Risk reyestr əsasən audit, idarəetmə və risklərin idarə edilməsi sahəsində istifadə olunan əsas sənəddir. Qısa izah edəsi olsaq, risk reyestri bir təşkilatın müəyyən etdiyi bütün riskləri, onların xüsusiyyətlərini, qiymətləndirilməsini və cavab tədbirlərini bir yerdə toplayıb sənədləşdirən canlı bir sənəd və ya bazadır. Sadə dillə desək, “nə yanlış gedə bilər, nə qədər ciddi olar, biz nə edəcəyik?” suallarına cavab verən struktur siyahıdır.

Niyə gərəklidir?

Risk reyestrinin var olmasının bir neçə səbəbi var. Belə ki, riskləri ağızdan-ağıza izləmək mümkün olmur. Xüsusilə böyük bir təşkilatlarda yüzlərlə risk var, texniki, maliyyə, insan, tənzimləyici və s. Risk reyestr bu dağınıqlığı nizama salır, görünürlük yaradır, cavabdehliyi müəyyən edir, yəni bu riskdən kim məsuldur bunu müəyyən edir, bundan başqa, qərar qəbulunu asanlaşdırır. Auditorlar üçün isə bu sənəd mövcud nəzarət mexanizmlərinin nə qədər kifayət etdiyini anlamağın başlanğıc nöqtəsidir. Hazırladığım diaqramda tipik bir risk reyestrinin ehtiva etdiyi elementlər var.

Bəs yaxşı, İnformasiya Sistemləri auditi kontekstində bu reyestr nə üçün vacibdir?

İS auditi zamanı auditor risk reyestrindən iki məqsədlə istifadə edir:

1. Risk əsaslı planlama (əvvəlki postda yazdığım): hansı sahələrin daha dərin yoxlanılması lazım olduğunu müəyyən etmək üçün. Yüksək dərəcəli risklər auditor diqqətini oraya çəkir.
2. Nəzarətlərin effektivliyini qiymətləndirmək — reyestrdə qeyd olunan nəzarətlər faktiki olaraq mövcuddurmu, işləyirmi? Bu, COBIT 2019, ISO 27001 kimi standartlarla tutuşdurulur.

Bu reyestr statik yox, canlı sənəddir. Yəni bir dəfə yazılıb saxlanılan şey deyil, mühit dəyişdikcə (yeni texnologiya, yeni təhdid, yeni qanunvericilik və s.), o da yenilənməlidir.

Riskləri müəyyən etdikdən sonra hər bir rəhbərliyin verdiyi ilk sual adətən bu olur: “Bunu necə dayandıraq?” İS auditoru üçün cavab sadədir: Effektiv nəzarət mexanizmləri qurmaqla. Gəlin, bu “qalxanların” anatomiyasına birlikdə baxaq.

1. DAXİLİ NƏZARƏT (INTERNAL CONTROLS) NƏDİR?

Daxili nəzarət — təşkilatın öz hədəflərinə çatması, aktivlərini qoruması və qanunlara uyğun fəaliyyət göstərməsi üçün tətbiq etdiyi qaydalar və proseslər bütünüdür. Bunu şirkətin immun sistemi kimi təsəvvür edin: o, kənar mikrobları (təhlükələri) tanımalı və onları zərərsizləşdirməlidir.

2. NƏZARƏT MƏQSƏDLƏRİ VƏ NƏZARƏT TƏDBİRLƏRİ

Auditor bu iki anlayışı həmişə fərqləndirir:

• Nəzarət məqsədi (Control objective): Nəyə nail olmaq istəyirik? (Məsələn: “Məlumatların gizliliyini qorumaq”).
• Nəzarət tədbiri (Control measure): Bunu necə edirik? (Məsələn: “Şifrələmə (Encryption) tətbiq etməklə”).

