Bilgi


Ricardo Gameroff
Ortak, Kreston BA Arjantin, Arjantin

Join Ricardo Gameroff on LinkedIn

Ricardo, Kanada, Şili ve Arjantin’de Denetim ve Adli Tıp Ortağı olarak görev yaptığı Ernst & Young’da (EY) yirmi yılı aşkın süredir suistimal, denetim ve risk uzmanıdır. Coca-Cola, McDonald’s, Siemens, Fluor Daniels ve diğerleri dahil olmak üzere kamu hizmetleri, perakende, imalat ve madencilik sektörlerindeki büyük müşterilere liderlik etti. Ricardo, Amerika Birleşik Devletleri, Şili ve Arjantin’de Yeminli Mali Müşavir (CPA), Sertifikalı Suistimal Denetçisi (CFE) ve MBA unvanına sahiptir. Kendisi aynı zamanda Universidad de los Andes ‘de üniversite profesörü ve mesleki dolandırıcılık konusunda yayınlanmış bir yazar.


Siber tehditler çağında iç denetim

June 10, 2024

Sector: Teknoloji, Medya ve Telekom

Kreston BA Arjantin Yönetici Ortağı ve Kreston Global Küresel Denetim İş Geliştirme Direktörü Ricardo Gameroff, iç denetimin siber tehditlerle mücadeledeki önemli rolünü vurguluyor. Chartered IIA’in yayın organı olan Audit & Risk dergisindeki makalesinde, gelişen iç denetim uygulamalarının, titiz risk değerlendirmesi ve proaktif izleme yoluyla fidye yazılımı, kimlik avı, BEC saldırıları ve marka taklidi gibi tehditlere karşı dayanıklılığı nasıl artırdığını tartışıyor. Yayının tamamına erişmek için buraya tıklayın veya aşağıdaki özeti okuyun.

Bir savunma aracı olarak iç denetim

İç denetimler, siber risklerin azaltılmasında ve kurumsal varlıkların korunmasında her zaman kilit bir rol oynamıştır. Ayrıca, denetim süreçlerindeki son gelişmeler, denetimin yeteneklerini geleneksel yöntemlerin ötesine taşımıştır. Artık iç denetim ekipleri, gelişen siber tehditlere hızla uyum sağlamak için yenilikçi teknolojilerden yararlanabilirler.

İç denetim ekipleri için temel tavsiyeler:

  • Sürekli izleme: Ağ etkinliğini izlemek, anormallikleri tespit etmek ve olası güvenlik ihlallerini gerçek zamanlı olarak belirlemek için otomatik araçlar ve analizler kullanın.
  • Siber güvenlik becerilerini geliştirin: Ortaya çıkan tehditlere ve en iyi uygulamalara ayak uydurmak için sürekli eğitim ve mesleki gelişime yatırım yapın.
  • Veri analitiğini entegre edin: Risk değerlendirmesini iyileştirmek ve kalıplar ve anormallikler için büyük veri setlerini analiz ederek şüpheli faaliyetleri tespit etmek için veri analitiğini kullanın.
  • BT ve güvenlik ekipleriyle işbirliği yapın: Kuruluşun BT altyapısını ve güvenlik açıklarını anlamak için BT ve güvenlik departmanlarıyla yakın bir şekilde çalışın ve denetim prosedürlerini risk profiline göre uyarlayın.

Etik yapay zeka

Güçlü bir etik anlayışı ve sağlam bir kurum kültürü, kurumları siber tehditlere karşı korumak için çok önemlidir. Ayrıca, iç denetimler yönetimin kurum kültürünü izlemesine ve desteklemesine yardımcı olabilir. Sonuç olarak bu, tüm çalışanların siber güvenlik ve etik konusunda beklenen davranışları anlamasını sağlar. Bu, iyi karar almayı teşvik eder ve yönetişimi ve kontrolleri güçlendirir.

Karar alma ve otomasyonda yapay zekanın yükselişiyle birlikte şeffaflık, hesap verebilirlik ve önyargısız sistemlerin sağlanması çok önemlidir. Ayrıca, iç denetçiler YZ algoritmalarını denetleyerek ve mevzuata uygunluğu sağlayarak etik YZ uygulamalarının hayata geçirilmesine yardımcı olabilirler. Yapay zeka girişimlerine erken katılım, denetçilerin riskler konusunda tavsiyelerde bulunmasına ve çözümler önermesine olanak tanır.

