Bilişim sektörünün önde gelen firmalarının üst düzey yöneticileri ve Türkiye’nin önde gelen kurumlarının CIO’larının davetli olduğu gecede 200’den fazla misafir, yılın en başarılı CIO’larının açıklandığı gecede bir araya geldi. Gecenin açılış konuşmasını yapan Dünya Şirketler Grubu Başkan Vekili Erdem Top, “İlk ödüllerimizin ardından hem bilişim sektörünün değerli firmaları hem de CIO’lar bizlere beğeni ve övgülerini ilettiler. Başarılı bir organizasyon yürüttüğümüz için gururluyuz. CIO dergisi bu sene çıtayı yükseltmeli ve sizlerle her fırsatta bir araya gelmeliydi. Sene boyunca sürdürdüğümüz etkinliklerimiz ile bunu başardığımıza inanıyorum. CIO kahvaltıları, CIO Anadolu Buluşmaları ve diğer etkinliklerimiz ile yıl boyunca yüzlerce IT yöneticisi ile bir araya geldik. Online mecralarımızın gücünü artırdık. Ve artık şunu söyleyebiliriz ki, Türkiye’de CIO’lar ile kurulmuş en güçlü networke sahibiz. Önümüzdeki sene bu ağı güçlendirmek ve sizlerle daha birçok etkinlikte bir araya gelebilmeyi umut ediyoruz.” dedi.

VİDEO: GECEDE NELER YAŞANDI?

Gecenin ana sponsoru olan Turkcell Superonline Genel Müdür Murat Erkan, CIO’ların önümüzdeki dönemde artık teknik önceliklerinin yanı sıra, işin kendisine de daha fazla eğileceklerini ve kurumlarda daha etkin bir pozisyona sahip olacaklarını vurguladı. Murat Erkan CIO’ların daha güçlü yatırımlar yapabilmeleri ve bulut gibi yeni nesil teknolojilere geçebilmeleri için güçlü altyapı ihtiyaçlarına ve güvenebilecekleri bir ortama ihtiyaç duyduklarını belirterek şöyle dedi, “Biz tüm Türkiye’ye döşediğimiz fiber altyapımız ve veri merkezlerimiz ile CIO’ların yeni nesil teknolojilere geçişini kolaylaştırmaya devam ediyoruz.”

Ödül organizasyonuna iki senedir destek veren BTK başkanı Tayfun Acarer, kurum olarak yalnızca iletişim değil aynı zamanda IT sektörünün gelişimine de değer verdiklerini vurguladı. Önümüzdeki dönem içerisinde CIO’ların çok daha fazla öneme sahip olacaklarını vurgulayan Tayfun Acarer, böyle bir geceyi düzenledikleri için Dünya Şirketler Grubu Başkanı Didem Demirkent’e teşekkürlerini iletti.

Gecede 12 CIO yürüttükleri başarılı projelerle ödül alırken, sektörün üstatları olarak görülen 2 CIO Onur Ödülüne layık görüldü.

• İş Bankası – Hakan Aran
• Yapı Kredi Bankası – Cahit Erdoğan
• THY – Adnan Metin
• EnerjiSA – Gül Erol
• TTNET – Şahin Şen
• Aile ve Sosyal Politikalar Bakanlığı Teknoloji Direktörü – Umut Yeşilırmak
• TAV – Binnur Güleryüz Onaran
• GlaxoSmithKline – Berke Menekli
• Multinet – Leyla Kara
• 2013 Akdeniz Olimpiyat Oyunları Teknoloji Direktörü – Mehmet Özdemir
• Turkcell – İlker Kuruöz
• Turk Telekom – Aydın Satıcı
• ONUR ÖDÜLÜ: Zorlu Grubu – Hamza Cihan Sarı
• ONUR ÖDÜLÜ: KOÇ Holding – Alper Göğüş

Amazon Web servislerindeki gibi saf bilgiişlem gücü yerine eksiksiz uygulama geliştirme ve konuşlandırma yeteneklerinin sağlandığı Servis olarak Platform (PaaS) bulut bilgiişlem, programcılar için yeni bir uygulama seçeneği olarak hız kazanıyor. Fakat pazar henüz başlangıç konumunda.
Halihazırda PaaS 2.8 milyar dolarlık bir pazar ama “önümüzdeki 10 yıl içerisinde 10 milyar dolarlık bir pazar halini alacak,” diye konuşuyor yakın zamanda PaaS üzerine bir rapor yayınlayan Forrester Research analistlerinden Stefan Ried. Forrester’a göre şu an için Microsoft’un Windows Azure’u ve Salesforce.com’un Force.com’u tecrübesiz PaaS pazarındaki kod üretenler için lider platformlar. Fakat rakip listesi Google App Engine’den Caspio, EngineYard, LongJump, OrangeScape, Tibco ve WaveMakers gibi firmların servislerine uzayıp gidiyor. PaaS’i tanımlarken Forrester, onun geliştirme araçları, runtime, yönetim araçları ve servisler dahil olmak üzere çok kiracılı (multitenant) bulut ortamları için eksiksiz bir uygulama platformu sunduğunu söylüyor.

Kullanıcı PaaS’e yakın ama çok fazla benimsenme görülmüyor

Amerikan Açık Şirketler Denetleme Komisyonu raporlarının doldurulmasında Web tabanlı destek sağlayan, henüz üç yıllık bir firma olan WebFillings, işini Google App Engine ile yürütüyor. “Google’a baktık ve güvenlik konusundaki güçlü itibarını da dikkate alarak, ‘Tüm platformu yönetip kontrol etmek yerine bunu yapması için Google’a güveneceğiz,’ dedik. Bu karmaşıklığı bir seviye azaltıyor ve bizim içinde bulunduğumuz pazara yönelik inovasyonlara odaklanmamızı sağlıyor,” diyor WebFilings müdürü Dan Murray.

Fakat bulut bilgiişlem servisleri firması OpSource CEO’su Treb Ryan, şu ana kadar PaaS’in pek benimsenmediğini söylüyor: “Çok yavaş, şaşırtıcı derecede yavaş.” Her ne kadar OpSource geliştirmeyi PaaS için temel sürücü güç olarak beklemiş olsa da, servis olarak altyapı (IaaS) kat kat fazla benimsendi, diyor Ryan. PaaS’i geride bırakan sorunlar arasında başlangıçtaki özel çözümler ve uygulamaların yeniden yazılmak zorunda olunması yer alıyor. Ryan, IaaS’in çok daha kolay uygulanabilir olduğunu ama PaaS platformlarının gelişeceğini ve nihayetinde başarıya ulaşacağını ekliyor.

Forrester’ın raporu, PaaS’in “satın alıcılar için çokça potansiyel risk barındıran olgunlaşmamış bir pazar” olarak kaldığına vurgu yapıyor, diyor analist Ried. Fakat o aynı zamanda IaaS’in nihayetinde daha az değer sunduğuna inanıyor: “Sadece sanallaştırılmış donanım alıyorsunuz.” Amazon Elastic Compute Cloud (EC2) gibi IaaS servislerini kullanan geliştiriciler sanal makineler, depolama blokları, yürütme iş parçacıkları ve network bağlantılarıyla uğraşmak zorundalar.

WebFillings, bazı CPU yoğunluklu işlemler için operasyonlarının yüzde 10’unu Amazon EC2 IaaS platformu üzerinde yerine getiriyor. Fakat eğer WebFilling bugün işe başlamış olsaydı muttemelen Amazon EC2’ye ihtiyaç olmazdı, diyor Murray; App Engine’de sürekli yapılan geliştirmeler sağ olsun.

PaaS büyümesini geliştiriciler sürükleyecek – önce kişiler, sonra kurumlar

PaaS’in büyümesini kısmen, middleware bileşenlerini bir araya getirme zahmetine girmek istemeyen uygulama geliştiricilerinin isteksizliği sürükleyecek, diyor Ried. “Bulut bilgiişlem uygulama geliştirme ve dağıtım profesyonelleri için heyecan verici çünkü o geliştirme ve test için anında erişilebilir kaynaklar sunuyor; dakikalar içinde konuşlandırılıyor; kolayca otomatik ölçekleme sağlıyor; ve kullandığın kadar öde imkanı tanıyor,” şeklinde yazıyor Ried raporunda.

Bugün PaaS kullanıcılarının büyük bir çoğunluğu nispeten basit uygulamalar kurmak için buluta yönelen bireysel geliştiriciler, diye konuşuyor Gartner analistlerinden Massimo Pezzini. Fakat konuşlandırma için olmasa da en azından geliştirme ve test amaçları için kurumsal benimseme de artmakta. Sebebi: Güvenlik, veri gizliliği ve servis kalitesi üzerindeki endişeler gibi bazı bariyerler halen mevcut. “App Engine gibi bir ürünle herhangi bir QoS (servis kalitesi) teminatına sahip değilsiniz,” şeklinde konuşuyor Pezzini.

Bol programlama dilleri

Bir PaaS çözümü arayan geliştiriciler muhtemelen kendi seçimleri olan programlama diliyle uyuşan birini bulabilirler.
Google App Engine öncelikli olarak Java ve Python’un destekliyor; ayrıca deneysel Go dili için destek de planlanıyor. Azure, .Net dillerini, PHP, Java ve Python’u destekliyor. Force.com HTML, JavaScript ve firmanın Visualforce UI iskeletinin bir parçası olarak Adobe Flash’ı kullanıyor. Ayrıca veritabanında saklanan prosedürler için Salesforce.com’un kendi Apex kodunu kullanıyor. Engine Yard’ın bulut ise Ruby on Rails’a dayanıyor.

Çeşitlilik var çünkü hiçbir baskın PaaS dili henüz ortaya çıkmadı, diyor Pezzini. “Şu anda, PaaS için programlama dilleri arasında bir hayatta kalma savaşı var.” Java gibi diller muhtemelen hayatta kalanlar arasında olacak; ve tabi Ruby gibi dinamik diller de: “Ancak yeni diller, özellikle çok çekirdekli yeteneklerin ve bulut paralelliğinin avantajından yararlanmak üzere geliştirilen Scala gibi, BPMN gibi model güdülü ortamlar da önemli bir rol oynayacak.”

Entegrasyon PaaS geliyor

PaaS’in bir diğer varyantı olan entegrasyon PaaS (iPaaS) (veya servis olarak entegrasyon), bulut uygulamalarını diğerleriyle veya yerinde uygulamalarla bağlamak için önemli olmaya başlıyor, diyor Pezzini. (Pezzini, “geleneksel” PaaS için “uygulama PaaS’i” veya aPaaS tanımını kullanıyor.) iPaaS’i 2,500 ila 3,000 organizasyonun kullandığını tahmin ediyor Pezzini.
Azure gibi bulutlar ve yeni tanıtılan MuleSoft Ion iPaaS’i sunuyor. “Ortaya çıkan yeni bir problem şu ki biz bulut siloları oluşturuyoruz,” diyor MuleSoft’un CTO’su Ross Mason, ki bunlar entegrasyon servislerinin bağlaması beklenen hizmetler.

PaaS’in kurumsal benimsenişi kaçınılmaz

Firmaların her zaman için kontrol etmek istedikleri oturumlar var ve bu durumda onlar PaaS yerine IaaS’e yönelecekler, şeklinde konuşuyor WebFilling’den Murray. Fakat uygulamaların hızlı bir biçimde geliştirilerek konuşlandırılmaları için seçim PaaS diyor ve ekliyor: “Zaman içerisinde daha fazla firmanın PaaS kullanmaya başlayacağını düşünüyorum.”

Her ne kadar PaaS bazı anlaşılabilir gelişme sancılarına sahip olsa da (Forrester’a göre Google ve Microsoft halen tamamlanmamış ürünler sunuyor olsa dahi) geliştiriciler ve Web işletmeleri için olan çekiciliği ile Forrester’ın PaaS’in büyüme tahminlerini gerçek yapabilir. Neden? PaaS uygulamaların bulut içerisinde kolayca konuşlandırılmasını sağlıyor. “İyi PaaS ürünleriyle, uygulama geliştirme ve dağıtım profesyonelleri hızlı bir biçimde bulutun faydalarını elde edecek,” diye yazıyor Forrester raporunda.

