BİLİŞİM SİSTEMLERİNDE RİSK YÖNETİMİ

Transkript

1 BİLİŞİM SİSTEMLERİNDE RİSK YÖNETİMİ Necip POLAT Uzman Denetçisi GİRİŞ Teknolojinin gelişmesi ve tüm iş süreçlerinde teknoloji kullanmanın kaçınılmaz hale geldiği günümüzde, hem özel sektörde, hem de onun kadar hızlı ve yoğun olmasa da kamu sektöründe, kurumsal yönetim içerisinde teknolojinin ağırlığını da artırmaktadır. Bu çerçevede, kurumların etkin yönetimi, daha kaliteli, sürekli ve güvenilir hizmetlerin sağlanması, teknoloji kullanımına bağlı, hatta bağımlı hale gelmiştir. Etkin bir yönetim için bilginin toplanması ve kullanılmasında, karar mekanizmalarına destek sağlanmasında bilişim sistemlerinin kullanılması her geçen gün artarak devam eden bir gerçek olarak karşımıza çıkmaktadır. Dolayısıyla, kurumsal başarı için, iş süreçleri kadar bu süreçlere destek olan ve artık ayrılmaz bir parça haline gelen bilişim sistemlerinin de etkin bir şekilde yönetilmesi gerekmektedir. Kurumsal yönetim içerisinde; bilişim sistemlerinin planlanması, geliştirilmesi, kurulması, çalıştırılması sürdürülmesidir ve denetlenmesi, önemi gereğince, ayrılarak bilişim sistemleri yönetimi çerçevesinde ele alınmaktadır. Böylece, bilişim sistemlerini oluşturan yazılım, donanım, ağ, personel ve bilgi varlıkları, yönetsel ve teknik bilgi, becerileri ve deneyimler birleştirilerek yönetilmektedir. Günümüz çağdaş yönetim anlayışında, problemlerin oluşmadan önce önlenmesi yaklaşımı benimsenmektedir. Bu yaklaşım, risk yönetimi çerçevesinde ele alınmakta ve kurumların başarısının risk yönetimindeki başarılarıyla paralellik arz ettiği kabul edilmektedir. Risk yönetimi, temel olarak potansiyel problemlerin ortaya çıkmadan önce öngörülmesi, buna karşı birtakım kontrol mekanizmaları geliştirilmesi ve olumsuz sonuçların önlenmesi ya da azaltılması süreçlerinden oluşmaktadır. Risk yönetimi kurumsal bazda olabileceği gibi, proje, program veya faaliyetler bazında da uygulanabilmektedir. Risklerin yönetilmesi, problemlerin oluşmadan önce önlenmesini sağlamanın yanında, önemli fırsatların yakalanmasına da imkan sağlamaktadır. Bu yönüyle risk, hem bir tehdit hem de bir fırsat olarak nitelendirilmek- 37 TEMMUZ - AĞUSTOS - EYLÜL 2011

2 Bilişim Sistemlerinde Risk Yönetimi tedir. Günümüz rekabet koşullarında ayakta kalabilmek için risk almak bir zorunluluk olarak algılanırken, bu risklerin başarılı bir şekilde yönetilmesi durumunda hedeflere ulaşmak mümkün görülmektedir. Bilişim teknolojisindeki gelişmelerin diğer alanlar göre daha hızlı olması, kurumsal faaliyetlerde bilişim sistemlerine bağımlılığın artması, bu sistemlerin karmaşıklığı ve maliyetlerinin yüksek olması, bilişim sistemleri yönetiminde karşılaşılan risklerin daha büyük ve önemli olması sonucunu doğurmaktadır. Dolayısıyla, bilişim sistemleri yönetiminin kurumsal yönetim içerisinde ayrı ele alındığı gibi, bilişim sistemlerinin risk yönetimi de bilişim sistemleri yönetimi içerisinde ayrı olarak ele alınmaktadır. Bilişim sistemleri yönetiminde karşı karşıya olunan riskler, büyük oranda, sistemlerin ve ürettiği