İS Nəzarət məqsədləri (IS Control Objectives)

İS auditoru üçün əsas məqsəd məşhur CIA triadını təmin etməkdir:

1. Məxfiik (Confidentiality): Məlumatı yalnız icazəsi olanlar görsün.
2. Bütövlük (Integrity): Məlumat icazəsiz dəyişdirilməsin.
3. Əlçatanlıq (Availability): Lazım olanda sistem işlək olsun.

3. NƏZARƏT ÜSULLARININ BÖLÜNMƏSİ

İS mühitində nəzarət mexanizmləri üç əsas səviyyəyə bölünür:

A. Ümumi Nəzarət Metodları (General IT Controls – GITC)

Bu, bütün İT infrastrukturunu əhatə edən “təməl” nəzarətlərdir. Məsələn, data mərkəzinin fiziki mühafizəsi, şifrə siyasəti, sistem dəyişikliklərinin idarə olunması. Əgər ümumi nəzarət zəifdirsə, tək-tək proqramların yaxşı işləməsinin mənası yoxdur.

B. İS-ə Spesifik Nəzarətlər (IS-Specific Controls)

Konkret texnoloji sahələrə yönəlmiş nəzarətlərdir. Məsələn, şəbəkə firewall-ları, antiviruslar, məlumatların ehtiyat nüsxələnməsi (backup).

C. Biznes Prosesləri və Tətbiqi Nəzarətlər (Application Controls)

Bu nəzarətlər birbaşa proqram təminatının (məsələn, mühasibatlıq proqramı) daxilinə yerləşdirilir. Məsələn, bir bank proqramında balansdan artıq pul çıxarmağa icazə verilməməsi (“Edit check”).

4. NƏZARƏT MEXANİZMLƏRİNİN TƏSNİFATI (Classifications)

Bu, İS auditorunun ən çox istifadə etdiyi hissədir. Nəzarətlər funksiyasına görə 3 yerə bölünür:

Yekun olaraq: İS auditoru olaraq bizim işimiz sadəcə “Nəzarət varmı?” sualına cavab tapmaq deyil, həm də həmin nəzarətin effektiv (məqsədə çatırmı?) və səmərəli (xərci riskdən azdırmı?) olduğunu sübut etməkdir.

İnformasiya Sistemləri (İS) auditorunun gözü ilə Risk Qiymətləndirməsi (risk assessment) sadəcə bir hesabat deyil, təşkilatın “rəqəmsal sağlamlıq arayışı”dır. Bir auditor üçün bu proses, kodların və serverlərin arxasındakı gizli təhlükələri üzə çıxarmaq üçün həyata keçirilən bir detektiv araşdırmasına oxşayır.

Gəlin, bir İS auditorunun bu prosesi necə idarə etdiyinə nəzər salaq.

Risk qiymətləndirməsi

İS auditoru otağa daxil olanda hamı onun səhvlər axtaracağını düşünür. Lakin auditorun əsl məqsədi səhv tapmaq yox, “Nəzarət mexanizmləri (Controls) riski boğa bilirmi?” sualına cavab tapmaqdır.

1. Əvvəla, “Nəyi qoruyuruq?”

Auditor işə sistemlərin siyahısını tutmaqla başlayır. Onun üçün hər bir server, hər bir database bir “aktivdir”. Auditor özünə soruşur: “Əgər bu server yox olsa, şirkət çökərmi?”.  Burada auditorun yanaşması: “Qapının harada olduğunu bilmirsənsə, onu kilidləyə bilməzsən.” Prinsipi ilədir.

2. Təhlükə və boşluq

Auditor bu iki anlayışı heç vaxt qarışdırmaz. Təhlükə (Threat) çöldəki yağışdır (məsələn, kiber-hücumçu). Boşluq (Vulnerability) isə, damdakı deşikdir (məsələn, yenilənməmiş proqram təminatı). Auditorun işi bu ikisinin kəsişdiyi nöqtəni tapmaqdır. Əgər çöldə yağış yağırsa və damda deşik varsa, deməli, bizim “ilkin riskimiz” (inherent risk) çox yüksəkdir.

