İç denetimin gelişen ve değişen dünyasında : siber güvenlik ve denetim

Abstract

Günümüzde, teknoloji çok yaygın bir şekilde kullanılmakta ve işletmelere büyük avantajlar sağlamaktadır. Ancak sağladığı avantajlara karşı birçok tehdidi de bünyesinde barındırmaktadır. Tehditlerin başında siber saldırılar yer almaktadır. Siber saldırıların şirketlere maliyetleri çok farklı boyutlara doğru ilerlemektedir. Bu nedenle siber güvenlik kavramının bileşenlerini çok iyi bir şekilde anlamak ve yaşanmış saldırılardan gerekli dersleri çıkartmak gerekmektedir. Bilgilerin sistemlerde kaydedilmeye başlamasından itibaren depolanan verilerin güvenlikleri de önemli olarak görülmektedir. Şirketlerin, güvenlik önlemlerini alarak gelebilecek her türlü siber saldırıya karşı hazırlıklı olmaları gerekmektedir. Eğer daha önceden tedbir alınmadıysa çok büyük kayıplar verilmesi söz konusu olabilmektedir. Siber güvenlik kapsamında alınan veya alınabilecek önlemler için iç denetim departmanlarına önemli görevler düşmektedir. Bu çerçevede iç denetim birimleri riskleri değerlendirmeli ve üst yönetime bilgi vermektedir. Şirketler, güvenlikle ilgili önlemlerini alma aşamasında siber güvenlik denetimleri yaptırarak şirket içerisinde yer alan açıklıkları daha iyi görebilmeye imkanına olmaktadır. Bu doğrultuda da aksiyon planları oluşturulmaktadır. Çalışmada; siber güvenlik, siber güvenlik ve iç denetim ve siber güvenlik denetimi, konu başlıklarına üzerinde durulmuştur. Çalışmanın son bölümünde ise yaşanmış bir siber saldırı olayının nasıl gerçekleştiği ve sonucunda ne gibi aksiyonlar alındığına yönelik bir uygulama yer almaktadır.

Today, technology is widely used and provides great advantages to businesses. However, it contains many threats against the advantages it provides. Cyber attacks are at the top of the threats. The costs of cyber attacks to companies are moving towards very different dimensions. For this reason, it is necessary to understand the components of the concept of cyber security very well and to learn the necessary lessons from experienced attacks. Since the information is started to be recorded in the systems, the security of the stored data is also seen as important. Companies must be prepared against any possible cyber attack by taking security measures. If precautions have not been taken before, huge losses may incur. Important duties fall on the internal audit departments for the measures taken or can be taken within the scope of cyber security. In this context, internal audit units should evaluate the risks and inform the senior management. Companies have the opportunity to better see the openings in the company by having cyber security audits during the process of taking security-related measures. Action plans are prepared in this direction. In the study; Cyber security, cyber security and internal audit, and cyber security audit, topics were emphasized. In the last part of the study, there is an application about how a cyber attack incident occurred and what actions were taken as a result.