bilgilerin güvenliği ve güvenilirliği ile ilgilidir. Dolayısıyla, hem teknik risklerden, hem yönetsel risklerden hem de bilgiye ilişkin risklerden oluşmaktadır. En belirgin tehdit kaynakları ise; Sel, deprem gibi çevresel etmenler, Organizasyonel yetersizlikler, İnsan hataları, Teknik hatalar ve Hack leme, virüs saldırısı, yetkisiz erişim gibi birtakım planlanmış eylemlerdir. Bilişim sistemlerine yönelik tehditler, açıklıklar ve etkiler zaman içerisinde değişiklik göstermektedir. Bu nedenle, risk yönetimi çerçevesinde yapılacak risk değerlendirmelerinin periyodik olarak tekrarlanması ve risk yönetiminin buna uygun bir yapıda oluşturulması gerekmektedir. 1. BİLİŞİM SİSTEMLERİNDE RİSK YÖNETİMİNİN ÖNEMİ Bilişim teknolojilerinin kullanımı tüm kurum ve kuruluşlarda her geçen gün katlanarak artmaktadır. Bu da doğal olarak bilişim varlıklarının zaten yüksek olan değerinin oransal olarak daha da artmasına yol açmaktadır. Yazılım, donanım, ağlar, bunları yöneten personel ve bilgiden oluşan bilişim sistemleri varlıkları kurumlara büyük avantajlar sağlanmakla birlikte, onları yeni riskler ve tehditlerle de karşı karşıya bırakmaktadır. Bu da ciddi miktarlarda para, zaman, itibar ve değerli bilgi kaybına neden olabilmektedir. Aynı şekilde, iş süreçlerinin bilişim sistemlerine dayalı hale gelmesi, söz konusu sistemlerin bir sebeple olumsuz yönde etkilenmesi durumunda kurum ya da kuruluşların asli işlevlerini sürdürememesi sonucunu da doğurmaktadır. Öte yandan, teknolojinin hızlı gelişmesi, ürün ve hizmetlerdeki çeşitliliğin artması, iş süreçlerinin buna bağlı olarak karmaşıklaşması sistem ya da sistemler üzerindeki kontrol ve denetimi de zorlaştırmaktadır. Bu nedenle tehditlere karşı tedbirlerin önceden alınması zorunlu hale gelmektedir. Bilişim teknolojilerinin kullanımının yaygınlaşması, değişiminin hızlı olması, maliyetlerinin yüksek olması, giderek karmaşıklaşması bu teknolojileri kullananlar açısından belirsizliklerin ve risklerin daha da artması anlamına gelmektedir. Dolayısıyla, bu risklerin yönetilmesi de önem kazanmaktadır. Bunun sonucunda bilişim sistemlerinde risk yönetimi, doğasındaki farklılıklar ve yüksek önem derecesi nedeniyle diğer süreçlerden ayrı olarak ele alınmakta ve üzerinde hassasiyetle durulmaktadır. Bilişim sistemlerinin yönetiminde risk yönetimine gerekli önem verilmediği takdirde, hem bu sistemlerin yönetiminde başarısız olunmakta, hem de bu sistemlere bağlı olan iş süreçleri nedeniyle kuruluşların ömrü uzun olamamaktadır. (FIKIRKOCA, 2003: ) 38 TEMMUZ - AĞUSTOS - EYLÜL 2011

3 Necip POLAT 2. BİLİŞİM SİSTEMLERİNİ ETKİLEYEN TEMEL RİSKLER Bilişim sistemlerini olumsuz yönde etkileyerek kurum ya da kuruluşları, asli görevlerini kısmen veya tamamen yerine getiremez duruma getirebilecek olası tehditleri, yani riskleri beş ana başlık altında toplamak mümkündür: (Türkiye Bilişim Derneği (TBD), 2006: 4-7) 2.1. PERSONEL RİSKİ Çalışan sorunları Ücret düşüklüğü, iş tatminsizliği, verilen görevden ve çalışma şartlarından duyulan memnuniyetsizlik ve gizli bilgilere erişme isteği