3. “Riyaziyyat, yoxsa məntiq?” (Qiymətləndirmə fazası)

Burada auditor iki metoddan birini seçir. Birinci metod, kəmiyyət: “Bu boşluq bizə 100.000 manata başa gələ bilər.” (Maliyyə hesabatı üçün). İkinci metod isə, keyfiyyət: “Bu risk ‘kritik’dir, çünki müştəri məlumatları sızsa, reputasiyamız sıfıra enər.” (Strateji qərar üçün).

Auditor bu mərhələdə risk matrisini (5×5) masanın üstünə qoyur və rəhbərliyin diqqətini “qırmızı zona”ya yönəldir.

4. Qalıq riskimiz (Residual risk): “Ələkdən nə keçdi?”

Bu, auditorlara adətən ən maraqlı hissədir. Şirkət deyir ki: “Bizim firewall-umuz var, risk yoxdur”. Auditor isə cavab verir: “Gəlin yoxlayaq”. Auditor mövcud nəzarət mexanizmlərini (məsələn, şifrələmə, backup) test edir. Nəzarət tədbirlərindən sonra yerdə qalan riskə Qalıq Risk (residual) deyilir.

Auditorun bilməsi gərəkən: Risk heç vaxt sıfır olmur. Məqsəd, riski rəhbərliyin “iştahasına”, yəni, qəbul edə biləcəyi (Risk Appetite) uyğun səviyyəyə endirməkdir.

5. Tövsiyə və hesabat.

Sonda auditor sadəcə problemləri demir, həll yollarını göstərir. “Bu deşiyi bağlamaq üçün bu yamaqdan (patch) istifadə etməlisiniz” deyərək hesabatını tamamlayır. Onun hesabatı rəhbərlik üçün bir növ “sığorta siyasəti” kimidir.

Nəticə etibarilə, İS auditoru üçün risk qiymətləndirməsi gələcəyi görmək cəhdidir. O, rəqəmləri və təcrübəni birləşdirərək şirkətin rəqəmsal gəmisinin su almaması üçün kapitanı (rəhbərliyi) vaxtında xəbərdar edir.

Risk Qiymətləndirmə Texnikaları

Hər bir audit yoxlaması bir “Audit Kainatı”ndan başlayır. Auditor bütün sistemləri yoxlaya bilməyəcəyi üçün bu texnikalardan istifadə edərək ən “yaralı” yerləri tapır.

1. Keyfiyyət Texnikası (Qualitative):

Bu, İS auditində ən çox istifadə olunan metoddur. Auditor rəqəmlərlə başını yormur, bunun əvəzinə Risk Matrisi (Heat Map) hazırlayır. Necə işləyir? Auditor hadisəni “yüksək”, “orta” və ya “aşağı” risk kateqoriyalarına bölür. Məsələn, “Ehtiyat nüsxələrin (Backup) olmaması” o an “kritik” zonaya düşür. Bəs bu üsul niyə seçilir? Çox sürətlidir və mürəkkəb riyazi hesablamalar tələb etmir.

2. Kəmiyyət Texnikası (Quantitative):

Əgər rəhbərlik “Bunun bizə ziyanı nədir?” deyə soruşursa, auditor bu texnikaya keçir. Burada hər şey rəqəmsallaşır. Bu necə işləyir? Auditor ALE (İllik gözlənilən itki) düsturunu tətbiq edir. Məsələn, bir kiber-hücumun ehtimalı ildə 10%, itki isə 100000 manatdırsa, illik risk 10000 manatdır. Bəs, bu üsul niyə seçilir? Çünki, büdcə tələb edəndə və investisiya qərarları verəndə ən tutarlı sübutdur.

