BT (Bilgi Teknolojileri) denetimi, bir kurumun bilgi sistemlerinin güvenliğini, performansını, uyumluluğunu ve verimliliğini değerlendirme sürecidir. Ancak en iyi niyetle yapılan denetimlerde bile, bazı önemli detaylar gözden kaçabiliyor.
Karya Teknoloji, onlarca farklı sektörde gerçekleştirdiği denetim tecrübesiyle, birçok şirketin fark etmeden atladığı kritik noktaları belirlemiştir. Bu yazımızda, BT denetimi süreçlerinde sıklıkla göz ardı edilen unsurları ve bu durumların doğurabileceği riskleri açıklıyoruz.
En çok karşılaşılan hatalardan biri, kullanıcıların sistem içinde gereğinden fazla yetkiye sahip olmasıdır. Özellikle eski çalışan hesaplarının açık kalması ya da departman değiştiren kişilerin yetkilerinin güncellenmemesi, kurum içinde büyük risk oluşturur.
📌 Çözüm: Yetki matrislerinin düzenli olarak kontrol edilmesi ve rol bazlı erişim politikalarının uygulanması.
Sıklıkla gözden kaçan bir diğer konu, işletim sistemleri ve üçüncü parti yazılımların güncelleme takibinin eksik olmasıdır. Bu durum, sistemleri hem performans hem de güvenlik açısından savunmasız hale getirir.
📌 Çözüm: Otomatik güncelleme politikalarının etkinleştirilmesi ve sistem envanterlerinin merkezi olarak takibi.
BT denetimlerinde genellikle parola politikası var mı diye bakılır; ancak gerçek uygulama çoğunlukla denetlenmez. Kısa, tahmin edilebilir ya da tekrar eden şifreler kurum içi güvenliği tehdit eder.
📌 Çözüm: En az 12 karakterli, karmaşık yapıda parolalar + MFA (Çok faktörlü kimlik doğrulama) kullanımı.
Yedekleme var ama geri yükleme testi yapılmamışsa bu sadece bir illüzyondur. Felaket anında geri dönüş sağlanamayabilir.
📌 Çözüm: Yedekleme planlarının periyodik olarak test edilmesi ve geri yükleme prosedürlerinin güncellenmesi.
Denetimlerde sistem loglarının varlığı kontrol edilir ama logların nerede toplandığı, ne kadar süre saklandığı ve incelenip incelenmediği çoğu zaman ihmal edilir.
📌 Çözüm: SIEM sistemleri ile merkezi log toplama ve olaylara göre otomatik alarm yapılandırması yapılmalıdır.
Tedarikçi, entegratör veya API bağlantılarının güvenliği genellikle BT ekiplerinin gözünden kaçar. Oysa dış bağlantılar, en büyük tehditlerin kaynağı olabilir.
📌 Çözüm: Üçüncü taraf erişimlerinin sınırlanması, loglanması ve düzenli olarak gözden geçirilmesi gerekir.
Karya Teknoloji, klasik denetim anlayışının ötesine geçerek proaktif zayıflık tespiti, risk önceliklendirme ve uygulanabilir çözüm önerileri sunar.
BT Denetim Hizmetlerimiz:
Güvenlik denetimleri (Firewall, Endpoint, NAC vs.)
Sistem & network yapı denetimi
Yetkilendirme ve kullanıcı yönetimi denetimi
Yedekleme stratejisi analizi
Siber olay müdahale hazırlığı
Politika ve prosedür kontrolleri
En az yılda bir kez yapılması önerilir. Kritik sektörlerde (finans, sağlık) bu sayı artırılmalıdır.
Hayır. Penetrasyon testi sadece güvenlik açıklarını simüle ederken, BT denetimi sistem, politika, erişim, log ve daha fazlasını kapsar.
Hayır. Profesyonel denetim süreçleri, operasyonu aksatmadan, arka planda gerçekleştirilir.
Zayıf noktalar, önceliklendirilmiş riskler ve uygulanabilir aksiyon önerileriyle birlikte kapsamlı bir değerlendirme sunulur.
Dış denetim, iç sistemlere körleşen ekiplerin fark edemeyeceği riskleri ortaya çıkarır ve daha objektif çözümler sunar.
Adres: Esentepe Mah.
Kore Şehitleri Cad. No:38/7
Şişli/İstanbul
Tel: +90 212 217 35 35
Fax: +90 212 283 10 11
info@karyabt.com
