Günümüz iş dünyasında bilgi teknolojilerinin daha yoğun bir
biçimde kullanılmaya başlanması Bilgi Teknolojileri(BT) yönetişimi konusunu
daha önemli bir hale getirmiştir. Geçmişte BT kurumların hedeflerine ulaşmasını
kolaylaştıran bir araç olarak görülürken günümüzde kurumların ayrılmaz bir
parçası haline gelmiştir ve iş hedeflerine ulaşmakta vazgeçilmez bir yer
kazanmıştır. Başlarda BT, şirket yöneticilerinin gündeminde pek bulunmayan bir
konu iken, BT yönetişimi bugün şirket yönetimi altında ele alınması gereken bir
konu olmuştur. Şirketlerin başarısında etkin BT kullanımının belirleyici rol
oynaması BT’nin üst düzey yönetilmesi ihtiyacını doğurmuştur.
Bu makalede ele aldığımız BT yönetim şekli BT’nin üst düzey
ve stratejik boyutta yönetimidir (IT
Governance). Bu sebeple kurum içinde BT yönetişimden birinci derecede
sorumlu olanlar yönetim kurulu ve üst düzey yönetimdir, BT yöneticisi değildir.
BT yönetişimi kurum yönetiminin bir bileşenidir.
BT yönetişiminin ana misyonu kurumun iş hedefleri ile BT
faaliyetlerinin uyuşmasının ve aynı doğrultuda bulunmasının sağlanmasıdır (alignment). BT ile kurum hedefleri
arasındaki bu stratejik uyumluluk günümüzde kritik bir başarı faktörü olarak
karşımıza çıkmaktadır. BT yönetişimi bu kritik başarı faktörünün yakalanması
için güvenli ve sağlam bilgi teknolojilerinin uygulanmasına çalışır. BT yönetişimde
en iyi yöntemler (best practices)
denilen sektörde güvenilirliği ve işlerliği kanıtlanmış teknikler kullanılır.
Bu teknikler kullanılan bilgi teknolojilerinin kurum hedeflerini
desteklemesini, kaynakların daha sorumlu kullanılmasını, risklerin uygun bir
biçimde yönetilmesini ve iş alanlarının etkinliğinin artırılmasını sağlar.
BT yönetişimi 2 temel mesele ile ilgilenir:
- BT
kuruma katma değer kazandırmalıdır
- BT
riskleri kabul edilebilir seviyeye indirgenmelidir
BT yönetişimi bu hedefleri bir döngü içinde gerçekleştirmeye
çalışır. BT’nin kurumun iş hedefleri ile aynı doğrultuda olması katma değer
yaratır. Yaratılan katma değerin korunması yoğun biçimde kullanılan bilgi
teknolojilerinin doğasında bulunan risklerin etkin yönetimi ile mümkündür. BT
risk yönetimi ve performans değerlendirme sonuçları baştaki doğrultulamanın
tekrar gözden geçirilmesine götürür.
BT yönetişiminin kurum içinde yürütülmesi için bir BT Strateji
Komisyonu oluşturulması önerilir. BT strateji komisyonu üyeleri üst düzey
yöneticilerden oluşur. Her üye sorumlu olduğu birim içinde karar verme
yetkisine sahiptir. Bu komisyonun ana fonksiyonu kurumun BT sorumluları ile üst
yönetim arasında köprü vazifesi görmektir. Üst yönetime BT ile ilgili kararlar
alınması sürecinde teknik bilgi sağlayarak yardımcı olurken, alınan stratejik
kararların BT tarafına aktarılması BT stratejik komisyonu tarafından yerine
getirilir. Bu komisyon ile üst yönetim ve BT bölümü arasındaki iletişimin
iyileştirilmesi hedeflenir.
BT yönetişimi içerisinde ele alınması gereken bir diğer
önemli konu Bilgi Güvenliği Yönetimidir (BGY). BGY 3 temel konu üzerinde
odaklanır: servislerin sürekli kullanılabilirliği (availability), bilginin bütünlüğü (integrity) ve bilgi gizliliğinin korunması (confidentiality). BGY bütün biçimleriyle (kağıda yazılı, ses
halinde, elektronik ortamda, e-posta vb.) kuruma ait bilginin yaşam döngüsü
içindeki her noktada korunmasına çalışır. Ağ ortamında gerçekleşen saldırıların
yıldan yıla artması ve giderek daha karmaşık saldırıların uygulamaya konulması
BGY’ni zorunlu hale getirmiştir. Günümüz iş dünyasında bilgiye olan
bağımlılığın üst seviyeye çıkması onun çok iyi bir şekilde korunması
gerekliliğini doğurmuştur. Bu alanda metodik bir yaklaşımla standart
kuruluşları tarafından ortaya konan bir yönetim sistemi bulunmaktadır, Bilgi
Güvenliği Yönetim Sistemi (BGYS). BT yönetişiminde olduğu gibi BGY’de de
birinci derecede sorumlu yönetim kurulu ve üst yönetimdir.
