SİBER GÜVENLİĞİN ETKİNLEŞTİRİLMESİNDE SÜREKLİ SÜREÇ DENETİMİ MODELİ

Öz

Modern çağın getirdiği teknolojik girişim işletmelerin faaliyetlerinin şeklini ve yönünü değiştirmiş ve dijital ekonomi ortaya çıkmıştır. E-ticaretin yoğun bir şekilde dünyanın geneline yayılması ile işletmelerin faaliyetlerini etkin ve verimli bir biçimde yerine getirerek varlıklarını koruma altına almaları noktasında Siber Güvelik kavramı ortaya çıkmış ve bu durumdan denetim faaliyetleri de kendisine düşen payı almıştır. Sermayenin uluslararası alanda hareket etmesi sonucunda işletme faaliyetlerinin farklı coğrafyalara taşınması, büyük veri yığınlarının oluşmasına yol açmış ve iç denetim faaliyetlerini güç hale getirmiştir. Bu bağlamda işletmelerin gerçekleştirmiş oldukları faaliyetlerine ilişkin alt işlem süreçlerinin sürekli olarak kontrol altına alınması ihtiyacı ortaya çıkmış ve Sürekli Süreç Denetimi kavramının doğmasına zemin hazırlamıştır. Değişen ve gelişen teknoloji ve yenilikler karşısında işletmelerin sürdürülebilirliklerini sağlamaları açısından; faaliyetlerine ilişkin en alt işlem süreçlerinden yola çıkılarak üretmiş oldukları veri ve bilgilerin korunması konusu siber güvenlik ve sürekli süreç denetimi konusunun kesişmesine neden olmuş ve söz konusu her iki uygulamanın yarattığı katma değer merak konusu olmuştur. Bu çalışmada siber güvenlik uygulamalarının etkinleştirilmesi üzerinde sürekli süreç denetiminin etkisinin belirlenmesi amaçlanmıştır. Uygulamada konunun yeni olmasından dolayı çalışma teorik bir perspektiften ele alınmış ve gelecekte yapılması gerekli görülen uygulamalara yönelik önerilerde bulunulmuştur.

Anahtar Kelimeler

• Siber Güvenlik
• İç Denetim
• Sürekli Süreç Denetimi

CONTINUOUS PROCESS AUDITING MODEL TO ENABLE CYBER SECURITY

Öz

The technological initiative brought by the modern era has changed the shape and direction of the activities of the businesses and the digital economy has emerged. As the e-commerce spread extensively throughout the world, the concept of Cyber Security has emerged in order to protect the assets of the businesses by performing their activities effectively and efficiently and the audit activities have taken its share from this situation. As a result of the international movement of capital, the relocation of business activities to different geographies has led to the formation of large masses of data and made internal audit activities difficult. In this context, the need for continuous control of sub-process processes related to the activities performed by businesses emerged and prepared the ground for the concept of Continuous Process Auditing. In order to ensure the sustainability of businesses in the face of changing and developing technologies and innovations; the protection of the data and information they have produced based on the lowest transaction processes of their activities has led to the intersection of cyber security and continuous process control and the added value created by these two applications has become a matter of curiosity. In this study, it is aimed to determine the effect of continuous process control on the activation of cyber security applications. Since the subject is new in practice, the study was handled from a theoretical perspective and suggestions were made for future applications.

Anahtar Kelimeler

• Cyber Security
• Internal Audit
• Continuous Process Audit

Kaynakça

1. Alles, M., Kogan, A. ve Vasarhelyi, M. 2008. “Audit Automation for Implementing Continuous Auditing: Principles and Problems”, Rutgers Business School, 1–24. https://www.researchgate.net/publication/228530458_Audit_Automation_for_Implementing_Continuous_Auditing_Principles_and_Problems#fullTextFileContent (Erişim Tarihi: 01.02.2021)
2. Aslay, F. 2017. “Siber Saldırı Yöntemleri ve Türkiye’nin Siber Güvenlik Mevcut Durum Analizi”, International Journal of Multidisciplinary Studies and Innovative Technologies, 24- 28.
3. BSI. 2008. “Information Security Audit (IS audit): A Guideline for IS Audits Based on IT-Grundschutz”, German Federal Office for Information Security. https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/ISRevision/guideline-isrevision_pdf.pdf?__blob=publicationFile&v=1 (Erişim Tarihi: 03.01.2021)
4. Can, Ö. ve Ünalır, M. O. 2010. “Ontoloji Tabanlı Erişim Denetimi”, Pamukkale Üniversitesi Mühendislik Bilimleri Dergisi, 16(2), 197-206.
5. City of Vancouver. 2016. “Internal audit summary report” http://vancouver.ca/files/cov/internal-audit-cyber-security.pdf (Erişim Tarihi: 04.01.2021)
6. COSO. 2015. COSO in the Cyber Age: Report Offers Guidance on Using Frameworks to Assess Cyber Risks. https://global.theiia.org/standards-guidance/Public%20Documents/COSO-in-the-Cyber-Age.pdf (Erişim Tarihi: 31.12.2020)
7. Coşkunçay, A. ve Demirörs, O. 2014. İş Süreç Modellerinden Ontolojiye Dönüşüm: Bir Durum Çalışması. 223-244. https://www.researchgate.net/publication/266614042 (Erişim Tarihi: 12.01.2021)
8. De Cesare, S., Juric, D. ve Lycett, M. (2017). Toward The Automation Of Business Process Ontology Generation. Proc. - 16th IEEE Conf. Bus. Informatics, CBI 2014. 1, 70–77. https://ieeexplore.ieee.org/document/6904139 (Erişim Tarihi: 02.02.2020)

