. P., Information Security And Risk Management, Communications Of The ACM 2008.
6. Bulgurcu, B., Çavuşoğlu, H., ve Benbasat, I., Information Security Policy Compliance: An Empirical Study Of Rationality-Based Beliefs And Information Security Awareness, MIS Quarterly 2010.
7. Campbell, K., Gordon, L. A., Loeb, M. P., ve Zhou, L., The Economic Cost Of Publicly Announced Information Security Breaches: Empirical Evidence From The Stock Market, Journal Of Computer Security 2003.
8. COSO, Enterprise Risk Management – Integrated Framework: Executive Summary, 2004.

9. Çavuşoğlu, H., Mishra, B., ve Raghunathan, S., A Model For Evaluating IT Security Investments, Communications Of The ACM 2004a.
10. Çavuşoğlu, H., Mishra, B., ve Raghunathan, S., The Effect Of Internet Security Breach Announcements On Market Value: Capital Market Reactions For Breached Firms And Internet Security Developers, International Journal Of Electronic Commerce 2004b.
11. D’Arcy, J., Hovav, A., ve Galletta, D., User Awareness Of Security Countermeasures And Its Impact On Information Systems Misuse: A Deterrence Approach, Information Systems Research 2009.
12. Dhillon, G., Tejay, G., ve Hong, W., Identifying Governance Dimensions To Evaluate Information Systems Security in Organizations, Proceedings Of The 40th Hawaii International Conference On Systems Sciences, 2007.
13. Dlamini, M.T., Eloff, J.H.P, Eloff, M.M, Information Security : The Moving Target, Computer & Security, 2009.
14. Dodge, C. R., Carver, C., Ferguson, J. A., Phishing for User Security Awareness, Computers & Security, 26(1): 73, 2007.
15. Doğantimur, F., ISO 27001 Standardı Çerçevesinde Kurumsaş Bilgi Güvenliği, TC Maliye Bakanlığı Strateji Geliştirme Başkanlığı Mesleki Yeterlilik Tezi, Ankara 2009.
16. Gordon, L. A., Loeb, M. P., ve Lucyshyn, W., Information Security Expenditures And Real Options: A Wait And See Approach, Computer Security Journal 2003;XIX: 1-7.
17. Gordon, L. A., Loeb, M. P., ve Sohail, T., Market Value Of Voluntary Disclosures Concerning Information Security, MIS Quarterly 2010.
18. Gordon, L. A., ve Loeb, M. P., The Economics Of Security Investment, ACM Transactions On Information And System Security 2002.
19. http://www.bilgiguvenligi.org.tr
20. http://www.bsi-turkey.com/BilgiGuvenligi/Genel-bakis/index.xalter
21. http://www.erzincan.edu.tr/userfiles/file/stratejidb/guvenlik.ppt
22. http://www.pwc.com.tr/tr_TR/tr/risk-surec-teknoloji-hizmetleri/ic-denetim-ve-kontrol-hizmetleri-yayinlari/ic-denetimin-gelisen-teknolojideki-yeni-rolu-web.pdf
23. http://www.sayistay.gov.tr/yayin/yayinicerik/75.k5biltekort.pdf
24. http://www.tdk.gov.tr
25. https://www.kpmg.com/TR/tr/hizmetlerimiz/Audit/irm/Documents/ITGC-yeni.PDF
26. https://www.theiia.org
27. Iheagwara, C., The Effect Of Intrusion Detection Management Methods On The Return On Investment, Computers & Security 2004.
28. ITGI COBIT 4.1, Control Objectives For Information And Related Technology, IT Governance Institute: Rolling Meadows, IL., 2007.
29. Ito, K., Kagaya, T., ve Kim, H., Information Security Governance To Enhance Corporate Value, NRI Secure Technologies 2010.
30. Johnston, A. C., ve Warkentin, M. Fear Appeals And Information Security Behaviors: An Empirical Study. MIS Quarterly 2010.
31. Kaya Bensghir T., Kurumsal Bilgi Güvenliği Yönetim Süreci, TODAİ Mart 2008.
32. Kocameşe M., İç Denetim ve Bilgi Güvenliği, ttp://denetimforumu.blogspot.com/2010/10/icdenetim-
33. ve-bilgi-guvenligi.html
34. Kumar, R. L., Park, S., ve Subramaniam, C., Understanding The Value Of Countermeasure Portfolios İn İnformation Security, Journal Of Management Information Systems 2008.