Etkin bir BGY’de atılan ilk adım kurumun iş hedefleri ile
örtüşen bir bilgi güvenliği politikasının geliştirilmesi olmalıdır. Bilgi
güvenliği politikası kurumun güvenliğe olan yaklaşımını ortaya koyar.
Güvenliğin üst yönetim tarafından ciddiye alındığını gösteren bir belgedir.
Güvenliğin üst yönetim tarafından önemsenmesi tüm kurum çalışanlarının
güvenliği daha kolay benimsemelerine yardımcı olur. Bilgi güvenliği politikası
kurum içinde yayınlanmalı ve bütün çalışanlara ulaştığından emin olunmalıdır. Kurum
içinde güvenliği arttırırken verimliliğin de düşürülmemesi gereklidir. Güvenlik
ve verimlik bir terazinin ayrı kefelerinde bulunur. İkisi arasındaki hassas
dengeyi kurumun kabul edebileceği risk seviyesi belirler. Öte yandan güvenlik
için harcanan iş gücü ve maliyetin korunmaya çalışılan bilginin değerinden
fazla olmamasına da dikkat edilmelidir.
BT yönetişimde en çok kullanılan yönetim araçları politika
ve prosedürler olarak karşımıza çıkmaktadır. Politika ve prosedürler bilgi
sistemleri ve bilgi kaynaklarını idare etme hususunda yönetimin yaklaşımını
ortaya koyar. Politika daha üst düzey bir belge iken prosedür daha alt seviye
bir belgedir. Politikalar kurum felsefesini yansıtmalıdır. Detaya girmeyen ve kuralları her seviye çalışanın
anlayabileceği bir biçimde açık ve net belirleyen bir belgedir. Prosedürler
belli aktivitelerin ve iş süreçlerinin nasıl yapılması gerektiğini adım adım
ayrıntılı bir şekilde ortaya koyar.
BT yönetişimin ilgilendiği temel konulardan birinin de risk
yönetimi olduğundan bahsetmiştik. Risk yönetimi kurum içinde bilgi güvenliğinin
sağlanmasındaki temel taşlardan biridir. Risk yönetiminde atılması gereken ilk
adım kurumun riske karşı toleransını belirlemesidir. Kurum kabul edilebilecek
risk seviyesini belirlemelidir. Risk yönetimi 4 ana adımından oluşan bir
süreçtir:
- Varlıkların
listelenmesi ve sınıflandırılması
- Açıklıkların
ve tehditlerin belirlenmesi
- Karşı
önlemlerin seçilmesi
- Riskin
kabul edilebilir seviyeye çekilmesi
Somut veya soyut kurumun sahip olduğu her şey varlık olarak
tanımlanabilir. Saygınlık, bilgi, yazılım, donanım, personel vb. kurum
varlıklarına örnek olarak gösterilebilir. Risk yönetiminin ilk adımında bu
varlıkların envanteri çıkarılır. Çıkarılan envanterde varlıklar
sınıflandırılmış ve değerleri (parasal veya manevi) belirlenmiş olmalıdır. Bu
adımda öncelikle neyin korunacağına karar verilir. İkinci adımda varlıklarda
kazara veya kasıtlı olarak kayıp veya zarara yol açabilecek tehditler
belirlenir. Bunun yanında varlıklarda bulunabilecek tehditlerin kullanabileceği
açıklıklar da (zafiyet) tespit edilmelidir. Açıklık olmadan tehdidin zarar
vermesi mümkün değildir. Son iki adımda uygun karşı önlemler ve kontroller
seçilir ve bunlar uygulamaya geçirilir.
Risk yönetimi kurum bütün fonksiyon ve süreçlerine
uygulanmalı, açıkta bir alan bırakılmamalıdır. Risk yönetimi kapsamında daha
değerli olan varlıklara öncelik verilmesi gerekir. Benzer şekilde büyük kayıp
ve zararlara yol açabilecek tehditler de yine öncelikli olarak ele alınmalıdır.
