İŞ HAYATINDA STANDARTLAR - Deneme Sınavı - 3

Kurumsal sosyal sorumluluk kapsamı alanındaki konuların farklı kaynaklarda benzer başlıklar altında toplandığı görülmektedir. Literatürde en çok karşılaşılan kurumsal sosyal sorumluluk alanları aşağıda özetlenmiştir:
• Tüketicilere Karşı Sorumluluklar: Tüketicilerin ihtiyacına uygun ürün ve hizmeti sağlamak, kaliteli ürün sunmak, yeterli ve düzenli mal akışı, makul fiyatlandırma, doğru bilgilendirme, saygılı hizmet, tüketici şikayetleri ile hemen ve nezaketle ilgilenme vb. konuları kapsamaktadır.
• Hissedarlara/Sahiplere/Yatırımcılara Karşı Sorumluluklar: Kurumun işleyişi ve finansal durumu hakkında güncel, doğru ve düzenli bilgilendirme, sermayenin korunması, planlı büyüme, kaynakların optimum kullanımı, makul kazanç, aidatların zamanında ödenmesi vb. konuları kapsamaktadır.
• Çalışanlara Karşı Sorumluluklar: İş güvenliği, iyi çalışma koşulları, iş memnuniyeti, kişisel gelişim ve terfi fırsatı, adil ve eşit muamele, bireysel farklılıklara saygılı olma, çalışanların yönetime katılımı, sosyal güvenlik olanaklarının sağlanması, adil ücretlendirme, çalışan şikayetlerinin zamanında çözülmesi vb. konuları kapsamaktadır.
• Topluma Karşı Sorumluluklar: Yerel çevrenin iyileştirilmesi, istihdam olanakları sağlanması, insan haklarına saygı, insanların yaşam standartlarının gelişmesi için eğitim, kültür ve sağlık alanlarına katkıda bulunmak, toplumun geri kalmış bölgelerinin gelişimi için çalışmalar yürütme, kaynakların verimli kullanımı, toplumsal refahın iyileştirilmesine yönelik faaliyetler vb. konuları kapsamaktadır.
• Devlete Karşı Sorumluluklar: Yerel problemlerin çözümünde ve yeni endüstri alanlarının kurulmasında devlete yardım etme, ekonomik güç ve tekelleşmeye olan eğilimlerin önüne geçme, adil ticari uygulamaları teşvik etme, vergileri zamanında ve dürüstçe ödeme, yasalara uygun hareket etme, ülkenin vatandaşlarına ve ülkedeki topluluklara saygılı davranma vb. konuları kapsamaktadır.
• Tedarikçilere Karşı Sorumluluklar: Mal için tedarikçilere adil bir ücret ödeme, ödemeleri düzenli yapma, tüketicilerin tercihleri konusunda onları bilgilendirme vb. konuları kapsamaktadır.
• Rakiplere Karşı Sorumluluklar: Karşılıklı işbirliği içinde olma, sağlıklı bir rekabet ortamının sağlanması, haksız rekabetin önlenmesi, piyasa rekabet kurallarına
saygılı hareket etme, maddi ve fikri mülkiyet haklarına saygılı olma vb. konuları kapsamaktadır.
• Çevreye Karşı Sorumluluklar: İş faaliyetlerinin çevreye zarar vermeyecek şekilde yürütülmesi, atık üretimin asgari düzeye indirilmesi ve atıkların yeniden kullanımı, doğal kaynakların tahrip edilmemesi, hayvan ve bitki türlerinin korunması, çevre kirliğinin önlenmesi, ortaya çıkabilecek çevresel sorunlara karşı önlem alınması, çevre bilincinin oluşmasına yönelik faaliyetlerde bulunma vb. konuları kapsamaktadır.
Yukarıdaki açıklamalardan da görüleceği üzere kurumların sorumlu oldukları birçok farklı alan bulunmaktadır. Her alanın kendine has özellikleri ve tarafları bulunmaktadır.
Bu noktada işletmelerin üstlendiği misyon çok önemlidir. Kurumların paydaşlar için ve paydaşlar olduğu sürece var olabileceğini ve sürekliliğini sağlayabileceğini bilmesi ve bunun için paydaşlarının kimler olduğunu bilerek ve bu paydaşların kendilerinden neler beklediklerini ortaya koyarak aynı sorumlu bir vatandaş gibi davranması esastır. Bunu gerçekleştiren işletmelerin kârlılık, verimlilik, üretkenlik gibi bazı temel ilkeler ile büyüme ve süreklilik gibi bazı temel hedefleri gerçekleştirmesi, rekabet üstünlüğü sağlayarak toplum nezdinde itibar kazanması ve bundan daha da önemlisi kazandığı bu itibarı koruması mümkün olabilecektir.