Bileşenler siber hazırlık

Hazırlık, siber tehditlerle mücadelede kilit öneme sahiptir. Kurumsal siber hazırlığın oluşturulması yönetişim, strateji, olay müdahalesi ve çalışan eğitimini içerir.

  • Yönetişim ve strateji: İç denetim, etkin siber güvenlik yönetimini desteklemeli ve bu konuda tavsiyelerde bulunmalı, açık politikalar, prosedürler ve hesap verebilirlik yapıları oluşturulmasına yardımcı olmalıdır. Rollerin, sorumlulukların ve iş hedefleriyle uyumlu stratejik hedeflerin tanımlanması çok önemlidir.
  • Risk değerlendirmesi: Düzenli risk değerlendirmeleri, siber risklerin belirlenmesine ve önceliklendirilmesine yardımcı olarak verimli kaynak tahsisine ve hedeflenen azaltma stratejilerine olanak tanır.
  • Olay müdahalesi: Kuruluşların, belirlenmiş ekipler ve düzenli eğitim tatbikatları içeren resmi bir olay müdahale planına ihtiyacı vardır. Tehdit istihbaratı izleme ve olay tespit sistemleri gibi proaktif önlemler, hızlı ve etkili müdahaleler için gereklidir.
  • Çalışan eğitimi: İnsan hatası olayların yaygın bir nedeni olmaya devam ettiğinden, çalışanları siber tehditler ve en iyi uygulamalar konusunda eğitmek hayati önem taşımaktadır. Kimlik avı, şifre güvenliği, güvenli internet kullanımı ve güvenlik farkındalığı kampanyaları hakkında düzenli eğitimler, bir ihtiyat kültürünü teşvik eder.

Olayları önleyen iç denetim

İç denetimlerin siber güvenlik olaylarını önlediğine dair örnekler bulmak zordur, zira “ramak kalalar” kamuoyuna duyurulmamaktadır. Bununla birlikte, başarılı siber saldırılar genellikle etkili denetim uygulamalarının ihlalleri nasıl azaltabileceğini veya önleyebileceğini vurgulamaktadır.

Otomotiv sektöründe, 2023 Tesla veri ihlali, iki eski çalışanın “içeriden yaptığı bir iş” nedeniyle 75.000’den fazla kişiyi etkilemiştir. Bu olay, yetkisiz erişimi ve riskli davranışları tespit etmek için kapsamlı çalışan eğitiminin, sıkı erişim kontrollerinin, düzenli denetimlerin ve ihbar politikalarının önemini vurgulamaktadır.

Finansal hizmetler sektöründe, yaklaşık 150 milyon kişiyi etkileyen Mart 2017 Equifax veri ihlali, saldırganların BT sistemindeki açıklardan faydalanması sonucu ortaya çıkmıştır. Ayrıca, dış saldırıları önlemek karmaşık olsa da, sağlam siber güvenlik önlemlerine, veri yönetimi uygulamalarına ve iç kontrollere odaklanan iç denetim ekipleri ihlallerin hızlı bir şekilde tespit edilmesine yardımcı olabilir ve hızlı hasar azaltma ve bildirim sağlayabilir.

E-posta pazarlama hizmetleri sağlayıcısı Mailchimp, çalışanlarına yönelik sosyal mühendislik saldırıları nedeniyle çok sayıda veri ihlaliyle karşı karşıya kaldı ve bu da kullanıcı hesaplarının tehlikeye girmesine ve müşteri verilerinin açığa çıkmasına neden oldu. İç denetimler, çalışanların yeterli siber güvenlik eğitimi almasını sağlamalı ve iki faktörlü kimlik doğrulama ve pratik kimlik yönetimi uygulamalarını değerlendirmelidir. Ayrıca, güvenlik açıklarını hızlı bir şekilde tespit etmek ve azaltmak ve ihlalleri derhal ele almak için politikalar ve sistemler mevcut olmalıdır.

Teknoloji hızla geliştikçe, buna bağlı riskler de artıyor. İç denetim, potansiyel güvenlik açıklarını proaktif bir şekilde tespit etmek ve ortaya çıkan tehditleri öngörmek için uygulamalarını uyarlamalı ve yapay zekâ, veri analitiği ve makine öğrenimi gibi teknolojik gelişmelerden yararlanmalıdır. Gelecekteki riskleri öngörebilen iç denetim ekipleri, kaçınılmaz siber saldırılara yanıt vermek için kurumu en uygun şekilde konumlandırarak yönetime değerli rehberlik sağlayabilir. İşletmenize siber güvenlik protokolleri uygulama hakkında daha fazla bilgi için buraya tıklayın.