Küçük yerel bir işletme veya dünya devi bir şirket fark etmez, kurumsal yapının omuriliği bilgi işlem altyapısıdır.

 

Mahiyetine bakmaksızın, bilgi hep değerli bir meta olmuştur. Bir kurumun kaderini ise bilgiyi nasıl yönettiği belirler. İş süreçlerinde ortaya çıkan çok ufak ve önemsiz olarak adledilen bir ayrıntının bile sıkı sıkıya korunduğu günümüz ticaret hayatında ise IT yönetimi ve denetiminin önemi bir adım daha öne çıkmaktadır oda “IT DENETİMİ KAPSAMINDA ADLİ BİLİŞİMİN ÖNEMİ”.

Kurumsal IT yapılanmasını oluşturan birçok unsurun içerisinde belki de en önemlileri IT yapılanmasının mimarisi ve alınan güvenlik önlemleridir. İçeriden veya dışarıdan gelebilecek olası tehditlere karşı en iyi savunmanın dizayn edilmesinin yanı sıra kurumsal öğelerin sorunsuz bir harmoni içerisinde çalışmasını sağlamak bir IT alt yapısının ana hedefidir. Bu kapsamda istenilen hedefe ulaşmak ve istikrarlı bir sistem yönetmenin anahtarı da uluslararası standartlar ışığında etkili bir denetim mekanizması inşa etmektir.

Klasik denetim görüşünde, iktisadi bir bakış açısı ile yapılacak denetimlerin kurumsal politikanın en iyi şekilde uygulanmasının anahtarı olduğu şeklinde yorumlanabilir.  Fakat sürekli gelişen iş standartları, ulusal ve uluslararası kriterlerin sürekli olarak değişmesi ve dijitalleşmenin etkisiyle gelen inanılmaz veri sabit bir bakış açısı ile yapılacak denetimlerin süreçlerini inanılmaz bir şekilde olumsuz etkileyecektir.

IT denetimleri; idari, iktisadi, hukuki ve teknik unsurları ve bu unsurların birbirleri ile olan etkileşimlerini bir bütün olarak ele alınması gereken bir süreçtir. Dolayısı ile bu denetimin unsurları da bu ihtiyacı karşılayacak şekilde olmalıdır. Bu noktada birçok kurum farklı iş kollarının da denetim sürecine katılması şeklinde bir çözüm tercih etmekte olsa da bu birimler arasındaki iletişim problemlerin de olabileceği bir gerçektir. Örneklendirmek gerekirse, hukuk departmanında görev yapan bir personelin IT altyapısını oluşturan unsurları ve altyapıyı tam manası ile anlaması mümkün değildir. Bunun gibi tersi durumda da bir IT personelinin hukuki, idari veya iktisadi bir süreci tam olarak kavraması beklenmemelidir. Bu durum, bir departmanda çalışan bir personelin farklı departmanlardaki iş süreçlerini de öğrenmeye çalışması manasına gelmektedir ki bu durum hem o personele çok fazla iş ve risk yüklemek hem de departmanlar arası çekişmelerin yaşanmasına sebep olabilmektedir.

Kurumsal iç denetimde yaşanan bu uyumsuzluk ve iletişim probleminin çözümü ise IT denetiminde Adli Bilişimden geçmektedir. Öncelikle Adli Bilişim, genel veya çok özel bir durumu kriminal bir bakış açısı ile bilimsel olarak her açısı ve her ihtimali ile değerlendirme üzerine kurulu bilimsel bir süreç olmasından dolayı denetim süreçlerine benzersiz bir bakış açısı kazandırmaktadır. Adli Bilişimin, dijital sistemlerin hukuki ve idari kriterlere göre incelenmesi, gerektiğinde de bunlardan iktisadi sonuçlar çıkarılması işlemlerini kapsar. Bir adli bilişim sürecinde vakanın analiz edilmesi, dijital izlerin takip edilmesi, delil tespiti, değerlendirme, ilişkilendirme, görünür yapma ve raporlama aşamaları da bir denetim sürecinin aşamaları ile fazlasıyla örtüşmektedir.

