Zamanla olur: Kaliteli hızlı ve ekonomik denetimler

PwC Türkiye Şirket Ortağı SELİM ELBANBugünlerde karşımıza ya­pay zekâ ile ilgili çok sayıda yazı çıkıyor.

Ben de “yapay zekâyla bunların hepsi mümkün” diyerek konuyu basitleştirmek ye­rine, önce elimizdeki veriyi ve ha­lihazırda uygulayabileceğimiz çö­zümleri verimli kullanmakla baş­lamak gerektiğini düşünüyorum.

COBIT olgunluk seviyelerini ha­tırlayanlar için söyleyebiliriz ki süreçlerimizi önce tanımlanmış ve tekrarlanabilir hale getirdiği­miz (seviye 3), ardından ölçülen ve yönetilen bir yapıya taşıdığı­mız (seviye 4) bir noktaya geldik­ten sonra, seviye 5 ile otomasyon ve ileri teknolojileri konuşmanın zamanı gelmiş demektir.Eski paradigma: Üçünden ikisini seçUzun yıllar boyunca proje yöne­timi dünyasında görünmez bir ku­ral vardı: “İyi, hızlı, ucuz – üçün­den en fazla ikisini seçebilirsin.”Bunu denetim alanına uyarla­yacak olursak; bir banka düşünün.

Kritik sistemler, müşteri verisi, regülasyon beklentileri… Denetim kapsamını geniş tutmak istediğin­de, ya büyük bir denetim ekibi kur­mak zorunda kalır (maliyet artar) ya da denetim aylarca sürer (hız düşer).Bu ikilem, sadece belirli bir sek­töre özgü değil.

Sağlıktan peraken­deye, lojistikten telekoma kadar her yerde aynı soru var: “Daha iyi bir yol olamaz mı?”Yanıt, giderek daha net: Evet, ama “zamanla” ve “doğru kurguyla”1.

Kapsamı genişleten, hızı artıran teknolojilerBugün bilgi sistemleri deneti­minde kullanılan bazı temel tek­nolojiler hem kapsamı genişletip hem de denetim hızını artırarak, birim maliyeti aşağı çekebiliyor:*Log yönetimi ve SIEM (Secu­rity Information and Event Mana­gement): Büyük bir e-ticaret fir­masını düşünelim.

Milyonlarca işlem, binlerce kullanıcı, yüzler­ce sistem...

Eskiden, denetçi log­ları örneklemeyle inceler, küçük bir kesit üzerinden sonuca varır­dı.SIEM ve log analitiği sayesinde:● Yetkisiz erişim girişimleri,● Kritik sistem değişiklikleri,● Olağan dışı işlem hacimlerisistematik ve sürekli izlenebili­yor.

Denetçi artık “logları tarayan kişi” değil, “çıkan bulguları risk açısından yorumlayan kişi” hali­ne geliyor.Zafiyet tarama ve konfigü­rasyon uyum araçları: Bir ener­ji şirketinde yüzlerce sunucu ve ağ cihazının güvenlik ayarlarını ma­nuel kontrol etmek neredeyse im­kansız.

Otomatik zafiyet tarama (vulnerability scanning) ve konfi­gürasyon denetim araçları hangi sistemin kritik zafiyeti olduğunu, hangi sunucunun güvenlik bench­mark’larına uymadığını hızla or­taya çıkarıyor.

Denetim ekibi bu çıktılar üzerinden risk önceliklen­dirmesi yaparak zamanını en kri­tik noktalara harcayabiliyor.GRC (Governance, Risk and Compliance) platformları: Özellikle regüle sektörlerde (ban­ka, sigorta, telekom) denetim, risk ve uyum ekiplerinin ortak ve­ri üzerinde çalışmasını sağlayan GRC araçları kontrol envanterini merkezi yönetmeyi, denetim test sonuçlarını tek yerde toplamayı, aksiyon planlarını izlemeyi müm­kün kılıyor.

Bu sayede her denetim “sıfırdan” başlamak yerine, önce­ki yılların bulguları, test sonuçları ve risk değerlendirmeleri üzerine inşa ediliyor.

Kapsam genişlerken, tekrara dayalı iş yükü azalıyor.2.

Zamana yayılmış dönü­şüm: Nasıl ekonomik hale ge­liyor?Elbette bu teknolojiler “sihirli değnek” değil.

Ciddi lisans mali­yetleri, entegrasyon süreçleri ve değişim yönetimi gerektiriyor.

