IT’de büyüyen risk: Öngörülemeyen riskler!

IT’de büyüyen risk: Öngörülemeyen riskler!

IT dünyasında, güvenlikle birlikte risk yönetimi de kritik bir nokta olarak ön plana çıkıyor. Önlenebilir riskler için birçok farklı strateji söz konusu, peki ya öngörülemeyen riskler!..
Derya COŞKUN SAYIN
Dijital dünyaya uyum sağlama sürecinde, şirketlerin en önemli konu başlıklarından biri de güvenlik! Bu noktada, güvenliği sağlarken riskin de doğru yönetilmesi büyük önem taşıyor. Şirketlerin risk yönetim planının hazırlanma sürecinde, riskleri kontrol etme ve sonrasında izlenecek stratejinin doğru planlanması gerekiyor.
Risklerin tanımlanmasının hemen ardından elimine edilmesi mümkün; ancak projenin devamında ortaya çıkabilecek veya hesaplanamayan riskler olabilir mi?
BT dünyasında genellikle bir tehdit durumunda, o tehdidin etkisi azaltılır veya tamamen ortadan kaldırılır; ancak zaman zaman önlenemeyen tehditler ortaya çıktığında IT tarafında bu risklere karşı nasıl bir gard alınıyor? Bu sorunun cevabını ve risk yönetimine dair kritik noktaları iki önemli şirketin CIO’sundan dinledik…