BT yönetişimi kapsamında yürütülen risk yönetimi de diğerlerinde olduğu gibi
üst yönetim sorumluluğundadır.
Bilgi güvenliğinde anahtar öneme sahip bir diğer unsur insan
faktörüdür. Bilgi güvenliğinde en zayıf halkayı insanlar oluşturmaktadır.
Çalışanlar, şirketin başarılı veya başarısız olmasında doğrudan etkiye
sahiptir. Bu sebeple personel (insan kaynakları) yönetimi BT yönetişimi
kapsamında ele alınması gereken önemli konulardan biridir. Personel yönetimi
insanların işe alınması, çalıştırılması, terfi ettirilmesi ve işine son
verilmesi ile ilgili politika ve prosedürlerle ilgilenir. Bu politika ve
prosedürler, personel yönetimi kapsamında uygulanacak prensip ve ilkeleri
ortaya koyar. Bunlardan bazıları:
- İşe
alma prensipleri
- Çalışan
el kitabı
- Terfi
politikası
- Bilinçlendirme
ve mesleki eğitimler
- İşgücü
planlama ve zaman yönetimi
- Personel
performansını değerlendirme
- Zorunlu
izne ayırma
- İşten
çıkarma politikası
Personel yönetimi ile ilgili tavsiye edilen uygulamalar
örneğin;
- İşe
alırken adayın geçmiş iş tecrübelerinin, eğitim durumunun incelenmesi,
referanslardan gerekli doğrulamaların alınması, işe başlatırken gizlilik
anlaşmasının yapılması
- İşe
başladıktan sonra çalışanlara şirket içinde bilmesi ve uyması gereken tüm
kural, politika, prosedür ve düzenlemeleri anlatan el kitabının verilmesi
- İşini
bilgi güvenliği prensiplerine uygun şekilde yerine getirebilmesini
sağlayacak bilinçlendirme eğitimlerinin verilmesi
- İşine
son verirken kullanıcı hesaplarının zamanında devre dışı bırakılması, tüm
erişim ve giriş kartlarının geri alınması, kullandığı tüm şirket
malzemelerinin zamanında teslim alınması, kurum bilgisine zarar vermesini
engellemek için erişiminin vakit kaybetmeden kaldırılması
vb. olabilir.
BT yönetişim kapsamında ele alınması gereken bir diğer konu
dış kaynak kullanımı ile ilgilidir. Dış kaynak kullanımı sadece maliyetle
ilgili bir karar değil kurum açısından stratejik bir karar olarak görülmelidir.
Bir BT servisini dış kaynak kullanımı ile elde etmeden önce gerekli analiz
çalışmasının çok dikkatli bir şekilde yürütülmesi gerekmektedir. Mutlaka kurum
içinde sağlanması gereken BT servisleri olabilir, bunlar için dış kaynak
kullanımı daha maliyet etkin bir yol bile olsa tercih edilmemesi gerekir. Dış
kaynak kullanımı ile elde edilecek işlevin üçüncü taraflarca daha ucuza, daha
kaliteli bir şekilde ve riski arttırmadan sağlanıp sağlanamayacağı mutlaka
sorgulanmalıdır. Dış kaynak kullanımına yönelik karar ve stratejilerin BT
strateji komisyonu tarafından gözden geçirilmese ve onaylanması tavsiye
edilmektedir.
BT yönetişim kapsamında son olarak görevlerin ayrılığı (segregat,on of duties) ilkesine de
değinmek gerekir. Görevlerin ayrılığı ilkesi kurum çalışanlarının gereğinden
fazla geniş yetkilerle donatılması neticesinde ortaya çıkabilecek kötüye
kullanımların önüne geçmeyi hedefler. Kritik görev ve işlerin sadece bir kişi
tarafından yürütülmesi bu türden kötüye kullanımlara ve bu yanlışlıkların
tespit edilememesine yol açar. Bu ilke gereği rol ve sorumluluklar birden fazla
çalışana dağıtılmalıdır. Tek bir kişi üst düzey yetkilerle donatılmamalı ve her
çalışanın faaliyetlerinin denetlenebilmesini sağlayacak şekilde sorumluluklar
dağıtılmalıdır. Görevlerin ayrılığı ilkesi özellikle büyük ölçekli kurumlar
için hayati önem taşır. Eğer bu ilkenin uygulanması insan kaynağı açısından
mümkün olmuyorsa telafi edici kontroller tasarlanarak kurum riski
azaltılmalıdır.
Hiç yorum yok:
Yorum Gönder