Üniversitenin 2021 yılı hesap ve işlemlerinin denetimi sırasında bilişim sistemleri de denetlenmiş ve ulaşılan sonuçlar aşağıdaki belirtilmiştir.

Bilişim Kaynakları Kullanım Yönergesi kapsamında yapılan işlemler ve benzeri tüm çalışmalar iç kontrol sistemleriyle entegre bir şekilde yürütülmektedir.

Kurumdaki tüm donanım, yazılım ve sağlanan hizmetleri kapsayan bilişim kaynakları envanteri mevcuttur.

İç kontrol kapsamında bilişim sistemlerinin risklerinin değerlendirildiği birim riskleri oluşturulmuştur.

Bilişim sistemleri stratejisi, politikaları ya da temel kullanımı belirleyen düzenlemelerde, güvenlik gereklilikleri, yetki ve sorumluluklarla güvenlik ihlallerine ilişkin yaptırımlar Bilişim Kaynakları Kullanımı Yönergesi’nde ilgili Kanun’a dayanılarak açıklanmıştır.

Bilişim sistemlerine ilişkin işlemler alanlarıyla ilgili mevzuat çerçevesinde planlanıp yürütülmektedir. Tüm otomasyonlar ve bunlara ait sözleşmeler yasal mevzuatlarda yapılan güncellemeleri de dikkate alarak entegre edilmektedir.

Sistem odası içerisinde güncel standartlara uygun olarak yangın söndürme, iklimlendirme, yedekleme, güvenlik kitleri, anlık izleme, anlık müdahale cihazları ile sistem fizikselleri korunmaktadır. Ayrıca üç kademeli giriş (retina tarama, kartlı ve şifreli giriş) güvenliği sağlanmaktadır.

Sistemlere kullanıcı erişimini ve kısıtlamalarını belirleyen kurallar oluşturulmuş ve uygulanmaktadır.

Genel anlamda kısıtlamalar network cihazları ve güvenlik yazılımı üzerinden yapılmaktadır.

Güvenlik yazılımları ve donanımları üzerinden yetkisiz erişimler engellenmektedir. Network üzerinden yapılan wlan yapılandırması ile her otomasyon ve işlem farklı trafik izlemektedir. Her otomasyon üzerinde her kullanıcı için görevine ilişkin rol bazlı yetkilendirme yapılmaktadır. Parola güvenliği açısından ise güçlü parola kullandırılması sistem tarafından zorunlu hale getirilmiştir. Ayrıca kurum ağına tanımlı olmayan IP’ler için IP bloklama yapılmaktadır. 3 kez hatalı şifre denemelerinde bloke edilmekte ve log kaydı alınmaktadır.

Parola güvenliği açısından güçlü parola kullandırılması sistemler tarafından zorunlu olarak uygulanmıştır. (Büyük harf, küçük harf, rakam, belli zaman periyotlarında şifre güncelleme, noktalama işaretleri ve özel karakterlerden oluşan parolalar zorunlu kılınmıştır.) Ayrıca sistemlere e-imza, e-devlet aracılığıyla da giriş imkanı sunulmaktadır.

Personelin sadece kendi birimi, işi ve yetkili olduğu sistem üzerinde erişimine izin verilmektedir. Yetkisi olmayan herhangi bir sisteme erişimi engellenmektedir.

Bilgi sistemlerini kullanmak için yetkilendirilen her bir kullanıcı, hangi yetkiyle hangi işlemleri yapabileceği konusunda gerek sistem içi bilgilendirmeler gerekse bakım anlaşmaları kapsamında sunulan destekler çerçevesinde kullanmış olduğu sistem ile ilgili bilgilendirilmektedir.

Yetkilendirilmiş kullanıcıların IP adresi değişmediği sürece aynı şifre ile birden fazla oturum açmalarına sistem engel olmaktadır.

Sistem yöneticileri gibi ayrıcalıklı kullanıcıların işlemleri loglanmaktadır. Bilgi sistemleri üzerinde yapılan tüm işlemler kayıt altına alınıp loglandığı ve rol bazlı yetkilendirmeler yapıldığı için sistem yöneticilerinden yetkileri dışında başka kullanıcılar yerine işlemler yapmaları mümkün değildir.

Sistemler güvenlik duvarıyla korunmaktadır. Güvenlik duvarının yanında, güvenlik duvarıyla entegre çalışan saldırı tespit ve önleme sistemleri kullanılmaktadır. Dışardan erişimlerde kurallar, port kısıtlamaları ve sıkılaştırma işlemleri firewall üzerinden

yapılmaktadır. Gelen saldırılar ayrıca sistemleri tarafından tespit edilip gerekli engellemeler yapılmaktadır.