gibi nedenlerle çalışanların kendi kurumları aleyhine ve bilgisayar suçları kapsamına girebilecek zararlı davranışları görülebilmektedir. Bu çerçevede en dikkat çekici olan tehditler; kötü niyetli olarak verilerde değişiklik yapılması, bilişim sistemlerinin kısmen veya tamamen çalışamaz duruma getirilmesi ve yetkisiz kullanım girişimlerdir İnsan hataları İnsan hatası olarak risk yaratabilecek unsurlar, ya yapılan işlerin yanlış yapılmasından (örneğin; muhasebe işlemleri gerçekleştirilirken yanlış bir kayıt yapılması ve bu kaydın yanlış sonuçlar doğurması) ya da bilgi ve eğitim eksikliği nedeniyle, donanım ve yazılımların hatalı kullanılmasından kaynaklanmaktadır. Bunlar, görevin yerine getirilmesini geciktiren, olumsuz etkileyen veya engelleyen nitelikte olabilir. İnsan hatalarından kaynaklanan olumsuz sonuçları en aza indirgemenin en etkin yolu, insan kaynaklı müdahalelerin azaltılması ve uygun kontrol mekanizmalarının oluşturulmasıdır. İnsana bağımlı olan noktalar için ise periyodik eğitim ve uygulamaların gerçekleştirilmesi ve bilgi eksikliklerinin giderilmesi gerekmektedir Eksik bilgi ve yetkinlikler Eksik bilgi ve yetkinlikler nedeniyle yapılabilecek hatalı uygulamalar, kurumlar açısından bir tehdittir. Örneğin; sistemin bilgi güvenliği yöneticisinin bilgi eksikliği nedeniyle güvenliği etkileyen hususlardan haberdar olmaması veya yetkin olmaması nedeniyle yanlış bir ayarlama yapması sonucunda kurumun gizli bilgilerinin çalınma ihtimalinin ortaya çıkması büyük bir risktir. Dolayısıyla, hem personel alımlarında bilgi ve yetkinliğin göz önünde bulundurulması, hem de çalışanların belli periyotlarla yinelenen eğitimlerle geliştirilmesi risk unsurlarının azaltılmasını sağlayacaktır TEKNOLOJİK RİSKLER Hatalı tasarlanmış sistem mimarileri Bilişim sistemleri kurulurken, kurumların iş gereksinimleri göz önünde bulundurulmalıdır. Diğer bir ifadeyle, en yeni ve en gelişmiş teknolojinin değil, iş süreçlerinin yürütülmesi için gerekli olan en uygun teknolojinin edinilmesi gerekmektedir. Örneğin; kullanıcı ve işlem sayısı göz önüne alınmaksızın kurulan bir sistem için gereksinim duyulan işlemci hızı, bellek, veri saklama kapasitenin altında veya çok üstünde teknoloji alımı yapılması her iki durumda da kaynak israfına yol açacaktır Hatalı modellemeler Sistemler oluşturulurken, işin nasıl yapılacağı ile ilgili olarak bir modelleme yapılması gerekmektedir. Hatalı bir model, farklı birimlerde, birbirinden farklı ve birbirini desteklemeyecek verilerin oluşturulmasına, dolayısıyla koordinasyonsuzluğa ve tutarsızlıklara neden olacaktır. Yanlış üretilen, hatalı işlenen veriler nedeniyle kurum büyük maddi zararlara uğrayacak ve teknoloji kullanımı ile hedeflenen avantajlar dezavantaja dönüşecektir. Bu durumda farklı formülasyonların kullanılmasını önle- 39 TEMMUZ - AĞUSTOS - EYLÜL 2011

