Cyber Security Risks and Information Technology Audit in Businesses: Examination of Banks' Cyber Security Applications

Öz

Digital data and operations are at the center of many businesses today. However, this dependence on computerized systems causes various cyber threats and risks. These risks can be internal risks caused by employees and contractors, or they can be the result of the activities of cybercriminals and even customers of the business. Increasing cybersecurity risks include not only the risk of a network data breach but also carries the risk of harming the entire business through activities based on open digital connectivity and accessibility. Therefore, learning how to deal with cybersecurity risks is critical for an organization. In the study, first of all, cybersecurity risks for businesses have been revealed. Then, information on managing these risks is given. In the study, data has been obtained from 2019 and 2020 annual and integrated annual reports of Turkey's top 10 banks by asset size. It is aimed to determine the content of banks' cybersecurity applications. According to the results, it has been observed that the banks have an organizational structure in accordance with the current local regulations and international standards. It has been also observed that banks carry audit activities within the framework of internal audit. In this scope of internal auditing activities, banks arrange comprehensive education programs for their employees and invest in infrastructure and cutting-edge technology to ensure data security.

Anahtar Kelimeler

• Cybersecurity
• Cybersecurity Risks
• Information Technology Audit
• Banks

İşletmelerde Siber Güvenlik Riskleri ve Bilgi Teknolojileri Denetimi: Bankaların Siber Güvenlik Uygulamalarının İncelenmesi

Öz

Günümüzde dijital veriler ve operasyonlar, pek çok işletmenin merkezinde yer almaktadır. Ancak bilgisayarlı sistemlere olan bu bağımlılık, çeşitli siber tehditleri de beraberinde getirmektedir. Bu riskler, çalışanlar ve yüklenicilerden kaynaklanan içsel riskler olabileceği gibi, siber suçluların ve hatta işletmenin müşterilerinin faaliyetleri sonucu da olabilir. Giderek artan bir şekilde ortaya çıkan, siber güvenlik riskleri yalnızca bir ağ veri ihlali riskini içermez aynı zamanda, açık dijital bağlantı ve erişilebilirliğe dayanan faaliyetler yoluyla tüm işletmenin zarar görmesi riskini de ortaya çıkarmaktadır. Bunun sonucu olarak siber güvenlik riskiyle nasıl başa çıkılacağını öğrenmek bir kuruluş için kritik öneme sahiptir. Bu kapsamda çalışmada öncelikle işletmeler için siber güvenlik riskleri ortaya koyularak, bu riskleri yönetmeye ilişkin bilgiler verilmiştir. Bu çalışmada aktif büyüklüğüne göre ilk on bankanın siber güvenlik ve bilgi teknolojileri faaliyetlerine ilişkin faaliyet ve entegre raporlarından elde edilen veriler incelenerek siber güvenlik uygulamalarının içeriğinin tespit edilmesi amaçlanmaktadır. Çalışmada kullanılan veriler bankaların 2019 ve 2020 faaliyet ve entegre raporlarından elde edilmiştir. Raporlardan elde edilen sonuçlara göre bankaların güncel mevzuat düzenlemelerine ve uluslararası standartlara uygun bir organizasyon yapılanmasına sahip oldukları, iç denetim çerçevesinde gerekli denetim faaliyetlerini gerçekleştirdikleri, bu çerçevede kapsamlı eğitim programları uyguladıkları, veri güvenliğini sağlamaya yönelik altyapı yatırımlarını yaptıkları ve teknolojiyi takip ettikleri tespit edilmiştir.

Anahtar Kelimeler

• Siber Güvenlik
• Siber Güvenlik Riskleri
• Bilgi Teknolojileri Denetimi
• Bankalar

