BULUT BİLİŞİM VE İÇ DENETİM

 

Uluslararası İç Denetim Enstitüsü (IIA)’nün 2017 yılında küresel çapta yaptığı araştırması, iş süreçlerinde yaşanan değişimin, iç denetim fonksiyonlarından beklentileri de değiştirdiğini gösteriyor. Paydaşlar, artık yeni teknolojiler konusunda kendilerine danışmanlık yapılmasını istiyor. Bu araştırmada; iç denetim fonksiyonlarının, denetim programlarında bulut bilişim konusuna yer vermeleri gerekliliğine değinilmiştir.

 Değişim

İnsanoğlu, gerçekleştirdiği teknolojik atılımlarla, ilkel taş aletlerden elimizdeki akıllı telefonlara ulaştı. İlerleme; birçok yeni teknolojinin birbirini etkilemesi, dönüştürmesi ile gerçekleşti. İletişim ve ilişki kurma becerilerimiz, dönüşüm ve ilerlemenin en önemli itici gücü oldu. Bu güç, elde edilen deneyimleri paylaşabilme, değiş tokuş etme imkânı vermekte, ortak/kümülatif bilişe katkı sağlayarak yeni sentezler ortaya çıkmasına yardımcı olmaktadır.

Etkileşimin artması, ilerlemenin de hızını ve çeşitliliğini artırır. Sekteye uğraması ise yavaşlatır, durdurur hatta geriye doğru bir ivme kazanmasına neden olur. Issız bir adaya düştüğünüzü hayal edin, sahip olduğunuz teknoloji ve yeteneklerin ne kadarını kullanabilirsiniz? Birçoğunu terk edip, temel ihtiyaçlarınıza hizmet edenleri kullanmaya başlayacaksınız. Diğerleri unutulup gidecek. Bunun asıl nedeni onlara artık ihtiyacınız olmaması değil, kolektif akıldan yalıtılmış hale gelmenizdir. Bağlı olduğunuz networkün boyutu, gelişim ve ilerleme düzeyinizi etkiliyor. Tarihi ticaret yolları üzerinde bulunan Mezopotamya toplumlarının, Antik Yunan’ın bilişsel düzeydeki ilerlemesinde katkısının dayandırıldığı temel noktalardan birisidir bu.

Suların yükselmesi ile Avustralya ana kıtasından ayrılan Tazmanya’da kalan insan topluluğu, birçok teknolojiyi terk edip, farklı bir teknoloji gelişim paternine girdiler. Karşılaştırmalı olarak, ana kıtadaki toplumlardan daha ilkel ve geri kaldılar. Bu, dış dünyadan görece yalıtılmış toplumların yaşadığı önemli bir sorun. Kümülatif beyin/kümülatif anlayış ve kültüre ne kadar dahil olursanız, ondan ne kadar etkilenirseniz, ilerlemenizin hızı, kanallarınızın çeşitliliği de o oranda büyük oluyor.

Yakın zaman içerisinde kaybettiğimiz ünlü bilim insanı Stephen Hawking, insanlığın internet sayesinde, tıpkı beyindeki nöronlar gibi birbirine bağlandığını ifade etmişti. İnternet en önemli keşiflerimizden birisi. İnternet sayesinde, insanlar için bir şeyler üretip bunları diğer insanlarla paylaşabiliyoruz. Hem de farklı formatlarda ve çok hızlı bir şekilde. Yine internet ile mesafe, zaman kavramları değişim yaşadı. İletişim ve etkileşim patlaması yaşıyoruz. İnsanların interneti yaşadığımız dünyayı değiştirdi. Son yıllarda başka bir türün internetinden bahsediliyor: nesnelerin interneti. Nesnelerin interneti de, insanların dünyasını değiştirmeye başladı bile. Bir nesneyi alırsınız, ona çevresinde olup bitenleri hissedebileceği, deneyimleyebileceği sensörler ve elde ettiği verileri aktarabileceği iletişim kabiliyeti eklerseniz, bu nesne artık internet üzerinden diğer nesnelerle deneyimlerini paylaşabilir, büyük veriye katkı sağlar hale gelebilir.