4 Bilişim Sistemlerinde Risk Yönetimi mek ve tüm birimlerin doğru ve son bilgiye ulaşabilmesini sağlamak üzere modelleme yapılmalı ve merkezi kayıt oluşturma, sorgulama, yetkili birimlerin güncellemesini sağlama gibi olanakları olan, kombine bir model geliştirilmelidir Güvenlik açıkları Güvenlik açıkları nedeniyle, kurumların hizmetleri aksayabileceği gibi, para ve itibar kaybetmeleri de yüksek bir ihtimaldir. Bilişim sistemlerinin yönetilmesi sürecinin belki de en önemli unsuru olan güvenlik, idari ve teknik anlamda ele alınması gereken kapsamlı bir süreçtir. Güvenlik açıkları fiziki ve mantıksal erişime ilişkin kontrollerin yetersizliğinden kaynaklanabileceği gibi, kullanıcıların bilinçsizliğinden de kaynaklanabilmektedir. O nedenle, bilişim güvenliği açısından hem uygun kontrollerin oluşturulması ve sürekli olarak geliştirilmesi, hem de kurum çalışanlarının güvenlik konusunda eğitilmesi gereklidir Telekomünikasyon sistemlerinden kaynaklanabilecek iletişim sorunları Bilişim sistemlerini birbirine bağlayan telekomünikasyon sistemlerinde altyapı problemlerinden, işletim hatalarından ve doğal olaylardan kaynaklanabilecek sorunlar nedeniyle, sağlıklı veri iletişimi sağlanamayabilmektedir. Bu durumda, alternatif telekomünikasyon yöntemleri kullanılarak riskleri azaltmak mümkün olabilmektedir (Örneğin, iletişim kablolarının yedeklenmesi, uydu iletişim altyapısı kullanılarak yedekleme yapılması gibi) Yazılım ve/veya donanım hataları Üretimden kaynaklanan, gözden kaçan hatalar her zaman için risk unsurudur. Yazılım geliştirici firmalar piyasaya sundukları kodlar için garanti verememekte, ancak belli bir süre içinde hatalı kodu düzeltme yoluna gidebileceklerini taahhüt etmektedirler. Donanımlarda ise ilgili firmalar, gelişen üretim teknikleri sayesinde en az bir en fazla üç yıl garanti verebilmektedirler Veri kayıpları Veri, kurum veya kuruluşlar için hayati önem taşımaktadır. Bilişim sistemlerine yönelik tüm tehditler veri kayıplarına neden olabilir. Bu kayıplar veri alışverişinin engellenmesi, verilerin saklandığı manyetik ortamların zarar görmesi, verilerin kısmen veya tamamen okunamaz duruma gelmesi nedenleriyle olabilir. Böyle bir durumda, faaliyetlerin devamı açısından kısa sürede verilerin yeniden kazanılabilmesi büyük önem arz etmektedir. Bunun için verileri farklı ortamlarda yedeklemek ve güvenli bir şekilde yeniden kazanmak gerekir. Bu da ancak risklerin tespit edilip, muhtemel bir kayıp öncesinde iyi bir planlama yapılmasıyla mümkün olacaktır Sistem kaybı Verilerin saklandığı, işlendiği, üzerinde uygulamaların çalıştığı sistemlerin kendileri de zarar görebilirler. Bu durum, kurumun asli görevlerini yerine getirmesine bir engel teşkil edebilir. Bu riske yönelik olarak da, sistemlerin de yedeklenmesi ve muhtemel bir sistem kaybında normal çalışma durumuna hızlı bir şekilde nasıl gelineceği konusunda çok iyi bir planlama yapılması gerekir ORGANİZASYON RİSKİ Çalışma yöntemlerinde eksiklik veya yanlışlık Başarılı bir bilişim sistemleri yönetimi, doğru yöntemlerin güçlü bir yönetim desteğinde kararlılıkla uygulanması ile mümkündür. Değişen gereksinimler çerçevesinde iş gerekliliklerine uygun teknolojilerin uygulanması, beraberinde buna uygun örgütlenme ve çalışma yöntemlerini benimseme