CIO’lar için gölge IT’nin tanımı değişiyor mu?

CIO’lar için gölge IT’nin tanımı değişiyor mu?

Şirketlerin en büyük problemlerinden biri olan gölge IT’de işler tersine mi dönüyor? Gölge IT fırsat yaratabilir mi? IT birimleri, dijital dönüşümle birlikte teknolojinin neredeyse hayatımızdan hiç eksik olmadığı bir dönemde gölge IT’yi değerlendirdi.
Derya COŞKUN SAYIN
Günümüzde Shadow IT olarak da bilinen gölge IT, zaman zaman IT bütçelerinin dışında yapılan harcamalar olarak tanımlanırken, bazen de şirketlerin verilerinin IT sistemleri dışına çıkarılması ile doğan güvenlik açıkları olarak biliniyor. Aslına bakılırsa, her iki tanımdan yola çıkıldığında neticede, şirketlerin IT departmanlarının zararlı çıkması kaçınılmaz oluyor. Gölge IT’nin önüne geçmek çoğu zaman imkân dâhilinde olurken, kimi zaman kuruluşların politikaları gereği gölge IT’den kaçmak mümkün olmayabiliyor. Bazı CIO’lar ise birtakım davranış şekilleri ile çalışma sistemlerini tamamen gölge IT kavramına dâhil etmeyerek, bunlara “beyaz gölge IT” yakıştırması yapıyor. Peki, genellikle şirketler için korkulu rüya haline gelen gölge IT’nin önüne geçmek için CIO’larımız neler yapıyor? Gölge IT’yi fırsata çevirmek mümkün mü? Çalışanların gölge IT’ye yaklaşımı ne? Sorularımızın yanıtlarını önde gelen şirketlerimizin CIO’larında aradık…

tayfun-ozcay

Operasyonel sistemlere destek vermek için zaman harcayan IT, iş birimlerinin yeni ihtiyaçlarını anlamada yetersiz kalabiliyor
Çelebi Holding CIO’su Tayfun Özçay ise konuya, gölge IT’nin yaygınlaşmasındaki etkenleri sıralayarak giriyor. “Gölge IT’nin yaygınlaşmasında, yeni jenerasyonun daha analitik bir bakış açısıyla ve teknolojiyle iç içe yetişiyor olması, teknolojinin ve uygulamaların tablet, akıllı telefon, vs. üzerinden hayatımızın içine çok daha fazla girmiş olması, IT birimlerinin zamanlarının büyük bölümünü çok fazla sayıda operasyonel sistemi sorunsuz çalışır durumda tutmak için harcamaları nedeniyle, iş birimlerinin ihtiyaçlarını doğru ve zamanında değerlendirme noktasında yetersiz kalması, iş birimlerinin, kurumsal IT altyapısından bağımsız ve daha özgür hareket etme eğilimleri, bulut çözümleri sayesinde uygulamalara ulaşmanın çok kolaylaşmış olması ve bazı kurumlarda, teknolojinin sağlayabileceği faydaların ya da oluşturabileceği zararların, IT’nin doğrudan iş verimine katkısının az olduğu algısından dolayı, tam anlaşılamamış olması – IT’nin geri planda kalmış olması gibi sebepler önemli rol oynuyor. Ancak bu uygulamalar; güvenlik, diğer sistemlerle entegrasyon, veri doğruluğu, tutarlılığı, gizliliği, yedeklenmesi gibi konular gündeme gelince şirketlerin başına sorun olmakta ve risk yaratmaktadır.” Kullanıcının tecrübe eksikliği yüzünden, yanlışlıkla ya da kurumun veri sözlüğünü dikkate almamasından dolayı yanlış üretip paylaştığı verinin IT tarafında açıklanması gereken bir sorun haline gelebildiğine işaret eden Özçay, “Çelebi Havacılık Holding olarak bu tür risklerin önüne geçebilmek için hazırladığımız Rapor Kataloğu üzerinde, IT tarafından yönetilen tüm raporlara tekil bir kod verip, üst yönetimle yapılan paylaşımlarda referans olarak ilgili rapor kodlarının kullanıldığı bir kültürü oluşturmaya çalışıyoruz. Böylece, referans ile belirtilen raporlar/veriler için ‘Approved by IT’ algısını yaratmak istiyoruz” diyor. Kısıtlı kaynaklarla zamanının büyük bir bölümünü birçok operasyonel sisteme destek vermek, ayakta tutmak, yenilemek için harcayan IT’nin maalesef iş birimlerinin yeni ihtiyaçlarını, pro-aktif bir şekilde önceden anlamak ve yeni teknolojik gelişmeleri, iş birimlerine ve iş sonuçlarına katkıda bulunacak şekilde sunmak noktasında yetersiz kalabildiğini söyleyen Özçay, “Bu konulara gerekli ve yeterli zamanı ayırabilecek ilave kaynak temininin kolay olmadığı hepimizin tecrübe ettiği bir durum. Bu nedenle IT yöneticileri olarak, bu ihtiyacı avantajımıza çevirebilecek bir önceliklendirme yapmamızın ve IT stratejimizi buna göre yapılandırmamızın doğru olduğunu düşünüyorum. Mevcut durumda yaptığımız operasyonel işlerin, bulut ya da doğrudan teknoloji servisi sağlayan şirketlere ‘out-source’ edilmesi ve yerine iş birimleriyle çok yakın çalışacak, dış müşteriyi, iç müşteriyi, pazardaki gelişmeleri takip edecek, teknolojik ve analitik altyapıya sahip kişilerden oluşan, ‘sistem analiz’ ya da ‘iş analizi’ birimlerinin IT bünyesinde oluşturulmasının, IT’yi pro-aktif, öncü ve daha avantajlı bir konuma taşıyacağına ve Gölge IT ihtiyacını minimize edeceğine inanıyorum.”