Mevcut sıkıntı “iyi PaaS ürünleri” üzerinde yoğunlaşıyor. Forrester raporunun uyardığı gibi, “iyi PaaS ürünleri olmadan bulut geliştirme çoğu kurumsal geliştirici için çok zordur ve bulutun faydaları çok yavaş bir biçimde akar.” Ancak Forrester bir noktada iyi PaaS ürünlerinin geleceğini dolayısıyla başarılı bir PaaS migrasyonun gerçekleşeceğini bekliyor.

Organizasyonunuz içerisinde hasar vermek üzere beklemede olan, virüs veya diğer kötü niyetli sinsi yazılımların sistem ve uygulamalar içerisinde dolaşmadıklarından nasıl emin olabilirsiniz? Olamazsınız.

Kötü niyetli yazılımlar (malware) o kadar karmaşık bir noktaya yükseldi ki, en güncel antivirüs yazılımlarını uygulamış olsanız dahi tamamen gittiklerinin garantisi yok. IT mimarileri çok daha karmaşık bir yapı kazandığından durum daha da kötüleşiyor; ağlara bağlanan cihaz sayılarındaki artış kötü niyetli yazılımlara daha fazla olası giriş noktası sunuyor.

Bu günlerde, kötü niyetli yazılımların kurumsal ağınızdaki bazı PC ve diğer cihazlara bulaşmış olduğunu varsayabilirsiniz.

Ona alışın: Malware’lar her yere sizinle geliyor

Kötü niyetli yazılım problemi daha da kötü bir hal alıyor. Ponemon Enstitüsü’nin 2011 State of Endpoint Risk adlı çalışmasında Amerika’daki 782 IT ve IT güvenlik profesyonelleriyle görüşüldü ve bu katılımcıların yüzde 43’ü 2010 yılında kötü niyetli yazılımlarda dramatik bir artış olduğunu ifade ediyor. Ponemon’un anketine katılan organizasyonların yüzde 98’i bir virüs veya kötü niyetli yazılım tabanlı ağ ihlali yaşamış. Yüzde 35’lik bir bölüm ise sadece bir ay içerisinde 50 (ya da günde birden fazla) kötü niyetli yazılım saldırısı yaşadıklarını ifade etti.

“Şu an görmekte olduğumuz kötü niyetli yazılımlar oldukça gelişmiş ve iyi yazılmışlar. Onlar kendilerin iyi bir biçimde saklayarak tespit edilmelerini de zorlaştırıyor,” şeklinde konuşuyor danışmanlık firması PricewaterhouseCoopers’dan Fred Rica.

İyi haber şu ki “kötü niyetli yazılımlarla yaşama” senaryosu veri kayıpları, kullanılamayan sistemler veya diğer problemlerle sonlanmak zorunda değil. Firmalar bu ihlallere rağmen fonksiyonlarını sürdürebilir.

Ağınız ve sistemlerinizdeki kötü niyetli yazılımların etkisini asgariye indirmenize yardımcı olacak bazı yaklaşımları sizinle paylaşıyoruz. Böylelikle bu gibi tehlikeli programların varlığına rağmen firmanız işini devam ettirebilir.

Malware’lerden korunma ipucu No. 1: İyi bir veri yönetimi uygulayın

Birçok kötü niyetli yazılımın öncelikli olarak saldırdığı belirli türdeki verileri daha etkin koruyarak kötü niyetli yazılımların neden olduğu hasarın en alt düzeye indirilmesine yardımcı olabilirsiniz. Onlar çoğunlukla kişisel bilgiler, ticari sırlar, araştırma ve geliştirme bulguları ya da diğer fikri mülkiyetler gibi hassas verileri açığa çıkartmaya çalışıyor, diye konuşuyor Rica.

PricewaterhouseCoopers, birçok müşterisiyle güçlü bir veri yönetimi modeli oluşturmak için çalışıyor. Bu çalışma ile organizasyonların en kritik verilerinin hangileri olduğunu, nerede saklandıklarını, kurumsal ağlar içinde nasıl hareket ettiklerini, bilginin güvenliğini azami seviyeye çıkartmak için doğru kontrolleri nasıl yerleştirebileceklerini daha iyi anlamasına yardımcı olunuyor.

Birçok işletmede gerçekleştirilecek bir enformasyon değerlendirmesi, müşteri kredi kartı numaraları gibi hassas verilerin ilk etapta iyi korunduğunu gösterecektir, diyor Rica. Fakat bir süre sonra tablolama veya e-posta’lar gibi daha az korunan uygulamalarda kullanılıyorlar ki buraları kötü niyetli yazılımlara karşı daha savunmasızlar.

“On milyonlarca kredi kartı veya sosyal güvenlik numarasını kaybetmiş müşteriler gördük. Çünkü onlar İK sistemi dışında bir yerde tablolarda saklanıyordu,” diyor Rica. “Bizim yaklaşımımız yönetim modelleriyle verileri daha iyi kullanmak. Bu şekilde veriler nerede bulunduğuna bağlı olmaksızın aynı güvenlik kontrollerine sahip. Verilerin tüm yaşam döngüsü içinde korunduğundan emin olun.”

Verilerin tamamı birbirinin aynı olmadığında, veri yönetiminin önemli bir parçası bilginin sınıflandırılmasıdır. Bu sayede firma ve onun müşterileri için hangi verilerin en önemli olduğunu belirleyebilirsiniz. Buradan sonra daha bağlayıcı erişim kontrolleri uygulayabilirsiniz.
“Altyapınızı verilerinizin önemine göre ayrıştırmakla başlayın,” diye konuşuyor teknoloji servisleri sağlayıcısı Unisys’ten Patricia Titus. Titus, Unisys’in National Institute of Standards and Technology (NIST) tarafından oluşturulan, organizasyonların verilerinin önemini belirlemelerine ve doğru güvenlik kontrollerini seçmelerine yardımcı olacak prensipleri kullandığını ifade ediyor.

Malware’lerden korunma ipucu No. 2: Malware’ların yayılmasına yardımcı olabilecek teknoloji ve taktikleri konuşlandırın

Sistemlerinizden bazılarına virüs bulaşmış olabilir ve tamamen ortadan kaldırılamıyor gibi gözükebilir ama bu virüsün organizasyonunuzdaki diğer tüm sistemlere yayılacağı anlamına gelmez.

Bu tür bir virüse rastladığınızda veya şüphelendiğinizde, kötü niyetli yazılımların diğer sistemlere yayılma ihtimalini azaltmak için en kısa sürede söz konusu sistemleri devreden çıkartın. Ardından bildiğiniz temiz bir görüntüyü tekrar kurun, şeklinde konuşuyor test ve sertifikasyon firması ICSA Labs yöneticilerinden Andy Hayter.

Firewall, antispam, saldırı önleme sistemleri, saldırı tespit sistemleri ve antivirüs yazılımları gibi teknolojileri barındıran katmanlı bir savunma uygulamak, (ayrıca sistemleri en son yamalarla güncel tutarak) kötü niyetli yazılımların bütün bir organizasyona yayılmasının önüne geçilmesinde yardımcı olabilir, şeklinde konuşuyor Hayter.

“Network bölümleri arasındaki geçiş noktalarını kontrol edin, dahili ağlar üzerinde daha büyük bir görüntüleme ve kontrol uygulayın,” diyor güvenlik danışmanlığı firması SystemsExperts danışmanlarından Richard Zuleg.

Her fırsatta trafiği ve verileri şifreleyin; sistemleri hızlıca yeniden konuşlandırmak için sunucu ve masaüstü sanallaştırma gibi bir teknoloji kullanın; hatta onları sistemden ayrıştırmak için temiz imajlar uygulayın, önerilerinde bulunuyor Zuleg.

“Firmaların sistemler üzerinde kimin ileri düzey ayrıcalıklara sahip olduğunu kontrol etmesi gerekiyor. Verilere erişim de sıkı bir biçimde kontrol edilmeli,” diyor Zuleg. “Eğer virüs bulaşmış PC’ler bir ağ bölümünün kabul görmüş bir parçası halini alırsa, o zaman o bölüme güvenemezsiniz ve burayı herkese açık Internet gibi değerlendirmelisiniz.

Yakın zamanda çıkacak olan yeni network analiz araçları ağ üzerinde yer alan kötü niyetli yazılımları ve muhtemel yerlerini daha iyi belirlemenize yardımcı olacak, diye konuşuyor New York Eyalet Üniversitesi CIO’su Marc Seybold. Bu tür bir teknoloji var olduğunda; “Jane’in ağa bağlanmak için kullandığı cihazlar ısrarla verileri ağdaki diğer trafikle karşılaştırıldığında anormal bir biçimde dışarıdaki domain’lere göndermeye çalışıyorsa, o zaman o kullanıcının cihazlarına ve yapılmak istenen eylemlere dikkat çekilebilir,” diyor Seybold. Bu tür teknolojiler üzerinde çalışan firmalar arasında Alcatel-Lucent, Riverbed ve SonicWall yer alıyor

Aynı zamanda, ağ trafik akışı daha fazla bölümlere ayrılacak ve birbirinden izole edilecek, diyor Seybold; bu, uygulama akışı görüntülemesiyle birlikte ağ erişim kontrolü ve ilke tabanlı yönetimle olacak. “Bunlar birbirine bağlandığında, belirli kullanıcılara bağlı noktadan noktaya uygulama akışları üzerinde eksiksiz bir davranış analizi mümkün olacak,” şeklinde konuşuyor Seybold. Sonuç itibariyle önceki kullanıcı davranışları temel alınarak kötü niyetli yazılımların zarar vermesinin önüne geçen tahmine dayalı bir analitik uygulanabilecek; “fakat bu halen bilim kurgu,” diyor Seybold.

Malware’lerden korunma ipucu No. 3: Bir veya daha fazla OS ya da tarayıcıya bağlılığı azaltmak için IT altyapınızı çeşitlendirin

Hızlı ve kolayca saldırılabilen Windows monokültüründen uzaklaşmak mantıklı gözükebilir. Farklı işletim sistemleri ve cihazları konuşlandırmak da akla yatkın gelebilir; bu sayede kötü niyetli bir yazılımın organizasyon içerisindeki herkesi alaşağı edemeyeceğini bilirsiniz. Kritik sistem veya verileri kontrol eden bazı kişiler bir Linux PC’si veya Mac OS X PC’si kullanabilir; bu sayede özellikle Windows’un açıklarını hedef alan yaygın saldırılardan hasar görmeleri namuhtemel olur.

Bunlara ek olarak tek bir browser’a bağlı kalmaktan uzak durum çünkü mevcut kötü niyetli yazılımların önemli bir kısmı browser aracılığıyla sistemleri istila ediyor. Kurumsal uygulamalarınız ve kullanıcı tabanınıza en iyi biçimde uyan tarayıcıyı bulmak için Internet Explorer, Firefox, Chrome, Safari ve Opera gibi browser’ları değerlendirin.

“Çok yönlülük bütün altyapınızın işlemez hale gelmesini önlemek için her zaman iyidir,” diyor Güney Kaliforniya Üniversitesi bilgisayar sistemleri güvenlik merkezi direktörü B. Clifford Neuman. “Fakat, bu stratejinin bir de dezavantajı söz konusu; sistemlerinize saldırmak isteyenler için farklı seçenekler sunarsınız.” Enfeksiyon ihtimalini kısıtlarsınız ama daha fazla giriş noktasına sahip olursunuz.

Elbette ne zaman işletim sistemi değişikliğine gitmeye kalksanız, bir takım direnişle karşı karşıya kalmanız olasıdır. Finansal servisler firması Redwood Credit Union’ın IT kıdemli başkan yardımcısı Tony Hildesheim, firmasının alternatif işletim sistemleri, tarayıcılar ve bazı iş uygulamalarının kullanımını incelediğini söylüyor. Ancak, “bu seçeneklerin hiçbiri iş birimleri tarafında popüler değil,” notunu ekliyor.
Teknoloji çok yönlülüğü her zaman için efektif bir savunma değildir. ICSA Labs’dan Hayter, kötü niyetli yazılım enfeksiyonlarının sadece masaüstü PC ortamlarıyla kısıtlı olmadığına işaret ediyor. “Diğer işletim sistemleri ve cihazlara bulaşabilecek çok sayıda önemli kötü niyetli yazılım bileşenleri var; ister masaüstü tabanlı olsun ister taşınabilir tabanlı,” diyor Hayter. “Ayrıca kötü niyetli yazılımlar bir işletim sisteminden diğerine ya da bir cihazdan başkasına geçebileceğinden daha katmanlı bir savunma planına gereksinim var.”

