İŞLETMELERDE SİBER RİSKLERİN ANALİZİNDE, HARİTALANMASINDA VE DEĞERLENDİRİLMESİNDE İÇ DENETİMİN ROLÜ

Yıl 2019, Cilt: 19 Sayı: 57, 1 - 18, 01.06.2019

Mustafa Hakan Saldı Seval Kardeş Selimoğlu

Öz

Bu çalışmanın amacı, iç denetim perspektifinden siber risklerin analiz edilmesi, haritalanması ve değerlendirilmesi için hangi tekniklerin nasıl uygulanacağı ve kullanılacağı ele alınarak anlatılmıştır. Çalışmanın içeriği itibari ile işletmelerde hangi tip siber risklerle karşılaşılabileceği ve bunlara nasıl önlem alınacağı üzerine detaylı incelemeler yapılarak, iç denetimin, siber risklerin kontrolünde üstlendiği görevlerini neler olabileceği ele alınarak araştırılmıştır Çalışmanın esas amacına paralel olarak, bilgi teknolojilerinde pratik olarak kullanılan metotlar örnek olaylar ile açıklanmıştır. Özellikle, siber risklerin analizinde uygulanan niceliksel modeller teorik çerçeveden aktarılmaya çalışılarak, iç denetimin güncel hayattaki rolü ile ilişkilendirilmesi hedeflenmiştir. Sonuç olarak, iç denetimin işletmelerdeki önemi ve rolü de teknolojik gelişmeler ile beraber değişime uğrarken, operasyonel ve yönetsel süreçlerdeki faaliyet alanları da genişlemektedir. Bu bağlamda, siber risklere karşı önlemlerin alınmasında iç denetimin rolü de en az bilgi teknolojilerininki kadar büyüktür.

Anahtar Kelimeler

Siber Riskler, Analiz Metotları, Risk Haritaları, İç Denetim

THE ROLE OF INTERNAL AUDIT: ANALYSIS, MAPPING AND ASSESSMENT OF CYBER RISKS IN ENTERPRISES

Öz

The article is tried to transfer from the internal audit perspective on how techniques are used for analyzing, mapping and assessing cyber risks. With the content of the study, the missions of internal auditing on control of cyber risks are investigated by doing in-depth examinations on what types of cyber risks can be encountered in businesses and how to take precautions to these risks In parallel with the main purpose of the study, the methods used in information technologies are described with actual events. Particularly, the quantitative models applied in the analysis of cyber risks are aimed to be transferred from theoretical framework and associated with the role of internal control in the current llife. As a result, the role of internal control in the enterprises is transforming with technological developments and its’ activities on the operational and managerial processes are expanding. Because of the mentioned reasons, the role of internal control in taking actions against cyber risks is as much as information technology.

Anahtar Kelimeler

Cyber Risks, Analysis Methods, Risk Maps, Internal Auditing

Kaynakça

• Akhtar, Tafseer ve Gupta, B.B., “Towards a Framework for Analyzing Cyber Attacks Impact Against Smart Power Grid on SCADA System”, International Conference on Communication and Signal Processing(ICCSP), 2018, s. 1087-1093.
• Guinta, LR. ve Frantzve, LA., “Critically, Vulnerability, Risk Logic Analysis Methodology for Business Enterprise and Cyber Security”, 2010, s. 983.
• Gusmão, A., Silva, M., Paleto, T., Thiago, P., Silva, L., “Cybersecurity Risk Analysis Model Using Fault Tree Analysis and Fuzzy Decision Theory”, International Journal of Information Management, 2018, Volume 43, Num- ber 6, s. 248.
• Haimes, Y.Y., “On The Definition of Resilience in Systems”, Society For Risk Analysis, 2009, Volume 29, Nuım- ber 4, s. 498-504.
• Kayrak, M., “Bilgi Kriterleri Çerçevesinde Bilişim Teknolojileri Denetimi”, Journal of Turkish Court of Accounts/ Sayıştay Dergisi, Ekim 2012, Cilt 23, Sayı 87 s. 143-167.
• Kurnaz, N. ve Dindaroğlu, A.K., “İç Denetim ve Bilgi Güvenliği İlişkisi: Bölgesel Bir Araştırma”, Bilgi Ekonomi- si ve Yönetimi Dergisi, 2015, Cilt 10, Sayı 1, s. 51-63.
• Kurt, G. ve Uysal, T.U., “Siber Riskler ve COSO İç Kontrol Bütünleşik Çerçevesi”, Muhasebe ve Denetime Bakış, 2015, Cilt 46, Sayı 15, s. 1-10.
• Linkov, I., Eisenberg, D.A., Plourde, K., Seager, T.P., Allen, J., Kott, A.(2013), “Resilience Metrics for Cyber Systems”, Environment Systems and Decisions, 2013, Volume 33, Number 4, s. 471-476.
• Mukhopadhyay, A., Chatterjee, S., Saha, D., Mahanti, A., Sadhukhan, S., “Cyber-risk decision models: To insure IT or not?”, Decision Support Systems, 2013, Volume 56, s. 11-26.
• Öztürk, M.S., “Siber Saldırılar, Siber Güvenlik Denetimleri ve Bütüncül Bir Denetim Modeli Önerisi”, Muhasebe ve Vergi Uygulamaları Dergisi, 2018, s. 208-232
• Ralston, P.A.S. ve Graham, J.H. & Hieb, Jeffrey., “Cyber security risk assessment for SCADA and DCS networks”, ISA transactions, 2007, Volume 46, Number 4, s. 583-594.
• Rot, A., “IT Risk Assessment: Quantitative and Qualitative Approach”, The World Congress on Engineering and Computer Science, 2008.
• Spoonamore, S., “CCLIF: A Quantified Methodology System to Assess Risk of IT Architectures and Cyber Ope- rations”, 2008, s. 716.
• Topaloğlu, S., “Sosyal Güvenlik Suiistimallerinin Tespiti ve Önlenmesi için Risk Analizi ve Sürekli Denetim Yön- temleri”, TISK Akademi, 2013, Cilt 8, Sayı 16, s. 204-219.
• Uludağ, S., “Değişen Risk Algısı ve İç Denetim”, Muhasebe ve Denetime Bakış, 2017, Cilt 17, Sayı 51, s. 93-101. Yılmaz, S. ve Sağıroğlu, Ş., “Siber Güvenlik Risk Analizi, Tehdit ve Hazırlık Seviyeleri”, 6. Uluslararası Bilgi Güvenliği ve Kriptoloji, 2013, s. 158-166.