Birbirleriyle haberleşen nesnelerin en gelişmişi sanırım robotlar. Robotlar, bizler için yerleri paspaslar, bizleri eğlendirir, hatta kahvaltı hazırlayanlar dahi var. RPA’lar (Robotics Process Automation) gibi türevleri ise denetim alanında kullanılmaya başlandı bile. Robotlar, kendilerinden beklenen görevleri yerine getirmek için işlemler gerçekleştirir. Bu işlemler sonucu veri ortaya çıkar, veriler deneyim olarak saklanır ve paylaşılır. Bir robot ne kadar becerikli ise o kadar çok işlem yapması gerekir. Üretilen veya aktarılan verileri saklamak için de, o kadar büyük bir hafızaya ihtiyaç duyulur. Bu önemli bir sorun.

         Shannon Entropy teorisi, bilginin fiziki ölçümüyle ilgili bir teoridir. Bu teoriye göre yapılan hesaplamalarda, iki insan arasında gerçekleşen iletişimin fiziki veri değeri düşük. Saniye/8 bit gibi bir rakama denk geliyor. Ancak iki bilgisayar, kablo ile karşılıklı bağlandığında gerçekleşen iletişimdeki verinin fiziki değeri saniye/gigabitleri buluyor.  Bulut bilişim; son yıllarda üretilen ve depolanan verinin hızla artması karşısında, büyük veri konusunu bir sorun olmaktan çıkarıp, bir çözüm odağı haline gelmesine yardımcı oluyor. Nesnelerin, robotların, yapay zekânın ve türevlerinin ekonomik ve etkin çalışabilmesi için bulut bilişimin sunduğu imkânlara ihtiyaç duyuluyor.

 Bulut Bilişim

Bulut bilişim kısaca; internet üzerinden, erişilen yazılım uygulamaları, veri depolama hizmeti ve işlem kapasitesi olarak tanımlanabilir. Cihazlarımızla, dijital ağ üzerinden, çoklu sunucu bağlantısı gerçekleştirilerek, istediğimiz yer ve zamanda bilgiye ulaşmamızı sağlar. Bulut bilişim; biz farkında olmadan hayatın her alanına girmiş durumda ve teknolojiyi dönüştürüyor. Yazılım ve donanımların bir nevi buharlaşmasıyla, her içimize çektiğimizde bize yaşam enerjisi veren hava gibi, bizi çevreleyen ama çoğu zaman farkında olmadığımız bir kolaylık.  Çok yoğun şekilde kullanıyoruz. Mesela biraz önce bahsettiğim akıllı nesnelerimiz bulutsuz yapamıyor, oradan veri çekip, oraya veri atıyor.  E-posta göndermek, belge düzenlemek, film veya TV izlemek, oyun oynamak, veri depolamak üzere çevrimiçi bir hizmet kullanıyorsak, tüm bunların altyapısı büyük olasılıkla bulut bilişim tarafından sağlanıyor.

Bulut teknolojisi yaklaşık on yıllık bir geçmişe sahip olmakla birlikte, küçük ölçekli işletmelerden küresel firmalara, kamu kurumlarına kadar çok sayıda organizasyon tarafından farklı amaçlarla çoktan benimsenmiş durumda. Bulut bilişim hizmetleri giderek çeşitleniyor, çok hızlı büyüyor ve büyümesinde de bir yavaşlama olacak gibi durmuyor. Bunun nedeni açık;

  • Bilişim altyapısı, bulut sistemine aktarıldığında, fiziksel olarak yer kaplayan sunuculara, yedekleme ünitelerine ve güç kaynaklarına ihtiyaç azalır, bu alanlardaki yatırım giderleri düşer,
  • Donanım ve yazılım yaşam döngüsünde avantaj sağlar; bakım – idame masraflarından kurtarır,
  • Doğru miktarda bilgi sistemleri kaynağına, istenilen yer ve zamanda ulaşma imkânı sunar,
  • Hizmetlerin ve donanımların “tam kadro” satın alınması ya da kiralanması yerine “kullandığın kadar öde” ve esnek ölçeklendirme olanağı sunar,
  • Veri yedeklemeyi, iş sürekliliğini ve felaket kurtarmayı kolaylaştırır, daha ekonomik hale getirir.