35. Kurnaz N. Ve Çetinoğlu T., İç Denetim- Güncel Yaklaşımlar, Umuttepe, 2010.
36. Mishra, S., And Dhillon, G., Information Systems Security Governance Research: A Behavioral Perspective in 1st Annual Symposium On Information Assurance, Academic Track Of 9th Annual NYS Cyber Securityconference, New York, USA , 18-26, 2006.
37. Phelps, D. And Milne, K., Leveraging IT Controls To Improve IT Operating Performance, The Institute Of Internal Auditors Research Foundation, 2008.
38. Posthumus, Shaun, A Framework for the Governance of Information Security, Computer & Security,vol 23, 2004.
39. Ransbotham, S., & Mitra, S., Choice ve Chance: A Conceptual Model Of Paths To Information Security Compromise, Information Systems Research 2009.
40. Ratliff, R.L., W.A. Wallace, G.E. Sumners, W.G. Mcfarland, ve J.K. Loebbecke, Internal Auditing: Principles And Techniques, 2nd Edition. Altamonte Springs: Institute Of Internal Auditors, 1996.
41. Siponen, M. ve Vance, A, Neutralization: New Insights into The Problem Of Employee Information Systems Security Policy Violations, MIS Quarterly 2010.
42. Spears, J. L., ve Barki, H., User Participation in Information Systems Security Risk Management, MIS Quarterly 2010.
43. Steinbart, P.,J., Raschke, R., L., Gal, G. Ve Dilla, W., N., The relationship between internal audit and information security: An exploratory investigation, International Journal of Accounting Information Systems, Volume 13, Issue 3, September 2012.
44. Uzun, Ali Kamil, Değer Yaratan Denetim, http://www.denetimnet.com
45. Uzun, Ali Kamil, İşletmelerde İç Denetim Faaliyetinin Başlatılmasında Başarı Faktörleri, http://www.denetimnet.com
46. Uzun, Ali Kamil, İşletmelerde İç Denetim Faaliyetinin Rolü ve Katma Değeri, http://www.denetimnet.com
47. Uzun, Ali Kamil, İşletmelerde İç Kontrol Sistemi, ttp://www.denetimnet.com
48. Uzun, Ali Kamil, Kriz Yönetiminde İç Denetim’in Rolü, ttp://www.icdenetim.net/makaleler/62-kriz-yonetiminde
49. Uzun, Ali Kamil, Kurumsal Yönetim ve İç Denetimin Rolü, Referans Gazetesi
50. Uzun, Ali Kamil, Organizasyonlarda İç Denetim Fonksiyonu ve Önemi, Active Bankacılık ve Finans Dergisi, Yıl:1, Sayı:6, Nisan-Mayıs 1999
51. Von Solms, Basie, Information Security Governance: COBIT or ISO 17799 or Both?, Computer & Security,vol 24, 2005.
52. Von Solms, Rossouw ve Von Solms, S.H. Bassie, Information Security Governance a Model Based on the Direct-control Cycle, Computer & Security, vol 25, 2006.
53. Von Solms, S.H. Basie, Corporate Governance and Information Security, Computers & Security, vol 20, 2001.
54. Von Solms, S.H.Basie, Information Security Governance – Compliance Management vs Operational Management, Computer & Security, vol 24, 2005.
55. Vural Y., Sağıroğlu Ş., Kurumsal Bilgi Güvenliği ve Standartları Üzerine Bir Inceleme, Gazi Üniv. MMF Dergisi, Cilt :23 No: 2, 2008.
56. Vural, Y., Kurumsal Bilgi Güvenliği ve Sızma Testleri, Yüksek Lisans Tezi, Gazi Üniversitesi Fen Bilimleri Enstitüsü, 2007.
57. Wallace, L., Lin, H., And Cefaratti, M. A., Information Security And Sarbanes-Oxley Compliance: An Exploratory Study, Journal Of Information Systems 2011.
58. Williams, Patricia A.H., In a ‘trusting’ Environment, Everyone is Responsible for Information Security, Information Security Technical Report, Vol 13, 2008.
59. Yıldız, Mithat, Siber Suçlar ve Kurum Güvenliği, Denizcilik Uzmanlık Tezi, Kasım 2014.
60. Yurtsever, G., Bilgi güvenliği İçin Ne Yapmalı? Turcomoney Dergisi, Ocak 2013.