Paydaşlara karşı olan sosyal sorumlulukları yerine getirmek, iş etiğine uygun davranışlarda bulunmak, yaptıkları faaliyetlerde şeffaflığı sağlayarak hesap verebilir olmak, bu şekilde sürdürülebilirliğe katkı sağlamak, ayrımcı uygulamalardan kaçınmak ve insan haklarına saygılı olmak bu standartlara uymakla büyük ölçüde mümkün olabilmektedir.

• SA8000 Sosyal Sorumluluk Standardı,
• Küresel İlkeler Sözleşmesi (Global Compact),
• Adil İş gücü Örgütü Düzenlemeleri (FLA),
• Sullivan İlkeleri,
• AA1000 Standartları,
• ISO26000 Standartları.

İngilizce “accountability” sözcüğünün karşılığı sorumluluk olmasına karşın bu sözcük içerisinde hesap verebilirlik anlamını da içermektedir. SA8000’in ortaya çıkma nedenlerinden birisi, işletmelerin paydaşlarına hesap verebilmelerini sağlamasıdır. Sorumlu olmak, “birtakım faaliyetleri yerine getirebilmek için otoriteye sahip olmak, gücü kontrol edebilmek, karar verme özgürlüğüne sahip bulunmak ve doğru ve yanlış arasında ayrım yapabilmek” anlamlarını taşır. Hesap verebilir olmak ise herhangi bir kişinin sorumluluk alanı içindeki davranışlardan dolayı açıklama yapmak, rapor vermek ve cevap vermekle ilgilidir. Sorumluluk, faaliyetlere yön verebilme, takdir yetkisini kullanabilme yetkisini içerirken; hesap verebilirlik, yerine getirilen faaliyetleri kontrol edebilme gücü olmaktadır. Bu açıdan hesap verebilirlik ile sorumluluğun, bir bütünün iki farklı yönü olduğunu söylemek mümkündür. Çünkü her kim birtakım kararların alınması ve faaliyetlerin yürütülmesinden sorumlu ise bu sorumluluk alanı içinde yerine getirdiği faaliyetlerden ötürü de hesap vermelidir.

Faaliyet alanı sosyal politika olan SA8000 standardının temel misyonu, tüm dünyada çalışanların insan haklarını geliştirmektir (Hoştut, 2015: 119). İş yaşamında çalışanların hak ve çıkarlarını korumak, işletmelerin en temel sorumlulukları arasındadır. İşletmeler bu sorumlulukları yerine getirmekle bir yandan toplum gözünde iyi bir itibara sahip olma ve bu itibarı koruma amacını gerçekleştirirken diğer yandan da çalışanlarının örgüte bağlılıklarını ve performanslarını arttırmaktadır. 

SA8000, kalite denetim standardı olan ISO9000 ve çevre standardı olan ISO14000 standardını örnek almıştır. Bununla birlikte, SA8000 standardının ISO standartlarından temel farklılığı, performans ve bunun yanında sistem gerekliliklerini de kapsamasıdır. Örneğin bir işletme çocuk işgücünden yararlanmıyor olabilir ama yine de çocuk işgücünü kullanmayı azaltacak politika ve süreçleri kurmalı, bunları sürdürmeli ve çevresine anlatmalıdır.

