BT profesyoneli olmayanlar için öneriler – 1
Bilişimci olmayanlar için kurumlarda yapılan suiistimaller, ortaya çıkarılması ve önlenmesi.
Burak Soner Bozkurtlar
Yazıma bayağı/banel arası gidip gelen algısı yüzünden “Günümüzde gelişen teknolojiler” cümlesi yerine, “Hayatımızın vazgeçilmezi haline gelen teknolojiler” diyerek başlamak istiyorum. Yöneticilerin de hayatının vazgeçilmezi haline gelen teknolojiler hakkında, en az bilgi işlem personeli kadar bilgiye sahip olması gerektiği aşikardır.
Günümüzde karmaşık yapıdaki organizasyonel yapılardakarşılaşılan en büyük sorun izlenebilirliktir. Bu izlenememek anlamındadır. Gelişen teknolojilerin organizasyonel yapı içerisinde nasıl şekilleneceği ve bu şeklin nasıl karar mekanizmasına döneceği büyük bir soru işaretidir. Bu soru işaretleri organizasyonun en üst kısımları ile değil tümü ile çözülebilir. Uçtan uca çözümler sunan teknolojiiler ve sektörlerin iç içe geçmesi bu organizasyonel yapıda her birimin ve çalışanın neredeyse her görevi yerine getirmesini gerek kılmaktadır.
Bilindiği gibi işçi, yönetici, patron ve türevleri olan operatör, uzman, eğitmen, yatırımcı gibi başlıkların neredeyse tamamı teknoloji kullanarak ve birçok işini sisteme bağlı kalarak gerçekleştiriyor. Aslında hepimizin amacı, iş yükünü hafifleterek özel hayata daha çok zaman ayırmak. Her nerede çalışıyorsanız çalışın, hangi işin yöneticisi ya da yatırımcısı olursanız olun, konuşmanın yanında mail ya da kısa mesajlar ile zaten bir sistemin içindesiniz. Sisteminiz ne kadar sorunsuz olursa, özel hayatınıza daha verimli vakit ayırabilirsiniz.
Günümüzde en çok konuşulan konu, Dijital Dönüşüm'dür. Kimi zaman 4.0 konuşulurken kimi zaman 2.0 bile dile getirilememektedir. Özellikle konvansiyonel sistemlerde çalışmalar temel bilgi ve becerilerle ilerlemektedir. Baktığınızda bu konvansiyonel sistem üzerindeki her organizasyonel birimin özel hayatında kullandığı teknolojiler bir şekilde işini hafifletmektedir. Fakat bu bilginin takibi, korunması, saklanması ve sürdürülebilirliği açısından işleri zorlaştırmaktadır. Burada öncelikle bireysel davranışların organizasyonel davranışa dönüştürülmesi gerekmektedir. İstemeden ya da isteyerek oluşan finansal giderler ise bu dijital dönüşümün önünde bir engel oluşturmaktadır. Bu engel kendisini en son olarak finansal tablolara yansıdığında göstermektedir. Önlem almak adına finansal tablolara gelmeden önce, adımları ve süreçleri tek tek incelemeli, alternatifleri kıyaslamalı ve bilgi seviyesini eşitlemek gerekir. Böylece hem teknolojiyi takip ederek hem de suistimallerden uzak bir sürdürülebilirlik sağlanır.
Hayatımızın vazgeçilmezi haline gelen teknolojiler ister istemez alışkanlıklarımızı da geliştirdi. Bilenler bilir, eskiden gümüş tepside makas, tarak, kalem, kitap uzatılan çocukların, seçtiği nesne ile alakalı meslek sahibi olacağına inanılan ve diş buğdayı tepsisi olarak halk arasında bilinmekte olan bir etkinlik yapılırdı. Peki eskiden ailelerin çocuklara tepside sunduğu nesneler arasında şimdilerde neler var dersiniz? Şimdilerde çocukların nesne seçeneği ve dijital platformları algılayabilme kapasitesi oldukça yüksek. Şimdi dijital tepsimizde bakın neler var; sistemi kuranlar, sistemin bir parçası olanlar ve sistemi geliştirenler.
- Sistemi kuranlar dediğimizde uluslararası olarak kabul gören algı ise ortak dil ile geliştirilen (ISO standartları gibi) donanım ve yazılımların işletmelere entegre eden, sorunsuz sistemlerin admini ve sektörü yakından takip eden bilgi işlem yöneticileri diyebiliriz.
- Sistemin parçası olanlar; işlemekte olan sistemi tanıyan, operatör, geliştirici, yönetici ya da işçi gibi başlıkların, sistemin akışını tetiklemek zorunda olan ve yaptıkları hatalar ve ya bilgi işlem departmanlarının kendilerine bağlı olması nedeniyle sorumlu olan kişiler diyebiliriz.
