Açıklık denetiminin tam da bugün yapıldığı şekilde, bitmiş uygulamanın gerçek ortam üzerinde yüklenmiş hali üzerinde yapılmalı, sadece yazılımdan kaynaklanan açıklıkların değil, üzerinde çalıştığı ortamdan kaynaklanan açıklıklarda bu şekilde tespit edilmesi gereklidir. Açıklık denetiminin (mecburen) tek başına uygulama alanı bulduğu bir konu satın alınan yazılımlar için satın alan kurumun yaptığı açıklık denetimidir. Esas itibariyle bu da yeterli değildir, ancak pratiklik ve yazılım üreticisi üzerinde oluşturacağı güvenlik hassasiyeti nedeniyle belli bir etkisi bulunmaktadır.
Kurumların sistemleri uyumlu hale getirmesi ve geçiş sürecini iyi yönetebilmesi için uygulanması gereken en önemli kontroller yönetsel kontrollerdir. Teknik ve diğer detaylı kontroller yönetsel kontrol şemsiyesi altında yer alacak, ve geçişle ilgili konular tam olarak netlik kazandığında son halini alacaktır. Konuya genel olarak bakıldığında yönetsel kontrollerin en başında düzenleyici kurumların ülkede paradan sıfır atılmasından etkilenecek kesimleri iyi yönlendirmesi, konuyu tüm boyutları ile önceden kurgulaması ve risk analizi yapması, uygulamaya geçiş öncesi uyum zorunluluğu gereken aşamaları ve zaman sınırlarını belirlemesi sayılabilir.
Hal böyle iken pek çok organizasyonda olay yönetim yapısı ve planının bulunmasını beklememiz gerekir, öyle değil mi? Ne yazık ki gerçek hayatta böyle bir durum gözlemlemiyoruz. Güvenlik ve risk yönetimiyle ilgili her durumda olduğu gibi tehdidin ve tehdide karşı yapılabileceklerin tam olarak anlaşılabilmesi gerekiyor ki, bir başlangıç noktası da belirlenebilsin. Yani en azından “olay yönetimi yetkinliğimizi geliştirelim, diğer kapsamlı planları daha uzun bir zaman diliminde yapabiliriz” kararını alabilmek için sorunu da çözümü de net olarak anlamak gerekiyor. Bunu operasyonel kadroların anlaması pek birşey ifade etmiyor malesef, konunun bizzat en üst yönetim tarafından anlaşılması, desteklenmesi ve hatta kısmen işletilmesi gerekiyor. Bu gerçeğin konuyla ilgili standart ve rehberlerde de açıkça belirtildiğini görüyoruz.
Kontrol altyapılarının vazgeçilmez parçalarından biri olan verimlilik hedefi, kontrol yapısının kendisi için de hayati önem taşımakta olup, kontrol uygulamaları ve denetimleri gerekli planlama ve kaynak aktarımı neticesinde gerçekleştirilmelidir. Kontrol ve denetim altyapısının verimlilik ve etkililiği konusunda uzmanların yetenekleri, ihtiyaçları algılayış kabiliyetleri ve mevcut teknoloji, risk ve metodolojilere hakimiyetleri, dolayısı ile insan faktörü büyük önem taşımaktadır. Kontrol ve denetim uzmanlarının gelişen teknoloji ve kuruma has koşullar göz önüne alınarak iş başı veya sınıf eğitimleri yöntemleri ile yeterli eğitim desteğine sahip olmaları sağlanmalıdır.
Bu Yazıyı Beğendinizmi?
Hiç yorum yok:
Yorum Gönder