SA8000 kapsamına giren konular açısından Türkiye’nin durumunun pek de parlak olduğu söylenemez. Özellikle, çocuk işgören çalıştırma konusunda ülkemizin notu çok düşüktür. Ülkemizde çocuklar, ucuz işgücü olarak görülmekte ve bu nedenle de özellikle kırsal bölgelerde, yaygın olarak çalıştırılmaktadırlar. Bununla birlikte gerek yasal düzenlemelerdeki gelişmeler gerekse SA8000 vb. standartlara artan ilgi, Türkiye’de ümit verici bazı gelişmelerin de yaşandığını göstermektedir. SA8000 belgelendirme süreci planlama, uygulama, kontrol, periyodik kontrol olmak
üzere dört aşamadan oluşmaktadır:
• Planlama Aşaması: Yönetim sistemleri denetimi konusunda bilgili, deneyimli ve üst yönetimin desteğine sahip bir yönetici belgelendirilme süreci için görevlendirilmelidir. Bu konuda danışman şirketlerden de yararlanılabilir.
• Uygulama Aşaması: SA8000 standardı maddelerinin uygulandığına dair kayıtlar tutulur.
• Kontrol Aşaması: Kesin başvuru öncesi bir ön denetim yararlı olabilir. Ön denetimin belgelendirme açısından olumsuz bir etkisi yoktur. Koşulların yerine getirildiğine inanılıyorsa doğrudan gerçek denetim için de başvurulabilir. Denetimler sonucunda bir eksiklik görülmüşse düzeltme istenecektir.
• Periyodik Kontrol Aşaması: Belgeler 3 yıl için geçerli olup, standarda uyulup uyulmadığı belli aralıklarla kontrol edilmektedir. Bu tür kontrollerle, sistemin sürekli geliştirilmesi ve işletmelerin standarda uyma konusunda mükemmelleşmeleri hedeflenmektedir.

SA8000 belgesini almak isteyen işletmelerin, üç türlü maliyete katlanmaları gerekmektedir. Ancak maliyet miktarları işletmenin yapısı, büyüklüğü, ulusal ya da uluslararası olması, örgütün karmaşıklığı gibi faktörlere göre değişmektedir. İlk maliyet unsuru, mevcut durumun tespiti için sistem politikalarının, prosedürlerinin, kontrollerinin ve kayıtlarının oluşturulması için harcanan zamandır. Bu aşamada dış yardım alınması tavsiye edilmektedir. İkinci maliyet ise düzeltici faaliyetler için katlanılan maliyettir. Örneğin işletmede çocuk işgören var ise bunların okula devam etmeleri için işten uzaklaştırılmaları ve eğitimleri için gereken fonun ayrılması gibi maliyetlerdir. Üçüncü maliyet unsuru ise diğer iki unsurdan daha az maliyetli olan belgelendirme ve denetlemedir. Bağımsız bir kuruluş tarafından denetlenen işletme, eğer şartlara uyduğu görülürse belgelendirilmektedir. Belgelendiren firmaya belirli bir miktar ödeme yapılmaktadır.

Küresel İlkeler Sözleşmesi, Birleşmiş Milletler Genel Sekreteri Kofi Annan tarafından ilk olarak 31 Ocak 1999 tarihinde Dünya Ekonomik Forumu’nda yaptığı konuşma sırasında önerilmiş ve 26 Temmuz 2000 tarihinde Birleşmiş Milletler merkezinde başlatılmıştır. Küresel İlkeler Sözleşmesi’nin 10 ilkesi insan hakları, işgücü, çevre ve yolsuzlukla mücadele alanında evrensel olarak kabul görmüş beyannamelerden alınmış olup, küresel ilkeler sözleşmesi şirketlerden bu ilkeleri kavramalarını, desteklemelerini ve uygulamalarını beklemektedir. Küresel İlkeler Sözleşmesi’ni imzalamanın tek zorunluluğu her sene kurumunbu ilkeler çerçevesinde yaptıklarını kamuoyuna açık bir rapor ile duyurmasıdır. Bu gerekliliği yerine getirmeyenler için tek bir yaptırım vardır, o da listeden çıkarılmaktır.