Adli bilişimin denetim sürecine en önemli katkısı ise departmanlar arasında bir köprü vazifesi yapmasıdır. Bir adli bilişim uzmanı işi ve benzersiz tecrübesi gereği teknik, idari, hukuki ve iktisadi süreçlere aşınadır. Bu sayede her departmanla sorunsuz iletişim kuracak altyapı ve deneyime sahiptir.

Bir adli bilişim uzmanının denetim sürecine dahil edilmesi öncelikle daha hızlı ve verimi bir çalışma yapılması manasına gelmektedir. Sürece temas eden tüm birimlerin kusursuz bir iletişim içerisinde olması yapılan çalışmanın sonuçları bakımından daha olumlu olmasını da sağlayacağı gibi içeride çıkabilecek bazı olumsuz etkileşimleri de başlamadan önleyecektir.

Bu kapsamda; şirket içerisinde yapılan denetimler esnasında şirkete ait tüm IT sistemler (bilişim sistemleri) üzerinde inceleme günümüzde bir nevi mecburiyet olarak görülmektedir. Herhangi bir konuya dair yapılan denetimler esnasında çalışana şirket tarafından verilmiş olan bilgisayar, cep telefonu, tablet, flash disk, harici bellek, e-posta, cloud hesabı vb. bilişim cihazları üzerinde de denetlenen konuya ait iz, emare bulunabileceği unutulmamalıdır.

Günümüzde büyük şirketlerde IT sistemlerinde USB’lerin kapatılması, kullanıcıların işlemlerinin loglanması, DLP (“Data Loss Prevention” – “Veri Kaybı Önleyici”) yazılımları ile verilerin korunması gibi çeşitli önlemler alınmaktadır. Ancak birçok adli bilişim incelemelerinde gördüğümüz durum, bu önlemlerin yetersiz olabileceği olayların varlığıdır. Burada belirtilen yazılım veya donanımsal önlemleri aşan bazı kullanıcılar şirkete ait verileri kopyalayabilmekte ve hatta rakip firmalara satabilmektedirler.

Bunun yanında, İç denetim birimleri tarafından bir çalışanla ilgili sadece yukarıda da belirttiğim önlemlerdeki log incelemeleri veya e-posta incelemeleri ile delillendirmeyi yeterli görmektedir.

Ancak yaşadığımız tecrübeler bize gösterdi ki sadece log incelemeleri şahısların şüpheli hareketlerinin ancak belli bir kısmını göstermektedir. Çalışanın kullanmış olduğu cihazlar üzerinde IT denetimi kapsamında adli bilişim incelemeleriyle, yetkisiz erişimle aldığı verileri nerelerde kullanacağına, yeni şirketine ait web sitesinin incelenen bilgisayarda oluşturduğuna, özel maili ile verileri pazarladığı kişilerle yaptığı chat/sohbet yazışmalarına kadar fazlaca bilgiyi elde ettiğimiz görülmüştür.

Kısaca iç denetim yapan birimlerin, IT denetimi kapsamında Adli Bilişim uzmanlarından yararlanması günümüz koşullarında elzem hale gelmiştir. Bu noktada kurumların özellikle İç denetim, Teftiş Kurulları ve Hukuk Müşavirliklerine Adli Bilişim Hizmeti’ni vermekteyiz. Bu konuda bize buradan ulaşabilirsiniz.

Saygılarımızla.

İlgili Yazılar

SSRF Tehdit Potansiyeli

Yazar: Emine Zeynep Bulak

SSRF zafiyetinin tespit edilmesi, siber güvenlik açısından kritik öneme sahiptir. Bu yazıda, SSRF zafiyetini tespit etmek için...

Blokchain Nedir?

Yazar: Ayşenur Karabulut

Blockchain, bir bilgisayar ağının düğümleri arasında paylaşılan dağıtılmış bir veritabanı veya defterdir. Kripto para sistemlerindeki önemli rolleriyle, güvenli...

Zero Day Saldırısı Nedir?

Yazar: Ayşenur Karabulut

Zero day saldırıları, siber dünyada, yazılımın geliştiricilerinin dahi henüz farkında olmadığı güvenlik açıklarının kötü niyetli aktörler tarafından keşfedilmesi...