3. Yarı-kəmiyyət texnikası (Semi-quantitative):

Bəzən nə təmiz hiss, nə də dəqiq rəqəm kifayət etmir. Bu zaman auditor hər bir riskə 1-dən 10-a qədər bal verir. Bu necə işləyir? Məsələn, “Giriş nəzarəti” riskinə 8 bal, “Sənədləşmə” riskinə 3 bal verir. Ballar toplandıqda ən çox bal yığan sahə birinci audit olunur.

Auditorun “üçlük” düsturu

İS auditoru bu texnikaları tətbiq edərkən üç növ riski analiz edir:

1. İlkin risk (Inherent risk): Heç bir qorunma olmasaydı, nə baş verərdi?
2. Nəzarət riski (Control risk): Mövcud qorunma sistemləri (Firewall, antivirus) işləməsə nə olar?
3. Qalıq risk (Residual risk): Bütün qorunmalardan sonra hələ də açıq qalan təhlükə nədir?

Nəticə olaraq: Yaxşı bir auditor “keyfiyyət” texnikası ilə ümumi mənzərəni görür, “kəmiyyət” texnikası ilə rəhbərliyi razı salır və sonda diqqətini “Qalıq risk”ləri azaltmağa yönəldir.

Risk Analizi

Təsəvvür edin ki, əlinizdə bir siyahı var: “Server otağında yanğın çıxa bilər”. Bu, sadəcə bir ehtimaldır. Amma auditor risk analizi mərhələsinə keçəndə, o, suallar verməyə başlayır: “Yanğın çıxsa, bizə nə qədər ziyan dəyər? Bu yanğının baş vermə şansı nə qədərdir?”

1.      Qərarvermə

Bütün rəqəmlər toplandı, matrislər rəngləndi. İndi isə auditorun ən məsuliyyətli anı gəlib çatdı: Bu məlumatlarla nə edirik? Risk analizi sadəcə hesablama deyil, o, “hansı yanğını birinci söndürməliyik?” sualına cavab tapan bir süzgəcdir.

2.      Niyə analiz edirik? (Prioritetləşdirmə)

Əlimizdə 50 dənə risk ola bilər. Hər bir şirkətin pulu və vaxtı məhduddur. Auditorun bütün riskləri eyni vaxtda həll etməsi qeyri-mümkündür. Risk analizi bizə “Hansı yanğın daha böyükdür?” sualına cavab verir. Analiz sayəsində biz resurslarımızı ən kiçik risklərə yox, gəmini batıra biləcək ən böyük risklərə yönəldirik.

–  “Qırmızı” və ya “Yüksək ALE” ballı risklər: Bunlar şirkəti batıra biləcək risklərdir. Bütün resurslar bura yönəlir.

– “Yaşıl” zonadakı risklər: Bunlar “olsa yaxşı olar” tipli risklərdir. Auditor bunları növbəti ilə saxlayır.

3.      Resursların Bölüşdürülməsi: Cost-Benefit Analizi

Analiz bizə göstərir ki, hər riskə eyni dərəcədə pul xərcləmək axmaqlıqdır.

• Məsələn, kəmiyyət analizi bizə dedi ki, bir riskin illik dəyəri 5.000 manatdır. Əgər bu riski bağlamaq üçün 20.000 manatlıq sistem lazımdırsa, auditor burada “Riski qəbul etmək” qərarını təklif edə bilər. Çünki dərdi dərmanından baha başa gəlir.

4.      Auditorun nəticəsi

Analizin sonunda auditorun əlində sadəcə bir “qorxu siyahısı” deyil, bir “Yol xəritəsi” olur. O bilir ki, hansı qapını birinci kilidləmək lazımdır, hansına isə hələlik bir az gözləmək olar. Auditor rəhbərliyin qarşısına sadəcə rəqəmlərlə yox, bir icra planı ilə çıxır:

“Cənab direktor, analizlərimiz göstərir ki, növbəti 3 ayda bütün gücümüzü ‘Məlumat sızıntısı’ riskinə verməliyik, ‘İnternetin sürəti’ riski isə hələlik gözləyə bilər.”