Küresel İlkeler Sözleşmesi’ni imzalamanın tek zorunluluğu her sene kurumun bu ilkeler çerçevesinde yaptıklarını kamuoyuna açık bir rapor ile duyurmasıdır. Bu gerekliliği yerine getirmeyenler için tek bir yaptırım vardır, o da listeden çıkarılmaktır. Çok basit ve etkinliği düşük gözüken bir yaklaşım olmasına rağmen bu sözleşmeyi imzalayan şirketlerin bu ilkeler çerçevesindeki faaliyetlerini disiplin altına almalarına, ölçmelerine, her sene kendilerini geliştirecek yeni hedefler belirlemelerine ve kamuoyunun önüne sunmaları nedeniyle aykırı olabilecek davranışlardan daha büyük bir dikkatle kaçınmalarına neden olmaktadır. Bu nedenle Küresel İlkeler Sözleşmesi dünyadaki en yaygın gönüllü
sorumluluk projesi haline gelmektedir. Küresel ilkeler sözleşmesi on temel ilkeden oluşmaktadır. Bu ilkeler aşağıda sıralanmıştır:

İnsan Hakları
İlke 1: İşletmeler evrensel düzeyde insan haklarının korunmasını desteklemeli ve saygı göstermelidirler.
İlke 2: İşletmeler insan hakları suistimallerine iştirak etmediklerinden emin olmalıdırlar.

İşgücü
İlke 3: İşletmeler, serbest sendikalaşma ve toplu iş sözleşme hakkının etkin bir biçimde tanınmasını sağlamalıdırlar.
İlke 4: İşletmeler, her türlü zorla çalıştırma ve mecburi çalışmanın durdurulmasını sağlamalıdırlar.
lke 5: İşletmeler, çocuk işçi çalıştırmaya son vermelidirler.
İlke 6: İşletmeler, çalışma yaşamında ayrımcılığın kaldırılmasını desteklemelidirler.

Çevre
İlke 7: İşletmeler, çevresel zorluklara karşı tedbir olarak başlatılan yaklaşımları desteklemelidirler.
İlke 8: İşletmeler, daha fazla çevre sorumluluğunu desteklemek için inisiyatifler üstlenmelidirler.
İlke 9: İşletmeler, çevre dostu teknolojilerin gelişmesini ve yayılmasını teşvik etmelidirler.

Cevap: “Adil İşgücü Örgütü düzenlemelerine göre tedarikçiler de işletmenin uyduğu kurallara uymak zorundadır. SA8000 ile aradaki fark ise şudur: Adil İşgücü Örgütü Düzenlemelerine göre tedarikçilerin standarda veya ilkelere uymuş olmaları, işletmenin bu tedarikçilerle iş yapması için bir ön şart değildir. Tedarikçilerin zamanla ilkeleri benimseyecek adımları atmaları yeterlidir. Halbuki SA8000’e göre kurallara henüz tam uymamış, SA8000 için gerekli düzenlemeleri yapmakta olan tedarikçilerle dahi çalışamamaktadır. SA8000 belgesini almak, o tedarikçi ile iş yapmak için bir ön koşuldur.

Yönetişim: Kurumun değerleri ve stratejisiyle davranış ve davranışlarından doğan sonuçlar arasında tutarlılık sağlar. Böylelikle kurumun kontrol süreçlerini daha etkili hale getirir.

AA1000 standartları; örgütlerin daha hesap verebilir, sorumlu ve sürdürülebilir olmalarına yardım eden prensip-temelli standartlardır. Bu standartlar yönetişim, işletme modelleri ve örgütsel stratejileri etkiler, sürdürülebilirlik güvencesi ve hissedar katılımına dair işlemsel bir kılavuz görevi görür. AA1000 standartları düşük karbon ve yeşil ekonominin gerektirdiği bütünleştirilmiş bir akıl yürütme için tasarlanmıştır ve yine bütünleştirilmiş raporlama ve teminatlandırmayı destekler. AA1000 standartlar serisi aşağıda sıralanan üç standardın birleşimi ile oluşmuştur:
• AA1000 Hissedar Standartları (AA1000SES): Örgütlerin amaç yönelimli, sağlam ve sonuca götürür şekilde hissedar katılımını güvenceye almak için bir çerçeve sunan bu standart 2005 yılında düzenlenmiştir.
• AA1000 Hesap Verebilirlik İlkeleri Standardı (AA1000APS): Bir örgütün sürdürülebilirlik sorunlarını tanımlama, öncelikli hale getirme ve yanıt vermesi için bir çerçeve sunan bu standart 2008 yılında düzenlenmiştir.
• AA1000 Teminat Standardı (AA1000AS): Hesap verebilirlik ilkelerini benimseyen bir organizasyonun bunu ne kadar başardığını, sürdürülebilirlik performansına dair halka sunduğu bilgilerin kalitesini ve bu organizasyonun doğasını değerlendirecek çerçeveyi sağlayan bu standart da 2008 yılında düzenlenmiştir

