Üniversitenin 2021 yılı hesap ve işlemlerinin denetimi sırasında bilişim sistemleri de incelenmiş ve aşağıdaki değerlendirmeler yapılmıştır.

Sistemlere kullanıcı erişimini ve kısıtlamalarını belirleyen kurallar mevcuttur.

Sistemlere erişim için kullanıcı kaydı alınmaktadır.

Tüm sistemler kullanıcı adı, parola ve yetkilendirme esasına göre korunmakta, yetkisiz erişimler bu şekilde engellenmektedir. Uygulamalara ve sistemlere erişimlerde güçlü şifre kullanımı zorunludur. En az 8 karakterli, büyük- küçük harf ve sayı kullanımı ile parolalar oluşturulmakta ve parolalarda kişisel bilgiler kullanılmamaktadır. Personelin kendi işi ve yetkisi dışındaki sistemlere erişimi, kişiye özgü parola ve yetkilendirme ile engellenmektedir.

İç ağda erişimlerin kayıtları tutulmakta ve sistem yöneticileri gibi ayrıcalıklı kullanıcıların işlemleri kaydedilmektedir. (Antikor NGFW tarafından tüm hareketler zaman damgalı olarak loglanmaktadır.)

Sistem yöneticilerinden yetkileri dışında başka kullanıcılar yerine işlemler yapmaları istenmemektedir.

Sistemde güvenlik duvarı, saldırı tespit ya da önleme tedbirleri mevcuttur. Antikor NGFW eklentileri ile birlikte kurulu ve çalışır durumdadır. Virüsten korumak için Microsoft Defender kullanılmaktadır.

Verilerin kaybolmasını veya erişilmez olmasını engellemek için yedekleme yazılımı tarafından verilerin günde 2 kez yedeği alınmaktadır.

Kullanıcıların veri işlemleri gerektiğinde incelenmek üzere hem hizmet verilen sunucu hem de Antikor NGFW tarafından loglanmaktadır.

Uygulamalarda hatalı veri girişlerine engel olacak otomatik sistem kontrolleri Yazılım Hizmetleri adı altında hizmet alımı yapılan özel firmalar tarafından yapılmaktadır. Gerekli güvenlik önlemleri form kontrolleri ile sağlanmıştır.

Verinin sistemler arasında transferinde güvenliğini sağlamak için SSL sertifika doğrulaması ile HTTPS protokolü kullanılmaktadır.

Eksiklikler:

Kurumun stratejisinde, iç kontrol düzenlemelerinde, eğitim vb. politikalarında bilişim sistemlerine özgü düzenlemeler bulunmamaktadır.

Bilişim sistemlerinin, donanım, yazılım ve sağlanan hizmetlerini kapsayan bir envanteri ile bilişim sistemlerinin risklerinin değerlendirildiği güncel bir risk kütüğü bulunmamaktadır.

Bilişim sistemleri için bir Bilgi Güvenliği Politikası yoktur. Bilgi Güvenliği Yönetimi kurulmamıştır. Bilişim sistemleri stratejisi, politikaları ya da temel kullanımı belirleyen düzenlemelerde, güvenlik gereklilikleri, yetki ve sorumluluklarla güvenlik ihlallerine ilişkin yaptırımlar açıklanmamıştır. Sistemlerin fiziken korunması ve erişimlerinin kısıtlanmasına ilişkin kurallar uygulanmamaktadır.

Kullanıcıların işletim sistemi yapılandırmasını, güvenlik ayarlarını vb. değiştirebilecekleri yetkiler kısıtlanmamıştır.

Kullanıcılar yetkilerini kullanma konusunda eğitim almamışlardır. Kurumun yedekleme-kurtarma, acil durum prosedürleri yoktur. Veri girişlerine ilişkin süreçler, kontrol noktaları ve sorumluluklar belirlenmemiştir. Veri girişlerinde yetkiler görevlerin ayrılığına (hazırlayan, yapan, kaydeden, onaylayan gibi) uygun dağıtılmamıştır.

Muhasebe bilgilerinin doğruluğu dayanakları olan kaynak belgelerle ve ilgili olduğu diğer sistemlerin verileriyle kontrol edilmemektedir.

Kullanıcılar sistemleri hatalı kullanımlarından kaynaklanan risklerle ilgili bilgi sahibi değildir. Kendilerine bilgi güvenliği eğitimi verilmemiştir.

Hatalı girişlerin tespiti ve düzeltilmesine ilişkin kontroller ve süreçler belirlenmemiştir.

Hatalar sistem tarafından otomatik raporlanmamaktadır.

Uygulamaların amaca uygunluğu ve güvenliğine ilişkin test süreci uygulanmamaktadır.

Uygulamaların hatalı işlem yapması durumunda düzeltme süreci yoktur. Kesinleşmiş verilerin yetkisiz kişiler tarafından değiştirilmesi veya silinmesinin engellenmesi için erişimler kısıtlanmamaktadır. İş sürecinin değişmesi halinde sistemde değişikliğin nasıl yapılacağı belirlenmemiştir.

Kamu İdaresi cevabında bulgudaki tespitler kabul edilmiş olup; bilişim sistemlerinde

tespit edilen eksikliklerin Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Başkanlığı koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberinde yer verilen Bilgi Güvenliği Yönetim Sistemi kurulum ve devreye alma çalışmaları ile giderilebileceği, 2021 yılı içerisinde başlatılan bahse konu çalışmaların 2022 yılında tamamlanması ve eksikliklerin giderilmesinin planlandığı bildirilmiştir.