Kaynakça

1. Akbank (2020). https://www.akbankinvestorrelations.com/tr/images/pdf/faaliyet-raporlari/2020_akbank_faaliyet_raporu_.pdf, Erişim Tarihi: 02.08.2021.
2. Aytekin, A. (2015). Türkiye’nin Siber Güvenlik Stratejisi ve Eylem Planının Değerlendirilmesi. Gazi Üniversitesi Bilişim Enstitüsü Yüksek Lisans Tezi, Ankara.
3. BDDK (2010). Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik, Resmi Gazete:13.01.2010, Sayı:27461.
4. BDDK (2020). Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Resmi Gazete:15.03.2020, Sayı:31069.
5. BDDK, (2021). https://www.bddk.org.tr/Mevzuat/Liste/50, Erişim Tarihi: 15.04.2021.
6. Bowcut, S. (2021). https://cybersecurityguide.org/industries/financial/, Erişim Tarihi: 02.08.2021.
7. Buch, R., Ganda, D., Kalola, P., Borad, N. (2017). World of Cyber Security and Cybercrime. STM Journals, 4(2), 18-23.
8. Cybercrimechambers (2021). https://www.cybercrimechambers.com/blog-bot-virus-dissemination--124.php, Erişim Tarihi: 02.08.2021.

9. Denizbank (2020). https://www.denizbank.com/hakkimizda/_pdf/faaliyet-raporlari/2020-yili-faaliyet-raporu.pdf, Erişim Tarihi: 02.08.2021.
10. Di Vimercati, S.D.C., Samarati, P. (2011). Polyinstantiation. van Tilborg H.C.A.(Ed.), Jajodia S. (Ed.). Encyclopedia of Cryptography and Security içinde. Boston, MA: Springer.
11. Eaton, T.V., Grenier, J.H., Layman, D. (2019). Accounting and Cybersecurity Risk Management. Current Issues in Auditing, 13(2), C1-C9.
12. Florakis, C., Louca, C., Michaely, R., & Weber, M. (2020). Cybersecurity Risk (No. w28196). National Bureau of Economic Research.
13. Fraudfighting (2021). https://fraudfighting.org/data-diddling/, Erişim Tarihi: 06.04.2021.
14. Garanti Bankası (2020). https://www.garantibbvainvestorrelations.com/tr/entegre-faaliyet-raporu/, Erişim Tarihi: 02.08.2021.
15. Georgiadou, A., Mouzakitis, S., Askounis, D. (2021). Working from home during COVID-19 crisis: a cyber security culture assessment survey. Security Journal.
16. Gordon, L. A., Loeb, M. P. (2002). The Economics of Information Security Investment. ACM Transactions on Information and System Security, 5(4), 438-457.
17. Güneş, F., Kızıldeniz, S., Selçuk, S., Suna, B., Coşkun, S. (2013). 131.pdf (ab.org.tr), Erişim Tarihi: 02.08.2021.
18. Halkbank (2019). https://www.halkbank.com.tr/content/dam/halkbank/tr/dokumanlar/bankamiz/surdurulebilirlik/2019SurdurulebilirlikRaporu.pdf, Erişim Tarihi: 02.08.2021.
19. Halkbank (2020). https://www.halkbank.com.tr/tr/yatirimci-iliskileri/finansal-bilgiler/finansal-bilgiler/faaliyet-raporlari.html, Erişim Tarihi: 02.08.2021.
20. Harvard (2021). https://rmas.fad.harvard.edu/faq/what-does-information-systems-audit-entail, Erişim Tarihi: 15.04.2021.
21. Herjavec (2020). https://www.herjavecgroup.com/the-2019-official-annual-cybercrime-report. Erişim Tarihi: 02.08.2021.
22. Hiscox (2020). https://www.hiscox.co.uk/sites/uk/files/documents/2020-06/Hiscox_Cyber_Readiness_Report_2020_UK.PDF, Erişim Tarihi: 02.08.2021.
23. IBM (2020). https://www.ibm.com/services/business-continuity/cyber-attack, Erişim Tarihi: 02.08.2021.
24. ISO/IEC 27000 (2018). https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en:term:3.10. Erişim Tarihi: 02.08.2021.
25. ISO/IEC 27032 (2012). https://www.iso.org/obp/ui/#iso:std:iso-iec:27032:ed-1:v1:en, Erişim Tarihi: 02.08.2021.
26. İş Bankası (2019). https://www.isbank.com.tr/contentmanagement/IsbankSurdurulebilirlik/pdf/2019EntegreRaporu.pdf, Erişim Tarihi: 02.08.2021.