Malware’lerden korunma ipucu No. 4: Tüketici cihazlarının iş ortamında kullanımı konusunda mantıklı olun

Eğer herkesin makul olan her tür cihazdan bir sürü veriye erişim sağlanmasına inanıyorsanız, o zaman veri yönetimi ve erişimi stratejinizi yeniden düşünme zamanı gelmiş demektir. Mobil cihazlar üzerinden ağ erişimini ona gerçekten ihtiyaç duyan kullanıcılarla sınırlandırın ve yerinde kontrolleri uygulayın ki ağa girebilenler sadece belirli bölümlerine ulaşabilsinler.

Tablet, laptop ve WiFi özellikli akıllı telefon gibi kişisel taşınabilir cihazlar iş ortamında giderek daha fazla popüler oluyor ve kullanıcılar kurumsal ağa başlı olmak isteyecektir.

Erişime izin verirken tedbirli olmalı çünkü söz konusu cihazlar kötü niyetli yazılımların kaynağı olabilirler. “Şunu gördük ki cihazlar tüketici tarafından belirli bir oranda kabul görünce kötü niyetli yazılımlar da o platformlarda ortaya çıkıyor,” şeklinde konuşuyor SUNY Old Westbury’den Seybold. “Önceki iPhone ve Android saldırıları bunun şahidi.”

Ponemon’un çalışmasına göre mobil ve uzaktan çalışanlardaki artış, PC’lerdeki zayıflıklar ve üçüncü parti uygulamaların ağa girişi, günümüzdeki uç nokta güvenlik riskinin en büyük alanlarıdır. Geçen yılki aynı çalışmaya göre ise uç nokta güvenlik endişeleri çoğunlukla çıkartılabilir ortamlar ve veri merkezi riskleri üzerine odaklanıyordu.

IT, kullanıcılar için ne kadar uygulama konuşlandıracağı üzerinde yeniden düşünerek kötü niyetli yazılımların yayılma yeteneğini düşürebilir. “Kendi çalışanlarımıza baktığımızda, tüm araçların bütün sistemler üzerine kurulması için bir neden yok,” şeklinde konuşuyor Redwood Credit Union’dan Hildesheim.

Nisan 2011’de Panda Security’nin antimalware laboratuarı PandaLabs tarafından yayınlana bir rapor, yılın ilk üç ayında “oldukça yoğun virüs aktivitesi” görüldüğüne işaret etti. Bu aktiviteler arasında Android tabanlı akıllı telefonlara karşı yapılan büyük bir saldırı ile kötü niyetli yazılımları dağıtmak üzere Facebook’un yoğun bir biçimde kullanılması da yer alıyor.

PandaLabs’ın raporuna göre Mart ayı başında Android o güne kadar görülmemiş büyüklükte bir saldırıyla karşılaştı. Saldırı, Google’ın mobil işletim sistemine yönelik resmi uygulama mağazası olan Android Market üzerindeki kötü uygulamalar tarafından başlatıldı. Sadece dört gün içerisinde bu Truva atı uygulamaları 50,000’in üzerinde download edildi: “Truva atı oldukça gelişmişti. O, cep telefonlarından sadece kişisel bilgileri çalmıyor aynı zamanda kullanıcının bilgisi olmaksızın başka uygulamaları download edip kuruyordu.”

Malware’lerden korunma ipucu No. 5: Cihazları korumak yerine organizasyonunuzu korumak için sağlam bir güvenlik temeli kurun

Bulaşmaların önüne geçmek için elbette PC ve diğer cihazlar üzerine antimalware yazılımları kurmanız gerekiyor. Fakat bazı sistemlerde kötü niyetli yazılımlar olsa bile firmanızın kötü niyetli yazılımlarla ilgili problemlerden etkilenmeksizin çalışmasını sürdürebilecek bir ortam yaratmak için, bir sisteme yönelik güvenlik mimarisi konuşlandırmak yerine, güvenli bir sistem mimarisi konuşlandırmalısınız, şeklinde konuşuyor USC’den Neuman.

“Mevcut bir sistem üzerine güvenlik çözümlerini bağlama yerine uygulamayı ve veri ihlali risklerini anlayarak meseleleri tanımlamanız gerekiyor,” diye sürdürüyor konuşmasını Neuman. “İyi bir mimari birden fazla koruma domain’ini tanımlar, ardışık koruma katmanları konuşlandırılır ve hassas verilere daha az kullanıcının erişmesine müsaade eder.”

İşlemci üreticisi Intel, kendi bilgi güvenliği mimarisini yeniden tasarlamak için yıllardır büyük bir çalışma yürütüyor. Firma bu çalışma sayesinde kötü niyetli yazılımların hızlı evrimleriyle baş edebileceklerini umuyor.

“İhlallerin kaçınılmaz olduğuna inanıyoruz; riski yönetebilmek için dayanıklılığımızı geliştirmeye ve esnekliğimizi arttırmaya ihtiyacımız var,” şeklinde konuşuyor Intel’in IT grubu başkan yardımcısı Malcolm Harkins.

Yeni tasarım dört başlığa dayanıyor:

• Risk seviyeleri değiştikçe kullanıcıların ayrıcalıklarını düzenleyen bir “dinamik güven hesaplaması”
• IT ortamını birden çok “güvenilir bölge” içerisine bölümlendirme
• Önleme, tespit ve tepki kontrollerinin yeniden dengelenmesi
• Kullanıcı ve verinin güvenlik sınırı olarak tanınması ve bu şekilde korunması

Enfeksiyon ile birlikte yaşamak hayatın bir gerçeği

Kötü niyetli yazılımlar her yanı sarıyor ve giderek daha çok gelişiyor. Birçok organizasyon için virüsler, kurtçuklar ve diğer tür kötü niyetli yazılımlarla birlikte yaşama hakikat olmaya başlıyor. Bir anlamda bilgisayar teknolojisi, biyolojik sistemlerin uzun zamandır yönetmek zorunda olduğu gerçekliği yakalıyor.

Intel’den Harkins’in dediği gibi, “Her zaman için belirli bir seviyede ihlalin olacağını varsayıyorum ve kötü niyetli yazılımların kendilerinde bulunmadığını (veya ileride öyle olacağını) düşünen organizasyonlar enformasyon riskinin gerçek doğasını yeterince anlamıyor.”

Bu demek değildir ki sistemleriniz ile uygulamalarınız iyi bir biçimde çalışmasın ve işinizi desteklemesin. Kötü niyetli yazılımların ihlallerine rağmen organizasyonunuz doğru adımları atarak genel olarak sağlıklı bir IT ortamını işletebilir.

Steve Jobs sağlık sorunları ile yıllardır mücadele ediyordu. 2004 yılında çok nadir görünen bir pankreas kanseri sebebiyle ameliyat olmuştu. Ameliyatın hemen ardından işe dönmeyi başarmış ve iPhone, iPad gibi yenilikçi ürünlerin geliştirilmesini sağlamıştı. 2009 yılında ise yine sağlık sorunları sebebiyle 6 ay daha şirketten uzak kalmak zorunda kaldı. Bu dönemde hormon dengesizliği sebebiyle özellikle yüzündeki solukluk ve zayıflık iyice belirginleşmişti. Bu ayrılık sürecinde aynı zamanda başarılı bir karaciğer nakli geçirdi. 2011 yılında ise süresi belli olmayan bir ayrılığa daha çıktı. 24 Ağustos 2011 tarihinde yapılan açıklamada, sağlığına daha fazla odaklanmak için Apple yönetim kurulu başkanlığı görevinden ayrıldığı ve yerine Operasyonlardan Sorumlu Başkan olan Tim Cook’un geldiği bildirilmişti. Bu ayrılıktan yalnızca iki ay sonra, iPhone 4S ürünün basın toplantısının hemen ertesi günü öldüğü, Apple tarafından kamuoyuna açıklandı.

Çarşamba günü Apple yönetim kurulu şu açıklama ile ölümü duyurmuş oldu: “Bugün Steve Jobs’ın aramızdan ayrıldığı haberini duyurmaktan ötürü büyük üzüntü içerisindeyiz. Steve’in zekâsı, tutkusu ve enerjisi hepimizin hayatını değiştiren sayısız inovasyonun kaynağıydı. Dünya Steve yüzünden ölçülemeyecek kadar daha iyi bir yer.”

Bulut Firmalarını Değerlendirmek: Ekosistemin Etkisi

Herhangi bir karmaşıklıktaki yazılımlarda plug-in ürünleri ekosisteminin, araçlarının, uyumlu API’lerin ve geliştirici topluluğunun gerçekten önemli olabileceği doğru kabul ediliyor. Belirli yazılım ürünleri kategorilerinde ekosistemin önemi ani yükselen bir ürünün sahip olabileceği herhangi bir özellik avantajını katlayabilir ki bu da ekonomistlerin doğal tekel dedikleri şeye yönlendirir.
Bu tüm ürün kategorileri için geçerli olan bir şey değil. Çok olgunlaşmış teknolojilerde, oturmuş liderin ekosistemini “yeterince iyi” bir adayla yerinden etmek mümkündür. “The Innovator’s Dilemma (Yenilikçilerin İkilemi)”ni düşünün ve ardından Linux’ü, Open Source’u ve Google docs’u düşünün.

Fakat bulut bilgi işleme bakacak olursanız, “çok olgun” herhangi bir parçası olmadığını görürsünüz. Bulut tamamen Web servisleri üzerine dayanıyor, bu yüzden ekosistem geleneksel yazılımlarda olduğu kadar etkili olmaz, iddiası yapılabilir. Ancak bu safa bir iddia: Detay seviyesinde bulut firmalarının API’leri özel ve eğitim eğrileri çok oldukça dik olabilir. Ve bu pek değişmeyecek.
Dolayısıyla araçların, plug-in’lerin ve geliştiricilerin sayısı bulut firmaları değerlendirilirken gerçekten etkili olabilir. Bulutlar içerisinde ekosistem nerede kritik derece önemli? Bu segmentlerin genel karakteristikleri şöyle:
• Teknik platformlar; entegrasyon, kayıt, geliştirme veya konuşlandırma gibi • Sosyal Ağ platformları – olağan şüpheliler • Reklam ve oyun ağları – olağan şüpheliler • Ticaret platformları; Amazon, eBay veya PayPal gibi • Araç kitlerinin uygulamalar olarak kılık değiştirdiği servisler; Google veya Salesforce.com gibi
Bu karakteristiklerin iki veya daha fazlasına yayılan bulut firmaları için ekosistemin etkisi iki katına çıkıyor. Facebook ve LinkedIn’in değerlendirilmesi sadece göz çukuru sayılarından gelmiyor.
Spektrumun diğer tarafında, ekosistemin kritik derece önemli olmadığı e-posta, depolama, haber beslemeleri veya fotoğraf paylaşımı gibi bir sürü bulut servisleri bulunuyor. Faturalama, banka veya İK gibi belirli türden bulut uygulamaları popüler muhasebe paketlerine sadece birkaç bağlantıyla yükselebilir.

Ekosistemin Büyüklüğü ve Kalitesini Ölçmek

Herhangi bir firma karşılaştırmasında, sayılan ve sadece ses çıkartan şeyler var. Aynı şey ekosistem için de geçerli. Örneğin, Microsoft muhtemelen firmaların en çok API’leri, en büyük geliştirici topluluğu, en fazla plug-in ürünleri ve en çok danışmanları kendi platformunda olduğunu söyleyebilir. Ancak bunların hiçbiri bulunduğumuz noktada bulutu etkilemiyor ve hiç kimse en güçlü bulut ekosistemine sahip olduğunu düşünmüyor.
Dolayısıyla bir firma ekosisteminin gücünü ölçmenin ilk adımı, aşikar olan pazarlama savruntularını temizlemektir. Bir sonraki adım gerçekte kullanacak olduğunuz bulut servisiyle ilgili olan ekosistem parçasına bakmaktır.
Diğer kalan şeylerin halen incelenmesi gerekiyor çünkü ortada ekosistemle ilgili yeteri kadar eksi ya da ilgi çekmeyen “bilgi” olacaktır. Örneğin, sözde partner olan 100 firma bulabilirsiniz ama eğer bunların sadece 20 tanesi ülkenizde varsa ve onları şimdiye kadar hiç duymadıysanız biraz fazladan inceleme gerekir. Bunun gibi, uzun bir süredir güncellenmemiş birçok partner ürünü ve servisleri bulabilir. Güçlü bir ekosistem uzun bir süredir var olan firmalara sahiptir ve bunlar servis veya ürünlerinin çok sayıda sürümlerini çıkartmıştır. Eğer ekosistem bir firma sıralama ve derecelendirme sistemine sahipse (Salesforce.com’un AppExchange’i buna mükemmel bir örnek) müşteri geri beslemelerinin kalitesi ve yeniliğine dikkat edin.
Ekosistemdeki ürünleri ve insanları ölçmek için iki temel enstrüman var. Benim deneyimime göre, ekosisteme sevk edilen insan sayısı uzun dönemde projeden daha önemlidir. Eğer yeteri kadar talep ve iyi bir pratisyen kaynağı varsa, plug-in ve add-on ürünleri yolda demektir.

