BİGR-Denetiminde-Denetim-Kayıtlarının-Toplanması-Örneklem-Seçim-Yöntemleri

Günümüzde hemen hemen her bilginin sanal ortamlara aktarılması, bilgiye ulaşmanın kolaylaşması ve bilgi sistemlerinin yaygınca kullanılması büyük güvenlik sorunlarına yol açabilmektedir. Bilgi ve İletişim Güvenliğini sağlamak amacıyla karşılaşılan güvenlik risklerinin azaltılması, etkisiz kılınması ve özellikle gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda milli güvenliği tehdit edebilecek veya kamu düzeninin bozulmasına yol açabilecek kritik türdeki verilerin güvenliğinin sağlanması amacıyla “Bilgi ve İletişim Güvenliği Denetim Rehberi” yayımlanmıştır. Bilgi ve İletişim Güvenliği Rehberi kapsamında yer alan Kurumların belirli çalışmaları yerine getirmeleri beklenmektedir. Bu çalışmaların; planlama, uygulama, değişiklikleri yönetme, kontrol etme ve önlem alma süreçlerini içeren bir çerçevede yürütülmesi gerekmektedir. 

Bilgi ve iletişim güvenliğinin sağlanması amacıyla yapılacak denetimlerde bulguların etkin bir şekilde değerlendirilmesi için belirli bir evren seçilmesine ihtiyaç duyulmaktadır. “Evren”, araştırmacının incelediği olay veya olguyu en iyi yansıtacağını düşündüğü veya hakkında bilgi almak istediği gruplardır. Evren, farklı unsurların bir arada bulunduğu ve oldukça geniş bir veri alanına sahip öğe ve yığınlardan (birey, sınıf, birim, element, olay veya olgu vb.) oluşmaktadır. 

orneklem

Bilgi ve iletişim güvenliği denetiminde hedef evren “varlık grupları”dır. Denetim ekibi, rehber uyum faaliyetleri çerçevesinde yer alan varlık gruplarından hangilerini denetim kapsamına dâhil edeceğini belirlerken risk odaklı denetim yaklaşımı ile hareket etmeli ve önemlilik kriterini esas almalıdır. 

Araştırmacının incelediği, ilgilendiği, hakkında fikir sahibi olmak istediği ve aktif olarak araştırdığı evrenden aldığı ve o evreni temsil ettiğini düşündüğü gruba “örneklem” adı verilmektedir. Örneklem bir evrenin tamamının ölçülemediği durumlarda o evreni en iyi şekilde temsil edeceği düşünülen kümedir. Örneklemin belirlenebilmesi için öncelikle “hedef evren” in belirlenmesi gereklidir. Araştırmanın yapılması için hedef evrene ilişin verilerin belirlenmesi gerektiğinden; hedef evren, araştırmacının incelediği, ilgi duyduğu ve yaptığı çalışma sonucunda belirlediği sonuçları genellemek istediği evrendir. Hedef evren denetçinin uygulama yapmak istediği doğrultuda başvuracağı bireyler, gruplar, sosyal kurumlar veya olay ve olgular da olabilir. 

Hedef evren belirlendikten sonra, evreni en iyi yansıtacağı ve çalışmadan istenen ayrıntıları belirginleştireceğine inanılan örneklem çerçevesi oluşturulur. “Örneklem çerçevesi”, evreni tam anlamıyla temsil edebilecek öğeler veya unsurların listesidir. Örneklem çerçevesi belirlendikten sonra, evrendeki öğelere benzer bir şekilde, örneklemi meydana getiren her bir öğe belirlenmelidir. Örnekleme hatalarını azaltabilmek için öncelikle evreni yansıtacak örneklem boyutu dengeli bir şekilde ayarlanmalıdır. “Örneklem boyutu”, evrenin detaylarını belirginleştirebilecek öğe sayısıdır. 

Örneklem Seçim Yöntemleri

Denetim çalışmasında örneklemin hedef evreni en iyi şekilde yansıtıp yansıtmadığının kontrolü örneklerin seçiliş biçimine bakılarak anlaşılabilir. Seçim aşamasında olasılık unsuru olup olmaması ile araştırma amaçları ve araştırma sorularının açık bir şekilde ifade edilmesi durumuna göre, örnekleme yöntemini olasılıklı (amaçsız) örnekleme ve olasılıklı olmayan (amaçlı) örnekleme yöntemleri şeklinde iki ana başlık altında incelemek mümkündür.