oguz-turkkorkmaz

Bir satış temsilcisi rotasını arama motoru ile belirliyorsa bu ‘beyaz gölge’ olarak değerlendirilebilir
Sanko Holding CIO’su Oğuz Türkkorkmaz, Gölge IT konusundaki sorularımızı yanıtlarken Gölge IT’nin bilgi güvenliği riski oluşturduğu başlıca iki alanın mevcut olduğunu söylüyor. Gölge IT noktasında zafiyet oluştuğunu ve oluşan yapının kurumsal bilgi olmamasının önemli iki sorun olduğunu ifade eden Türkkorkmaz, “Son kullanıcılar bazen daha hızlı devreye alma ya da maliyet avantajı nedeniyle gölgeler yaratıyorlar. Karşılaştığımız bazı güvenlik sorunları şunlar oldu: Alınan dijital reklam haklarının, yazılım haklarının ve/veya admin yetkilerinin işten ayrılmayla devredilmemesi, tamamen gölgeler tarafından yaratılmış ve sonunda yönetilemez olmuş sistemlerin oluşması, bu sistemlerin entegrasyon gerektiğinde tıkanması, kritik bilgilerin yedeklenmeyen ortamlarda olması ve kaybolması ve gölge ve korumasız NW nedeniyle karşılaşılan güvenlik olayları ya da riskleri.” Çoğu zaman gölge IT oluşumunun en önemli nedeninin, IT organizasyonlarının yeterince hızlı bir şekilde iş birimlerine yardımcı olamamaları olarak tanımlayan Oğuz Türkkorkmaz için, bu nedenle IT çalışanlarının süreç sahipleriyle daha yakın ilişkiler kurması ve iş birimlerine yardım eden ve destekleyen teknoloji danışmanları haline gelmesi en önemli çalışma alanları… Gölgenin artarak devam etmesinin riski de beraberinde getireceğini kaydeden Türkkorkmaz, “Aslında gölge için de bir strateji geliştirmek ve iş kurallarını tanımlamak önemli. Bir satış temsilcisi rotasını arama motoru ile belirliyorsa, özel iletişimini WhatsApp’tan yapıyorsa bence bu ‘beyaz gölge’ olarak değerlendirilebilir. Önemli olan iş önceliklerine ve sektörel gereksinimlere göre kuralları ve riskleri yönetmek” diyor. Gölge IT’nin kullanımının yaygın ve şirket bilgi birikimi için kritik alanlarda devreye girilerek kullanımının kurumsallaşmasının IT kadrolarının yeni hizmet alanlarından biri olması gerektiğinin altını çizen Türkkorkmaz şöyle devam ediyor: “Aslında gölge IT, konvansiyonel IT organizasyonları dışında IT yatırımları yapılması ya da teknolojilerin kullanılması. Sonuçta farklı bir kanaldan da olsa teknoloji kullanımı yaygınlaşmış oluyor. IT birimleri bu uygulamaların entegrasyonu, kurumsallaşması ve risklerinin yönetilmesi konusunda servisler geliştirmelidirler. En önemlisi gölge IT’yi de fırsat olarak görerek iş birimleriyle daha uyumlu ve destekleyici yaklaşımlar geliştirmek ve tanımlanan yeni iş kuralları çerçevesinde uygun olanları desteklemek uygun olmayanları ise doğru platforma taşıyabilmek.”