 
İlk Zorlukları Engellemek

Özellikler veya ekosistem içerisinde kategori henüz erken aşamalarındaysa ve belirgin bir kazanan yoksa bulut firmalarını değerlendirmek çok dikkat isteyebilir. Eğer bakmakta olduğunuz bulut kategorisi yukarıda listelenen ekosistem etkilerinden güçlü bir biçimde etkileniyorsa, şunları ölçmeniz gerekir:

• Geliştirici topluluğunun mevcut büyüklüğü ve büyüme oranı • Geliştirici topluluğunun göreceli mutluluğu (topluluk forumlarına gönderilen mesajlarının, iş fırsatları sayısının, vs. işaret ettiği gibi)

• Plug-in ürünleri ve servisleri sayısının büyüklüğü ve büyümesi • Ekosistem içerisine katılan firmaların sayısı, kalitesi ve karlılığı • İlgili API’lerin sayısı, kapsamı, kalitesi ve dokümantasyonu • Bulut firmasının platformun kalitesi ve ekosistemin büyümesi için yatırım yapması • Bulut firmasının bu büyümeye tahsis ettiği çalışan sayısı

Bu sanki siz geleceği öngörmeye çalışan bir Wall Street analistiymişsiniz gibi görünebilir. Aslında bir bakıma da öyle; dolayısıyla bunlardan herhangi birisinin sizin çalıştığınız kategorideki bulut firmalarının enerjisi üzerindeki varsayımı sizin zararınıza olmayacaktır.

Jim Honerkamp geçen yaz Steel Technologies’in CIO’su olarak işe alındığında vakit geçmeden firmanın IT organizasyon şemasında yer alan önemli bir problemi ortaya koydu. 1.6 milyar dolarlık yassı çelik üreticisi tarafından çalıştırılan 34 teknoloji profesyonelinin neredeyse yarısı IT altyapısı altyapısı içinde çalışıyordu. Cansız iş analiz grubunda ise çalışan üç kişi vardı.

“Altyapının bizim farklılaşmamız, pazardaki şeklimiz veya yapımız üzerinde hiçbir etkisi yok,” diyor Honerkamp. “Stratejik bir IT organizasyonu olmak için, teknoloji araçlarına değer sağlamalısınız; ister müşteri ilişkilerini güçlendirmek ister rekabete karşı silah olarak kullanılması için. Tüm ilave IT değerleri iş analizi tarafında.”

Bu çalışan sayılarını terse çevirmenin bir yolu servis olarak altyapı (IaaS) modeline geçmekti. Ve elden çıkarmayı düşünmek için mükemmel bir zamandı. Steel Technologies’in donanım varlıkları Honerkamp’in kendi ofisinden biraz daha iyi güvenliğe ve klima ortamına sahip dönüştürülmüş iki ofis içinde yer alıyordu. “Birisi Shelbyville yolundaki bir telefon direğine çarpacak olsa tüm firmayı alaşağı edebilirdi,” diye konuşuyor Honerkamp; burası firma merkezinin bulunduğu cadde. Sunucu, depolama, soğutma ve güç kaynakları için 900,000 dolarlık bir yatırım masa üzerindeydi.

Onun yerine Honercamp altyapıyı ve onun yönetimini özel bir bulut servisleri sağlayıcısı olan ERP Suites’e aktarmaya yöneldi. “Onların veri merkezi var. Donanımları var. Uygulamalara ve işletim sistemlerine sahipler (altyapının yönetimi için). Ve onlar tüm bunlarla ilgilenen yönetilmiş servis sağlıyorlar,” diyor Honercamp. Her ne kadar felaket kurtarma ve iş sürekliliği firmanın bir bulut servisine geçişindeki kararda anahtar bir rol oynamış olsa da, söz konusu geçiş firmaya aynı zamanda yedi altyapı pozisyonunu iş analisti rolüne dönüştürme imkanı da sağladı.

Bununla birlikte IaaS’e olan geçiş kalan bazı rollerde önemli değişiklikler anlamına geliyordu ki bu da Honerkamp’in ekibi için güçlükler getirebilirdi. Örneğin, onun teknik servisler müdürünün iş tanımı tamamen farklı bir şeye dönüşüyordu. “Sunucu uzmanı olan insanları yönetiyordu,” diyor Honeycamp. “Onun halen altyapı sorumluluğu devam ediyor fakat artık çok daha üst düzey bir ilişkiyi yönetiyor.”
Şirket içindeki bir veri merkezinden IaaS modeline yönelirken bu tür dönüşümler gerekiyor. “IT ekibinin rolü yönetim ve destek teknolojisinden servislerin yönetimine değişiyor,” şeklinde konuşuyor dışkaynak danışmanlığı firması Pace Harmon’dan David Rutchik. Ve idare edilmesi gereken sadece sağlayıcı değil. “İşletmenin sadece servis modelinden gelebilecek faydaları değil aynı zamanda kısıtlamaları da anlamasını sağlamak için iş ilişkileri yöneticilerinin farklı dahili iş birimleri arasında bağlantı kurması kritiktir,” diye konuşuyor Rutchik.

“İlişki yönetiminin öğretildiği, herhangi bir kurs bulunmuyor,” diyor Honercamp. “Birçok orta ölçekli firmada, kendilerini ‘çalışan müdürler’ olarak düşünen birçok insanla karşılaşırsınız; onlar kendilerine rapor veren insanlarla aynı işi yapıyordur. Fakat bir yöneticinin daha stratejik olması gerekiyor.”

Rutchik IT’nin aynı zamanda güçlü bir finansal analiz kapasitesine sahip olması gerektiğini de ekliyor; çünkü maliyetler sermayeden işletme giderlerine dönüşürken IaaS’a geçiş önemli bütçe dallanmalarına sahip olabilir. Tecrübeli bir CIO olan Honerkamp bu yeteneklere sahip. Bu arada o operasyonlar, finans ve satın almadan teknoloji anlayışına sahip elemanlarla yeni iş analisti rollerini de dolduruyor.

Eski bilgisayar odalarına gelince; onlarda yeni bir role sahip olacak: Büyüen bir firma için fazlasıyla ihtiyaç duyulan çalışma alanı rolüne.

Bazı popüler uygulamalar kullanıcı adı, parola ve kredi kartı bilgisi gibi hassas verileri telefonunuzun hafızasında düz metin formatında saklayarak verileri hacker’lar için kolay bir hedef haline getiriyor. Chicago merkezli viaForensics adlı hukuk firması hem iOS hem de Android platformlarındaki en popüler düzinelerce uygulamayı inceledikten sonra daha da fazlasının varlığın keşfetti.

Android Mail, Foursquare ve Groupon gibi en büyük uygulamalardan bazıları kullanıcının geçiş kodu ve uygulamaya erişim sağlayan bilgi bileşenlerini telefon hafızası üzerinde düz metin olarak sakladı; bu durum uygulamaların 2011 başına kadar çıkartılan sürümleri için geçerli.Eğer bir suçlu telefonunuza fiziki olarak erişim sağladıysa, tüm bu verileri bulması çok zor olmazdı ve bu verileri kimlik hırsızlığı için kullanabilirler. Hatta telefonunuzda önbelleğe alınan verilerin uzaktan toplanması dahi söz konusu. Android telefonlar ve kırılmış iOS telefonlar üzerindeki mobil kötü niyetli uygulamalar gösteriyor ki güvenlik ihlalleri her zamankinden daha fazla.

Akıllı telefonlarınız üzerinde çok fazla veri saklıyorsunuz; çoğunlukla kişisel verilerinize erişim için kullanıcı adı ve parola gerektiren standart güvenlikli uygulamalar üzerinden; en azından uygulamanın ilk kurulum esnasında. Ancak bu uygulamaların çoğu ihtiyaç olmadığı halde bu bilgileri gereksiz yere telefonunuz üzerinde saklıyor. Ayrıca bilgileri offline olarak saklamak zorunda olduklarında tamamını şifrelemiyor.

Bu yılın başlarında herkes iPhone’un konum bilgilerini telefonun dahili belleği üzerinde şifrelenmemiş bir dosya içinde tutulduğunu öğrendiğinde şoke oldu. Fakat bir parola (çoğu kişinin aynı parolayı birden fazla hesap için kullandığı da dikkate alınırsa) veya kredi kartı numaraları ya da patronunuza gönderdiğiniz mesajlarla karşılaştırıldığında konum geçmişinin saklanması önemsiz kalıyor. Telefonlar kolaylıkla çalınabildiğinden ve Android telefonları bilhassa kötü niyetli uygulamalarda önemli bir artışla karşılaştığından (şu an için Lookout Mobile Security’ye göre altı ay öncesinin 2.5 katı) özel bilgilerinizin saklanması hafife alınacak bir konu olmasa gerek.

viaForensics’in test ettiği uygulamaları ve hangi uygulamanın ne kadar veriyi açığa çıkardığını http://viaforensics.com/appwatchdog/ adresinden kontrol edebilirsiniz. Sonuçları yayınlamadan önce viaForensics tüm uygulama geliştiricileriyle iletişim kurdu; test edilen uygulamaların önemli bir çoğunluğu eski sürümlerdi ve güvenlik gedikleri daha sonra kapatılmıştı. Ancak bunlar telefonlar üzerinde gereksiz yere tutulan ve var olan binlerce uygulamanın sadece birkaç yüz örneklemesi.

Ne tür uygulamalar güvenli değil?

viaForensics’in testlerine göre uygulama verisi ve oturum açma verileri kaydedildiğinde her türden uygulamalar önemli güvenlik açıklarına sahip olabilir; finansal planlamadan sosyal ağlara tüm uygulama türleri. Ancak şuna dikkat çekmek gerekir ki uygulamaların kendisi kötü niyetli değil (bilhassa Android platformuna yönelik olarak kişilerin bilgilerini çalma amacıyla geliştirilmiş uygulamalar da mevcut); aksine bu güvenilir olmayan uygulamalar kötü niyetli saldırılara karşı sizi savunmasız bırakabilir.“Ortalama teknik yeteneklere sahip bir kişi Android SDK’yı download edebilir ve eğer telefona ualtıkları takdirde o verileri okuyabilir. Onlar para gerektiren herhangi bir şey yapmıyorlar,” şeklinde konuşuyor viaForensics’in teknoloji servisleri başkan yardımcısı Ted Eull. Ve bu açıklar tamamen alelacele geliştirilmiş uygulamalardan kaynaklanıyor, diyor Eull. SDK içerisinde parolaları veya uygulama verilerini ortaya çıkartmak bir uygulamanın doğru biçimde çalışması için gerekli değil. “Neden hassas verileri ilk etapta açık bir şekilde kaydedilsin? Eğer veriler toplanmak için orada değillerse, saldırganlar onun peşinden gitmezler,” diyor Eull.

Bazıları için bu verilerin erişilebilir olması zararsız; birilerinin sizin Foursquare kullanıcı adı ve parolanızı bilmesi ona pek bir şey sağlamaz; tabi eğer aynı kullanıcı adı ve parola banka hesabı veya iş e-postası için kullanılmıyorsa.

Fakat bağımsız geliştirici “evthedev” tarafından geliştirilmiş “Starbucks Cards Manager” gibi bazı üçüncü parti uygulamalar kullanıcının tüm Starbucks kredi kartı numarası, son kullanma tarihi ve CVN’i (kart onay numarası) telefon üzerinde okunabilir bir yerde saklıyordu.

