COBIT ile BDDK Bilgi Sistemleri Mevzuatının Uyum Analizi: Süreçler, Farklılıklar ve Stratejik Öneriler

1. COBIT ile BDDK Bilgi Sistemleri Mevzuatının Uyum Analizi Kapsamı

Bankacılık sektöründe bilgi sistemlerinin yönetimi ve denetimi, sadece teknik bir gereklilik değil; aynı zamanda müşteri güvenliği, operasyonel süreklilik ve düzenleyici uyum açısından stratejik öneme sahip bir alandır. Türkiye’de bankacılık sektörünün bilgi teknolojilerine yaptığı yatırım, dijitalleşmenin hızı ve veri güvenliğine verilen önemin somut göstergesidir. Örneğin, bankaların dijital dönüşüme yönelik yatırımları son yıllarda istikrarlı biçimde artmakta; fintech’ler ve bankalar, müşteri hizmetlerini dijital yapıya taşımakta ve bu alana önemli pay ayırmaktadır (DergiPark).

2024 yılı itibarıyla Türkiye’de dijital, internet ve mobil bankacılık işlemlerinin sayısı, yüz milyonları aşmış, mobil bankacılık kullanıcı sayılarındaki yıllık artış iki haneli büyüme oranları göstermektedir (Türkiye Bankalar Birliği). Buna paralel olarak, bankaların bilgi güvenliği ve siber güvenlik çözümlerine harcadığı oran da yükselmektedir. Türkiye siber güvenlik pazarı, 2025’te yaklaşık 37,5 milyon USD düzeyindedir ve %12’nin üzerinde yıllık bileşik büyüme tahmin edilmektedir. Finans sektörü bu pazardan yaklaşık %29 pay almaktadır (Mordor Intelligence).

Ancak dijitalleşme beraberinde siber saldırı ve veri ihlali risklerini de getirmiştir. Yüzde 1318 oranında artan ransomware (fidye yazılımı) saldırıları ve sosyal mühendislik odaklı tehditler, bankacılık sektörünü hedef haline getirmiştir (DergiPark). Bu gelişmeler, bilgi sistemlerine yönelik mevzuatsal yapının sadece bir uyum gerekliliği değil, aynı zamanda stratejik bir savunma kalkanı olmasını gerekli kılmaktadır.

Bu noktada, uluslararası düzeyde kabul gören COBIT çerçevesi, bilgi teknolojileri yönetişimi ve kontrolü için güçlü bir yapı sunarken; Türkiye’de bu alanın düzenlenmesi BDDK tarafından çıkarılan çeşitli genelge, tebliğ ve yönetmeliklerle sağlanmaktadır. Bu düzenleyici çerçeve, kimlik doğrulama, işlem güvenliği, bağımsız denetim, sızma testleri ve sistem sürekliliği gibi kritik konuları kapsamakta, COBIT’in kontrol hedefleriyle çoğunlukla doğrudan örtüşmektedir.

Bu çalışmada, COBIT kontrol hedefleri ile BDDK tarafından yayımlanan yedi temel düzenleme arasında kapsamlı bir uyum analizi yapılmakta; sektör uygulamaları ve bankacılık süreçleri bağlamında benzerlikler, farklılıklar ve geliştirilmesi gereken noktalar irdelenmektedir. Ayrıca mevzuatların COBIT ile bütünleşmesini destekleyecek somut öneriler sunulmaktadır.

2. COBIT ve BDDK Mevzuatı: Tanım ve Kapsam

COBIT Nedir?

COBIT (Control Objectives for Information and Related Technologies), bilgi teknolojileri yönetişimi ve kontrolü alanında global ölçekte kullanılan bir çerçevedir. COBIT, kurumların bilgi sistemlerine ilişkin riskleri tanımlamasını, kontrolleri uygulamasını ve performansı ölçmesini sağlayan süreç, kontrol hedefi ve metrik setleri sunar. COBIT 2019 versiyonu, özellikle finansal kurumlarda bilgi sistemlerinin yönetiminde risk odaklı, ölçülebilir ve sürekli iyileştirme odaklı bir yaklaşımı benimsemiştir.

BDDK Mevzuatının Tanımı ve Önemi

Türkiye’de bilgi sistemleri yönetimi ve denetimi, aşağıda sıralanan yedi temel düzenleme ile yasal zemine kavuşturulmuştur. Bu düzenlemeler, bankacılık bilgi sistemlerinin güvenliği, denetimi, sürekliliği ve hizmet kalitesi gibi başlıklarda kapsamlı düzenlemeler getirmektedir:

1. Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında Genelge
   → Bu genelge, elektronik bankacılık hizmetlerinde işlem güvenliği, çok faktörlü kimlik doğrulama ve dijital imza süreçlerine dair kriterleri belirlemektedir. Mobil bankacılık, uzaktan kimlik tespiti ve işlem onayı süreçleri bu genelge kapsamında şekillendirilmiştir.
   