hakan-cem-topal

Risk yönetiminin en zayıf halkası her zaman insan faktörü!
Sinpaş CIO’su Hakan Cem Topal, BT’de Risk Yönetimi ile ilgili çalışmalarını şöyle anlattı: “Bilgi Teknolojileri riski sadece Bilgi Teknolojileri departmanını ilgilendiren bir risk değil. Oluşabilecek riskler tüm departmanları dolayısıyla tüm işletmeyi ilgilendiriyor. Bu yüzden oluşturulacak risk politikalarını kurum içinde paylaşarak farkındalığı yaratmak ilk görevimiz. Grubumuz içindeki Arı Leasing Finansal Kiralama şirketi BDDK ‘nın denetime tabi. Ayrıca grubumuzdaki Sinpaş GYO şirketi de borsaya kote olup bağımsız dış denetçi şirketler tarafından denetleniyor. Bu denetlemelerden geçmek için Cobit’te yer alan usul ve esasları uygulamaktayız. Cobit’in risk yönetimi kapsamı içerisinde incelediğimiz hususlar risk yönetim çerçevesinin oluşturulması, risk kapsamının kurulması, olay belirleme, risk değerlendirme, risk yanıtlama, risk aksiyon planlarının yürütülmesi ve izlenmesi.”
Günümüzde dış kaynak kullanımının neredeyse zorunlu olduğunu belirten Topal, bu durumu farklı örneklerle açıklıyor: “Dünyanın en iyi santraforunu kalede oynatırsanız muhtemelen başarısız olup çok gol yiyecektir. Veya dünyanın en iyi göz doktorundan böbrek nakli yapmasının beklenmesi durumunda sonuç hasta için iyi olmayabilir. Bilgi Teknolojileri de aynı futbol veya doktorlukta olduğu gibi birçok alt bölümden oluşuyor. Sistem uzmanından yazılım geliştirme yapması, son kullanıcı desteği veren bir kişiden ERP danışmanlığı beklenemez. Tüm uzmanlık alanları için ilgili kişileri işletme bünyesinde kadrolu bir şekilde tutmak bence yönetilebilir bir süreç değil. Nasıl bir futbol takımının antrenörü veya hastanenin başhekimi operasyonun içinde olmadan direkt yönetim katmanında bulunuyorsa bilgi teknolojileri ekiplerini yöneten biz CIO’lar da o görevdeyiz. Ekibiniz içinde her alanda uzman kişiler çalıştırmak maliyetleri çok artırıp, yönetilebilir bir yapı oluşturmanızı engeller. Bu yüzden günümüzde dış kaynak kullanmak zorundayız. Dış kaynak kullanımı ilk başta maliyetli gibi görünse de gün sonunda işletmelere daha az maliyet çıkartıp riskleri dağıtarak çok daha iyi hizmet almamızı sağlıyor.”
Risk yönetiminde tüm risklerin öngörülüp görülemeyeceğini sorduğumuz Hakan Cem Topal bu soruyu şöyle yanıtlıyor: “Günümüzde işletmelerdeki en belirgin tehdit kaynakları doğal afetler, organizasyonel eksiklikler, teknik hatalar, planlanmış siber saldırılardır. Bu tehditlerin bazıları size bağlı olmadan dış etkenler nedeniyle oluşuyor. Risk Yönetim kapsamında oluşturulan politika ve prosedürlere uyum süreci İç ve Dış Denetim birimleri ile birlikte yapılan ortak çalışmalarla düzenli olarak kontrol ediliyor. Gerekli görülmesi durumunda iş süreçlerinde güncellemeler yapılıyor.”
Risk yönetiminin en zayıf halkasının her zaman insan faktörü olduğunu ifade eden Topal, bu konuyu şöyle bir örnekle açıklıyor: “15 sene önce bir sigorta şirketinde proje yapıyordum. Kurduğumuz yapıda tüm güvenlik önlemleri alınmış, kullanıcıların çıktı alması, ekranı print screen yapması gibi birçok özellik yasaklanmıştı. Firewall ve DLP çözümleri de aktifti. Ama bir gün bir kullanıcıyı elinde cep telefonu ile ekranın karşısında bir şeyler yaparken gördüm. O zaman yaptıkları benim için bir şey ifade etmemişti. Ama bir hafta sonra yeni kurulan bir sigorta şirketine transfer olduğunu öğrenince tüm müşteri verileri ile gittiğini anlamıştım. Sonuç olarak siz en iyi yazılım ve donanımlarla, en iyi ekiple tüm risklere karşı önleminizi alabilirsiniz. Ama son kullanıcının yapacağı bilinçli veya bilinçsiz hatalar sistemleriniz için çok büyük riskler oluşturabilir. Günümüzde bilgi sızmalarının yüzde 90 seviyelerinde son kullanıcı hatalarından kaynaklandığını düşünürsek iyi niyetli ama bilinçsiz kullanıcıları devamlı eğitmeliyiz. Kötü niyetli kullanıcılar için de yeni yürürlüğe giren ‘Kişisel Verileri Koruma Kanunu’ bir ilaç olacaktır.”

