KAMUDA BT YÖNETİŞİMİNİN GEREKLİLİĞİNİ ANLAMAK İÇİN SİBER GÜVENLİK RİSKLERİNİN KAPSAMI ÇİZİLMELİ
Çevre ve Şehircilik Bakanlığı Bilgi İşlem Daire Başkanı Sibel Aslan
Çevre ve Şehircilik Bakanlığı, bilişim projelerinde istenen başarıyı yakalamak ve etkin bir BT yönetişimi sağlamak amacıyla tüm dünyada bilişim altyapısı standartlarının başında gelen ve e-Yönetişim ile teknolojiyi bir noktada birleştirmeyi hedefleyen COBIT standart temelli çalışmalar başlattı. BT yönetişiminin temel amacı üzerinden düşünecek olursak üst yönetimlere muhtemel BT risklerini görünür kılmamız, BT birimlerinin performansını izlememiz ve raporlamamız, bunun yanında BT’nin bakanlığımızın vatandaşlara ve paydaşlarına verdiği hizmetlerin iş hedeflerimizle uyumluluğunu sağlamamız başarılı bir BT yönetişim organizasyonunun kurulmasını ve yönetişimini gerçekleştirecektir.
Dijital çağla birlikte son yıllarda bilgi ve teknoloji, gerek vatandaşların gerekse kamu ve özel sektörün en önemli varlıkları hale geldi. Diğer taraftan teknoloji kullanımına ilişkin risklerin gerçekleşmesi sadece BT dairelerinde değil, kurumun tamamı üzerinde etkili olurken; BT yatırımlarının beklenen faydayı sağlayamaması, üretilmek istenen kurumsal değere olumsuz etki yapacaktır. Bu nedenle, yakın geçmişte üst yönetim düzeyinde görüşülmeyen, göz ardı edilen ya da üçüncü taraflara havale edilen bilgi ve teknolojiye ilişkin faaliyetlerin, yönetişim kavramı çerçevesinde ele alınması ve kurumsal yönetişimle birlikte düşünülmesi kaçınılmaz hale geldi. Özel sektörün de bu bakış açısıyla kamu projelerinde yer alması ve kendi bünyelerinde, sağlıklı ve kurumsal ihtiyaçlara cevap verebilen bir BT yönetişimine sahip organizasyonlar kurmaları yapılan işlerin kalitesini de arttıracaktır. Bu amaçla bakanlık genelinde COBIT standartları kapsamında incelemeler yapılıp Bakanlığın birimlerinden başlanarak parçadan bütüne gidilerek analizler gerçekleştirildi. Bu kapsamda analiz çalışmaları ağırlıklı olarak Bakanlık temel yapısının operasyonel ve organizasyonel anlamda omurgasını oluşturan genel müdürlük ve birimler üzerinden hayata geçirildi. Bu süreçte, Bakanlık mevcut yapısının iş akışlarının optimizasyonu ve otomatikleştirilmesi ve tüm bakanlık faaliyetlerinin personel bağımsız dökümante edilebilir ve kontrol edilebilir bir hale getirilmesi hedeflenmekte. Hedefler ve gelişim kapsamında Bakanlık uygulamaları ve sistemleri, süreçlerin otomatik yönetimi için temel alanlarda kullanılacak olup kritik aktivitelerin izlenmesi ve kontrollerin gerçekleştirilmesini sağlayacak. Bu kapsamda mevcut projeler de bu bakış açısıyla yürütülmekte. Bakanlık altyapısının COBIT standartlarında ilk 3 yıl sonunda ‘ölçülebilir’ kapasiteye gelmesi ve 5’inci yılın tamamlanmasını takiben ‘optimize edilmiş’ bir yapıya kavuşması hedeflenmekte.
Siber güvenlik yatırımlarında süreç yönetimi ve iş gücü değerlendirilmeli
Günümüzde kamu kurumlarında iş süreçlerinin hemen hemen hepsinin gerçekleşmesinde BT büyük pay sahibi olduğu için bu teknolojilerden kaynaklanan riskler de iş süreçlerini ve BT yönetişimini kötü yönde etkileyen etkenler olarak karşımıza çıkıyor. Bilgi teknolojilerinden kaynaklanan riskler dendiği zaman sadece gizlilik ihlali, web sitelerinin kırılması gibi olaylar akla gelmemeli. Bilgi teknolojilerinde meydana gelen arızalar sonucu kamunun gerekli hizmetlerini verememesi de önemli bir risktir. Kamuda BT yönetişiminin gerekliliğini anlamak için siber güvenlik risklerinin kapsamını çizmek faydalı olacaktır. Siber güvenliğin bir kısmı teknoloji ile ilgilidir, çok daha büyük kısmı ise siber güvenlik iş gücü ve süreçler ile ilgilidir. Bu nedenle, birçok kurumda standart güvenlik önlemleri (güvenlik duvarı, saldırı önleme sistemi, antivirüs vb.) tedarik edilip kullanılırken, bu karşı önlemlerin etkinliği (kuralların düzgün girilmesi, sistem günlüklerine bakılması, sistemlerin prosedürlere göre işletilmesi, sistemler üzerinde iç denetim yapılması vb.) konusunda sıkıntılar yaşanmakta. Örneğin, daha ayrıntılı açıklamak gerekirse; kurum bilgi sistemlerini dış saldırılardan korumak için tedarik edilip kurulan bir güvenlik duvarı veya saldırı önleme sistemleri siber güvenliğin teknolojik yönünü yansıtır. Ancak işletmeler tarafından güvenlik duvarına gerekli olan kuralların girilmemesi veya saldırı önleme sistemlerinin takip edilmemesi bu teknolojik önlemlerden beklenen faydayı sıfıra indirir. Bu nedenle, işletim prosedürlerinin oluşturulması ve takip edilmesi, iç denetimler yapılması, kurum bilgisayar kullanıcılarının uyması gereken prensiplerin yer aldığı politika dokümanlarının oluşturulması ya da etkin bir siber savunmanın sağlanabilmesi için teknolojik olmayan birçok karşı önlem gerekir. Bu nedenle kamunun ‘popüler’ gündem siber güvenlik bakış açısını yeniden gözden geçirmesi gerekiyor. Yapılacak siber güvenlik yatırımlarının sadece donanım- yazılım temelli olmaması, süreç yönetimi ve siber güvenlik iş gücü alanlarında da değerlendirilmesi önem arz ediyor.
