BT HABER, e-devlet, Mayıs 2016,

AHMET PEKEL, TÜRKİYE BİLİŞİM DERNEĞİ YÖNETİM KURULU ÜYESİ

Yönetişim kelimesinin bugün klasik anlamdaki yönetim şeklinin bir parça ilerisinde değerlendirebileceğimiz, daha çok ABD’deki finansal raporlama yolsuzlukları sonrasında yaşanan şirket iflasları nedeniyle sıklıkla duymaya başladığımız “governance” kelimesinin karşılığı olarak dilimize yerleştiğini ve kabul gördüğünü görüyoruz.

Yönetişimden bahsederken aynı zamanda ilgili paydaşlarca belli bir amaç etrafında ortak hareket edilmesinden, yönetimin güçlendirilmesinden söz ediyoruz.

Bu modelde, adil, şeffaf, hesap verebilir ve cevap verebilir olmak, yasa ve düzenlemelere uyumluluk temel unsurlar.

Bir organizasyonda, bilişim teknolojileri (BT) yönetişimi için yönetimin önderliğinde bilişim teknolojileri birimleri ile iş birimleri arasında kurumun stratejik hedefleri doğrultusunda uyumlu hareket edilebiliyor olması önemli.

BT kontrol ve denetim faaliyetlerini bilişim teknolojilerinde yönetişimin tesisi için önemli süreçler olarak kabul edebiliriz.

BT kontrol ve denetimlerinin, içinde proje yönetiminin de olduğu bilişim teknolojileri odaklı süreçlerde yaşanabilecek problemlerin kurum yönetimlerce zamanında bilinmesi, öğrenilmesi ve muhtemel riskler için tedbir alınması açısından önemi yadsınamaz.

İş hedefleriyle uyumlu olmayan bilişim teknolojiileri hedefleri, proje ve yatırım başarısızlıkları, sistem ve/veya yazılım hataları birer risk unsuru.

Kontrol ve denetim mekanizmaların, risklerin yönetimlere görünür kılınması, bilişim teknolojileri birimlerinin performanslarıyla ilgili bilgi sahibi olunması ve iş birimleriyle hizalanmaya yardımcı olması gibi önemli işlevleri var.

Denetime yönelik çalışmalar iki kısımda ele alınabilir. Kurumun denetim birimiyle gerçekleştirilen iç denetim ile dışarıdan alınan bağımsız denetim hizmeti. Tüm bu denetim çalışmalarının bilişim teknolojilerine doğrudan temas ettiği alanlar var.

Yönetişimin sağlanabilmesi ve ortak dilin konuşulabilmesi için denetim çalışmalarının, bilişim teknolojileri denetim çerçevelerine ve ilgili ulusal ve/veya uluslararası standartlara uygun olarak yapılması gerekiyor.

Bu, kurumun bilişim teknolojileri alanında proje yönetimi, hizmet yönetimi, uygulama geliştirme, bilgi güvenliği ve risk yönetimi gibi çalışmalarını söz konusu ulusal ve/veya uluslararası standartlara ve denetim çerçevelerine hazır hale getirmesi demek.

Bu sürecin doğru işleyebilmesi için en başta kurum düzeyinde mevcut durum analizinin yapılması ve genel resmin görülmesine ihtiyaç var. Mevcut durum analizi uzmanlık gerektiren bir konu ve burada işin en başında danışmanlık hizmeti alınmasında fayda var. Kurum içinde söz konusu süreçlerin doğru işletilebilmesi için zaman içinde BT denetimleri konusunda bilgi birikiminin oluşmasına ve yetkinliğin artırılmasına ihtiyaç duyulacaktır.

Sürecin sonraki aşamalarında belli periyodlarda durum değerlendirmesi yapılması gerekiyor ki muhtemel riskler ve geliştirilmesi gereken alanlar görülebilsin.

Bu sürecin sağlıklı olarak işleyebilmesi için yönetim desteği şart. BT ve iş uyumunun sağlanabilmesi için kurumun tüm birimlerinin ve üst yönetimin temsil edildiği bir BT yönlendirme komitesin kurulması faydalı olacaktır.

Kamunun yukarıda ifade edilen ideal yönetişim modelini uygulaması için mevzuat ve düzenlemelerinde değişikliklere ihtiyaç duyulabilir.

Diğer taraftan belli projeler için kamuyla birlikte çalışacak özel sektörün de kurumsal yönetişimini güçlendirmesi, verdiği hizmetlerle ilgili olarak söz konusu standart ve düzenlemelere uyum sağlaması Kamu’da yürütülecek BT projelerinin başarıyla tamamlanmasında önemli bir adım olacaktır.

Siber güvenliğe ilişkin riskler, ideal bir BT yönetişim modelinin uygulanabilmesi için yönetilmesi gereken en önemli konulardan biri.

Siber güvenlik tehditleri gerçekleştiğinde Kurumlar işlevlerini yerine getiremiyor ve itibar kaybına uğrayabiliyorlar.

Siber güvenlik çok hızlı gelişen, etkisi yüksek, yönetilmesi güç ve pahalı bir alan.

Kamuda ideal bir BT yönetişiminin tesisi durumunda bilgi güvenliğine ilişkin risklerin de yönetilebilir duruma gelmesi söz konusu.

Bunun sağlanabilmesi için bilgi güvenliği özelinde oluşturulacak BT birimlerine ve bu birimlerde istihdam edilecek siber güvenlik uzmanlarına ihtiyaç duyuluyor.

Siber güvenlikteki uzman açığının kapatılabilmesi için ulusal strateji belgelerinde de yer aldığı üzere yüksek öğrenim düzeyindeki müfredatın bu uzmanları hızla yetiştirebilecek şekilde geliştirilmesine ve ilgili ulusal eylem planlarının takip edilmesine ihtiyaç var.

Bu anlamda, Kamuda söz konusu nitelikli uzmanların istihdam edilmesine yönelik politikalarının gözden geçirilmesi, buna uygun adımlar atılması gerekiyor.

Kurumsal düzeyde yapılması gereken diğer bir çalışma güvenlik yönetişimini Kurum içinde sağlayabilmek.

Güvenlikte en önemli unsur insan. Bu itibarla bilgi güvenliği sadece BT birimlerinin sorumluluğunda değil.

Bir kurumda pek çok siber tehdidin önceden farkedilip önlenebilmesi bilinçli ve farkındalığı yüksek çalışanlarca mümkün.

Bunun için Kurumda birimlerin yöneticilerinden ve üst yönetimden oluşan bir bilgi güvenliği yönlendirme komitesinin oluşturulması; bilgi güvenliğine yönelik risklerin yönetilmesine, risklerin kurum düzeyinde ortak reflekslerle önlenmesine ve kurumsal BT yönetişiminin güçlenmesine katkı sağlayacaktır.

Kamuda, kurumlarda alınacak bu tedbirlerle ülke düzeyinde sağlanması gereken siber güvenliğe ilişkin alınabilecek tedbirler güçlendirilmiş olacaktır.

Siber güvenlik çalışmalarını ülke düzeyinde ele almaya başladığınızda savunma, telekomünikasyon, su ve enerji dağıtım, ulaşım, finans, sağlık gibi önemli ve kritik sektörleri de dikkate almak durumundasınız.

Ülke güvenliği açısından siber güvenliğe ilişkin çalışmaları kurumlar üstü ve bütünleşik bir yapıda ele alma zorunluluğu var.

Başka bir deyişle kurumlar üstü bir siber güvenlik yönetişim modeline ihtiyaç bulunuyor.