gereksinimini de birlikte ortaya çıkarmaktadır. Değişen koşullara uyum sağlamak üzere, mevcut örgütlenme modeli ve çalışma yöntemlerinin sürekli olarak ele alınması, eksikliklerinin giderilmesi ve bunların yeni duruma uyarlanması gerekmektedir Bilişimden sorumlu birimler ve iş birimleri arasında yetersiz iletişim Bilişim sistemleri birimlerinin en çok karşılaştığı durumlardan biri de kurumlarının yönetimi ile zaman zaman düşünce ayrılıklarına düşmeleridir. Bu çerçevede, bilişim gereksinimleri yönetimler tarafından doğru algılanamamakta, bunun sonucunda teknoloji yatırımları gecikebilmektedir. Bunun en önemli nedenleri, üst yöneticilerin teknik konulara yabancı olması ve teknoloji yatırımlarının yüksek maliyetleridir. Bilişim sistemleri birimleri ile kurumun diğer birimleri ve yöneticileri arasında köprü vazifesi görecek bir ara kademeye ihtiyaç duyulmasının sonucunda birtakım komite veya komisyonlar oluşturulmaktadır. Bu komite veya komisyonlarda bilişim sistemleri yönetimi birimi ile diğer iş süreçlerinin temsilcileri birlikte çalışmakta ve önemli 40 TEMMUZ - AĞUSTOS - EYLÜL 2011

5 Necip POLAT kararlar burada tartışıldıktan sonra alınmaktadır. Bu tür yapılanmalar sayesinde, bilişim sistemleri birimleri ile iş birimleri arasında sürekli bir bilgi alışverişi sağlandığından, aynı zamanda bilişim sistemleri yöneticilerinin de kurumun iş gereksinimlerini doğru algılaması sağlanabilmektedir Yetersiz bütçeleme/planlama Teknoloji hızla değişmekte, iş yapış şekillerine uygun teknolojilerin kullanılması günümüz ortamında zorunluluk arz etmektedir. Gerek işe uygun teknoloji yatırımlarının yapılmasında, gerekse mevcut teknolojilerin güncellenmesinde, gereksinimlerin doğru tespit edilmesi, bu gereksinimlerin karşılanması için iyi bir planlama yapılması ve bunun için yeterli bütçe ayrılması büyük önem taşımaktadır Projelendirme hataları Gereksinimlerin doğru belirlenmemesi, gereksinimlere uygun olmayan çözümlere yönelinmesi, projenin çözümleme safhasında yapılan yanlışlar, hatalı zamanlama, eksik kaynak kullanımı, yönetim desteğinin eksik oluşu, yanlış tasarım ve uygulamalar, uygun örgütsel yapıların olmayışı bilişim sistemleri ile ilgili projelerden istenen sonucun alınmasını engelleyebilmektedir Yanlış kaynak kullanımı (yazılım, donanım, insan) Kaynak kullanımının uygun yapılabilmesi için iş ihtiyaçlarının doğru belirlenmiş olması, bu ihtiyaçları karşılayabilecek uygun teknolojilerin tespit edilmesi ve uygulama safhasında eğitimli insan gücünün doğru yerde doğru olarak kullanılması kurumun bilişim hizmetlerinden en üst düzeyde yaralanması için gerekli aşamalar olarak kabul edilmektedir YASAL RİSKLER Üçüncü şahıs (firma) iflasları veya anlaşmazlıkları Bilişim hizmetlerine yönelik, dışarıdan herhangi bir şekilde destek hizmeti alınması durumunda, her zaman için hizmetin alındığı firmanın iflas etme veya verilen hizmetlerle ilgili olarak o firma ile ihtilafa düşülme riski bulunmaktadır. Bu risk düşünülerek sözleşmelerde karşılıklı yükümlülükler açıkça belirtilmeli ve iflas veya