Uygulamada farklılıklar bulunmakla birlikte bilgi güvenliği konusunda temel standartlar aynıdır:
• Kimliğin doğruluğu: İşlemleri tam olarak kimin yaptığı bilinmelidir.
• Yetki kontrolü: Kişinin yetkisine uygun işler yapmasıdır.
• Kimliğin gizliliği: Kişinin e-posta veya diğer bilgilerine istenmeyen kişilerin erişimlerinin engellenmesidir.
• Kişisel gizlilik: Kimin hangi işi yaptığı veya müşterinin hangi malı satın aldığı gibi bilgiler kimseyle paylaşılmamalıdır.
• Verinin bütünlüğünün korunması: Gerçek hayatta fatura ve resmi belge gibi varlıklar elektronik ortamda parçalara bölünerek saklanır. Bu parçalardan herhangi biri bozulursa yapılmak istenen işlem farklı bir anlam kazanır.
• İzleme: Yetkisiz erişim durumunda bunun kimin tarafından yapıldığı ve sistemin nerelerini etkilediğini tespit etmek için sistem sürekli izlenmeli ve izlenme sonuçları kaydedilmelidir.

Güvenlik yönetiminin amacı tüm bilgi sistemi süreçleri ve kaynaklarının doğrululuğu, bütünlüğü ve güvenliğidir. Böylece etkili güvenlik yönetimi günümüz işletmelerini, müşterilerini, tedarikçilerini ve diğer paydaşları birbirine bağlayan bilgi sistemlerindeki hataları, sahtekârlıkları ve kayıpları en aza indirebilir.

Kötü Amaçlı Yazılım: Virüsler, Solucanlar, Truva Atları ve Casus Yazılımlar
Kötü amaçlı yazılım programları bilgisayar virüsleri, solucanlar ve Truva atları gibi birçok tehdit içermektedir. Virüsler, en tehlikeli ve en eski kötü amaçlı yazılımlar olarak kabul edilmektedirler. Organizmalardaki hücrelere bulaşan küçük parçacıklar olarak tanımlanan biyolojik virüslerden esinlenerek adlandırılan bilgisayar virüsleri, kendi kopyalarını çalıştırılabilir diğer kodlara veya belgelere yerleştirilerek yayılan ve kendi kendine çoğalan programlardır. Ekranda rahatsız edici, çalışmaya kısa süreliğine de olsa mani olan mesajlar göstermek gibi zararsız sayılabilecek türlerinin de bulunmasına karşın, çoğu virüs programlarının, önemli dosyaları silmek veya konak (host) sistemini tamamen çalışmaz hale getirmek gibi yıkıcı etkileri bulunmaktadır .
Birçok güncel saldırı solucanlardan gelmektedir. Bilgisayar virüslerine benzer bir yapıda olan solucanlar, virüsler gibi bir başka çalıştırılabilir programa kendisini iliştirmez veya bu programın parçası olmazlar. Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır. Solucanlar verilere ve programlara zarar vermenin yanında bilgisayar ağlarının çalışmasını engelleyebilir hatta durdurabilirler . Solucanlar ve virüsler genellikle İnternet üzerinde indirilen yazılım dosyalarından, e-postalara eklenen dosyalardan veya e-posta mesajlarından, online reklamlardan veya anlık mesajlaşmalardan yayılırlar. Mobil cihazları hedefleyen kötü amaçlı yazılımlar bilgisayarları hedefleyenler kadar yaygın olmamakla birlikte e-posta, yazılı mesajlar, Bluetooth ve Web’den Wi-Fi veya cep bağlantıları ile indirilen dosyaları kullanarak yayılmaktadır. Bloglar, wikiler ve Facebook gibi sosyal ağ siteleri kötü amaçlı yazılımlar ve casus yazılımlar için yeni bir kanal haline gelmiştir.
Solucanlar, yayılmak için başka bir programa veya virüslerde olduğu gibi insan etkileşimine ihtiyaç duymayan, kendi kendini çoğaltan bir yapı arz ederler. Bu da solucanların neden bilgisayar virüslerinden daha hızlı yayıldığını açıklamaktadır.