Saydığım faydalarının yanında, bulut bilişimin doğasından kaynaklanan önemli sorunlar da mevcut;

  • Hizmet kesintisi ilk akla gelenlerden. Hizmet sağlayıcıların yaşayacağı sorunlar, organizasyonlarımızın da müşterilerine hizmet veremez hale gelmesine neden olabilir,
  • Tek bir hizmet sağlayıcıyla çalışılıyorsa, uygulanan fiyat politikalarına karşı esneklik kaybolabilir, oluşabilecek arıza ve saldırılardan dolayı önemli veri ve hizmet kaybı oluşabilir,
  • Ortak kaynaklar üzerindeki depolama, bellek alanlarını birbirinden ayırmaya yarayan mekanizmalarda ortaya çıkabilecek yanlış konfigürasyon, açıklık ve hatalar, bilgi güvenliği ihlallerine neden olabilir,
  • Bulut hizmetlerine internet üzerinden erişim sağlanıyor olması, hizmet akışını pasif ve aktif saldırılara maruz bırakabilir (DDOS, sniffing, spoofing ve man-in-the-middle gibi). Bu durumda, veri akışının dinlenilmesi, kullanıcı şifrelerinin çalınması ve oturumların ele geçirilmesi mümkün olabilir,
  • Bir diğer önemli konu da hizmet sağlayıcıların farklı ülkelerde ve bölgelerde veri merkezleri bulundurması, veri gizliliği ve denetimi konularında ülkelerin farklı yasal düzenlemelere sahip olmasıdır. Bu durumda verinin kime ait olduğu, yerinde denetim eksikliği, buluttan çıkma kararı alındığında geri dönüş senaryosu gibi konularda zorluklar çekilebilir,
  • Ayrıca bilgi sistem birimlerinin izni ve bilgisi olmadan, personel tarafından kullanılan uygulamaları ifade eden “Shadow IT” konusu da, aklıma gelen riskler arasında.

Risk

Riskleri nedeniyle, bulut bilişimin uzak durulması gereken bir teknoloji olduğuna dair yorumlar duyuyoruz. Peki risk nedir? Belirsizliğin hedefler üzerindeki etkisi veya hedefleri etkileyebilecek bir şeyin olma ihtimali… Burada olumsuz bir kavramdan söz etmiyorum. Çünkü riskin tehdit ve fırsat olarak iki getirisi mevcut. Geleceğin ne getireceğini de tam olarak bilmiyoruz. Bu yüzden risklerimizi yönetmeliyiz. Öncelikle sınırlarımızı iyi bilmeliyiz. Ne yapmak istiyoruz, hedeflerimiz, bizi biz yapan değerlerimiz nelerdir, bu değerlerden ödün vermeden hedeflerimize ulaşma adına katlanabileceğimiz kayıplar nelerdir bilmeliyiz. Bize özel deneyimler çok önemli. Biz bunlara dayanarak riskleri nasıl yöneteceğimizi belirleriz.  Bir stratejimiz olmalı, tüm gerçekliklerimiz ve ideallerimizle uyumlu. Bu stratejiyi öyle güzel belirlemeli ve uygulamalıyız ki, taktik alandaki başarısızlıklarımıza rağmen, günlük kaygılarımızdan bağımsız bir şekilde, bizi hedeflerimize götürmeli.

Bulut bilişimin gelişim hızı ve sunduğu imkânlara bakınca, bulut bilişime geçişin organizasyonlar açısından stratejik bir karar olduğu söylenebilir.  Bulut bilişim çeviklik, dayanıklılık ve ekonomiklik konusunda büyük fırsatlar sunarken, barındırdığı tehditler nedeniyle uzaktan çekingen bakışlar fırlatmanın maliyeti ağır olacaktır.

İç Denetim

Bu çerçevede, bulut bilişime geçişle beraber kurumsal risk profilinde bir değişim yaşanması kaçınılmaz. Bu açıdan yöneticilerin, bulut hizmeti kullanımına karar verirken, geniş kapsamlı bir değerlendirme yapmaları gerekir. İç denetim fonksiyonlarının, sahip oldukları, bağımsız/tarafsız konum, risk odaklı bakış açıları ve organizasyon iş süreçleri konusundaki bütüncül bilgi birikimleri sayesinde, yönetim kademelerine güvenilir birer danışman olabileceklerini özellikle vurgulamak isterim.