Mobil kredi kartı okuma uygulaması Square gibi daha popüler finans uygulamaları dahi, bazı işlem verilerini iPhone üzerinde sakladı (Android tabanlı sürümü Square üzerinde erişilen çoğu bilgiyi güvenli bir biçimde sakladı ve bir uyarıyla aktardı). Her ne kadar uygulamanın her iki sürümü de kullanıcının parolasını düzgün bir biçimde saklamış olsa da, iOS üzerinde satıcının telefonu satın alanın kredi kartı numarasının son dört hanesini içeriyordu. Ancak “siz kayıt olduğundan uygulama içerisinde yapılan son imza telefonun belleği üzerinde bulunuyordu,” diye konuşuyor Eull.

Neyse ki bunlar istisnalar. Çoğu finans uygulaması (Bank of America veya PayPal gibi) güvenlik konusunda iyi iş çıkarttı. Gerçekten kötü sonuç veren uygulamalar LinkedIn veya AIM gibi sosyal ağ uygulamalarıydı; bunlar çoğu kullanıcının nispeten daha az önemli bilgileri paylaştığı yerler ve buralarda bir miktar açıklığın olduğu kabul ediliyor.

Malware’lar Güvenlik Açıklarına Neden Olabilir

Her ne kadar tehlike büyük oranda teoride kalsa da, kötü niyetli yazılımlar mobil cihazlar üzerindeki gizliliğinizi tehdit eden bir sonraki tehdit olabilir. Eull bunu not ediyor çünkü kullanıcı verisi ve oturum bilgisi sıklıkla telefonunuzun okunabilir belleğinde saklanıyor. Bir hacker’ın, siz telefonunuzu kullanırken güvenli olduğunu düşündüğünüz tüm verileri elde eden bir malware bileşeni oluşturması olası.

Android kullanıcıları telefonları üzerinde kötü niyetli kodlarda önemli bir artışla yüz yüze kaldı; bunlar ise genellikle kötü niyetli kodlara sahip olan uygulamaların download edilmesiyle geliyor. Bu tür kötü niyetli kodların popüler uygulamaların sakladığı şifrelenmemiş isimleri, parolaları ve diğer uygulama verilerini bulamaması için bir neden yok. Lookokt Mobile Security’nin iletişim direktörü Alicia diVittorio, sizin diğer “güvenli” uygulamalarınızdaki verileri tehlikeye atabilecek şüpheli uygulamaların download edilmesi konusunda uyarıyor. “İnsanlar telefonlar üzerinde verilere erişim sağlayabilen bu uygulamaları download ediyor,” diyor diVittiorio. “ve siz şifrelenmemiş bir Wi-Fi kullandığınızda, aynı Wi-Fi üzerinde bulunan herhangi bir kişi transfer edilen verileri görebilir. Taşınabilir cihazınız üzerindeki herhangi bir kötü niyetli aktiviteyi gerçekten engellemek için “uygulama verileri şifrelenmeli ve Wi-Fi de şifrelenmeli. 3G’yi fazlaca kullanmak veri limitinizi çok arttıracaktır ama eğer bulunduğunuz yerde güvenli bir Wi-Fi bulunmuyorsa telefonunuzun Wi-Fi bağlantısını kapatmak iyi bir fikir olabilir. Ayrıca, telefonunuz üzerindeki malware’ları tarayabilen Lookout gibi bir güvenlik uygulamasını indirmek telefonunuzu ihlallere karşı koruyabilir.

Bunların çoğu en kötü senaryo spekülasyonları olsa da, aynı zamanda kimin gizlilik ve güvenlik konusunda nihai olarak sorumlu olduğu hakkında teknoloji dünyasının önem vermesi gereken ciddi bir tartışmaya yönlendiriyor. Apple ya da Google verilerin işletim sistemleri üzerinde nasıl saklanması gerektiğini kontrol etmeli mi? Uygulama geliştiricileri şu anki yaptıklarına göre daha katı bir birleşik güvenlik standardı belirlemeli mi? Veya akıllı telefon kullanıcılarının büyük bir bölümü cihazlarının nasıl çalıştığını veya kendilerini bir güvenlik ihlaline karşı nasıl koruyacaklarını öğrenmek için zaman harcamayacak olsa da tüketiciler kendi güvenliklerinden kendileri mi sorumlu olmalı? Lookout’dan diVittorio, ViaForensics’in çalışmasına dikkat çekerek, “Uygulama geliştiricilerinin şunu fark etmesi gerek: özel bilgiler dikkat gerektirir. Ve eğer siz bir uygulama geliştiricisi iseniz, bir uygulama bu kadar güvenli hale getirmek için çok işiniz var.”

Her ne kadar tüm uygulama geliştiricilerinin kullanıcıların güvenliğini korumaya odaklanıp odaklanmadıkları çok ne olmasa da, via Forensics’in CIO’su Andrew Hoog umutlu: “Geçen yılın Kasım ayında uygulamalar banka verilerini güvenilir olmayan yöntemlerle saklıyordu,” diye konuşuyor. Şimdi ise geliştiricilerin uygulamalarını ihlallere karşı tedbir alacak biçimde kurdukları “olumlu bir trend görüyoruz”. Ancak uygulama geliştiricilerinin, malware geliştiren rakiplerine nazaran çok daha hızlı ve iyi bir biçimde güvenliği inşa etmeleri gerekiyor. Aksi halde kullanıcıların memnuniyetsizlikleriyle yüzleşecekler.”

Dijital devrim öncesinde güvenlik profesyonelleri geceleri pek de rahat bir uyku uyuyamıyorlardı; çünkü organizasyonlarında olabilecek güvenilmez kişilerin neden olduğu tehdit onları endişelendiriyordu. Yaygın olarak “iç tehdit” olarak tanımlanan bu kişi muhtemelen gizli, hassas ve özel verilere erişimi olan birisi. Bu durum da söz konusu kişiye verileri tesisten başka istenen herhangi bir yere aktarması için eşsiz bir fırsat sunuyor.

Yıllar geçtikçe gelişmiş bilgi bu iç tehditlerin belirlenmesini sağlayacak çeşitli çözümleri ortaya çıkardı. Yüzlerce yıllık tecrübe gösteriyor ki iç tehditlerin verileri çalarkenki en temel motivasyonları para, ideoloji, ego veya baskı. Bu motivasyonların anlaşılmasıyla beraber, iç tehdit olabilecek potansiyel çalışanların belirlenmesine yardımcı olmak üzere kişisel güvenlik programları oluşturuldu. Örneğin, eğer bir çalışan önemli bir finansal kriz yaşamaktaysa ve bu türden motivasyonların etkisinde kalabileceği belirlenmişse, güvenlik profesyoneli, amirin de onayıyla, söz konusu çalışanın hassas verilere erişimini geçici olarak askıya alabilir.

Eskiden iç tehditler organizasyonunuza büyük zararlar verebiliyordu. Bununla birlikte bu tehdidin ortadan kaldırılmasına yardımı olmak için araştırmalar yapıldı, araçlar geliştirildi. Temel kontroller daha önce bahsi geçen kişisel güvenlik ölçümleri, verilerin bir kasa içerisinde saklanması gibi fiziki güvenlik tedbirleri ve “bilinmesi gerekenler”e dayanan bilgiye erişim sağlanması gibi prosedürel mekanizmalar etrafında çevreleniyor. Bu tedbirler bir iç tehdidin dokümanları çalmasının çok daha zorlaştırılmasına yardımcı oldu.Bir yandan kağıt formundaki hassas verileri korumak güvenlik profesyonelleri için halen korkutucu bir görev olsa da, bugün eski tek boyutlu iç tehdit üç boyutlu hale geldi. İç tehdidi tartışırken dikkate alınması gereken birçok alan olsa da (birleşmeler, satın almalar, tedarik zinciri etkileşimi, globalizasyon) üç sınıf iç tehdit bulunuyor: güvenilen kasıtsız iç tehdit, güvenilen kasıtlı iç tehdit ve güvenilmeyen iç tehdit.   Biz şimdi, 1’ler ve 0’lardan oluşan bilginin ışık hızında seyahat ettiği dijital bir dünyada yaşıyoruz. Aynı şekilde iç tehdit de dışarıdakilerden koruduğumuz verileri fark edilme şansı daha düşük olarak gönderme yeteneğine sahip. Güvenilen kasıtsız iç tehdit bir bilgisayar veya ağa meşru erişimi bulunan fakat hatalı karar kişidir. Örneğin, bu iç tehdit firmanın dinlenme odasında bir USB taşınabilir disk bulabilir, iyi bir çalışan olarak onun kime ait olduğunu bulmak üzere cihazı kendi ya da şirket bilgisayarına takabilir. Esasında bu kullanıcı farkında değildi ancak,  zaten dışarıdan bir kişi içerideki çalışanlardan bir tanesinin sürücüyü şirket bilgisayarlar sistemine takabileceğini umarak kasıtlı olarak dinlenme odasına bırakmıştı. Sürücü bir kez bilgisayara takıldığında kötü niyetli kod kendini kuruyor ki bu da söz konusu bilgisayar sisteminin ve potansiyel olarak da tüm bir ağın ele geçirilmesine neden oluyor. Bir iş arkadaşına yardımcı olmak adına (USB sürücüsünü unutmuş olabilecek) yapılan masum bir çaba klasik bir güvenilen kasıtsız iç tehdit sonucunu getiriyor.Önceki durumda olduğu gibi, güvenilen kasıtlı iç tehdit de bilgisayar sistemine veyahut ağa meşru erişim sağlayabilen bir kişidir. Diğer taraftan bu kişi özel bilgileri yetkili olmayan bir şahısa sağlamaya, kişisel kazanç elde etmeye veya kötü bir niyete yönelik olarak bilinçli bir karar verir. Her geçen gün daha fazla örnekleriyle karşılaşılan tanıdık bir senaryoda, memnun olmayan bir çalışan tarafından hassas bilgiler gizli bir biçimde taşınabilir sürücüye indirilir ve bir rakibe satılır. Söz konusu çalışanın motivasyonu her ne olursa olsun, güvenilen kasıtlı iç tehditlerin kendilerini haklı gösterdiği çirkin nedenler yüzünden güvenlik protokollerinin kasıtlı olarak ihlal edilmesi sonucunu ortaya çıkartır.

Dijital çağdan önce eşi görülmemiş olan güvenilmeyen iç tehdit ise tamamen farklı bileşenlerin Internet üzerindeki global bağlantısının bir direkt sonucudur. Bu kişi bilgisayar sistemi veya söz konusu ağa yetkili erişime sahip değildir. Ancak sistemdeki arka kapılar yardımıyla kullanıcıların bilgilerine erişilir ve sistemin kendilerini güvenilen bir çalışan zannetmesi sağlanır. İlk senaryoya bağlı olarak USB sürücüyü dinlenme odasına yerleştiren yabancı kişi, kötü niyetli dosyaların firma bilgisayarına kurulması ve kendilerine erişim sağlanmasıyla güvenilmeyen iç tehdide dönüşmüştür. Esasında o ağ içerisinde koyun postu giymiş bir kurttan başkası değildir. Bu rol bir kez üstlenildiğinde yabancı kişi artık içerden bir kişiye dönüşmüş ve iç verilere erişim sağlamıştır. Bu artık basit bir ihlal değildir çünkü söz konusu güvenilmeyen iç tehdit sizin güvenilir çalışanlarınıza sağlanmış eylemeleri gerçekleştirebilir.İç tehditlerin tespiti yeterince güçtür. Güvenilmeyen iç tehdit bilgisayar veya ağa erişim kazanmak için bir kez geçerli giriş haklarını elde ettiğinde, ağ sınır güvenliği artık faydasız hale gelmiştir. Politikalar, prosedürler ve teknik kontroller gibi katmanlı savunma stratejilerin çoğu bileşeni, bu türden bir ihlal gerçekleştiğinde faydasız hale dönüşebilir. Kurdu durdurmanın en yüksek şansı teknik kontrollerdir ama kurdu kuzudan ayrıştırmak çözülmesi oldukça zor bir problemdir.

Yeni iç tehditler şu soruyu ortaya çıkartıyor: İç tehditlere karşı korunmak için, kendi çalışanlarınızmış gibi gözükenler dahil olmak üzere kendi ağınızın içine bakıyor musunuz? Kullanıcı kimlikleri, kullanıcı adları veya parolalar düzenli olarak ele geçiriliyor. Hotmail ve diğer web tabanlı e-posta sistemleri yakın bir zamanda büyük çaplı bir kimlik hırsızlığının mağduru oldu; çalınan bilgilerin çoğu çeşitli hacker sitelerine aktarıldı. Kullanıcınız iş bilgisayarında kullandığı aynı parolayı şahsi e-postası için de kullanıyorsa?Daha az bilgiyi hatırlamak amacıyla, aynı parolayı birden fazla sistem için kullanmaya çalışmak sadece insan doğasında vardır. Bu yöneticilerin, CSO’ların ve CEO’ların itiraf ettiğinde çok daha sık gerçekleşir. Kullanıcı adı ve olası parolalar ellerindeyken ihlalcilerin yapabileceği çok çeşitli eylemler var; bu yüzden de yepyeni bir iç tehdit sınıfı ortaya çıkıyor.