uyuşmazlıkların ortaya çıkması durumunda kurumu en az zararla bu durumdan kurtarabilecek çözümün nasıl olacağı belirlenmelidir DIŞ RİSKLER Doğal afetler Doğal afetlerden kaçmak mümkün olmayabilir ancak, onlardan kaynaklanabilecek hasarların en alt düzeyde tutulması için önlemler alınabilir. Bu çerçevede örnek olarak, bilişim sistemlerinin kurulacağı mekanın depremlere dayanıklı olarak inşa edilmesi, alternatif mekanlarda bilişim sistemlerinin yedeklenmesi ve acil durum eylem planlarının geliştirilmesi, olası bir afet sonrasında kurumun kısa sürede normal bir şekilde faaliyetlerine başlamasını kolaylaştıracaktır Sabotaj, terörist saldırılar, siber saldırılar Stratejik önemi haiz kurum ve kuruluşların bilişim sistemleri sürekli olarak muhtemel bir sabotaj, terör saldırısı veya siber saldırı tehdidi altındadır Savaş hali Ülke olarak herhangi bir savaşa girilmesi halinde stratejik kurum ve kuruluşlarla birlikte bilişim sistemleri de tehdit altındadır. Savaş halinde kurumlar arasında bilgi alışverişinin güvenli bir şekilde devamını sağlayacak önlemlerin alınması gerekmektedir. Öte yandan savaş halinde olan tedarikçi bir ülkenin sunduğu hizmetlerin aksaması veya hiç alınamaması olasılığına karşı, ürün ve firma bazında da çeşitlendirme söz konusu olmalıdır Yangın, su basması gibi fiziksel tehditler Bilişim sistemlerinin kurulduğu mekanların yangın ve su basması gibi tehditlere açık ortamlar olmamasına dikkat edilmeli, bu tehditlerle ilgili erken uyarı ve önleme sistemleri kurulmalıdır. Sistemlerin zarar görmesi olasılığına karşı yedekleme ve olası felaket durumundan geri dönüş planı yapılmış olmalıdır. 41 TEMMUZ - AĞUSTOS - EYLÜL 2011

6 Bilişim Sistemlerinde Risk Yönetimi bu riskleri azaltacak resmi bir BS risk yönetim sürecinin oluşturulmasıdır. Risk yönetim sürecinin oluşturulması kararı sonrası yapılması gereken ilk iş bir risk yönetimi sorumlusunun atanmasıdır. Bu sorumlunun kim olacağı veya işi nasıl yürüteceği, kurumun büyüklüğüne ve gereksinimlere göre değişecektir. Risk sorumlusu risk yönetimi çalışmalarının liderliğini yürütmekle görevlidir. Büyük kurumlarda risk yönetimi için ayrı bir bölümün oluşturulurken, küçük çaplı kurumlarda, mevcut birimlerden biri bu konuda görevlendirilmektedir. Risk yönetiminden sorumlu olan birim, risklere ilişkin kilit bilgileri toplamakta ve kararlar vermektedir. Aynı zamanda risk yönetim politikalarını ve kılavuzlarını/dokümanlarını oluşturmakta ve gerektiğinde özel amaçlı risk yönetim sistemlerini devreye sokabilmektedir. (TBD, 2006: 9) 3. BİLİŞİM SİSTEMLERİNDE RİSK YÖNETİMİ YAKLAŞIM VE STRATEJİLERİ Bir kurum veya kuruluşun yukarıda ana hatlarıyla açıklanan tehditlere karşı önceden tedbir almış olması, buna yönelik planlama yapması muhtemel bir tehdidin ortaya çıkması durumunda asli görevlerini en kısa sürede en az zararla atlatmış olarak yerine getirmeye devam etmesini sağlayacaktır. Bunun için kurum düzeyinde bir risk yönetimi anlayışının benimsenmesi, organizasyonel anlamda bu yapının tesis edilmesi gerekir. (TBD, 2006: 7) Risk yönetiminde esas