Nəticə: Beləliklə, analiz mərhələsi “məlumatsızlıq dumanı”nı dağıdır və rəhbərliyə hara investisiya edəcəyini dəqiq göstərir.

Ənənəvi auditlə müasir İnformasiya Sistemləri auditi fərqləndirən əsas amil məhz “Riskə Əsaslanan Yanaşma”dır.

Və bu mövzuda da, bu gün auditin qızıl qaydasından danışacam:

1.3 Risk-Based Audit Planning (yəni, Riskə Əsaslanan Audit Planlaması).

Təsəvvür edin, böyük bir şirkətdə işləyirsiniz. Hər bir fərdi kompüteri, hər bir kiçik proqramı yoxlamağa nə vaxt, nə də resurs çatar. Bəs auditor hara baxmalı olduğunu necə seçir? Təbii ki, risk hardadırsa, auditor öncə ora yönələcəkdir!

Gəlin bu planlamanın iki vacib komponentinə baxaq:

1.3.1 Fərdi Audit ttapşırıqlarının planlaşdırılması (Individual Audit Assignments)

Hər hansı bir konkret auditi (məsələn, “mobil bankinq tətbiqinin auditi”) planlaşdırarkən kor-koranə işə başlaya bilmərik. Əvvəlcə etməli olduğumuz bir neçə xüsus var.

İlk olaraq, biznesi anlamalıyıq. Bu sistem biznes üçün niyə vacibdir? Olmasa və ya dayansa nə qədər pul itirərik? Ardınca, riskləri müəyyən etməliyik. Ən böyük təhlükələr nələrdir? Haker hücumu, daxili sızıntı, yoxsa sistem çökməsi? Sonra əhatə dairəsini və məqsədləri müəyyən etməliyik. Nəyi yoxlayacağıq və nəyi YOX? Çərçivələri cızmaq ən vacib addımdır. Son olaraq da, resursların bölgüsü. Yəni, bu iş üçün bizə hansı texniki biliklərə sahib auditorlar lazımdır?

1.3.2 Qanun və qaydaların İT Auditə təsiri (Effect of laws and regulations)

Ok, biznes öz daxili risklərini hesabladı, bəs dövlət nə deyir? İT auditi qapalı bir qutuda aparılmır. Qanunlar bizim audit planımızı birbaşa formalaşdırır. Məsələn, Mərkəzi Bankın və ya Fərdi Məlumatların Qorunması haqqında qanunun tələbləri. Əgər qanun deyirsə ki, “İstifadəçi logları 1 il saxlanılmalıdır”, auditor artıq məcburdur ki, sistemin bunu edib-etmədiyini yoxlasın. Qaydalara tabe olmamaq (Non-compliance) ən böyük risklərdən biridir, çünki bu, şirkətə nəinki maliyyə cərimələri, hətta fəaliyyətinin dayandırılması bahasına başa gələ bilər! Qanuni tələblər bir çox halda auditin minimum əhatə dairəsini cızır.

1. Hazırlıq (Preparation)
İnsident baş verməmişdən əvvəl komandanı, alətləri və prosedurları hazır vəziyyətə gətirmək.

2. Aşkaretmə (Detection/İdentification)
Təhdid və ya insidentin baş verdiyini müəyyən edib təsdiqləmək.

3. Qarşısını alma-Təcrid (Containment/Isolate)
İnsidentin yayılmasının qarşısını almaq üçün təsirlənmiş sistemləri şəbəkədən ayırmaq.

4. Təmizləmə (Eradication/Eliminate)
Təhdidin kökünü (zərərli proqramı, zəifliyi və ya giriş nöqtəsini) sistemdən tamamilə silmək.