Hassas verilerinize erişim sağlamanın yanı sıra, güvenilmeyen iç tehdit artık kendi sistemlerinizi size karşı kullanma yeteneğine sahip. Bir sipariş miktarını 10’dan 1000’e çıkartmak veya tedarikçilere istenmeyen yeni siparişler vermek, güvenilmeyen bir iç tehdidin işletmenizi karşı karşıya bırakacağı en hafif zarardan bir tanesi. Ya peki sistemlerinize erişerek fiziki zarar veya hayat kaybına neden olabilecek güvenlik sorunları oluşturduklarında ne olacak?Sizin risk yönetim stratejiniz güvenilmeyen iç tehdidi dikkate alıyor mu? Bilgisayar sistemlerinizi ve ağlarınızı değerlendirirken, gördüğünüz nedir; kurt mu yoksa kuzu mu? Büyük ihtimalle her ikisini de görüyorsunuz.

Türk Telekom hem çalışan hem de müşteri sayısı ile yalnızca Türkiye’nin değil, dünyanın da öne gelen kurumları arasında yer alıyor. Sunduğu servisler sayesinde hem yüksek müşteri sayısına hem de geniş bir operasyon ağına sahip. Tüm illerdeki müdürlükleri, 29 bine yaklaşan çalışanı ve iş ortakları ile oldukça büyük bir ekosisteme sahip. Haliyle bu bünyede gerçekleştirilen her proje de kapsam açısından en büyük uygulamalardan biri haline geliyor. Bu tarz uygulamalarda başarısızlık, kurumlara hem çok yüksek maliyet getirirken elde edilecek başarıların geri dönüşleri de muazzam olabiliyor.

Aydın Satıcı, iki buçuk yıldır Türk Telekom bünyesinde Bilgi Teknolojileri Direktörü olarak çalışıyor. Kurumun CIO’su olarak Türk Telekom’un IT altyapısının şekillenmesinden, faturalama sistemlerinden, müşteri ilişkileri yönetimi uygulamalarından, kurumsal kaynak yönetim yazılımlarına kadar tüm altyapıyı uygulamak, geliştirmek ve devamlılığını sağlamak zorunda. Her ne kadar sorumluluk alanındaki hususlar ve yönettiği uygulamalar Türk Telekom müşterilerine yönelik olmasa da, bu uygulama ve altyapıdaki olası bir hata, gecikme veya sorun tüm kurumun işleyişine ve dolayısıyla bu kurumdan hizmet alan herkese yansıyabilir. Bu yüzden stratejik kararların doğru alınması, planlama süreçlerinin dikkatli yürütülmesi ve tüm bunlardan öte doğru teknolojilere zamanında yatırım yapılması gerekiyor. Aydın Satıcı, iki buçuk yıl önce başlatmış olduğu IT dönüşüm projesinde kapsamında kurum içerisinde IT altyapısında ve uygulamalarında yeni yaklaşımlar getiriyor. O dönemde yapılan 3 yıllık plan çerçevesinde kurumun IT organizasyonunda ve uygulamalarında birçok değişiklikler yapılıyor. Aydın Satıcı süreci şu şekilde anlatıyor, “2008 yılında Accenture ve Gartner ile birlikte kurumumuzda hem test süreçleri gerçekleştirdik ve sonuçlarla birlikte 3 yıllık bir yol haritası çıkardık. Tabi tüm bunları yaparken, dünyadaki Telekom operatörlerinin IT altyapılarını da birebir ziyaretler yaparak görmüş olduk ve kendi kurumumuz ile karşılaştırdık. Biz karşılaştırmalar esnasında özellikle British Telecom ve Deutsche Telecom’a baktık. Telekom Italia’yı ziyaret ettik. Ancak hem çalışan sayısı hem de organizasyon büyüklüğü açısından British Telecom ağırlıklı hedefimiz oldu. 2010 itibariyle geldiğimiz noktaya baktığımız zaman IT çalışan sayısı ve organizasyon olgunluğu olarak istediğimiz noktalara gelmiş olduğumuzu söyleyebilirim.”
Aydın Satıcı ve ekibi 2008 yılında farklı telekom operatörlerine yapmış oldukları bu ziyaretler çerçevesinde Türk Telekom IT organizasyonunun nasıl olması gerektiğine dair ciddi planlamalar ve gözlemler yapma fırsatı yakalamışlar. “2008 yılında IT dönüşüm çalışmaları başlatmıştık. O dönemde farklı kurumlar ve danışmanlık şirketleri ile ortaklaşa yürüttüğümüz bu çalışmaların sonucunda bir yol haritası çıkarıldı. Bu yol haritası sonrasında şu anda COBIT, ITIL ve benzer standartlara göre, IT’de iş yapış şeklimiz birkaç seviye yukarıya çıkmış oldu. 2010 yılı içerisinde de bağımsız bir firmadan denetim alıp bunu da belgelemek istiyoruz. Bundan sonrası için de yeni bir yol haritası çıkarmamız gerekiyor. 2008 yılında çıkarmış olduğumuz yol haritası 3 yıllıktı. 2010 yılının sonunda bu tamamlanmış olacak. Bu anlamda hedeflediğimiz noktalara geldiğimizi belirtebilirim. Bu IT dönüşüm projesinin parçalarından biri de ‘Active Directory’ uygulamasıydı ve oldukça uzun süreli bir projeydi. Bunun haricinde intranet altyapısı vardı. Talep yönetimi altyapısı vardı. Zaten talep yönetimi IT dünyasının en büyük problemidir.”

IT’nin Çıkmazı: Talep Yönetimi
IT yönetimindeki en büyük sorunlardan biri de talep yönetimi. Dev organizasyonlarda her zaman bilgisayarlarda, sunucularda veya yazıcılarda çalışanların halledemediği bir sorun vardır ve IT’nin bu sorunları hızlı bir şekilde çözmesi beklenir. Aydın Satıcı bu konuyu şöyle anlatıyor, “Grup içerisinde IT departmanı genelde iş aksadığında, problem çıktığında hatırlanır ve onun haricinde pek de hatırlanmaz. Ve genelde de talep sayısı çok yüksek olduğu için talepler yağmur gibi yağar. Siz yüzlerce talebi gerçekleştirmenize rağmen tek bir talebi yerine getiremezseniz, IT çalışmıyor noktasına gelinir. Tabii talebin şirkete ne kadar değer katacağı, ROI’si nedir bunlar pek düşünülmez. Aslında IT birimi şirket içerisindeki kaleci gibidir. 100 tane kurtarış yaparsınız ancak bir gol yediğinizde hepsi unutulur. Bu yüzden kurum içerisinde talep yönetimini çok önemsiyoruz. IT’nin en azından yapmış olduğu çalışmaların şirket içerisinde doğru anlatılması için talep yönetimini çok önemsiyoruz. Bu yüzden de 2008 yılında Workforce Management araçlarını devreye aldık. HP Mercury üzerinden takip ediyoruz. Bize gelen tüm talepler kayıt altına alınıyor. Bu taleplerle ilgili tüm süreç HP Mercury üzerinden takip ediliyor. Tüm IT çalışanları da çalışma çizelgelerini HP Mercury üzerinden dolduruyor. Bu sayede IT’nın hangi konuda ne kadar iş gücü harcadığını ölçebiliyor, maliyetlendirebiliyoruz. Her talebe karşılık gelen bizim iç ve dış maliyetlerimizi kolayca şirketlerimize yansıtabiliyoruz.”

Maliyetsiz Bir IT
Grup şirketlerinde sıkça karşılaşılan sıkıntılardan biri de IT hizmetlerinin maliyetlendirilmesinde ortaya çıkar. Donanım maliyetleri ve yazılım lisanları kolayca hesaplanabilmekte ancak verilen servis hizmetleri genelde ücretlendirilmemekte. Aydın Satıcı’ya Türk Telekom bünyesinde IT maliyetlendirilmesinin nasıl yapıldığını ve grup şirketlerine nasıl yansıtıldığını soruyoruz, “Aslında şu an verdiğimiz hizmetlerin maliyetlerini yansıtmıyoruz ancak hesaplamalarımızı yapıyoruz. Yakın zamanda yansıtmaya başlayacağız. Çünkü şirket içi transfer fiyatlandırması isimli bir çalışma da var şu aralar. Bu sayede hangi departmanın hangi departmana ne tür bir iş yaptığı ve ne maliyetler çıkardığı burada yansıtılıyor. Ancak IT departmanı bu sistemin dışında. Ancak bu maliyeti yansıtmadığınız zaman IT iç talepler açısından ücretsiz bir servis olarak görülüyor. Ve burada da fırsat maliyeti (opportunity cost) dediğimiz bir işi yaparken diğer tarafta yapmadığın daha büyük bir işin maliyeti devreye giriyor. Bunu nasıl engelleyebilirsin? Her işin şirkete kazandırdığı değeri ölçmek gerekiyor. Kaynakları tam ve etkin kullanmak gerekiyor. Maliyetlerin şirketlere yansıması ile beraber bu taleplerin azalacağını ve insanların daha düşünerek ve dikkatli taleplerle geleceğini tahmin ediyoruz.”

Kurumun Merkezileştirilmesi
Aydın Satıcı yakın zaman içerisinde Microsoft ile beraber IT yönetiminde merkezileştirme adına Türkiye’nin en büyük Active Directory projelerinden birini hayata geçirmiş. Proje ile ilgili detayları şu şekilde aktarıyor, “Microsoft ile beraber yürüttüğümüz proje 2010 Şubat ayı itibariyle tamamlanmış durumda. Çok büyük bir proje olmasına karşın kısa süre içerisinde bitirdik. Başlangıcı ile bitmesi arasında tam bir yıl var. Ocak 2009’da çalışmalara başladık. Elbette bunun öncesinde ihale ve hazırlık süreci vardı. Özellikle Microsoft’un danışmanları ile beraber işi tüm planlaması kurgusu ihale süreci öncesinde tamamlandı. Haziran 2008’de ihaleye çıktık. 2008 Aralık’ta ihale tamamlandı. Ocak 2009’da da projeyi başlatmış olduk. Tüm Türkiye çapında çalışmalar başladı.”
Türk Telekom bünyesinde yaklaşık 25.000 client bulunuyor. Bunlara yazıcılar, sunucular ve mobil cihazları da eklerseniz 35.000 kadar ekipman elde ediyorsunuz. Aydın Satıcı’nın öncelikli hedefi tüm bu ekipmanların merkezi bir şekilde yönetilebilmesi olmuş. Pilot uygulamalar ile başlayan projenin sonunda tüm Türkiye’deki ekipmanlar Active Directory içerisine dahil edilebilmiş, “Proje sonunda yaklaşık 35 bin kadar ekipman Active Directory içerisine dahil edilmiş oldu. İlk olarak küçük pilotlar ile başladık. Öncelikle Ankarada Bahçelievler Telekom Müdürlüğünü devreye aldık. Arkasından Kırıkkale ile Eskişehir illeri pilot seçildi. Bu pilotlar başarılı bir şekilde tamamlandıktan sonra bir takım imajlar oluşturuldu. PC imajları, server imajları gibi. Yani tam anlamıyla fabrikasyon üretime geçmeden önceki hazırlıklar yapıldı. Uygulamaya geçmeden önce iki fazlı bir uygulama düşündük ve kırk il artı kırk il şeklinde proje ikiye böldük. İller bazında Active Directory’ler tamamlandı. Daha önceden bu şekilde bir merkezi yönetim altyapımız yoktu. Yani biz sıfırdan başlamış olduk. Elbette ufak tefek domain yapılarımız vardı ancak merkezi bir sistemimiz yoktu. Bu proje sayesinde tüm Türk Telekom çalışanları ve ekipmanları tek bir ağ altyapısı altında toplanmış oldu.”

