IoT Yönetişiminde İç Kontrol Risk Faktörleri -İnceleme
Bilgi güvenliği zafiyetine yol açacak şekilde sistem ile entegre olmuş, yetkilendirilmiş IoT’lerin sürekli gözetilmesi ve yönetilmesi gerekmektedir…
2020 yılı itibariyle 6G’den ve 20 Gigabyte büyüklüğünde veri transferlerinden, karanlık fabrikalardan, otomasyonlardan, RPA’lardan bahsediyoruz. Hızlanan veri transferi ve ilerleyen mikro çip teknolojileri ile hayatımıza daha önce girmeyen, fütüristik olduğunu düşündüğümüz bir çok nesne ile tanışma fırsatı yakaladık. Evi temizleyen, sağlık taraması yapan, trafik polisi rolü üstlenen ve daha fazlası. Bunlar görünenler, bir de görünmeyenler… Internet of Things (IoT), Nesnelerin İnterneti denilen konsept ile bu tekil görülen nesneler birbirleri (machine-to-machine) ve bireyler (machine-to-man) ile iletişime &/ etkileşime girerek, verimliliklerini artırırken, hayatımızı kolaylaştıracak çıkarımlarda ve öngörülerde bulunmaya başladılar.
Gartner’ın yaptığı araştırmaya göre, 2020 yılında dünyada yaklaşık 6.4 milyar adet IoT bulunduğu tahmin edilmektedir. Bunların yarattığı hizmet ekosisteminin ise 235 milyar USD’nin üzerinde olduğu düşünülmektedir.
IoT Yönetişimi ve Gerekliliği
Çok ekstrem bir örnek ile başlamak gerekirse, evdeki bebek kamerasının, oyuncak robotunun kötü niyetli insanlar tarafından bir güvenlik açığına/zaafiyetine neden olabileceğini bilmek dahi IoTlere yönelik bir kontrol mekanizmasının/kurallar silsilesinin oluşturulması ihtiyacını ortaya çıkarmaktadır.
İşletmeler özelinde ise, bilgi güvenliği sızıntısına/zafiyetine yol açacak şekilde sistem ile entegre olmuş, yetkilendirilmiş IoT’lerin sürekli gözetilmesi ve yönetilmesi gerekmektedir. Burada mevcut Commitee of Sponsoring Organizations (COSO), Control Objectives for Information and Related Technologies (COBIT) ve Risk Management Standardı ISO 31000'i kullanılması ilk akla gelen yöntemlerdir. Ancak, IoT için, bu standartlar çerçevesinde, değişen, gelişen teknolojiye adapte daha dinamik kontrol mekanizmaları geliştirmek yerinde olacaktır. Bu alanda uluslararası kabul görmüş bir IoT standardı (network, comm mimarisi, vb) bulunmamaktadır. IEEE P2413 standardı farklı standartlarla kıyaslandığında IoT’ye yönelik genelleştirici özelliği bulunmaktadır.
IoT, Bilgi teknolojileri şemsiyesi altındaki unsurlardan bir tanesidir. Bu nedenle Mahremiyet, Güvenlik, Etik, Bulut (Privacy, Security, Ethics, Cloud) BT güvenliğinde olduğu gibi IoT için de önemlidir.
IEEE P2413'e Hızlı Bakış
Standart üç karlı mimari şeklinde ele almaktadır. Yönetim katmanı, İletişim&Bağlantı katmanı ve Donanım katmanı.
Önemli Risk Faktörleri
Risk faktörlerine geçmeden önce, kısaca risk faktörlerinin neden bu kadar önemli olduğuna değinmek gerekir. Öncelikle yukarıda kısaca değindiğim iç kontrol çerçeveleri kapsamında IoT unsurunu ele almak bütünsel bir bakış açısı gerektirmektedir. Bütünsellik, bütün seviyelerdeki paydaşlar ile etkin iletişim kurarak; sürekli gelişime odaklanmış süreç yönetimine odaklanmaktır. Ancak bu şekilde risk faktörlerini sürekli günceller, takip eder ve kurumun hazır oluşu desteklenir.
2020 yılında, Information & Management dergisinde yayınlanan bir makalede, IEEE P2413 sistematiğinde, Yönetim (14), İletişim & Bağlantı (56) ve Donanım (13) katmanlarında belirlenen toplam 83 adet risk unsuru sekiz farklı risk kategorisinde ele alınmıştır.