9. Efe, A. 2018. Siber Güvenlik Denetimi. Ş. Sağıroğlu ve M. Alkan icinde, Siber Güvenlik ve Savunma-Farkındalık ve Caydırma (ss. 349-370), Grafiker Yayıncılık, Ankara
10. Erol, S. E., ve Sağıroğlu, Ş. 2018. Siber Güvenlik Farkındalığı, Önemi ve Yapılması Gerekenler. Ş. Sağıroğlu ve M. Alkan içinde, Siber Güvenlik ve Savunma Farkındalık ve Caydırıcılık (ss. 105-134), Grafiker Yayınları, Ankara.
11. Forgy, C. 1982. “Rete: A Fast Algorithm for The Many Pattern - Many Object Pattern Match Problem”, Artificial Intelligence, 19(1), 17–37.
12. Gruber, T. 1995. “Toward Principles for The Design Of Ontologies Used For Knowledge Sharing”, Int’l Journal of Human-Computer Studies, 43(4-5), 907–928.
13. Gürbüz, Ö. ve Demirörs, O. 2016. Süreç Ontolojisi Oluşturma Yöntemi: Durum Çalışması, http://ceur-ws.org/Vol-1721/UYMS16_paper_124.pdf (Erişim Tarihi: 06.01.2021)
14. Hale, R. 2017. Foreword The State of Cybersecurity. Domenic, A. (Ed.) The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity Capabilities, John Wiley & Sons, Inc., New Jersey.
15. Hermans, J. ve Diemont, T. 2017. “Treating Cyber Risks. Domenic, A. (Ed.) The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity Capabilities”, John Wiley & Sons, Inc., New Jersey
16. IIA. 2018. Global Bakış Açıları ve Anlayışlar: 2018 Global Risk Raporu-İç Denetim Yöneticilerinin Karşılaştığı En Büyük Riskler. The Institute Of Internal Auditing. https://global.theiia.org/translations/PublicDocuments/GPI-2018-Top-Risks-Faced-by-CAES-Turkish.pdf (Erişim Tarihi: 17.01.2021)
17. IIA. 2017. Küresel Bakış Açıları ve Anlayışlar Yapay Zekâ – İç Denetim Mesleğine İlişkin Dikkate Alınması Gerekenler. The Institute of Internal Auditors. https://global.theiia.org/translations/PublicDocuments/GPI-Artificial-Intelligence-Part-I-Turkish.pdf (Erişim Tarihi: 11.01.2021)
18. IIA. 2016. Global Perspektifler ve Anlayışlar: Güvenilir Bir Siber Danışman Olarak İç Denetim. The Institute of Internal Auditors. https://global.theiia.org/translations/PublicDocuments/GPI-Emerging-Trends-Turkish.pdf (Erişim Tarihi: 08.02.2021)
19. ISACA. 2017. Auditing: Cyber Security Evaluating Risk and Auditing Controls. https://www.isaca.org/why-isaca/about-us/newsroom/press-releases/2017/isaca-expands-cyber-security-resources-for-auditors (Erişim Tarihi: 02.01.2021)
20. ISACA. 2004. Information Systems Audit and Control Association. Cyber security audit. http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.124.6737&rep=rep1&type=pdf (Erişim Tarihi: 03.01.2021)
21. ITU-T X.1208, 2014. Series X: Data Networks, Open System Communıcations and Security: Cyberspace Security – Cybersecurity, International Telecommunication Union. https://www.itu.int/rec/T-REC-X.1208/en (Erişim Tarihi: 07.01.2021)
22. Jiang, X. ve Tan, A. 2010. CRCTOL: A Semantic-Based Domain Ontology Learning System. 61, 150–168. http://cobweb.cs.uga.edu/~kochut/teaching/8350/Papers/Ontologies/CRCTOL.pdf (Erişim Tarihi: 09.01.2021)
23. KPMG. 2016. Denetim Komiteleri İçin Siber Güvenlik. https://assets.kpmg/content/dam/kpmg/pdf/2016/07/tr-denetim-komiteleri-icin-siber-guvenlik.pdf (Erişim Tarihi: 11.01.2021)
24. KPMG. 2016. GRC Gündemi: Yönetişim, Risk ve Uyumluluğu Anlamak. https://home.kpmg/tr/tr/home/gorusler/2016/03/grc-gundemi.html (Erişim Tarihi: 12.01.2021)
25. KPMG. 2019. Siber Güvenlik ve Denetim. https://home.kpmg/tr/tr/home/hizmetlerimiz/danismanlik/teknoloji-danismanligi/siber-guvenlik.html (Erişim Tarihi: 13.01.2021)