   

2. Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimine İlişkin Rapor Hakkında Tebliğ
   → Bankaların bilgi sistemleri süreçleri için bağımsız denetim yapılması, rapor formatlarının belirlenmesi ve raporların BDDK’ya iletilmesi esaslarını düzenler. COBIT’in “evaluate and monitor” yapısıyla örtüşen bir çerçeve sunar.
   
   

3. Bilgi Alışverişi Kuruluşları ile Risk Merkezinin Bilgi Sistemleri Yönetimine ve Denetimine İlişkin Tebliğ
   → Kredi Kayıt Bürosu ve Risk Merkezi gibi bilgi alışverişi kuruluşlarının bilgi sistemlerinin güvenliği, sürekliliği ve denetimi kapsamlı biçimde düzenlenmiştir. Bankaların dış veri kaynaklarının güvenilirliğini sağlamak adına stratejik öneme sahiptir.
   
   

4. Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Yönetmelik
   → Bu yönetmelik, bilgi sistemleri denetimlerinin kimler tarafından yapılacağını, denetim sıklığını ve kapsamını detaylandırır. Ayrıca denetim kuruluşlarının yetkilendirilmesi ve izlenmesi ile ilgili kriterleri içerir.
   
   

5. Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik
   → Bu yönetmelik, bankaların uzaktan müşteri edinimi süreçlerinde biyometrik tanıma, görüntülü görüşme, e-imza ve benzeri teknolojileri nasıl kullanacağını düzenler. COBIT’in “technology enablement” yaklaşımıyla uyumludur.
   
   

6. Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik
   → Bankaların bilgi sistemlerine dair yönetim yapısı, risk yönetimi, bilgi güvenliği, yedekleme, dış hizmet alımı gibi konular detaylı biçimde düzenlenmiştir. COBIT’in neredeyse tüm kontrol alanları ile doğrudan ilişkili hükümler içerir.
   
   

7. Bağımsız Denetim Takip Sistemine (BADES) İlişkin Genelge
   → Bankaların bağımsız denetim süreçlerinde ortaya çıkan verilerin elektronik ortamda BDDK’ya iletilmesini ve izlenmesini sağlayan sistemdir. COBIT’in sürekli izleme ve iyileştirme hedeflerini destekler.
   
   

8. Bilgi Sistemlerine İlişkin Sızma Testleri Hakkında Genelge
   → Bankaların bilgi sistemlerinde düzenli olarak penetrasyon testleri (sızma testleri) yaptırması, testlerin kapsamı, yöntemleri ve raporlama süreçleri bu genelge ile belirlenmiştir. COBIT’in “security controls” modülüyle doğrudan örtüşmektedir.
   
   

Bu bölümde tanıtılan mevzuatlar, COBIT çerçevesinin kontrol hedefleri ile karşılaştırılabilir yapıdadır. Özellikle kimlik doğrulama, işlem güvenliği, bağımsız denetim, sızma testleri gibi kritik alanlarda BDDK düzenlemeleri COBIT ile büyük ölçüde uyumluluk göstermektedir. Ancak bu mevzuatların detaylı analizinde görüleceği üzere, bazı ileri seviye kontrol ve ölçüm mekanizmaları henüz mevzuata tam olarak yansımamıştır.

3.  Uyum Tablosu: COBIT vs BDDK Mevzuatları

4. Özgün Bankacılık Süreçlerine Dayalı Detaylı İnceleme

1. Mobil Bankacılık Giriş ve Finansal İşlem Süreci

• COBIT BAI ve DSS kontrol hedeflerine göre, mobil uygulamanın giriş, işlem onayı ve imzalama aşamaları yüksek güvenlik kriterleriyle yönetilmelidir.
  
  

• BDDK Genelgesi 2023/1, mobil aktivasyon sırasında OTP veya PIN ile müşteriye özel şifreleme anahtarının oluşturulmasını zorunlu kılmaktadır. “WYSIWYS” (What You See Is What You Sign) prensibine uygun olarak yalnızca müşterinin onayladığı bilgiler imzalanmalıdır. Bu düzenleme COBIT’le uyum yüksek düzeydedir (EY).
  
  

2. Kredi Değerlendirme ve Risk Raporlama Süreci

• COBIT APO12 risk yönetimi sürecine göre kredi sistemleri risk analiz modüllerine sahiptir; ayrıca bu risklerin iş riskine etkisi sürekli değerlendirilir.
  
  

• BDDK’nın Bilgi Alışverişi kuruluşlarına dair Tebliği (Risk Merkezi gibi), verinin doğruluğu, güvenliği ve güncelliği adına üst üste maddeler içerir; sistem sürekliliği için uyumsuz kuruluşların BDDK’ya bildirilmesi zorunludur. Böylelikle kredi puanlama sistemlerinden kaynaklı hatalar erkenden tespit edilebilmektedir (Mondaq).
  
  

3. Bağımsız Denetim ve Süreç Takibi

• COBIT EDM (Evaluate, Direct, Monitor) süreci, bağımsız denetim raporlarıyla izlenmeli, aksiyona dönüşmelidir.
  