5. Bərpa (Recovery)
Təmizlənmiş sistemləri yoxlayaraq normal iş rejiminə qaytarmaq.

Kibertəhlükəsizlik sahəsində insident baş verdikdə təsadüfi deyil, standart bir ardıcıllıqla hərəkət etmək tələb olunur. Bunun üçün dünyada ən çox qəbul edilmiş iki çərçivə mövcuddur: SANS və NIST. Hər ikisi təşkilatlara insidenti idarə etmək üçün aydın bir yol xəritəsi təqdim edir — hazırlıqdan başlayaraq aşkaretmə, təcrid, təmizləmə və nəhayət tam bərpaya qədər. Bu standartlara əməl etmək təşkilatın həm ziyanı minimuma endirməsinə, həm də gələcək insidentlərə daha hazırlıqlı olmasına imkan verir.

#insident #kibertəhlükəsizlik #IRP #SANS #NIST #SOC #detection #monitoring #SIEM #containment #malware #recovery #bərpa #forensics #patch #response #DataSec

Data & Security

Bəli, saat dəqiq vaxt göstərir, ancaq düzgün qurulmayıbsa, yanlış saat qurşağında işləyər.

İnformasiya sistemlərinin (İS) auditi, qurulan saatın biznesin marağı, strategiyası yönündə olub-olmadığına baxmaq üçündür. Biznesin marağı Bakı vaxtıdırsa, qurulan saat hər nə qədər dəqiq işləsə də, əgər Moskva saatı ilə gedirsə, buradaki uyğunsuzluğu müəyyən etmək və strategiyaya uyğun nizamlanması tövsiyəsini vermək üçün gərəklidir.

Daha yaxından ifadə etsək, informasiya sistemləri texniki cəhətdən işləsə belə, risk menecmenti, uyğunluq və effektivlik baxımından boşluqlar daşıya bilər. Audit məhz bu “gizli problemləri” aşkar edir – sistemlərinizin təkcə işləməsini yox, düzgün məqsədlə, düzgün qaydada və düzgün qorunma ilə işləməsini təmin edir. Çünki bəzən görünən mənzərə aldadıcı ola bilir, unudulmuş kiçik bir “default” şifrə böyük data oğurluğuna səbəb ola bilər, kiçik bir hücum bütün əməliyyatları, prosesləri günlərlə iflic edə bilər.

Auditin buradaki məqsədi səhv tutmaq deyil, biznesi, qurumu, təşkilatı bütün bu fəlakətlərdən qoruyan xəbərdarlıq sistemidir.

Bəs, bu riskləri necə yoxlayırıq? Bunun bir neçə üsulu var.

Burada ilk olaraq Nəzarətin Özünüqiymətləndirməsi (Control Self-Assessment – CSA) dövrəyə girir.

CSA, əməkdaşların öz iş proseslərindəki riskləri və nəzarət mexanizmlərini (controls) kənar bir auditor gəlmədən, özlərinin dəyərləndirməsidir. Məqsəd riskləri yerində və erkən aşkarlamaq, eyni zamanda işçilərdə “bu proses mənim məsuliyyətimdədir” (ownership) hissini yaratmaqdır.

Bunun bir neçə üstünlüyü var, əvvəla vaxt və xərcə qənaətdir. Ənənəvi auditlə müqayisədə daha az resurs tələb edir. İkinci olaraq, risk mədəniyyətidir. Şirkət daxilində risklər barədə məlumatlılığı artırır və şəffaf iş mühiti formalaşdırır.

Əlbəttə, üstünlüyü olduğu kimi, çatışmazlıqları da var. İlk olaraq, obyektivliyin itirilməsi. Gəlin etiraf edək, heç kim öz işindəki səhvi asanlıqla qabartmaq istəməz. İkinci olaraq isə, bilik-bacarıq əskikliyidir. İşçilər texniki audit bilikləri kifayət etmədiyi üçün bəzi kritik riskləri gözden qaçıra bilərlər.

Bəs CSA prosesində IS Auditor-un rolu nədir?

Auditor bu prosesdə “polis” deyil, fasilitatordur (yəni, yönləndirici). O, komandalara yoxlamanı düzgün qurmağa kömək edir, nəticələri analiz edir və rəhbərliyə yekun rəy verir.