         Yazının başında bahsettiğim IIA tarafından 2017 yılı içinde yapılan araştırma sonucunda, bulut bilişim dâhil, teknoloji risklerinin iç denetim tarafından öncelik verilmesi gereken alanların başında geldiği anlaşılıyor. Aynı araştırmada, iç denetçilerde aranılan en önemli becerilerin; analitik/kritik düşünme, risk yönetim, iletişim ve bilgi teknolojileri becerileri olduğu görülüyor.  Bu açıkça, denetim uzmanlarının teknolojiyle iç içe olmaları, ondan etkilenmeleri ve kendilerini de dönüştürmeleri gerektiği mesajını veriyor. Az önce saydığım becerilerden, iletişim becerisinin dahi, sadece insanlar arası, karşılıklı iletişim olduğu düşüncesinde değilim. Teknolojinin sağladığı farklı iletişim türleri, kanalları ve araçlarını kullanabilmeliyiz, nesnelerle iletişim becerilerimizi geliştirmeliyiz. Nesneler veri sağlıyor ancak biz bunu, analiz edip anlamlandıramıyorsak, burada nesneler açısından monolog veya onların dilinden simpleks bir iletişim ortamı olduğu söylenebilir.

Peki denetçiler olarak bulut bilişimde bize ne görevler düşüyor?

Öncelikle buluta geçiş sürecine yönelik strateji ve politikaların hazırlanarak, yazılı hale getirilmesi ve duyurulması, rol ve sorumlulukların belirlenmesi konularında iç denetim danışmanlık şapkası ile yol gösterici olabilir.

Yönetim tarafından etkin bir risk yönetim metodolojisinin uygulandığının teyit edilmesi, belki de yönetim kademelerine bu alandaki riskler konusunda brifingler verilmesi, iç denetim birimleri tarafından üstlenilebilecek katma değeri yüksek faaliyetler arasında görülebilir. Yeni teknolojinin adaptasyonu ile kurum risk profilinde yaşanacak belirgin değişiklikler konusunda, yönetim kademelerinin farkındalığının artırılması önemli. Bu safhada, yönetim kademesinin kabullendiği artık risklerin, kurum risk iştahı ve sürece ilişkin risk toleransı içerisinde kaldığından da emin olunmalıdır.

Katkı sağlayabileceğimiz bir diğer alan ise hizmet sağlayıcının seçimidir. İlk karşılarına çıkan veya popüler olanlarla çalışmak yerine, organizasyonların kendi risk kültürlerine uygun seçimler yapmaları önemli. Burada denetçiler tarafından irdelenmesi gereken konulardan bazılarını sıralayalım:

  • Hizmet sağlayıcının mali durumu, uzun vadede faaliyet göstermesi için yeterli sermayeyi elinde bulundurup bulundurmadığı,
  • Verilerimizin nerede tutulduğu, diğer müşterilere ait olanlardan nasıl izole edildiği, gizliliği ve bütünlüğünün nasıl sağlandığı,
  • Sunulan hizmetlere istenilen yer ve zamanda erişilebilirliğin nasıl tesis edileceği dikkat edilmesi gereken konular arasındadır.

Bu konuda hizmet sağlayıcıya ait güvenlik politikalarının, zafiyet ve sızma test sonuçlarının, iç kontrol ortamı hakkında güvence raporlarının ve sektör referanslarının incelenmesi gerekebilir.

Denetçiler olarak, iş sürekliliği ve felaket kurtarma konusunda sunulan hizmetlerin, organizasyonumuzun ihtiyaçlarını karşıladığından emin olmalıyız. Bu açıdan, hizmet sağlayıcının iş sürekliliği ve felaket kurtarma planlarının incelenmesi faydalı olacaktır. Buluta geçiş sürecini de izlemeli ve süreçle ilgili, yönetim kademesine proaktif şekilde geri bildirimlerde bulunmalıyız. Nasıl peki? Basit olarak sürecin uygulanmasında organizasyonun var olan proje yönetimi ve değişim yönetim metodolojilerine, bilgi güvenliği politikalarına uyum durumu izlenebilir. Bu politikalardan ve metodolojilerden sapma olduğu takdirde, gerekli onay süreçlerinin işletildiğinden emin olunmalıdır.

