THE IMPORTANCE OF CYBER SECURITY RISKS IN AUDIT OF INFORMATION SYSTEMS IN BUSINESSES

Yıl 2022, Cilt: 36 Sayı: 2, 707 - 722, 29.06.2022

Serkan Akın , Ahmet Tanç

https://doi.org/10.48070/erciyesakademi.1101315

Öz

Information systems; It has been an important factor in reducing costs, facilitating operations and saving time for businesses in the constantly developing and changing information age. Information systems, which provide convenience to businesses in many areas, are also seen to be an important risk factor. Many standards have been published for information security, which is of vital importance for some sectors such as banking, and it is clear that it is an important and important issue for all businesses. In this context, the aim of the study is to reveal the importance of cyber security risks in the control of information systems in enterprises. In this study, which was carried out using document analysis, one of the qualitative research methods, the concepts of information and information systems were explained first. Afterwards, cyber security risks in information systems auditing were explained and some suggestions were made regarding the need to avoid related risks for businesses and those performing business audits. According to the results obtained; In the researches, it is seen that "cyber security and data security" risks come first among the five most important risks faced by organizations. According to another result of the study, it has been revealed that in recent years, more than 60,000 incidents related to cyber crimes have taken place in Turkey, and measures and seizures worth millions of lira have been made. In March 2022, it is seen that 16 billion TL from a bank's mobile investment application was transferred to personal accounts due to the vulnerability in their information systems. For this reason, it has been revealed that other businesses such as banks that actively use information technologies should also give importance to cyber risks that they may encounter in daily life. At the same time, some suggestions were made to internal and external independent auditors and business managers against cyber risks that may be encountered in the future, by taking examples from real cases.

Anahtar Kelimeler

Information systems, Cyber security risks, Independent audit

İŞLETMELERDE BİLGİ SİSTEMLERİNİN DENETİMİNDE SİBER GÜVENLİK RİSKLERİNİN ÖNEMİ

Öz

Bilgi sistemleri; sürekli gelişen ve değişen bilgi çağında işletmeler için maliyet azaltıcı, işlemleri kolaylaştırıcı ve zamandan tasarruf sağlayan önemli bir etken olmuştur. İşletmelere birçok alanda kolaylık sağlayan bilgi sistemlerinin aynı zamanda önemli bir risk unsuru olduğu görülmektedir. Bankacılık gibi bazı sektörler için hayati öneme sahip olan bilgi güvenliği için birçok standart yayınlanmış olunup, aslında tüm işletmeler için önemli ve dikkat edilmesi gereken bir konu olduğu açıkça ortadadır. Bu bağlamda çalışmanın amacı işletmelerde bilgi sistemlerinin denetiminde siber güvenlik risklerinin önemini ortaya koymaktır. Çalışma, nitel araştırma yöntemlerinden doküman analizi kullanılarak yapılmıştır. Elde edilen sonuçlara göre; yapılan araştırmalarda organizasyonların karşılaştığı en önemli beş riskin ilk sırasında “siber güvenlik ve veri güvenliği” risklerinin geldiği görülmektedir. Çalışmanın bir diğer sonucuna göre son yıllarda Türkiye’de toplamda bilişim suçlarına ilişkin 60.000 üzerinde olayın gerçekleştiği ve milyonlarca lira tutarında tedbir ve el koyma işlemlerinin yapıldığı ortaya konulmuştur. 2022 yılı mart ayında ise bir bankanın mobil yatırım uygulamasından 16 milyar TL’nin, bilgi sistemlerindeki açık sebebiyle kişisel hesaplara geçirildiği görülmektedir. Bu sebeple bilgi teknolojilerini aktif şekilde kullanan banka gibi diğer işletmelerin de güncel hayatta karşılaşabilecekleri siber risklere önem vermelerinin gereği ortaya konulmuştur. Aynı zamanda örnekler yaşanmış vakalardan alınarak bundan sonra karşılaşılabilecek siber risklere karşı iç ve dış bağımsız denetçilere, işletme yöneticilerine birtakım önerilerde bulunulmuştur.