ozan-simsek

Risklerde alınan önlemlerin de risklerini konuşmaya başlıyoruz
MNG Faktoring Bilgi İşlem Müdürü Ozan Şimşek ise konuyla ilgili görüşlerini şöyle aktarıyor: “Bir ortamda ne kadar veri varsa o kadar da risk barındırıyorsunuz demektir. En basit anlamda o veriye ulaşım yollarında sağlayacağınız güvenlikten, o verilerin sağlıklı bir şekilde hizmet vermesi ve yedeklenmesi birçok karmaşık iş yükünü beraberinde getiriyor. Bunun sonucunda gerekli önlemler alınmazsa başta BT departmanlarını ya da BT firmalarını giderek hantal bir yapıya dönüşmesine yol açıyor. Özellikle günümüzde şirketler rekabette küçük balık-büyük balık felsefesinden vazgeçerek yavaş balık-hızlı balık karşılaştırmasını referans almaya başladılar. Bunun sonucunda da bir an önce hantal yapının, hızlı bir yapıya dönüşmesi için çalışmalar yapılıyor ve risklerin ortadan kaldırılması zaman zaman ertelenebiliyor.”
Yaptıkları çalışmalarda; öncelikli olarak verilerin sınıflandırılması ve atıl durumdaki kullanılmayan verilerin tespit edilmesi ve BT ortamından izole edilmesinin çok önemli bir rol oynadığını ifade eden Şimşek, “Her ne kadar bu tür önlemler alınsa da büyük veri problemini tamamen çözdüğümüz anlamına gelmiyor belki ama en azından daha kolay yönetilebilir ve riskleri daha kolay şekilde fark edilebilir olmasını sağlıyor diyebilirim. Şirketlerde verilerin sınıflandırılması, oluşan farkındalık sayesinde belli bir noktaya geldiğine inanıyorum. Özellikle kritik olmayan atıl verilerin bulut ortamına taşınarak altyapı maliyetlerinden kurtulmayı, büyük veri problemini aşmayı ve bu süreçte bu yeni platformları tanımayı hepimiz deniyoruz” diyor.
Şimşek’in dış kaynak kullanımına dair bakış açısı ise şu şekilde: “BT sektöründe bundan 5-10 yıl öncesine kadar dış kaynak kullanımı; BT desteğinin profesyonel olarak sağlanması ya da ihtiyaç olan BT personelinin sağlanması olarak görülürken, artık bulut teknolojilerinin de belli bir seviyeye gelmesiyle dış kaynak kullanımı bambaşka bir rol aldı. Özellikle başta KOBİ’ler olmak üzere geniş çaplı BT altyapı yatırımı yapmak yerine, dış kaynağın yani bulutun gücünden yararlanarak istedikleri BT hizmetlerini alabiliyorlar. Türkiye’de de birçok teknoloji firması bu hizmeti vermek için veri merkezleri kurduklarını biliyoruz ve takip ediyoruz. Bu konudaki yatırımları oldukça olumlu ve faydalı buluyorum. Biliyorsunuz ki, bulutu ya da dış kaynağı kullanmak isteyen başta finans şirketleri olmak üzere bazı kapsamda bulunan şirketlerin Türkiye sınırları içinde özel bulut servislerince barındırılması esas alınıyor ve de ilgili regülasyonları gerçekleştirmesi gerekiyor.”
Bilgi Teknolojileri dünyasında risk yönetimini sonsuzluğa giden bir yola benzettiğini söyleyen Ozan Şimşek, şöyle devam ediyor: “Gerçekten; risk yönetim süreçlerine başladığınızda öyle bir duruma geliyorsunuz ki; risklerde aldığınız önlemlerinde riskleri konuşulmaya başlanıyor. Bu konuyla ilgili başta biz finans sektöründeki şirketleri biraz daha şanslı görüyorum. Tabi olunan denetimler ve bu konuda daha profesyonel bir BT altyapısına sahip olmaları sebebiyle en azından BT altyapısı belli bir standart ve çerçeveye oturtuluyor. İlgili regülasyonları yapıyor ve de bu sayede risk konusunun kapsamını daraltarak ilerliyorsunuz. Çünkü risk yönetiminin sürekli gelişen ve değişen bir olgu olduğuna inanıyor, bunun sürekliliği sağlanmasıyla riskleri öngörebileceğimizi düşünüyorum.”
BT risk yönetiminde en zayıf halkanın da en güçlü halkanın da insan olduğunu kaydeden Şimşek, şöyle konuşuyor: “Günümüzde teknoloji altyapıları artık daha akıllı kurgulansa ve hareket etse de; BT personelinden, son kullanıcıya kadar oluşan farkındalıklar bir şirketin en güçlü yanını oluşturmaktadır. İş süreçlerimizde personelin sürekli bilgilendirilmesi ve bilgilerinin taze tutulması son derece önem arz ediyor. BT sistemlerinde oluşturulan kontrol hedefleri ve kontrol noktaları ise risklerin azalmasında büyük fayda sağlıyor. Son olarak; özellikle büyük şirketlerdeki BT risk yönetiminin sadece BT’ye ait olmadığı ise artık tartışılmaz bir gerçek olarak karşımıza çıkıyor.”

Categories: DOSYA KONULARI

About Author

Write a Comment

Your e-mail address will not be published.
Required fields are marked*