Güvenlik Yönetiminin Önündeki Engeller

Bilgi teknolojileri mimari metodolojilerinin tümünde bilgi teknolojileri altyapısına farklı perspektiflerden bakan tarafların bakış açıları tanımlanmakta, mimari planların bu bakış açılarına uygun olarak üretilmesi gerektiği vurgulanmaktadır. Örneğin kurumsal stratejiyi belirleyen üst yönetim, iş süreçlerinden sorumlu yöneticiler, bilgi teknolojileri tasarımcıları, çeşitli noktalarda görev yapan geliştirme ekipleri ve teknik ekipler, kurumun kullandığı dış kaynaklar kurumsal bilgi teknolojileri mimarisine farklı perspektiflerle bakmakta ve farklı kapsamlarda bilgiler ile ilgilenmektedirler. Bir başka ortak nokta da her bakış açısı için tanımlanan odak noktalarıdır. Bu odak noktaları bilgi teknolojileri hizmetinin kendine has özelliklerinden kaynaklanmaktadır. Odak noktaları farklı metodolojilerde farklı biçimlerde ifade edilebilir. Örneğin teorik sayılabilecek Zachman metodolojisi odak noktalarını; veri mimarisi, (fonksiyon) uygulama mimarisi, bilgi ağı mimarisi, bilgi teknolojileri destek ve kullanıcı insan kaynağı organizasyonları, (zaman) bilgi teknolojileri ve iş süreçleri akış mimarisi, (motivasyon) kurumsal ve bilgi teknolojileri kapsamında iş planları olarak tanımlamaktadır. Daha çok pratik uygulamaya yönelik olarak hazırlanmış olan metodolojilerden FEAF odak noktalarını iş mimarisi, veri mimarisi, uygulama mimarisi ve teknolojik altyapı mimarisi, TEAF ise fonksiyonel, veri yapısı, organizasyonel yapı ve altyapı olarak belirlemektedir. Mimari planların bu şekilde sınıflandırılmaya çalışılması ile bakış açıları ve odak noktaları eksenlerinin oluşturduğu bir matris karşımıza çıkmaktadır. Bu matris bize birbiri ile ilişkili ancak içerik olarak birbirinden farklı planları tespit etmemize yardımcı olmakta, dolayısı ile mimari planların kapsam karmaşasından kurtulmamızı sağlamaktadır. Benzer bir yaklaşım her kurumun kendi uygulamasında kullanılabilir.

Entegre iş uygulamaları genellikle dağıtık bilgi teknolojileri mimarisi ile faaliyet göstermekte, istemci sunucu teknolojisini ve diğer kanallardan uygulamaya erişimi kullanıma sunmaktadır. Merkezi bir yapıda çalışmakta olan bilgi teknolojileri mimarisinden böyle bir mimariye geçişin getireceği zorluklar genellikle göz ardı edilmektedir. Yeni teknoloji ve yeni bir bilgi teknolojileri mimarisinin işletimi personelin eğitilmesini ve tıpkı iş süreçlerinde çalışan personel gibi yeni uygulama ile gelen ortama uyum sağlamasını gerektirmektedir. Bu nedenle bilgi teknolojileri için geçiş planlaması iş süreçleri için olduğu gibi yapılmalı, proje bütçesi içinde yerini almalıdır.

Entegre uygulamalara geçişin kuruma sağlayacağı katkıların yanı sıra yukarıda genel olarak bahsi geçen risklerden bağımsız olamayacağı göz önünde bulundurulmalıdır. Bu risklere karşı etkili kontroller uygulanamadığı takdirde aşılan bütçe rakamları, başarılamayan bir proje veya kurumsal süreçleri daha önce var olmayan risklere karşı zayıf konuma düşürmek olasıdır. Kuruma ve uyarlanacak uygulamalara özgü risklere karşı etkili kontrollerin maliyet etkin biçimde uygulanması için en önemli konu kontrol tasarımının proje başından itibaren projeye dahil edilmesidir. Tamamlanmış bir sisteme kontrollerin sonradan uyarlanmasının maliyet ve yeterliliği tatmin edici düzeyde olmayacaktır. Kontrollerin etkin ve etkili biçimde uygulanması konusunda güvence sağlamak için proje öncesi denetim, proje süresince kalite denetimi ve proje sonrası denetim gerçekleştirilebilir. Kontrol ve denetim uzmanlarının projeye tavsiye vermenin ötesinde dahil olması durumunda denetiminin farklı bir ekip tarafından gerçekleştirilmesi denetimin bağımsızlık ilkesini koruyacaktır.

Bu özel durum hakkında yapılabilecekleri ortaya koymadan önce önemli bir konuyu da gündeme getirmek faydalı olacaktır. Kurumlarda, hali hazırda genel bilgisayar kontrollerinin uygulanıyor ve denetleniyor olması, iş sürekliliği planlamasının gerçekçi biçimde geliştirilmiş, tüm kritik faaliyet alanlarını ve kurumsal varlıklara yönelik önemli tehditleri içerecek biçimde kapsamlı hazırlanmış ve test ediliyor olması, iş süreç kontrollerinin etkin, etkili biçimde uygulanıyor ve denetleniyor olması kurumların bu ve benzeri süreçlerde yaşayacakları sıkıntıları çok daha rahat atlatabilmeleri için gerekli altyapıyı sağlayacaktır. Kısacası yönetilebilir sistemlere, yani hem etkin hem de kontrollü sistemlere sahip olan kurumların bu tür durumlardaki maliyetleri daha düşük olacaktır. Bu saptama da bizi şu gerçeğe taşımaktadır; popüler konular bizleri bazı önlemler almaya zorlamaktadır, ancak asıl önemli olan zaten bu risklere karşı dayanıklı yönetim ve kontrol altyapılarını oluşturmaktır. Neticede paradan özel durumlar için uygulanması gereken kontrollerin büyük kısmı yine bu genel kontrollerden oluşmaktadır. Örneğin veri dönüşümleri ile ilgili risklerden korunabilmek için uygulama, veritabanı, sistemler arası veri arayüzleri envanterlerine hakim olmak (veya hizmet sağlayıcı firmanın hakim olduğu güvencesini sağlamak), beklenmedik durum planı veya hata bildirim ve çözüm planları (incident response) ilk şartlar arasında olup genel bilgisayar kontrollerinin parçalarıdır. Bununla birlikte uygulama değişiklikleri, veri aktarımı ve testlerin getireceği iş yükünü azımsamak mümkün değildir. Sadece uygulamalarda yapılması gereken değişiklik yönüyle ülke genelinde ortaya çıkacak maliyet tahmini kolay olmayan ancak önemli değerlere ulaşacaktır.

Bu Yazıyı Beğendinizmi?