Yedekleme yazılımları aracılığıyla mevcut tüm veriler korunmaktadır. Sanal ortamda ve fiziki ortamda depolama birimlerine düzenli olarak yedeklenmektedir.

Veri girişleri ve kontroller elektronik ortama sistemler üzerinden yetkilendirilmiş sorumlu personel tarafından yapılmaktadır.

Veri girişlerinde yetkiler görevlerin ayrılığına (hazırlayan, yapan, kaydeden, onaylayan gibi) uygun dağıtılmıştır.

Kullanıcıların veri işlemleri gerektiğinde incelenmek üzere sistemler tarafından kayıt altına alınmaktadır.

Muhasebe işlemlerinde kullanılan kaynak belgeler (vergi borcu, SGK borcu, yasaklı sorgulaması, geçici teminatlar vb) ilgili sistemler tarafından sorgulanarak doğrulanmaktadır.

Uygulamalar kendi içerisinde barındırdığı parametreler ve zorunlu alan tanımlamaları ile hatalı veri girişlerine engel olacak otomatik sistem kontrolleri yapılmaktadır.

Sistemler hatalı veri girişlerine karşı otomatik önlemler geliştirdiği için kullanıcılar, hatalı kullanım söz konusu olduğunda sistem tarafından bilgilendirilmektedir. Kullanıcılar yetkileri kapsamında oluşabilecek risklerden haberdardır.

Hatalı girişlerin tespiti ve düzeltilmesine ilişkin kontroller ve süreçler belirlenmiştir.

Bilgi sistemlerinde raporlama modülleri mevcuttur. Hatalar sistem tarafından otomatik olarak raporlanmaktadır.

İhtiyaçlara binaen tedarik edilen tüm kurum içi bilgi sistemleri kullanıma hazır, mevzuata uygun haliyle test süreçlerinden geçmiş ve kurumsal bazda referans sunabilecek, alanında uzmanlaşmış, sadece o alana yönelik yazılımlar temin edildiği için ayrıca bir test sürecine ihtiyaç duyulmamaktadır.

Tüm sistemlerde hatalı işlem yapılması riskine karşı düzeltme süreci mevcuttur. (işlemi geri alma, iptal etme, akışı yeniden başlatma gibi)

Kesinleşmiş veriler sistemler üzerinde ilgili ve yetkili son amir tarafından onaylanıp kaydedildiğinde üzerinde işlem yapılması mümkün değildir. (Örneğin imzalanıp sayı almış bir

evrak, kaydı kesinleşmiş bir öğrenci, tamamlanmış bir ödeme, ambara girişi yapılmış herhangi bir malzeme üzerinde silme, değiştirme ya da yok etme, kullanıcıya tahsis edilmiş bir mail veya EBYS hesabı gibi işlemler hem kısıtlanmış hem de engellenmektedir.)

Sistem içerisinde akışlarda herhangi bir değişiklik söz konusu ise gerekli işlem, yeni gelişen duruma göre sistem arka planında yapılandırılmaktadır. Bu özellikteki müdahaleler sadece sistem yöneticileri tarafından yapılabilmektedir.

Sistemler arasında ihtiyaç duyulan veri eşleştirme, kontrol, güvenlik ve transferlerinde karşılıklı çalıştırılan webservisler aracılığıyla işlem ve güvenlik sağlanmaktadır.

Eksiklikler:

Bilişim sistemleri için bir Bilgi Güvenliği Politikası yoktur.

Bilgi Güvenliği Yönetimi henüz kurulmamıştır. Hizmet alımı yöntemiyle temin edilmesi için çalışmalara başlanmıştır.

İç ağda erişimlerin kayıtları tutulmamaktadır. Bütçe yetersizliği sebebiyle projelendirilen yazılım ve donanımlar temin edilememiştir.

Bütçe yetersizliği nedeniyle son kullanıcılar için herhangi bir antivirüs yazılımı alınmamıştır.

Kurumun yedekleme-kurtarma, acil durum prosedürleri çalışmaları henüz tamamlanmamıştır. BGYS İSO 27001 çalışmaları tamamlandığında ve BGYS Üniversitede kurulmuş olduğunda tüm politika, prosedürler, talimatlar yönergeler tamamlanmış olacaktır.

Kamu İdaresi cevabında özetle; bulguda yer alan eksikliklerin bütçe yetersizliği sebebiyle giderilemediği, bütçe imkânları ölçüsünde en kısa sürede giderilmeye çalışılacağı bildirilmiştir.

Kurumun bilişim sistemlerindeki eksikliklerin giderilip giderilmediği hususunun sonraki yıl denetimlerinde izlenmesinin uygun olacağı değerlendirilmektedir.