ayla-gurtekin

Müşterilerimizin ekmeği kredi kartıyla alması bizim için kişisel verinin ne kadar kritik olduğunu anlatmaya yeterli!
“Ortamda ne kadar çok veri olursa, riskin artması da o kadar kaçınılmaz oluyor” diyor Şok Marketler IT Grup Müdürü Ayla Gürtekin… Çalışanların büyük bölümünün verilerini şirket cihazlarında değil de kendi cihazlarında tuttuğuna dikkat çeken Gürtekin, “Bring your own device dediğimiz yöntemle artık birçok şirket çalışanı kendi kişisel cihazlarını şirket sistemine dâhil ediyor. Bu da güvenlik önlemlerine daha çok ihtiyaç duymanıza rağmen kaynaklara tam erişiminiz olmaması demek. Yani cihaz bizim sistemimizde ama alışkın olduğumuz uzaktan yönetime açık değil gibi bir durum söz konusu. Artık eskisi gibi masaüstü cihazlar yoğun kullanılmıyor ve nerdeyse her şey mobil. Şirketle ilgili bir veriyi çalışanlar anında sosyal medyada paylaşabiliyor ve bu verinin aslında bir gizli bilgi olup olmadığı gibi bir fikri olmayabiliyor” diye konuşuyor. Perakende sektöründe satış yapan her firma gibi kendilerinin de sahip olunması gereken tüm güvenlik sertifikasyonlarına sahip olduklarını söyleyen Ayla Gürtekin şöyle konuşuyor: “Sertifikaların gereği olarak birçok denetimden geçiyoruz. Ayrıca çok fazla çalışanımız var, bu da IT departmanımızı daha da sorumlu kılıyor. Yani şirket çalışanlarımızın kendi cihazları ile de gerekli güvenlik önlemlerini almalarını sağlamak durumundayız. Şirketin bilgi güvenliği konusu sadece IT’nin değil, tüm şirketin sorumluluğudur. Bunu da çalışanlarımıza farkındalık eğitimleri ve bilgilendirmeleri yaparak sağlıyoruz. Kullanıcılar iyi niyetli olsa da bilinçsizce paylaşılan veriler veya tıklanan bir e-mail bir tehdit oluşturabilir, IT olarak, bu konuda tüm kullanıcılarda bir farkındalık yaratmak zorundayız.”
“Biz şirketin bilgi güvenliğinden sorumluyuz, bunun için de iş birimlerinin bilgi güvenliğini tehlikeye sokacak şekilde bazı kuralları by-pass etmelerine göz yumamayız” diyen Gürtekin, bir perakende firması olarak, Türkiye’nin her yerinde müşterileri olduğunu, bu müşterilerin ekmeği kredi kartıyla almasının, kendileri için kişisel verinin ne kadar kritik olduğunu anlatmaya yeterli olduğunu söylüyor. Ayla Gürtekin, “Bu ve bunun gibi verileri korumak ve güvenliğini sağlamak adına iş birimlerinin bize, bizim de onlara güvenmemiz son derece önemli. Şirket kaynaklarında kullanıcılar tarafından tutulan resim, video gibi büyük dosyaların artık kişisel cihazlarda tutulduğunu görüyoruz. Kullanıcıların çoğu kendilerine şirket tarafından tahsis edilen paylaşımlı alanlar yerine kendi cihazlarında bu dosyaları tutmakta, böylece dosya sunucularına çok yük binmemekte. Ayrıca hızlı aksiyon alınması gereken konularda e-posta ile iletişim kurmak yerine cep telefonundan yazışmayı da bazı durumlarda daha sık kullanmaktalar, bu da e-mail sunucularındaki yoğunluğumuzu azaltmaktadır.”

Categories: DOSYA KONULARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*