Güvenlik Altyapısı Oluşturma Aşamaları
Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar şu şekildedir.
• Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.
• Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.
• İnsan kaynağı istihdamı: Güvenlik konusunda tecrübeli insan kaynağının istihdam edilmesi gerekmektedir. Güvenlik işletmeler için çok önemli bir konu olduğundan bu konuda görevlendirilecek insan kaynağı hakkında çok ayrıntılı bir ön araştırma yapılması faydalı olacaktır.
• Önleme: Öncelikle veri ve sistemlere yetkisiz kişilerin erişimi ve saldırıları önlenmelidir.
• Yakalama: Tüm saldırılar önlenemez. Ancak izleme sistemi ile erkenden fark edilerek mücadele kolaylaşır ve zararlar azaltılabilir.
• Zararı en aza indirme: Çökmenin zararlarını en aza indirme. Bu işlem için örneğin İnternet siteleri ayrı bir ağda tutulur. Bu sayede İnternet siteleri çökse dahi içerideki sistemler etkilenmez.

Güvenlik Altyapısı Oluşturma Aşamaları
Bilgi sisteminin tüm parçalarını kapsayan bütünleşik bir koruma politika ve stratejileri geliştirilmelidir. Temel aşamalar şu şekildedir:
• Risklerin tespit edilmesi: İşletmeler, bilgi ve sistemlerinin karşı karşıya kaldığı riskler hakkında bilgi sahibi olmalı, verilerin güvenlik düzeyini değerlendirmeli, kendi çalışanlarını ve diğer işletmelerinin yaşanmış tecrübelerinden ders almalıdır.
• Farkındalık: İşletmenin tüm üyeleri çıkabilecek sorunlara karşı uyanık, eğitimli ve bilgi sahibi olmalıdır. İşletme çalışanlarını bilinçlendirmeye yönelik eğitimler bu kapsamdadır. Güvenlik konusunda tolerans olmadığı bilinmelidir.
• İnsan kaynağı istihdamı: Güvenlik konusunda tecrübeli insan kaynağının istihdam edilmesi gerekmektedir. Güvenlik işletmeler için çok önemli bir konu olduğundan bu konuda görevlendirilecek insan kaynağı hakkında çok ayrıntılı bir ön araştırma yapılması faydalı olacaktır.
• Önleme: Öncelikle veri ve sistemlere yetkisiz kişilerin erişimi ve saldırıları önlenmelidir.
• Yakalama: Tüm saldırılar önlenemez. Ancak izleme sistemi ile erkenden fark edilerek mücadele kolaylaşır ve zararlar azaltılabilir.
• Zararı en aza indirme: Çökmenin zararlarını en aza indirme. Bu işlem için örneğin İnternet siteleri ayrı bir ağda tutulur. Bu sayede İnternet siteleri çökse dahi içerideki sistemler etkilenmez.

• Kurtarma: Çöken sistemlerin en kısa zamanda ve en az zararlara ayağa kaldırılması. Yakın bir noktaya alınan ve çabuk dönülebilen bir yedek zor durumlarda çok işe yarar.
• Düzenleme: Sistemde aynı sorunun ortaya çıkmasını engelleyen düzenlemeler yapmak.
• Güvenlik standartlarına uyum: Milli ve uluslararası güvenlik standartlarını bilme ve uygulama.

Güvenlik Duvarları, İzinsiz Giriş Tespit Sistemleri ve Anti-Virüs Yazılımları
İnternette kontrol ve güvenlik için kullanılan bir başka yöntem ise bilgisayar ve yazılım güvenlik duvarlarıdır. Bir ağ güvenlik duvarı, güvenlik duvarı yazılımı ile birlikte bir iletişim işlemcisi, sıklıkla bir router veya server olabilir. Güvenlik duvarı, işletmenin intranetini ve diğer bilgisayar ağlarını, bir filtre ve İnternete ve diğer ağlara bir erişim için güvenli bir transfer noktası sağlayarak ihlallerden koruyan bir ağ geçidi denetçisi sistemi olarak hizmet eder. Tüm ağ trafiğini doğru şifreler veya diğer güvenlik kodları için izler ve ağa sadece izni olan iletimlerin geçmesine izin verir. Güvenlik duvarı yazılımları İnternete DSL veya modemlerle bağlanan kullanıcılar için bilgisayar sisteminin önemli bir bileşenidir. Bir işletmenin ağında İnternet ve intranet güvenlik duvarı şu şekilde çalışmaktadır: Dış
güvenlik duvarı izinsiz İnternet kullanıcılarının içeri girmesini engeller. İç güvenlik duvarı kullanıcıların hassas insan kaynakları veya finansal verilere ulaşmasını engeller. Şifreler ve browser güvenlik özellikleri özel intranet kaynaklarına erişimi kontrol eder. İntranet server özellikleri kimlik doğrulama ve gerektiğinde şifreleme sağlar. Ağ arayüzü yazılımları arka plandaki kaynaklarda güvenlik boşlukları oluşmasını engellemek için dikkatlice tasarlanır. 