IT Yönetiminde Değişim
Merkezi bir ağ altında toplanan istemciler daha kolay ve hızlı bir yönetime kavuşmuş oluyor. Daha önceden dağıtık bir yapıya sahip olan Türk Telekom IT altyapısı merkezi yönetim sayesinde çok daha güvenli hale gelmiş. Aydın Satıcı proje sonunda elde ettikleri kazanımı şu şekilde anlatıyor, “Türkiye’ye dağılmış büyük bir istemci yapımız var. Binlerce lokasyonda ve binada çalışanlarımız var. Bu noktalardaki tüm istemcilerin bakımı, desteği çok ciddi maliyetli idi. Bu projeden sonra buradaki bakım işlemleri merkezi olarak uzaktan erişilerek yapılabilir hale geldi. Active Directory tamamlandıktan sonra bizim bakım destek maliyetlerimiz yüzde 90’lara varan oranlarda tasarruf sağlanmış oldu. Ayrıca güvenlik konusu da çok önemli. Tüm kullanıcıların artık daha kontrollü bir şekilde sistemlere erişmesi, yetkilendirmelerin sağlanması sayesinde güvenlik çok üst seviyeler çıktı. Bu da yapmış olduğumuz projenin getirdiği en büyük ikinci artı. Bununla beraber System Center Configuration Manager araçları kullanıldı. Active Directory ile beraber envanter sayımı da yapmış olduk. Hangi cihaz kime ait, kimin üzerine kayıtlı, bu proje ile beraber bir kez daha tazelendi. Artık tüm yamaların yüklenmesi, uygulamaların kontrolü de bu sistem üzerinden yapılmış oluyor.”
Aydın Satıcı, merkezileştirme projesinden önce kurum için portalı da çözmüş ve gelecek uygulamalara bakıyor, “Active Directory projesine başlamadan önce kurum içi portalımızı hayata geçirdik. Portalımız Sharepoint üzerine kurulu ve kullanıcılar tek bir login ile hem sistemlerine hem de portala girmiş oluyorlar. Bundan sonraki amacımız öncelikle Active Directory’i yaygınlaştırmak olacak. Daha sonra ise Right Management gündemde. En kısa zamanda onu da sisteme almış olacağız. Bizim tüm insan kaynakları uygulamalarımız SAP üzerinde gerçekleşiyor. Bu projenin ikinci safhasında SAP ile Active Directory’nin entegrasyonu söz konusu. Artık herhangi bir personel göreve başladığında oradaki görev tanımına göre Active Directory içerisindeki hakları da tanımlanmış olacak. Ve şirket içerisinde bizim izin vermiş olduğumuz uygulamalara erişebilmiş olacak.”

Boğaziçi bilgisayar mühendisliği mezunu. İş hayatına Unilever firmasında başlamış. 4 yıl kadar Unilever’da farklı pozisyonlarda çalıştıktan sonra Citibank’a geçmiş ve 6 yıl da burada çalışmış. Daha sonra Ziraat ve Halk Bankasının ortak IT şirketi olan Fintek A.Ş.’ye geçmiş.  Fintek A.Ş.’de Uygulama Geliştirmeden sorumlu direktör olarak görev yapmış. Burada da yaklaşık 4 yıl çalıştıktan sonra 2007 yılında Türk Telekom bünyesine geçmiş. Aydın Satıcı Türk Telekom içerisindeki IT organizasyonunu şu şekilde anlatıyor, “Biz bölüm olarak COO’ya bağlıyız. Türk Telekom’da tüm teknik birimler operasyon altında toplanmış durumda. Yaklaşık 500 kişilik bir kadromuz ve 7 grup müdürlüğümüz var. Bunlar bana rapor ediyor. İki yıl önce organizasyon yapımızda değişiklikler yaptık. Grup müdürlüklerimizden bir tanesi talep yönetimi üzerine çalışıyor yani Müşteri ilişkileri grup Müdürlüğümüz. Bu grup müdürlüğümüz şirket içerisindeki bütün IT ihtiyaç taleplerini belirleyen, analizler yapan bir grup. Onun hemen arkasında çözüm geliştirme grubumuz var. Bu müdürlüğümüz de şirket içerisinde geliştirilecek olan tüm çözümleri oluşturuyor. Buna paralel olarak mimari ve planlama grup müdürlüğü var. Kurumsal mimariden sorumlu olan bu müdürlüğümüz, tüm çözümlerimizin grup mimarisine uyumlu olup olmadığını kontrol ediyor. Servis Yönetimi Grup müdürlüğümüz diğer gruplarda oluşturulmuş olan çözümler hayata geçtikten sonra yaşatılması, yürütülmesi ve opeasyonundan sorumlu. Servis yönetim grup müdürlüğü içerisinde bizim merkezi sistemlerin yönetimi de var tabi. Tüm Türk Telekom grubu içerisinde 25 bin istemcimiz var. Çevresel ürünlerle beraber 35 bin cihaz var. Bunların bakımından, operasyonundan, teknik servisinden sorumlu çevresel sistemler müdürlüğümüz, servis grup müdürlüğümüz içerisinde yer alıyor. Aynı zamanda yardım masası da bu grup müdürlüğünün altında çalışıyorlar. Bunun dışında Data Warehouse, Business Intelligence grup müdürlüğümüz var. Bu grup içerisinde de analitik raporlamalar, analitik analizler yapılıyor. Şirketin stratejik önceliklerinin belirlendiği, müşteri segmentasyonlarının yapıldığı bir altyapı söz konusu. Bunun dışında bir de ayrıca operasyon grup müdürlüğü var. Tüm faturalama operasyonlarını takip eden, yürüten birimimiz. Yedinci olarak da yine bunlara paralel IT direktörlüğünün yönetiminden, insan kaynaklarından, bütçeden, kaliteden, süreç yönetiminden sorumlu IT Governance müdürlüğü var. Oldukça büyük bir grubumuz var ancak daha da büyütmeyi düşünüyoruz. Operasyonumuız sürekli genişliyor ve gelişiyor. Sorumluluklarımız oldukça ağır.”

Capizzi, 2010 Ones to Watch ödülünü alarak azmini kanıtlamanın ötesinde istediği şey başarısından emin olmak. Bir şeyler yaparken her zaman hırslı olduğunu söyleyen Capizzi kariyer sürecine bakarak CIO pozisyonu için acelesi olmadığını belirtiyor. Capizzi, kariyeri süresince mesai arkadaşlarından rapor sunduğu yöneticilere kadar çevresindeki herkesin desteğini almaya ve iş dünyasında tecrübe edinmeye devam etmeye çalışıyor. CIO görevine geldiği zaman bilgi dağarcığı bakımından yeterli olmak Capizzi’nin en önemli hedefi.
CIO ve benzer pozisyonlardaki başarılı yöneticiler tecrübenin IT uzmanlarının başarısını etkileyen önemli bir faktör olduğu görüşünde. CIO tarafından yapılan ve 100 IT yöneticisinin katıldığı ankete göre kurumsal başarı planlamalarının sağladığı verim oldukça düşük. 100 katılımcıdan yüzde 60’ı bu tür programlara katıldığını belirtirken sadece yüzde 17’si katıldığı programları verimli buluyor. Şirket içerisinde bir projeye dahil olmak gibi iş dünyasındaki süreçle edinilen tecrübe bu tür programlara kıyasla çok daha verimli.
MasterCard küresel teknoloji ve operasyon başkanı Robert Reeg, kurumsal başarı planlama programlarının program dışında gelişen bir senaryoda hiçbir veriminin kalmadığını belirtiyor. Reeg, bu tür programların aynı görevi beş yıl gibi uzun süredir yapan ve yüksek potansiyele sahip olduğu ortaya çıkan çalışanlarda kullanılması gereken bir araç olduğuna dikkat çekiyor. Reeg’e göre görev dağılımının ötesinde çalışanların potansiyelini keşfetmek ve çalışanın mevcut potansiyelini fark etmesini sağlamak en büyük kurumsal sorumluluklardan.
Başarılı IT organizasyon planlaması için belirli aşamaları kat etmek gerekir. Bu aşamaların sonuncusu ve belki de en önemlisi organizasyon sırasında kat edilen süreçte karşımıza çıkan engelleri aşarak bunlardan ders çıkarmak. Her CIO’nun yönetim pozisyonunda yaptığı olay IT çalışmalarını kontrol etmek ve çalışanların geliştirilmeye açık yönlerini keşfetmeye çalışmak ya da dünya genelinde projeler yönetmek ve önemli kurumsal ilişkiler dahil olmak üzere dış dünyadaki rekabet koşullarıyla mücadele etmektir.
Teknoloji ve tedarikçi servisi Applied Materials IT başkanı Steve Finnerty, değişik alanlardaki tecrübelerine dayanarak yapılması gereken en önemli olayın CIO’nun görevini saptamak ve bu görevi yerine getirmek olduğunu söylüyor. IT yönetici kabiliyetlerinin yüzde 10’unun eğitim sürecinde geliştiğini belirten Finnerty, geri kalan yönetim kabiliyetlerinin iş dünyasında kazanıldığına dikkat çekiyor.
Bahsettiklerimizin sağladığı katkıya bakacak olursak, elde edilebilecek yararların etkili şekilde seçilerek dengeli risk anlatışı ile hem kişisel ve IT organizasyonu bakımından hem de şirket içerisinde eşit şekilde dağıtılmalıdır. Finnerty, kişinin kariyerinin kazandığı tecrübeler doğrultusunda ortaya çıktığını ama bunun rastgele olmadığı söylüyor.
Liderlik vasfına sahip kişilerin potansiyelini keşfetmelerinin önemli olduğuna inanan Finnerty, gerekli ortamı sağlamanın ve başarı için destekleyici olmanın önemli olduğunu düşünüyor.
Şu anda Apllied Materials yöneticisi olan ve bir zamanlar Finnerty’nin yöneticilerinden birisi olan Simon Dunning, 22 yaşında iken Ones to Watch ödülünü alanlardan birisi. Şu ana kadar dünyada çok farklı bölgelerde yazılım geliştiriciliği yapan, 8 farklı SAP projesi yöneten Dunning, iş ortamına göre kariyer beklentisinin ve kişilerin kendisiyle ilgili düşüncelerinin değişebileceğini söylüyor.