  

• BDDK’nın Bilgi Sistemleri ve İş Süreçleri Bağımsız Denetimi Hakkında Tebliği ve BADES genelgesi, denetim kuruluşlarından rapor alınması ve takibi ile bağımsızlığı hukuki temele oturtmaktadır. Örneğin bir bankanın dış kimlik doğrulama SDK’sına dair denetim raporu BADES üzerinden izlenir (BDDK).

4.  Bilgi Varlık Yönetimi – (COBIT: BAI09)

• COBIT 2019, bilgi varlıklarının sınıflandırılması, kritiklik düzeyine göre önceliklendirilmesi ve erişim kontrolü yapılmasını önermektedir.
  BDDK Tebliği ise bankaların bilgi varlıklarını belirlemelerini ve güvenlik seviyelerini tanımlamalarını zorunlu kılmaktadır. Ancak veri kalitesi, veri yaşam döngüsü gibi COBIT’in öne çıkardığı alanlar mevzuatta henüz detaylı ele alınmamaktadır.

• Bankacılık Süreci: Kredi başvuru değerlendirme süreçlerinde kullanılan algoritmaların veri seti kalitesi, hem karar doğruluğu hem de yasal uygunluk açısından kritik önemdedir. COBIT, bu veri setlerinin kalitesini periyodik kontrol etmeyi zorunlu kılarken, BDDK mevzuatında böyle bir metrik raporlama zorunluluğu bulunmamaktadır.

5.  Risk Yönetimi – (COBIT: APO12)

• COBIT, BT risklerinin iş riskleriyle entegre şekilde değerlendirilmesini öngörmektedir.
  BDDK mevzuatı, bankaların bilgi sistemleri risklerini tanımlamasını, sınıflandırmasını ve bu riskler için politika oluşturmasını talep etmektedir. Bu bağlamda COBIT ile güçlü bir uyum göstermektedir. Ancak COBIT’in risk tolerans seviyesi belirleme ve senaryo bazlı test etme yaklaşımı mevzuatta detaylı yer almamaktadır.

• Bankacılık Süreci: Mobil bankacılıkta gerçekleşen DDoS saldırılarında, sistemin ne kadar sürede toparlandığı (MTTR) COBIT’te izlenmesi gereken bir metriktir. BDDK’nın felaket kurtarma düzenlemeleri bu süreleri tanımlamamaktadır.

6.  Süreklilik ve Felaket Kurtarma – (COBIT: DSS04)

• COBIT, bilgi sistemleri sürekliliğini iş sürekliliği planlarıyla entegre yönetilmesini, düzenli tatbikatlarla test edilmesini önerir.
  BDDK ise ikincil sistem merkezlerinin zorunlu olması, senaryolu testler ve yıllık raporlama gibi zorunluluklarla bu alanda COBIT ile yüksek düzeyde uyumludur.

• Bankacılık Süreci: Bir bankanın ödeme sistemleri arızasında devreye alınan yedekleme süresi, COBIT’te “Recovery Time Objective (RTO)” ile ölçülürken, mevzuatta doğrudan metrik zorunluluğu bulunmamaktadır.

5. Yenilikçi Öneriler: Uyumun Derinleştirilmesi

1. COBIT KPI Odaklı Metriğe Dayalı Raporlama Zorunluluğu
   
   

• Örneğin rapor edilen “doğrulama kodu başarısız oturum oranı”, “sistem erişim ihlali sayısı” gibi metrikler BDDK takibine dâhil edilebilir.
  
  

2. Sürekli Sızma ve Tatbikat Aktiviteleri
   
   

• Genelgedeki sızma testleri tekilken, COBIT’in öngördüğü red‑team/penetrasyon tatbikatları rutin hâle getirilebilir.
  
  

3. Veri Kalitesi Kontrolleri
   
   

• Kredi sistemi içindeki veri setlerinin hatasızlığı için veri bütünlüğü kontrol metrikleri oluşturulabilir; COBIT BAI09 ile uyumlu şekilde “yanlış veri düzeltme adımları” mevzuata eklenebilir.
  
  

6. Sonuç

İncelenen mevzuatlar, COBIT kontrol hedeflerine büyük ölçüde destek sağlayan yapılar sunmaktadır. Özellikle kimlik doğrulama ve işlem güvenliği, bağımsız denetim ve sistem sürekliliği alanlarında güçlü bir uyum sergilemektedir. Ancak COBIT’in öne çıkardığı bazı ileri düzey kontrol kriterleri (örneğin sürekli sızma testleri, KPI bazlı performans izleme, veri kalite yönetimi) henüz mevzuatta tam karşılık bulmamaktadır.
Bu analizde sunulan öneriler, bankacılık bilgi sistemleri denetimini daha ölçülebilir, proaktif ve uluslararası normlarla uyumlu hâle getirilmesine katkı amacı taşımaktadır.

Yazar: ErdeN Tüzünkan - CISA  | Partner @ BT Denetim ve Kurumsal Dönüşüm