Güvenlik duvarı yetkisiz kullanıcıların özel ağlara girmesini engeller. Giren ve çıkan ağ trafiğini kontrol eden yazılım ve donanımım bir birleşimidir.

ISO’da Uluslararası Standartlar geliştirilir ancak ISO sertifikalandırma süreci içinde yer almaz ve sertifika yayınlamaz. Bu hizmet dış sertifikalandırma kuruluşları tarafından gerçekleştirilmektedir. Yani bir işletme veya organizasyon ISO tarafından sertifikalandırılmaz.“ISO/IEC 27004”, BGYS Etkinlik Ölçüm Rehberidir.“ISO/IEC 27007”, BGYS Denetim Rehberidir.“Erişilebilirlik (Availability)”,Bilginin bilgiye erişim yetkisi olanlar tarafından istenildiği anda ulaşılabilir, kullanılabilir olmasıdır.Bilgiye yetkisiz kişilerce erişilememesi “Gizlilik (Confidentiality)” olarak geçer.

İç Tehditler: Çalışanlar
Güvenlik tehditlerinin işletme dışından kaynaklandığını düşünme eğilimindeyizdir ancak gerçekte iç tehditler ciddi güvenlik sorunları yaratır. Çalışanların ayrıcalıklı bilgilere erişimi vardır ve özensiz iç güvenlik prosedürlerinin olması durumunda sıklıkla bir iz bırakmadan işletmenin sisteminde dolaşabilirler. Kurum içi çalışanların yaptıkları yolsuzluk, hata ve güvenlik prosedürleri ihlalleri birçok güvenlik sorununun temel nedenidir.
Bu çok tehlikeli ve yüksek zararlara yol açan bir saldırı şeklidir. Çünkü kurum içindeki bir kişi için kurumu dış tehditlere karşı koruyan güvenlik duvarları ve kapılarda yapılan fiziksel kontrol geçerli değildir. Kaleyi içten fethetme gibi bir durum söz konusudur.
İşletmelerin mevcut ve eski çalışanları siber suçun en çok konuşulan suçlularından olmuştur. Tabii ki bu tüm çalışanların zararlı davranışlarda bulunduğunu göstermez. Birçok durumda mobil cihazlarını kaybederek veya hedefli e-dolandırıcılığa maruz kalarak farkında olmadan verileri tehlikeye atarlar. 2014’te ABD siber suçun durumu araştırmasında katılımcıların üçte biri iç tehditlerin, dışarıdan gelen tehditlerden daha maliyetli olduğunu ve daha çok zarar verdiğini belirtmektedirler. Birçok işletmenin mevcut iç tehdit
programları yoktur ve bu sebeple iç tehditleri engellemeye, belirlemeye ve onlara cevap vermeye hazırlıklı değillerdir. Çalışanlar iç tehditlerin yükselen tek kaynağı değildir. Hizmet sağlayıcıları ve diğer işletme ortakları da şirket içindeki tehditlerden biridir.