Kendinizi Ayarlayın
Geleneksel kurumsal başarı planlamaları “başarı”dan çok “planlama”ya odaklanan bir yapıya sahip. Organizasyon yapıları, envanter testleri, insan kaynakları buluşmaları, performans incelemeleri başarı planlamasına entegre edilen parçalar olsa da liderlikle ilgili yeteneklerin geliştirilmesinde maalesef pek etkili değiller. Kişisel gelişim olarak liderlik yönünün geliştirmenin en iyi yolu bu konu üzerinde çalışmaktır. Finnerty’e göre iyi bir lider olmak için iyi sezgilere sahip olmak oldukça önemli. Sezgisel yaklaşımı geliştirmenin tek yolu ise tecrübe edinmek.
IT yönetimini geliştirme adına edindiğiniz tecrübeler yanıltıcı olabilir. Bu konuda iş dünyasının gerektirdiği tecrübeler ile kariyerinizin gerektirdiği tecrübeler arasında dengeyi kurmanız son derece önemli. Gerekli tecrübeyi edinmek için sabırlı olmanız oldukça önemli. Bir aday bir işi gerçekleştirmek için ne kadar hazır olursa olsun bazı şartların olgunlaşması için beklemesi gerekebilir. Her iki durum arasında dengeyi kurmak için organizasyon içerisindeki kişilerle sürekli diyalog halinde olmalısınız.
Mümkün olduğu takdirde büyük ve köklü değişimler genelde en iyileridir. Finnerty kariyerin başında finansal sistemlerin geliştirilmesiyle ilgili görevinden bahsederken o zamanlarda veri merkezinde rutin işleri yapıyor gibi görünse de iş sürecinde edindiği tecrübeleri şu anda daha derinlemesine stratejik kararlar edinirken kullandığını söylüyor. Kariyerinin ilerleyen zamanlarında veri merkezi konusunda ekibiyle birlikte iki önemli kriz atlatan Finnerty, kriz dönemlerinde taktiksel kararlar alırken tecrübelerine dayanarak daha rahat hareket edebildiğini belirtiyor.
Capizzi SBLI’deki IT yöneticilik görevine geldiğinde –bu görev onu CIO’dan sonraki IT departmanının iki numaralı yöneticisi yapıyordu– yeni bir ekibe liderlik etmenin ötesinde tüm organizasyon yapısına liderlik ettiğini söylüyor. Böyle bir göreve geldikten sonra bir şeyler yoluna girene kadar pek çok problemle karşılaşmanız son derece doğal.
Capizzi’nin CIO’su Eric J. Bulis kendini şirket içerisindeki rolüne göre uyarlamış ve IT departmanındaki operasyonların üstesinden kolaylıkla gelebiliyor. Bulis, IT departmanında hem taktiksel hem de stratejik anlamda gerekli adımları atabilecek yöneticilere ihtiyaç duyulduğunu belirtiyor. Capizzi’nin erişim konusunda problem yaşadığı alanları yönetmede işini kolaylaştıran iyi bir yönetici olduğunu sözlerine ekleyen Bulis, mesai arkadaşının alanında en iyi olmasa bile etkili bir takım ruhu anlayışına sahip olduğunu belirtiyor.
2006 yılında Applied Materials’da görev alan Dunning 21 ülkede 16.500 kullanıcı kapsayan iki yıllık süren dünyanın en büyük SAP projelerinden birisini yönetti. SAP konusunda proje deneyimi bulunan Dunning, 600 kişilik proje ekibindeyken kendisinin hiçbir şey yapmadığını düşünmesine rağmen süreç içerisinde kurumsal analiz yapma konusunda kendilerini geliştirdiklerini belirtiyor.
Dunning liderlik konusundaki yeteneklerinin deneme yanılma yoluyla daha farklı boyut kazandığını söylüyor. Ayrıca iş dünyasında projeyi başarıya ulaştırmak rekabetin ötesinde kurum ve IT bütünleşmesinin gereklerinden birisi olarak görülüyor. Her engel yeni ilişkiler ortaya çıkarıyor ve daha ekip içerisinde daha iyi iletişimi sağlıyor. Bulunduğu projede IT projelerine CFO’ların gözünden yaklaşmanın ne kadar farklı olduğunu gören Dunning, karar verme olgusunun fark etmiş durumda.
Proje sırasında bir noktada tıkanıp tüm projeyi baştan almayı düşündüklerini hatırlatan Dunning, verdiği fikir sayesinde tüm organizasyonu kurtaran birisi olarak her zaman rekabetçi tutumdan ya da projeyi tamamlamayı hedeflemekten öte farklı bir bakış açısı kazandırmanın da kişileri ön plana çıkardığını söylüyor.
MasterCard’tan Reeg, 2008 yılında veritabanı ve erişim yönetimi konusunda Ones to Watch için John Meister’in doğru aday olduğunu söylüyor. Teslimat konusunda kayıt takip sistemi geliştiren ve rutin buluşmaları ya da hedefleri aşan Meister, şirketine kazandırdığı proje sayesinde yöneticilik deneyimi ve şirket içerisindeki pozisyonu daha kolay edinme şansına sahip oldu.
Ama Meister proje süresince endişeliydi. “Erişim bizim işimizin en önemli konusu, erişim olmazsa MasterCard olmaz” sözleriyle proje sürecindeki endişesinin nedenlerini anlatıyor. Projenin yürütülemeyeceğiyle ilgili belirtiler görseydi kendisinin de endişeleneceğini söyleyen Reeg, John’un konuyla ilgili teknik bilgisine ve takım yönetim becerisine güvendiklerini söylüyor.
Reeg, erişim konusunda yeni olmanın fayda olduğunu söylediğinde bunun nedenini soran John, engel ve birçok farklı durum şeklinde cevap aldı. Meister’in iyimser yaklaşamadığı konulardan birisi proje sırasında MasterCard’ın müşteri bilgilerini bankalara vererek kendi kredi kartı servislerini kurabileceğiydi. Tedarikçilere önemli bilgileri vermek, zaman içerisinde bu bilgilerin mağazalar arasında da yayılması yeni tabloların ortaya çıkmasına neden olabilecek türden gelişmeler. Ancak MasterCard zaman içerisinde sağlayıcıları ile rekabetin de el verdiği ölçüde daha sıkı ilişkiler kurmuş durumda.
Meister’in proje sırasında erişim gruplarıyla ilgili konulara daha stratejik yaklaştığını ve erişim konusunu sağlayıcıların veri servisine benzer şekilde geliştirilmiş ödeme sistemi haline getirdiğini söyleyen Reeg, bunun büyük bir risk olduğunu ve düzeltilmesi zor hatalara yol açabileceğini söylüyor.
IT yönetiminde kalıcı olmayan başarılar önemli değildir. Önemli olan becerikli CIO’ların yetenekleri ile büyük görevleri yerine getirmesidir. Finnerty, IT stratejisine göre bir kişiyi belirli bir pozisyona yerleştirmenin ötesinde daha az risk içeren liderlik pozisyonlarında görevlendirmeyi daha önceki sürece kıyasla daha fazla benimsediğini söylüyor ve finansal araştırmalar, yıllık operasyon planları ya da stratejik planlamada görev alma gibi konulara yabancı olmayan çalışanlar yönetimle ilgili görevlere alışmakta zorluk çekmeyeceklerini belirtiyor.

Arkalarını Kollayın!
Azimli yönetici adaylarınızı adım adım rekabete hazırlamak yeterli değildir. Akıllı CIO’lar şirketin yönetim kademesine bağlı olarak destek konusunu da göz ardı etmez.
Ones to Watch ödülünü alan Verizon tasarım ve ürün tasarım ve geliştirme departmanı başkan yardımcısı Ruchir Rodrigues, kurumsal desteği sağlamanın özellikle gelir getiren müşterilere yönelik AR-GE konuları gündemde olduğunda farklı bir yeri olduğunu söylüyor. Rodrigues şirketin yeni ekibinin arkasında durmamasını elektrik olduğu hale ışığın olmamasına benzetiyor.
Ürün geliştirme grubunun doğuşu için altı yıl öncesine, yani Rodrigues’in CIO Shaygan Kheradpir ile Verizon’un analog servislerini dijitale dönüştürme konusunda proje yürüttüğü dönemlere, bakmanız gerekiyor. Bu da tam olarak Verizon’un geleneksel PSTN ağını VoIP platformuna geçiş sürecine karşılık geliyor. PSTN’den VoIP’ye geçiş sürecinde böyle bir şeyin gereksiz olduğunu, bunun yerine bilgileri internet üzerinde kullanılabilecek formata çevirecek bir uygulama yazarak daha kolay ve riski az olan çözümler ortaya koyabileceğini söyledi.
Rodrigues, Visual Voice gibi küçük bir projeyle sesli postaları IP tabanlı cihazlara ve yazılımlara uygun ortamı sağladıklarını söylüyor. Pazarlama departmanından Kheradpir başarıyla tamamladıkları proje sayesinde şirketin mobil cihazlardan fiberoptik hat altyapısına sahip video iletişimine ve veri servislerine kadar milyonlarca dolar gelir elde ettiğini belirtiyor. Ancak böyle bir projede şirket yönetiminin gerekli ortamı sağladığını ve avantaja karşılık risk aldığını göz ardı etmemek gerekiyor.
Kariyer ve yönetim konularında esnekliğin ne düzeyde olduğunu belirlemek için danışmanlık anlayışının yerleşmesi son derece önemli. Finnerty, gerçekleştirmek istenilen proje konusunda tecrübesi olanlardan bir şeyler dinlemeyi tavsiye ediyor.
JetBlue teknoloji servisi başkanı Terry Dinterman’ın şirket yöneticilerine danışma konusundaki tecrübesi bu durumu daha iyi açıklıyor. Dinterman, dış kaynaklı anlaşmalardan dolayı kısa süre içerisinde yeni rezervasyon sistemi oluşturmaları gerektiği dönemde şirketin üst düzey yöneticilerini toplayarak projenin tartışılmasını sağladı. Dinterman’ın yaptığı toplantılara katılan CIO Joe Eng, sürecin yönetimi ve projedeki düzeltmeler konusunda Dinterman’ın oldukça iyi olduğunu belirtiyor. Dinterman, somut birkaç adım atarak kurumsal başarının ötesinde bir şeylerle nasıl başa çıkabileceğini öğrenmiş durumda. Projenin başlangıcında her ne kadar farkında olmasa bile yöneticiler ile daha yakın ilişkiler kurmaya başlayan Dinterman, bu sayede kendini daha iyi ifade edebilme şansına erişti. Bu konuda Microsoft gibi iş ortaklarıyla çalışmalar yürüttüklerini ve proje sırasında kendisini geliştirmekten başka seçeneği olmadığını söyleyen Dinterman bahsettiğimiz olayın belirli bir süreç içerisinde geliştiğini söylüyor.

Kendilerini İfade Etmelerine İzin Verin!
Destekçi CIO rolünde olmak ile çalışanların hatalarına karşı esnek olmak arasında ince bir çizgi vardır. Kişilerin başarı konusunda kendine göre kriterlerinin olmasının ötesinde desteklenmesi son derece önemlidir. Proje sürecine teknik elemanların yanında farklı bakış açısı kazandırabilecek çalışanların dahil edilmesi kişilerin potansiyelinin ortaya çıkmasında etkili olacaktır. İletişim ve değişim yönetimi planlarında telekonferans gibi teknolojik imkanların sunulması proje çalışanları için farklı bir ortam sağlayacaktır. Hatta bazı teknoloji alanlarına erken adapte olmak ve bu konularda uzmanlaşmak farklı bir imkan sunacaktır.
Liderlik vasfı bulunan kişilerin dizginlerini zincirlemek yerine doğru zamanda doğru ortamı sağlayarak yeni bir noktaya dikkat çekmeyi başarmanız gerekiyor. Reeg, deneyim konusunun her zaman akılda bulundurulması gerektiğini ve oluşturulan program dahilinde katılımcılara yeni bir şeyler öğretmenin her zaman en temel konu olduğunu söylüyor. Reeg çalışanlara gerekli ortamın sağlanması ve tecrübe kazanımıyla ilgili Meister’e Missouri’den Mumbai’ye kadar gerçek zamanlı, kritik servislerin yönetim görevini konuyla ilgili örnek olarak anlatıyor.
Meister görevini başarıyla yürüttüğü dönem içerisinde yeni deneyimler kazanarak nasıl başarısız olunabileceği konusunda deneyim kazanıyor. Bundan birkaç yıl önce içerik bakımından zengin bir web sayfası oluşturma konusunda bile problem yaşayan bir çalışanın farklı bir performans göstermesinin arkasındaki neden organizasyon içerisinde çalışanlara olan güven ve pilot müşteriler.
Hataya ve başarısızlığa tahammülü olmayan yöneticiler ile birlikte çalışan Meister, her ne kadar organizasyon tarafından fazlasıyla güven duyulan birisi olsa da, bu süreç içerisinde bir başarısızlığın diğerini tetikleyebileceğini tecrübe ettiğini söylüyor. Böyle bir düşünce yapısının oluşması ise CIO’nun yeterince esnek davranarak “küçük hatalardan büyük dersler çıkarma” felsefesini benimsemiş olması oldukça önemli.
CIO’nun bu anlayışın benimsenmemesi IT yöneticilerinin de benzer ortamlardan yoksun kalmasına neden olabilir. Kimi zamanlarda iş hayatının fazlasıyla değişken olmasından dolayı iş sürecinde kazanılan deneyimler, edinilen kaynaklar işe yaramayabilir. Bu konuda doğru yerde doğru şekilde bulunmanın önemli olduğunu söyleyen Finnerty, bir başarının erken ya da geç gelmesinin edinilen tüm tecrübeleri boşa çıkarabileceğini sözlerine ekliyor.
Doğru deneyim ile doğru kişiyi belirleme ise tamamen büyüme ve iletişim ile belirlenebilecek konular. Özellikle bir projeye ya da göreve yeni dahil edilen kişilerin henüz başlangıçta tecrübe sahibi olmasını beklemeden proje ya da şirket içerisindeki görevini gözlemlemek kişileri tanımada etkili olabilecek olaylardan.
Kusursuz olmaya çalışmadan edindiği deneyimle yoluna devam etmeye çalışan Finnerty, deneyimi öğrenme sürecinin parçası olarak görüyor. CIO ortamına uyum sağlamanın kolay olmadığını söyleyen Finnerty, bir şeyler yoluna gitmediği zaman yardım almanın ve durumu yöneticilerle paylaşmanın gerekliliğine inanıyor. Finnerty’e göre önemli olan konu politik davranma ve gerekli kaynak kullanımını yönetme konusunda dengeyi ayarlama.