Ancak kritik nokta şu: Yatırım bu­günün bütçesinden yapılırken, ka­zanç yıllara yayılarak gerçekleşi­yor.Örneğin orta ölçekli bir pera­kende grubu düşünelim:●İlk yıl sadece kartlı ödeme sis­temleri ve kritik uygulamalar için log toplama, basit zafiyet tarama­ları ve GRC üzerinde temel kont­rol kataloğu kuruyor.● İkinci yıl, kapsamı ERP, insan kaynakları sistemi ve mağaza alt­yapısına genişletiyor; bazı kont­roller otomatik iş akışlarıyla test edilmeye başlanıyor.● Üçüncü yılda ise yıllık dene­tim planının önemli kısmı, zaten sistemlerden gelen göstergelerle besleniyor; denetim ekibi manuel testleri sadece yüksek riskli alan­lara odaklıyor.Sonuç: Aynı büyüklükteki bir denetim ekibi, üç yıl önceye kıyas­la:● Çok daha fazla sistemi ve sü­reci kapsıyor (kapsam artıyor),● Sonuçlar daha isabetli, tutar­lı ve derinlikli hale geliyor (kalite artıyor),● Bulguları daha hızlı üretiyor (hız artıyor),- Denetim başına düşen maliyet düşüyor (ekonomi sağlanıyor).Bu noktada “kaliteli, kapsamlı, hızlı ve ekonomik” olma hali, bir anda değil, “zamanla” ve “kademe­li olarak” ortaya çıkıyor.3.

Gelecek: Sürekli ve akıllı denetimGelecekte bu dönüşümün odak kelimesi “continuous audit” (sü­rekli denetim) olacak.Bilgi sistemleri denetimlerinde:● Kullanıcı yetkilerindeki kri­tik değişiklikler gerçek zamanlı takip ediliyor.● Önemli konfigürasyon deği­şiklikleri (örneğin firewall kural­ları) eşik değerleri aştığında oto­matik uyarı üretiliyor.● Kritik log türleri (veri sızıntı­sı şüphesi, başarısız oturum açma sayısı, anormal veri transferi) sü­rekli izleniyor.Bunun üzerine, yapay zeka des­tekli platformların devreye girme­siyle yeni bir seviye daha açılıyor.Denetçi veya risk yöneticisi:● Son 1 ayda yetki setinde ola­ğan dışı değişiklik yapılan kullanı­cılar kimler?● Üretim ortamında, mesai sa­atleri dışında yapılan değişiklik­leri neler?● Bu zafiyet tarama sonuçla­rından, en yüksek iş etkisine sahip olan ilk 10 sistemi listelegibi soruları doğal dille sorup anlamlı ve özetlenmiş yanıtlar alabiliyor.Bu tip platformlar, ham veriyi bilgiye, bilgiyi de daha hızlı ve isa­betli denetim kararlarına dönüş­türüyor.

Böylece denetçi, zamanı­nın büyük bölümünü veri toplama ve sınıflandırmaya değil, “yorum­lama ve değer yaratmaya” harcı­yor.Bu resmin gözden kaçan ama kritik bir boyutu daha var: Veri ka­litesi.

Denetim ne kadar teknoloji destekli olursa olsun, beslendiği veri hatalı, eksik veya tutarsızsa, üretilen bulgular da o kadar zayıf olur.

Kaliteli, hızlı ve ekonomik denetim hedefine yaklaşmanın en önemli adımlarından biri, veri­yi bir “yan ürün” değil, denetimin üzerine kurulduğu “temel varlık” olarak ele almaktır.

Kısacası, veri kalitesine yatırım yapmadan, tek­noloji yatırımlarının gerçek po­tansiyelini denetim tarafında ha­yata geçirmek mümkün değildir.Üçgen de değişiyor, dönüşüm varKaliteli, hızlı ve ekonomik bir bil­gi sistemleri denetimi, bir gecede elde edilecek bir başarı değil.

An­cak doğru teknolojilerle, uygun bir yol haritasıyla, zaman içine yayıl­mış bir dönüşüm programı ile he­defe her yıl biraz daha yaklaşmak mümkün.

Özetle bugünün denetim ekipleri için asıl soru: Önümüzdeki yıllarda, teknoloji destekli bir de­netim modeli kurarak hem kapsa­mı genişlettiğimiz hem hızı ve ka­liteyi artırdığımız hem de birim maliyeti düşürdüğümüz sürdürü­lebilir bir yapıyı nasıl inşa ederiz?