Anahtar Kelimeler

Bilgi sistemleri, Siber güvenlik riskleri, Bağımsız denetim

Kaynakça

• Ağdeniz, Ş. (2021). Bilgi ve iletişim güvenliği denetiminde kamu iç denetçilerinin rolü ve yetkinliklerine ilişkin bir araştırma. Alanya Akademik Bakış, 5(2), 525-545.
• Akçakanat, Ö., Özdemir, O., & Mazak, M. (2021) İşletmelerde siber güvenlik riskleri ve bilgi teknolojileri denetimi: bankaların siber güvenlik uygulamalarının incelenmesi. Mehmet Akif Ersoy Üniversitesi Uygulamalı Bilimler Dergisi, 5(2), 246-270.
• Aktaş, F. Ö., & Soğukpınar, İ. (2010). Bilgi güvenliğinde uygun risk analizi ve yönetimi yönteminin seçimi için bir yaklaşım. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, 3(1), 39-46.
• Atakan, M. (2021). Siber güvenlik ve covid 19 salgınının uzaktan denetim üzerinde etkileri. Denetişim, (22), 27-39.
• Bilgiç, E., Sadıkoğlu, E., & Turhan, S. (2013). TS EN ISO/IEC 17025 Standardı denetimlerinde teknik alanda tespit edilen genel bulgular. Mühendis ve Makina, 14-17.
• Cantürk, S. (2013). Bilgi teknolojileri yönetişimi için yeni bir adım: COBIT 5. KPMG Gündem Dergisi, 17, 36-37.
• Choo, K.-K. R. (2011). The cyber threat landscape: challenges and future research directions. Computers & security, 30(8), 719-731.
• Coles, R. S., & Moulton, R. (2003). Operationalizing IT risk management. Computers & security, 22(6), 487-493.
• Çubukçu, F. (2018). Bilgi Güvenliği Yönetim Sistemi ISO27001: 2013 Uygulama Kılavuzu. Pusula.
• Çüçen, A. K. (2003). Bilgi kuramına giriş. Bilimname, 2003(2).
• Dayioğlu, E. (2010). Kamu idarelerinde bilgi sistemi güvenlik risklerinin yönetimi. Denetişim, (4), 71-81.
• Ersoy, E. V. (2012). ISO/IEC 27001 bilgi güvenliği standardı: Tanımlar ve örnek uygulamalar. ODTÜ Yayıncılık.
• Ertaş, F. C., & Güven, P. (2008). Bilgi teknolojilerinin denetim sürecine etkileri. Muhasebe ve Finansman Dergisi, (37), 50-59.
• Ertuğrul, I. (2020). Ofansif ve defansif siber güvenlik. Dikeyeksen.
• Gansler, J. S., & Lucyshyn, W. (2005). Improving the security of financial management systems: What are we to do? Journal of Accounting and Public Policy, 24(1), 1-9.
• Gordon, L. A., Loeb, M. P., & Lucyshyn, W. (2003). Sharing information on computer systems security: An economic analysis. Journal of Accounting and Public Policy, 22(6), 461-485.
• Gökçen, H. (2007). Yönetim bilgi sistemleri. Palme Yayıncılık.
• Hinnsen, P. (2009). Business/IT fusion. MachMedia.
• Hinrichs, R. J. (1997). Intranets: What's the bottom line?. Prentice Hall.
• Hoşcan, Y., Ortal, Ö., Hepkul, A., Kağnıcıoğlu, H., & Sevim, A. (2005). Yönetim bilgi sistemi. Anadolu Üniversitesi Yayınları.
• İnci, A. (2016). Bilgi sistemleri risk yönetimi ve denetimi standartlarının bankacılık sistemi üzerinde modellenmesi ve uygulanması. Okan Üniversitesi.
• Kaban, I., & Arslan, M. C. (2016). Bilgi teknolojileri destekli denetim uygulamaları kapsamında zimmet hilelerinin ortaya çıkarılması; bankacılık sektöründe bir uygulama. Ege Akademik Bakis, 16(3), 415.
• Kara, M. (2018). Kurumsal bilgi güvenliği. Papatyabilim Yayıncılık.
• Kaval, H. (2005). Muhasebe denetimi: Uluslararası finansal raporlama standartları uygulama örnekleriyle. Gazi Kitabevi.
• Kaya, İ. (2012). Bilgi işlem sistemlerinde muhasebe denetimi. İstanbul Üniversitesi Siyasal Bilgiler Fakültesi Dergisi (3-4-5).