Örnekleme Türü

Amaç

Aykırı veya Anormal Durum Örneklemesi  İlgili olguya ilişkin alışılmadık bulguları öğrenmek veya olgunun sıra dışılığından ders çıkarmak
Yoğunluk Örneklemesi  Olgunun bilgi yüklü durumlarının, yoğun bir şekilde fakat aşırılığa kaçmadan açıklanmak
Maksimum Çeşitlilik Örneklemesi  Farklılıkları belirlemek için geniş çaplı durumları ve önemli ortak örüntüleri belirlemek
Benzeşik (Homojen) Örneklem  Odaklanmak, çeşitliliği azaltmak, analizi basitleştirmek ve grup görüşmelerini kolaylaştırmak
Tipik Durum Örneklemesi  Tipik, sıradan, normal veya ortalama durumları göstermek
Kritik Durum Örneklemesi  Mantıklı genellemeler yapmak ve bilginin farklı durumlara uygulanmasını sağlamak
Kartopu veya Zincir Örnekleme  Kişiden kişiye, kişiden de durumlara ulaşarak farklı olguları açıklayabilmek
Ölçüt (Kriter) Örnekleme  Belli ölçütleri sağlayan durumları belirlemek
Kuram Tabanlı Örnekleme  Kuram oluşturmak veya kuramların doğrulanmasını sağlamak
Doğrulayıcı veya Yanlışlayıcı Durum Örneklemesi  Farklılık ve çeşitlilikleri araştırmak, temel analizi derinleştirmek
Tabakalı Amaçlı Örneklem  Belirli alt grupları belirleyerek karşılaştırmaları ve analizi kolaylaştırma
Fırsatçı veya Beliren Örneklem  Beklenmedik bir şekilde beliren durumların avantajını kullanmak
Amaçlı Rastgele Örnekleme  Önyargıyı azaltmak; inanırlık ve güvenirliği arttırmak
Siyasi veya Politik Durum Örneklemesi  Araştırmaya dikkat çekmek veya hassas konuları araştırmadan çıkarmak yoluyla olası ilgiden kaçınmak
Kolay Ulaşılabilir veya Elverişli Örneklem Kolay olanı seçmek; bilgi ve güvenirlik pahasına zaman, para ve çabadan tasarruf sağlamak
Hibrit veya Karma Örneklem  Üçgenleme, esneklik; çeşitli ilgi, çoklu amaç ve ihtiyaçları karşılamak

¹ Tablo 1: Nitel Araştırmada Örnekleme Yöntemleri

Örneklem belirleme yöntemleri, denetim kapsamının geçerliliği, güvenilirliği, tutarlılığı, yönelimini ve inandırıcılığını etkilemektedir. Bu kapsamda denetçilerin, olguları en iyi şekilde yansıtacağını düşündükleri örneklere yönelebilmeleri için bu örnekleri seçecek bilgi, beceri ve kararlılığa da sahip olması gereklidir.

Örneklem Hacmi

Örneklem büyüklüğü verinin derinliği ve araştırmanın amaçlarına göre değişiklik gösterebilmektedir. Örneklem büyüklüğü; araştırmacının ne bilmek istediğine, araştırmanın amacına, neyin gündem olduğuna, neyin kullanışlı olacağına, neyin inanılır olacağına ve eldeki zaman ve kaynaklarla neyin yapılabileceğine bağlıdır.

Nitel araştırmada örneklem büyüklüğünün belirlenmesi, araştırmacının genişlik ve derinlik arasında vereceği taviz ile ilgilidir. Aynı sabit kaynak ve sınırlı zamanla, bir araştırmacı belli bir kısım deneyimi çok sayıda insanla çalışabilirken (genişlik), çok farklı deneyimleri daha az sayıda insanla çalışarak da elde edebilir (derinlik). İncelenen olguya ilişkin durumlar bilgi yüklüyse, küçük bir grup insandan edinilen derinlemesine bilgiler, çok sayıda örneklemden elde edilen kısıtlı bilgiden daha değerli olabilir. Fazla sayıda insandan elde edilen daha yüzeysel bilgiler ise bir olgunun sınırlarının belirlenmesinde ve farklı durumların incelenmesinde ya da değişikliklerini anlaşılmasında yardımcı olabilir. 