26. Kumar, V., Srivastava, J., ve Lazarevic, A. 2005. Manager Cyber Threats Issues, Approaches and Challenges, Springer, Berlin.
27. Kestane, A. 2020. Kurumsal Yönetim ve Kurumsal Kaynak Planlaması Uygulamaları Işığında İç Denetim, Gazi Kitabevi, Ankara.
28. Kurnaz, N. ve Kestane, A. 2020. Denetimde Seçme Konular 4 İç Denetim İç Kontrol Sektörle Uygulamalar, Aslan, Ü ve Bozkuş Kahyaoğlu, S. içinde Blokzincir Teknolojisi ve İç Denetim (ss. 1-34), Gazi Kitabevi, Ankara.
29. Kurnaz, N. ve Dindaroğlu, A. K. 2015. “İç Denetim ve Bilgi Güvenliği İlişkisi: Bölgesel Bir Araştırma”, Bilgi Ekonomisi ve Yönetim Dergisi, X (1), 52-63.
30. Li K. C., Chen X. ve Susilo W. 2019. Foreword I-II”. Kuan-Ching, L. Xiaofen, C. ve Willy, S. (Eds.) Advances in Cyber Security: Principles, Techniques, and Applications, Springer Nature Singapore Pte Ltd., Singapore.
31. Mccarthy T. 2017. Cybersecurity Risk Management: A Practical Guide for Businesses. https://www.mccarthy.ca/en/insights/blogs/techlex/cybersecurity-risk-management-practical-guide-businesses (Erişim Tarihi: 17.01.2021)
32. Öztürk, M. S. 2018. “Siber Saldırılar, Siber Güvenlik Denetimleri ve Bütüncül Bir Denetim Modeli Önerisi”, Muhasebe ve Vergi Uygulamaları Dergisi, 208-232.
33. PwC. 2018. Global Economic Crime and Fraud Survey. https://www.pwc.com/gx/en/news-room/docs/pwc-global-economic-crime-survey-report.pdf (Erişim Tarihi: 22.01.2021)
34. Poonia, A.S. 2014. “Audit Tools for Cyber Crime Investigation”, International Journal of Enhanced Research in Science Technology & Engineering, 3(12), 16-20.
35. Sağıroğlu, Ş. 2018. Siber Güvenlik ve Savunma: Önem, Tanımlar, Unsurlar ve Önlemler. Ş. Sağıroğlu ve M. Alkan içinde Siber Güvenlik ve Savunma-Farkındalık ve Caydırıcılık (ss. 21-45). Grafiker Yayınları, Ankara.
36. Selimoğlu, Kardeş S. ve Altunel, M. 2019. “Siber Güvenlik Risklerinden Korunmada Köprü ve Katalizör Olarak İç Denetim”, Denetişim Dergisi, 9(19), 5-16.
37. SPK. (2018). Bilgi Sistemleri Yönetimi Tebliği. Sermaye Piyasası Kurulu, www.spk.gov.tr (Erişim Tarihi: 01.01.2021)
38. Subhani, N. ve Kent D. R. (2015). Continuous Process Auditing (CPA): an Audit Rule Ontology Based Approach to Audit-as-a-Service. Erişim adresi: https://www.semanticscholar.org/paper/Continuous-Process-Auditing-(CPA)%3A-an-Audit-Rule-to-Subhani/6317f72b351a85168e778522fdaf2021edbafe38 (Erişim Tarihi: 01.02.2021)
39. Subhani, N. ve Kent, R. 2014. Novel Design Approach to Build Audit Rule Ontology For Healthcare Decision Support Systems. EEE,133–138. http://worldcomp-proceedings.com/proc/p2014/EEE2631.pdf (Erişim Tarihi: 23.01.2021)
40. Sunde S. J., 2017. Assurance and Cyber Risk Management. Domenic, A. (Ed.) The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity Capabilities, John Wiley & Sons, Inc., New Jersey.
41. The Institute of Risk Management. 2014. Cyber Risk Executive Summary. https://www.theirm.org/media/8635/irm-cyber-risk-exec-summ-a5-low-res.pdf (Erişim Tarihi: 29.01.2021)
42. Ünalır, M.O., Can, Ö. ve Ünalır, E. 2010. “Ontoloji Tabanlı Bilgi Sistemlerinde Erişim Denetimi: Ulusal Aşı Bilgi Sistemi İçin Durum Çalışması”, Tübav Bilim Dergisi, 3(3), 238-249.
43. Wyatt M. (2017). Cybersecurity Systems: Acquisition, Development, and Maintenance. Domenic, A. (Ed.), The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity Capabilities. John Wiley & Sons, Inc., New Jersey.