Maliyet Azaltıcı Bilgi Güvenliği Önlemleri

Bilgi teknolojileri mimari metodolojilerinin tümünde bilgi teknolojileri altyapısına farklı perspektiflerden bakan tarafların bakış açıları tanımlanmakta, mimari planların bu bakış açılarına uygun olarak üretilmesi gerektiği vurgulanmaktadır. Örneğin kurumsal stratejiyi belirleyen üst yönetim, iş süreçlerinden sorumlu yöneticiler, bilgi teknolojileri tasarımcıları, çeşitli noktalarda görev yapan geliştirme ekipleri ve teknik ekipler, kurumun kullandığı dış kaynaklar kurumsal bilgi teknolojileri mimarisine farklı perspektiflerle bakmakta ve farklı kapsamlarda bilgiler ile ilgilenmektedirler. Bir başka ortak nokta da her bakış açısı için tanımlanan odak noktalarıdır. Bu odak noktaları bilgi teknolojileri hizmetinin kendine has özelliklerinden kaynaklanmaktadır. Odak noktaları farklı metodolojilerde farklı biçimlerde ifade edilebilir. Örneğin teorik sayılabilecek Zachman metodolojisi odak noktalarını; veri mimarisi, (fonksiyon) uygulama mimarisi, bilgi ağı mimarisi, bilgi teknolojileri destek ve kullanıcı insan kaynağı organizasyonları, (zaman) bilgi teknolojileri ve iş süreçleri akış mimarisi, (motivasyon) kurumsal ve bilgi teknolojileri kapsamında iş planları olarak tanımlamaktadır. Daha çok pratik uygulamaya yönelik olarak hazırlanmış olan metodolojilerden FEAF odak noktalarını iş mimarisi, veri mimarisi, uygulama mimarisi ve teknolojik altyapı mimarisi, TEAF ise fonksiyonel, veri yapısı, organizasyonel yapı ve altyapı olarak belirlemektedir. Mimari planların bu şekilde sınıflandırılmaya çalışılması ile bakış açıları ve odak noktaları eksenlerinin oluşturduğu bir matris karşımıza çıkmaktadır. Bu matris bize birbiri ile ilişkili ancak içerik olarak birbirinden farklı planları tespit etmemize yardımcı olmakta, dolayısı ile mimari planların kapsam karmaşasından kurtulmamızı sağlamaktadır. Benzer bir yaklaşım her kurumun kendi uygulamasında kullanılabilir.

Bu özel durum hakkında yapılabilecekleri ortaya koymadan önce önemli bir konuyu da gündeme getirmek faydalı olacaktır. Kurumlarda, hali hazırda genel bilgisayar kontrollerinin uygulanıyor ve denetleniyor olması, iş sürekliliği planlamasının gerçekçi biçimde geliştirilmiş, tüm kritik faaliyet alanlarını ve kurumsal varlıklara yönelik önemli tehditleri içerecek biçimde kapsamlı hazırlanmış ve test ediliyor olması, iş süreç kontrollerinin etkin, etkili biçimde uygulanıyor ve denetleniyor olması kurumların bu ve benzeri süreçlerde yaşayacakları sıkıntıları çok daha rahat atlatabilmeleri için gerekli altyapıyı sağlayacaktır. Kısacası yönetilebilir sistemlere, yani hem etkin hem de kontrollü sistemlere sahip olan kurumların bu tür durumlardaki maliyetleri daha düşük olacaktır. Bu saptama da bizi şu gerçeğe taşımaktadır; popüler konular bizleri bazı önlemler almaya zorlamaktadır, ancak asıl önemli olan zaten bu risklere karşı dayanıklı yönetim ve kontrol altyapılarını oluşturmaktır. Neticede paradan özel durumlar için uygulanması gereken kontrollerin büyük kısmı yine bu genel kontrollerden oluşmaktadır. Örneğin veri dönüşümleri ile ilgili risklerden korunabilmek için uygulama, veritabanı, sistemler arası veri arayüzleri envanterlerine hakim olmak (veya hizmet sağlayıcı firmanın hakim olduğu güvencesini sağlamak), beklenmedik durum planı veya hata bildirim ve çözüm planları (incident response) ilk şartlar arasında olup genel bilgisayar kontrollerinin parçalarıdır. Bununla birlikte uygulama değişiklikleri, veri aktarımı ve testlerin getireceği iş yükünü azımsamak mümkün değildir. Sadece uygulamalarda yapılması gereken değişiklik yönüyle ülke genelinde ortaya çıkacak maliyet tahmini kolay olmayan ancak önemli değerlere ulaşacaktır.

Hal böyle iken bir yönetim toplantısında bilgi güvenliğine ilişkin iyi bir sunum yapan ve destek gördüğünü düşünen Bilgi Güvenliği Yöneticisi (BGY) bir ay sonra arkasına döndüğünde kimseyi bulamazsa şaşırmamalıdır. Yukarıda sayılan olumsuz olguları olumluya çevirmek ya da en azından etkilerini azaltmak için ne yapılabilir? Birinci konu ile ilgili olarak desteği alınmak istenen tarafların hedeflerine paralel ifadeler kullanılmalıdır. Örneğin satış ve pazarlamadan sorumlu bir yöneticinin bulunduğu toplantıda bilgi güvenliği ihlaline uğrarsak müşteri güvenini kaybedebilir ve satış kaybına uğrayabiliriz yerine, bilgi güvenliği konusuna gereken önemi verirsek müşterinin güvenini kazanırız bu da orta uzun vadede piyasa oranımızı artırmamıza yardımcı olur, insan kaynakları yöneticisinin bulunduğu bir toplantıda sektörde bu konuda gerekli çalışmaları yaparsak çalışanlarımızın gözünde kurum değeri artar, hatta kurumumuzdan ayrılan çalışanlar sonraki işyerlerinde bizde yapılan uygulamaları anlatır, finans ve mali işlerden sorumlu bir yöneticinin bulunduğu bir toplantıda kurumumuzun riski dolayısı ile belli konularda finansman maliyeti azalır, kurum değerimiz artar, genel müdür ve riskten sorumlu yöneticilerin bulunduğu toplantılarda bir hizmet kesintisine uğradığımızda veya güvenlik ihlali gerçekleştiğinde durumu gereği gibi yönetebilirsek toplum nezdinde itibarımız yükselir gibi ifadeler kullanmak olumsuz ifadelerden daha çok destek sağlayacaktır.

Bu Yazıyı Beğendinizmi?