• Kayrak, M. (2012). Bilgi kriterleri çerçevesinde bilişim teknolojileri denetimi. Sayıştay Dergisi, (87), 143-167.
• Kestane, Ü. A. (2021). Siber güvenliğin etkinleştirilmesinde sürekli süreç denetimi modeli. World of Accounting Science, 23(4).
• Kim, D., & Solomon, M. G. (2019). Bilgi sistemleri güvenliğinin temelleri (Çev. U. Can). Nobel Yayın.
• Kurt, G., & Uçma Uysal, T. (2015). Siber riskler ve COSO iç kontrol bütünleşik çerçevesi. Muhasebe ve Denetime Bakış, (46), 1-10.
• Laudon, K. C., & Laudon, J. P. (2011). Yönetim bilişim sistemleri (Çev. Ed. Prof. Dr. Uğur Yozgat). Nobel Akademik Yayıncılık.
• Önce, S., & İşgüden Kılıç, B. (2012). İç denetim faaliyetinin gelişen ve değişen bilgi teknolojileri ortamı açısından değerlendirilmesi: İMKB 100 örneği. Yönetim ve Ekonomi Araştırmaları Dergisi, (17), 38-70.
• Öztürk, M. S. (2018). Siber saldırılar, siber güvenlik denetimleri ve bütüncül bir denetim modeli önerisi. Journal of Accounting and Taxation Studies, 208-232.
• Paul, P. (1996). Marketing on the internet. Journal of Consumer Marketing.
• Pears, D. (2003). Bilgi nedir? (Çev. A. Güçlü). Bilim ve Sanat.
• Popescu, C. R. G., & Popescu, G. N. (2018). Risks of cyber attacks on financial audit activity. The Audit Financiar journal, 16(149), 140-147.
• Selimoğlu, S., & Altunel, M. (2019). Siber güvenlik risklerinden korunmada köprü ve katalizör olarak iç denetim. Denetişim(19), 5-16.
• Serçemeli, M., & Kurnaz, E. (2016). Denetimde bilgi teknoloji ürünleri kullanımının teknoloji kabul modeli (TKM) ile araştırılması. İstanbul Üniversitesi İşletme Fakültesi Dergisi, 45(1), 43-52.
• Takçı, H., Akyüz, T., Alper, U., Karabağ, R., Aktaş, F. Ö., & Soğukpinar, İ. (2010). Bilgi güvenliği yönetiminde risk değerlendirmesi için bir model. Türkiye Bilişim Vakfı Bilgisayar Bilimleri ve Mühendisliği Dergisi, 3(1), 47-52.
• Tunca M. Z., & Hasköse, A. (2002). Global elektronik ticaret. Erciyes Üniversitesi İktisadi ve İdari Bilimler Fakültesi Dergisi, (18), 145-157.
• Tuncer, Ö. T., Yüksel, O., Ergüden, E., & Sayar, Z. Bilgi sistemleri denetimi, vergi denetimlerinde uygulanabilecek bilgi sistemleri denetimleri ve uygulamalari-bilgi sistem denetimlerinin meslek mensuplarinin algisi üzerine bir araştirmA. Muhasebe ve Vergi Uygulamaları Dergisi, 7(2), 37-62.
• Tülay, Y., & Atasoy, A. (2021). Dijitalleşmenin Bağımsız Denetime Yansımalarının Siber Güvenlik Yönünden Değerlendirilmesi. Muhasebe ve Finansman Dergisi, 439-458.
• Türedi, H., Gürbüz, F., & Alıcı, Ü. (2014). COSO modeli: iç kontrol yapisi-coso model: internal control structure. Öneri Dergisi, 11(42), 141-155.
• Weill, P., & Ross, J. W. (2009). IT savvy: What top executives must know to go from pain to gain. Harvard Business Press.
• Yılancı, M. (2006). İç Denetim Türkiye’nin 500 Büyük Sanayi İşletmesi Üzerine Bir Araştırma, Ankara: Nobel Yayınları, 2. Baskı, Eylül, 2006, 65.
• Yildirim, E. Y. (2018). Bilişim Sistemlerine Yönelik Siber Saldırılar ve Siber Güvenliğin Sağlanması. Mesleki Bilimler Dergisi (MBD), 7(2), 24-33.
• Yılmaz, M. (2009). Enformasyon ve bilgi kavramları bağlamında enformasyon yönetimi ve bilgi yönetimi. Ankara Üniversitesi Dil ve Tarih-Coğrafya Fakültesi Dergisi, 49(1), 95-118.