orneklem-hacmi

Bilgi ve İletişim Güvenliği Denetiminde Denetim Kanıtlarının Toplanması

Bilgi ve İletişim güvenliği denetim rehberinde denetim uygulamasının yapılması hususunda denetim kanıtında bulunması gereken bazı temel unsurlara değinilmiştir. Denetim kanıtı, denetim raporuna ve denetçinin görüşüne dayanak sağlamak için denetim süresince elde edilen tüm bilgi, belge ve dokümanı ifade eder. Denetçi, denetim kanıtı toplarken önceki dönem denetim raporu ve bulgularından faydalanabilir. Denetim hizmet alım yolu ile gerçekleştiriliyor ise denetim raporu ve bulguların hizmeti veren taraf ile paylaşılması Kurum tasarrufundadır. Denetim riskinin makul bir düzeye düşürülmesi için yeterli, uygun ve güvenilir denetim kanıtı toplanmalıdır. Denetim kanıtında olması gereken temel unsurlara ve açıklamalara aşağıda yer verilmiştir: 

  1. Güvenilirlik: Denetim kanıtının elde edildiği kaynağın uygunluğu, hangi koşullar altında ve hangi zamanda elde edildiğidir. 
  2. Uygunluk: Denetim kanıtı ile etkinliği değerlendirilecek tedbirin amacı arasında mantıksal bir bağ olmasıdır. 
  3. Yeterlilik: Denetim kanıtının, denetçinin yapacağı değerlendirmeyi güçlendirecek düzeyde olmasıdır. 
  4. Tekrar edilebilirlik: Denetçinin elde ettiği kanıtın aynı şartlar altında başka bir denetçi tarafından elde edilebilmesidir. 

Denetim görüşüne makul güvence oluşturmak için denetim kanıtı toplanırken birden fazla denetim yöntemi bir arada kullanılabilir. Denetçi toplayacağı denetim kanıtının yeterliliğini bazı durumlarda otomatize edilmiş tek bir kontrol testi ile sağlayabilirken bazı durumlarda örneklem seçim yöntemlerine başvurabilir. ²           

Bilgi ve İletişim Güvenliği Denetiminde Örneklemin Uygulanması

Örneklemin uygulanması süreci genel olarak karar vermeye dayalı gibi gözükse de bunun yanı sıra denetçinin yöntem bilgisine, araştırma beceri ve tecrübesine ve denetim alanındaki bilgisine göre değişiklik gösterebilmektedir. Farklı türlerden araştırma yöntemleri arasında örneklerin belirlenmesi ve örneklerden veri toplanması aşamalarında da farklılıklar görülebilmektedir.

Tabakalı Amaçlı Örneklem: Tabakalı amaçlı örneklemler, tabakalara ayrılmış örneklem içinden amaçlı olarak seçilen yeni örneklem grubudur. Bu noktada zaten belirlenmiş bir tabakadan, araştırmanın amacı doğrultusunda yeni örneklem seçimi tabakalı amaçlı örneklemedir.

Tabakalı amaçlı örneklem tabloda belirtildiği üzere “belirli alt grupları belirleyerek karşılaştırmaları ve analizi kolaylaştırma” amacına hizmet etmektedir. Bilgi ve iletişim güvenliği denetiminde kullanılacak örneklem çeşidine spesifik olarak karar vermek gerekirse, tabakalı amaçlı örneklem metodu doğrultusunda varlık gruplarını belirlemek en doğru yöntem olacaktır.

Amaçlı örnekleme seçimi yaklaşımında üç etken bulunmaktadır: 

  1. Çalışmaya kimlerin örneklem (veya mekanların) olarak seçileceğine, 
  2. Karakteristik örnekleme yöntemlerine,  
  3. Çalışılacak örneklemin büyüklüğüne

karar vermedir.

Yukarıda verilmiş maddelere göre örneklemin seçilmesi denetim ekibi tarafından tedbirlerin etkin olup olmadığına karar verirken faydalanılacak önemli bir yöntemdir. Örneklem seçimi, denetim raporuna görüş oluşturmak amacıyla denetimin yeterli sayıda varlık, süreç kayıt ve işlem üzerinde yürütülmesinde mutlaka başvurulması gereken bir süreçtir.


¹ Örnekleme yöntemlerini detaylı bir şekilde incelemek için: 497090 (dergipark.org.tr)

² Bilgi ve İletişim Güvenliği Denetim rehberine ulaşmak için: https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf


Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.


 

< Önceki Sonraki >