Bir hizmet sağlayıcı üzerinden süreçlerimizi yönetiyor olmamız, müşterilere, vatandaşlara karşı yükümlülüklerimizi ortadan kaldırmıyor. Bu açıdan, SLA/OLA (Servis Seviyesi ve Operasyon Seviyesi Anlaşmalar) bulut ortamında sağlanan hizmetler söz konusu olduğunda daha da önemli hale geliyor. İç denetim olarak;

  • SLA/OLA hazırlanırken, sadece BT birimi tarafından belirlenmediğinin, iş birimlerinin de karar alma sürecinde yer aldığını,
  • SLA’in onaylanmasının ardından taahhüt edilen hizmetin sağlandığını, SLA’deki sapmalar nedeniyle ortaya çıkan yaptırımlara bağlı ödemelerin doğruluğunu gözden geçirilebiliriz.

Bu noktada, iç denetim ve diğer güvence sağlayıcı birimlere, bulut bilişime yönelik risklerin anlaşılması ve incelenmesinde yardımcı olacak bir platforma kısaca değinmek istiyorum. Cloud Security Alliance (CSA), bulut bilişim güvenliği için iyi uygulamaları teşvik eden, kâr amacı gütmeyen bir kuruluştur. CSA, bulut güvenliği alanında etkinlikler düzenlemekte, küresel çapta araştırmalar yapmakta, rehber ve bilgilendirici yayınlar çıkarmakta, bu alanda sertifikasyonlara yönlendirmektedir. Örnek olarak bulut bilişim risklerinin yönetilmesi konusunda gerekli kontrol temelini içeren Bulut Kontrol Matrisi (CCM), CSA’nın sunduğu önemli bir dokümandır. Bu matris bizlere, bir bulut hizmetinde hangi kontrollerin aranması gerektiği veya bir bulut hizmeti sağlayıcısından ne gibi güvenlik kriterleri talep etmemiz gerektiğini gösterir.

Tüm bu anlattıklarım göz önüne alındığında; giderek artan kullanım alanı, yoğunluğu ile bulut bilişimin, biz denetim uzmanlarının zaman harcaması gereken bir alan olduğunu söylemeliyim. Farkında olsa da olmasa da, iş süreçlerini etkileyen bu teknoloji konusunda yönetim kademelerine sunacağımız kılavuzluğun faydaları olacaktır.

           

Gökhan Polat, CISSP, CIA, CISA, CRISC, CRMA, CGAP, CCSA
Bakırköy Belediyesi İç Denetim Birimi Başkanı

 

Yararlanılan Kaynaklar:

  1. Jared Diamond “Tüfek, Mikrop ve Çelik: İnsan Topluluklarının Yazgıları”, Tübitak Popüler Bilim Kitapları, 2001
  2. Marc Ferro, “Fetihlerden Bağımsızlık Hareketlerine Sömürgecilik Tarihi”, İmge Kitabevi, 2002
  3. David Brooks, “Social Animal: The Hidden Sources of Love, Character, and Achievement”, Random House Trade Paperbacks, 2011
  4. Internal Audit 2017: Global Trends and Outlook, https://www.bcasonline.org/files/res_material/resfiles/Richard_Chambers-Internal_Audit-Global_Trends-and-Outlook-Mumbai1_2017_V2.pdf
  5. “Global Perspectıves and Insights: Internal Audit in the Age of Disruption”, https://na.theiia.org/periodicals/Public%20Documents/GPI-Internal-Audit-in-the-Age-of-Disruption.pdf
  6. “Internal Audit’s Role in Cloud Computing”, https://www.protiviti.com/US-en/insights/wp-internal-audit-role-cloud-computing
  7. “Cloud Computing – An Internal Audit Perspective”, http://www.isaca.org/chapters1/chicago/Documents/Cloud_Computing_An_Internal_Audit_Perspective.pdf
  8. “Building Trust in the Cloud”, https://www.ey.com/Publication/vwLUAssets/EY_-Building_trust_in_the_cloud/%24FILE/EY-grc-building-trust-in-the-cloud.pdf
  9. “Robotic Process Automation in the Finance Function of the Future”, https://www.ey.com/Publication/vwLUAssets/EY_-_Robotic_process_automation_in_the_Finance_function_of_the_future/$FILE/EY-robotic-process-automation-in-the-finance-function-of-the-future-2016.pdf
  10. “Shannon Entropy”, http://www.ueltschi.org/teaching/chapShannon.pdf