- Sistemi geliştirenler; aslında tam bir tanım yapmak gerekirse “Hacker” denilebilir düşüncesindeyim. Bu benim tanımım değil. “Hacker; Bilgisayar sistemlerinin detaylarını öğrenmekten zevk alan, donanım ve yazılımların yapabileceklerini geliştiren kişidir.” Tanımı ilk olarak teknolojilerin çıkış noktası diyebileceğimiz MIT (Massachusetts Institute of Technology) tarafından dillendirilmiştir. Sistemi geliştirenlerin ister istemez sistemin güvenliğinden sorumlu olması için, bilgi güvenliği departmanlarının ISO27001 ve BS10012 gibi standartlarda belirtildiği üzere ayrı ve bir o kadar da iç içe olabilecekleri faaliyetlerde buluşmaları gerekmektedir.
Ön bilgi kısmını tamamladığımıza göre asıl konumuza gelelim ;
“BİLİŞİMCİ OLMAYANLAR İÇİN KURUMLARDA YAPILAN SUİSTİMALLER, ORTAYA ÇIKARILMASI VE ÖNLENMESİ”
Bilgi teknolojilerine olan bağımlılık ve ekonomik sorunlar gibi faktörler nedeniyle günümüz şirketleri hile ve suistimal konusunda korunmasız kalabilmektedir. Özellikle bilişimci olmayan veya iş yoğunluğu dolayısıyla, takibe gerekli zamanı ayıramayan yöneticiler için hile ve suiistimal ile karşı karşıya kalması durumunda işletme itibar ve finansal kayba uğrayabilmektedir. Bu çerçevede; işletmelerde maruz kalınan hile ve suistimalin veya suistimal olasılığı olan konuların tespitine ve önlenmesine yönelik değerlendirmelerin ve vaka çalışmalarının yapılacağı bu yazıda bilişimci olmayan yöneticiler için yol gösterici niteliktedir. Tüm detayları vermeden önce hiyerarşi gereği size bağlı bulunan bilişim uzmanlarınıza şunu sorunuz; Sistem yöneticisi dahil herkesi anlık olarak denetleyebilen bir çözüm var mıdır? Varsa çalışma mantığı nasıldır? Örneğin sistem yöneticisinin sunucu tarafında yaptığı işlemlerin ( güvenlik duvarı, veri kaybı önleme platformu, detaylı loglama, veri tabanı erişim izinleri vb) işlem sayısı ve hareketlerini benim görebileceğim bir ekran var mıdır? Evet bu soruyu sorduktan sonra yazımıza geri dönelim…
Yöneticilerin asli görevi detaylarda boğulmadan ana finans kaynağını doğru kullanarak artan karlılık yaratmaktır. Bu karlılık genellikle nakdi yöndedir. Fakat buna bir de itibar yönetimi eklenmelidir. Tedarik zincirinden müşteriye ulaşana kadar tüm süreç suistimale açık olarak önündedir. Bunları da nakdi temellere dayandırarak, gerek şartnamalerle gerekse cezai yaptırımlar kullanarak ortaya koyarak suistimali engellemek zorundadır.
Suistimal kavramının açıklanması; kurumunuzda kullanılan işletim sistemleri, ofis programları gibi yardımcı programlar ile işlenen bilgi ve belgelerin depolandığı sunucu ve yedekleme ünitelerini, kurulumunu yapan, erişim izinlerini ve yetkilendirmeleri tanımlayan biri, eğer kötü niyetli ise kimsenin ruhu bile duymadan nasılsa sınırsız erişim yetkim var diyerek; bu erişim loglarını silme yetkisini bile kendisine tanımlayıp, hassas verileri değiştirebilir ya da kurum dışına çıkarabilir. Bu durumda; milyonlarca dolar harcadığınız güvenlik önlemleri insan faktörünün kurbanı olabilir. İşte bu ve benzeri kötü niyetlerle yapılan eylemlere, bilişim sistemlerinde suistimal diyoruz.
Suistimal çeşitleri; sistem yöneticisi tarafından yapılan, kötü niyetli erişimler olduğu gibi, üçüncü taraf (third party) diye bilinen, sistemlerin kurulması, denetimi, eğitimi gibi başlıklarda kurumunuza destek veren özel yada tüzel kişi temsilcelerinden kaynaklanan kötü niyetli davranışlar ya da dikkatsizlikler ve zararlı yazılımların kullanıcı yüzünden sistemlere bulaşması şeklinde sayılabilir. Suistimal çeşitleri arasında bilgisizlik, bilmişlik, sürü psikolojisi etkisi ve gelenekçilik de yer almaktadır.
Haftaya yazımızın II. Bölümüne devam etmek dileği ile siber güvenilir günler dileriz.