27. İş Bankası (2020). https://www.isbank.com.tr/contentmanagement/IsbankFinancialDocuments/Y%C4%B1ll%C4%B1k%20ve%20Ara%20D%C3%B6nem%20Faaliyet%20Raporlar%C4%B1/pdf/faaliyet2020.pdf, Erişim Tarihi: 02.08.2021.
28. İTÜBİDB (2013). https://bidb.itu.edu.tr/seyir-defteri/blog/2013/09/07/vir%C3%BCs-solucan-ve-truva-at%C4%B1, Erişim Tarihi: 02.08.2021.
29. Janvrin, D. J., & Wang, T. (2019). Implications of Cybersecurity on Accounting Information. Journal of Information Systems, 33(3), A1-A2.
30. Johnson, A.L. (2016). Cybersecurity for Financial Institutions: The Integral Role of Information Sharing in Cyber Attack Mitigation. 20 N.C. Banking Inst. 277.
31. Kahyaoğlu, S.B., Çalıyurt, K. (2018). Cyber security assurance process from the internal audit perspective. Managerial Auditing Journal, 33(4), 360-376.
32. KPMG (2021). https://assets.kpmg/content/dam/kpmg/tr/pdf/2018/05/bt-denetim-standartlari-ve-uygulamalari.pdf, Erişim Tarihi: 15.04.2021.
33. KVKK (2016). Kişisel Verilerin Korunması Kanunu, Resmi Gazete:07.04.2016, Sayı: 29677
34. Lallie, H.S., Shepherd, L.A., Nurse, J.R.C., Erola, A., Epiphaniou, G., Maple, C., Bellekens, X. (2021). Cyber security in the age of COVID-19: A timeline and analysis of cyber-crime and cyber-attacks during pandemic. Computers & Security, 105.
35. Merriam – Webster (2021). https://www.merriam-webster.com/dictionary/cybersecurity, Erişim Tarihi: 02.08.2021.
36. Mezquita, T. (2020). https://cyberhoot.com/cybrary/polyinstantiation/, Erişim Tarihi: 02.08.2021.
37. NIST (2021). https://csrc.nist.gov/glossary/term/cybersecurity, Erişim Tarihi: 02.08.2021.
38. QNB Finansbank (2020). https://www.qnbfinansbank.com/medium/document-file-3042.vsf, Erişim Tarihi: 02.08.2021.
39. Romney, M.B., Steinbart, P.J. (2017). Accounting Information Systems. New York: Pearson.
40. Rosati, P., Gogolin, F., & Lynn, T. (2020). Cyber-security incidents and audit quality. European Accounting Review, 1-28.
41. SASB (2021b). https://www.sasb.org/standards/download/, Erişim Tarihi: 15.04.2021.
42. Tarter, A. (2017). Importance of Cyber Security. P. Saskia Bayeri (Ed.), Ruza Karlovic (Ed.), Babak Akhgar (Ed.), Garik Markarian (Ed.). Community Policing – A European Perspective içinde (213-230). Springer.
43. TEB (2020). https://www.teb.com.tr/UPLOAD/PDF/2021/TEB-Faaliyet-Raporu-2020_final.pdf, Erişim Tarihi: 02.08.2021.
44. Thuraisingham, B. (2005). Database and Applications Security Integrating Information Security and Data Management. Boca Raton, FL: Taylor & Francis.
45. Turner, L., Weickgenannt, A., Copeland, M.K. (2017). Accounting Information Systems Controls and Processes. Hoboken; John Wiley & Sons.
46. Uma, M., Padmavathi, G. (2013). A Survey on Various Cyber Attacks and Their Classification. International Journal of Network Security, 15(5), 390-396.
47. Vakıfbank (2020). https://www.vakifbank.com.tr/documents/yiliski/VKF_FRAT_2020_UYG__uyg_65_SPREADS_NY.pdf, Erişim Tarihi: 02.08.2021.
48. Von Solms, B., Von Solms, R. (2018). Cybersecurity and information security – what goes where?. Information and Computer Security, 26(1), 2-9.
49. Von Solms, R., Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97 -102.
50. Yapı ve Kredi Bankası (2020). https://assets.yapikredi.com.tr/ResponsiveSite/_assets/pdf/arsiv/surdurulebilirlik/EFR_YKB_TR_2020.pdf?v2, Erişim Tarihi: 02.08.2021.
51. Ziraat Bankası (2020). https://www.ziraatbank.com.tr/tr/yatirimci-iliskileri-ZB/finansal-bilgiler/Documents/2020_entegre_faaliyet_raporu.pdf, Erişim Tarihi: 02.08.2021.