Şirketin İçindekiler 
• Mevcut çalışanlar %35
• Eski çalışanlar %30
• Mevcut hizmet sağlayıcıları/ danışmanlar %18
• Eski hizmet sağlayıcıları/danışmanlar %15
• Tedarikçiler/iş ortakları %13
• Müşteriler %11

Dıştakiler
• Teröristler %10
• Organize suç %15
• Eylemciler / Eylemci organizasyonlar/ Politik amaçlı hackerler (hactivists) %16
• Bilgi brokerları %16
• Rakipler %24
• Yabancı girişimler ve işletmeler %9
• Yabancı ulus-devletler %7
• Yerel istihbarat teşkilatı %6
• Hackerlar %24
• Bilinmeyen %18

Sistem erişimi arayan kötü amaçlı kişiler, işletmenin bilgi ihtiyacındaki meşru bir üyesi gibi davranarak bazen çalışanları bilgisayar sistemlerine giriş şifrelerini açığa çıkarma konusunda kandırırlar. Bu uygulamaya sosyal mühendislik denmektedir. Diğer bir deyişle bilgisayar korsanlarının aslında masum olan kişileri suçlarında kullanmasına sosyal mühendislik denir. Örneğin bir kişi ile arkadaş olup ondan şirketin güvenlik kodları ile ilgili bilgiyi öğrenmek veya sanki kurumun bilgi işleminden bir kişi gibi çalışanları arayıp onlardan bir şifre ve önemli güvenlik kodlarını istemek bu tür saldırılardır.

ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi

Bilgi Güvenliği Yönetim Sistemi kapsamında, güvenlik ile ilintili kontroller 11 ana çalışma alanı altında toplanmıştır. 

a. Güvenlik politikası

b. Bilgi güvenliği organizasyonu

c. Varlık yönetimi

d. İnsan kaynakları güvenliği

e. Fiziksel ve çevresel güvenlik

f. İletişim ve operasyonel yönetim

g. Erişim kontrolü

h. Bilgi sistemleri tedariki, geliştirme ve bakımı

i. Bilgi güvenliği olay yönetimi

j. İş sürekliliği yönetimi

k. Uygunluk (Uyum)

Varlık yönetimi: Varlıkların envanterini çıkartılması ve bu varlıkları etkin bir şekilde korunmasını sağlar. Tüm bilgi varlıklarını içeren bir varlık envanteri tutulmalıdır. Bu envanter hazırlanırken aşağıda belirtilen varlık türlerinin tamamı göz önünde bulundurulmalıdır.
• Bilgi: Veri tabanı, sözleşme ve anlaşmalar, sistem dokümantasyonu vb.
• Yazılım varlıkları: Uygulama yazılımları, sistem yazılımları ve yazılım geliştirme araçları.
• Fiziksel varlıklar: Bilgisayarlar ve iletişim araçları.
• Hizmete dönük varlıklar: Bilgisayar ve iletişim hizmetleri, ısıtma, aydınlatma, güç vb.
• Personel: Nitelik ve tecrübeleri ile birlikte.
• Soyut varlıklar: Kuruluşun itibarı ve imajı gibi.
Varlık envanteri herhangi bir afetten sonra normal çalışma şartlarına dönmek için gereken (varlığın türü, formatı, konumu, değeri gibi) tüm bilgileri içermelidir

Suçun Hedefi Olarak Bilgisayarlar
Korunan verilerin gizliliğini ihlal etmek
İzinsiz olarak bir bilgisayar sistemine erişmek
Korunan bir bilgisayara dolandırmak için bilerek erişmek
Korunan bir bilgisayara kasten erişmek ve bilerek veya dikkatsizce bir zarara sebep olmak
Korunan bir bilgisayara kasten zarar veren bir programı, program kodunu veya bir komutu
bilerek iletmek
Korunan bir bilgisayara zarar vermek için tehdit etmek

Suç Aracı Olarak Bilgisayarlar
Ticari sırların hırsızlığı Yazılımın veya kitaplar, makaleler, müzik ve video gibi telifli entelektüel sermayenin yetkisiz kopyalanması

Dolandırma planları
Tehdit ve taciz için e-posta kullanma
Kasten elektronik iletişimi engelleme girişimi
Saklanan e-posta ve sesli postayı içeren elektronik iletişimlere yasa dışı olarak erişilmesi
Bir bilgisayar kullanarak çocuk pornografisi dağıtmak veya sahip olmak

Ülkelerin ekonomik sistemleri, kültürel faktörler, işletmelerin ortaklık anlayışı, devletin yapısal düzenlemeleri, muhasebe mesleğinin örgütlenmesi, hukuk düzeni, finansal sağlayıcılar (sermeye sahipleri), ülkeler arası muhasebe uygulamalarındaki farklılıkların nedenlerinden bazılarıdır.