Bilgi teknolojileri, iç denetim ve risk yönetimi alanlarında görev yapan üst düzey yöneticilere yapılan anket sonuçları dikkate alınarak, risk unsurları önem derecesine göre sıralanmıştır.
Risk kategorileri hakkında kısa bir bilgi vermek yerinde olacaktır. Önemi yüksek risk kategorisinden düşük risk kategorisine göre açıklamalar şu şekildedir:
- Süreç Riskleri: Operasyonların sekteye uğramasına yol açacak, operasyonlar öncesinde ve sonrasında, operasyonların faaliyete geçmesi ile ortaya çıkan ve uygulamaların artması ile etkileri artan risklerdir.
- Ahlaki Riskler: Kurumun etik kurallarına uygun olmayan, bireysel çıkar elde etmeye yönelik tutum ve davranışlardır.
- Veri İşleme ve BT Riskleri: Verinin işlenmesi sırasında karşılaşılacak teknik sorunlardan, yöntem tercihlerinden ve veri güvenliğinden kaynaklı risk unsurlarıdır.
- Yetkilendirme Riskleri: Yetkilendirilmiş kuruluşların/kişilerin/kullanıcıların yetkisiz işlem yaptığı durumlardır.
- Operasyonel Riskler: Kurum içerisindeki olayların tetikleyeceği, önlenebilir/ kaçınılabilir riskler olarak değerlendirilmektedir. (Ör: Etkin kaynak yönetiminin olmaması, yetersiz insan kaynağı, suistimal olayları,vb.)
- Karar Alma Riskleri: Karar almayı destekleyen bilgilerin toplanmasında, işlenmesinde, plan aşamasında ve karar alma aksiyonu sırasında ortaya çıkabilecek risklerdir.
- Finansal Riskler: Kurumun faaliyetlerini ve paydaşlarına karşı finansal yükümlülüklerini yerine getirememesine yol açabilecek riskler olarak değerlendirilmektedir.
- Çevresel Riskler: Kurumun kontrolü dışında gerçekleşebilecek ve operasyonlarını olumsuz etkileyecek risklerdir.
Risk Kategorilerinin İncelenmesi ve Alt Risklerin Listesi
Temel risk kategorileri sonrasında, ankete katılan katılımcıların verdiği cevaplar ışığında ortaya çıkan 83 risk unsuru başlıklara ayrılmıştır. (Detaylı tablo için lütfen aşağıdaki görsele veya buraya tıklayınız. )
Risk unsurları sadece fikir vermesi açısından önem arz etmektedir ve ankete katılanların subjektif değerlendirmeleri ışığında, kendi içerisinde de bir sıralamaya tabi tutulmuştur.
Sonuç
Bu incelemede listelenen riskler, farklı sektörler ve hattı farklı firmalar için farklılık gösterebilir ve daha detaylandırılabilir. Bunları temel, başlangıç noktası (Day 0'daki durum) olarak ele alabiliriz. Kurumlar kendi sistemlerine özgü kontrol/ risk yönetimi/ iç denetim evrenleri ve methodları geliştirmelidir. Geliştirilen sistemler şeffaf bir şekilde denetlenmelidir.
Özellikle birinci seviye ve üst yönetim arasındaki koordinasyonu sağlayan İletişim & Bağlantı kademesindeki riskler önem arz etmektedir. Bu operasyonel bağlantı ve köprü noktalarındaki zafiyetlerin titiz bir şekilde ortaya konulması ihtiyacını doğurmaktadır.
BT Yönetişimi belirli bir şemsiye görevi görüyor olsa da IoT Yönetişimi mikro ölçekte altında genişlemeye devam etmektedir. Bulut bilişim yönetimi gibi bir çok konuda kesişim noktaları bulunmaktadır. Yalnız IoT evreninin genişlemeye, kurumlarımızda ve bireysel hayatımızda kullanım alanlarının yaygınlaşması ile kendine özgü yönetişim temeli ile ele alınması gerekmektedir. Buna sonraki yazılarımda değineceğim.
Kontrol sistemleri ve iç denetim, günümüz şartlarına uygun olarak daha çevik müdahaleler ve mümkün olan noktalarda sürekli gözetim yaparak riskleri takip etmelidir.
Ve en güçlü kontrol, iç denetim sistemleri en zayıf halkanız olan bilgisiz personel kadardır. İç eğitimler sürekli olmalıdır.
Kaynak: Risk factors of enterprice internal control under the IoT governance: A qualitative research approach, She-I Chang, Li-Min Chang, Jhan-Cyun Liao, Information and Management Magazine