olan, riskin tümüyle engellenmesi değil, sorunlara sistematik ve dikkatli bir şekilde yaklaşılması, risklerin kabul edilebilir düzeylere indirilmesi ve kayıpların minimize edilmesidir. Başarılı bir risk yönetimi için, kurumun varlıklarına ve hedeflerine yönelik riskleri belirlemek, analiz etmek, bu riskleri azaltacak kontrol mekanizmaları geliştirmek ve izlemek gereklidir. Riski yönetmenin en doğru yolu, gerçekleşme olasılığı ve gerçekleşmesi durumunda etkisi veya vereceği zarar en yüksek olarak öngörülen risklerden başlayarak, Risk yönetiminde önemli bir husus, bu işlerin tek bir kişi veya birimin görevi olmadığının ve kurum içi ortak bir çalışma gerektiğinin bilincine varılması gerekliliğidir. Önemli diğer bir nokta da ortak çalışmanın sağlanması için iletişim kanallarının düzgün bir şekilde oluşturulmasıdır. Bilişim sistemleri risk yönetimi hedeflerini oluştururken öncelikle üst yönetimle iyi bir iletişim kurulması gereklidir. Risk yönetimi çalışmalarının, mümkün olan en üst düzey yöneticiyle birlikte planlanması risk yönetiminin başarı şansını artıracaktır. Başarı şansını artıracak bir konu da, risk yönetiminin iş hedefleriyle uyumudur. Bu çerçevede öncelikle iş hedeflerinin net bir şekilde ortaya konmuş olması gerekmektedir. Bilişim sistemleri risk yönetiminden sorumlu olan yönetici, yürüteceği çalışmanın amaçlarını belirlerken diğer birimlerin risk yöneticilerini de sürece dahil etmeli ve zaman içinde risk değerlendirme bulgularını kurumsal risk çerçevesi içine koymalıdır. (TBD, 2006: 9) Risk yönetimi ile ilgili destek sağlandıktan sonra kurumun uzun vadeli hedefleri çerçevesinde çalışma yöntemlerinin oluşturulması gerekir. Daha sonra bu hedeflere ulaşmayı tehlikeye sokacak risklerin tanımlanması ve bu risklere karşı kontrollerin geliştirilmesi gerekir. Bütün bu unsurları içerecek şekilde, her kurumun bir risk yönetim planı olmalı ve bu plan sürekli olarak güncellenmelidir. (TBD, 2006: 9) Risk yönetimi hedefleri, kayıp öncesi ve kayıp sonrası olmak üzere iki kategoride ele alınabilir: (TBD, 2006: 9) Kayıp öncesi hedefler: Problemler ortaya çıkmadan alınması gereken önlemleri ve kontrolleri (etkin çalışma ortamının sağlanması, belirsizliklerin ortadan 42 TEMMUZ - AĞUSTOS - EYLÜL 2011

7 Necip POLAT kaldırılması, yasal ve diğer resmi düzenlemelere uyum, etik yaklaşımların sağlanması gibi) belirleyen hedeflerdir. Üretilen verilerin bütünlüğünün korunması kayıp öncesi hedeflere iyi bir örnektir. Bu hem yasal ve resmi düzenlemelere uyumu sağlayacak, hem de bu verileri kullanan iş birimlerinin risklerini azaltacaktır. Kayıp sonrası hedefler: İşletim sisteminin hatadan kurtarılması ve devamlılığının sağlanması çerçevesinde değerlendirilen hedeflerdir. Soruna müdahale, iş sürekliliğinin sağlanması ve olağanüstü durumdan kurtulma yöntemleri bu kapsamda oluşturulmalı ve sorun veya kayıp ortaya çıkar çıkmaz gecikmeksizin uygulanmalıdır. Burada önemle üzerinde durulması gereken konu etkinliktir. Risklerin ortadan kaldırılması veya azaltılması için kontrol mekanizmalarının oluşturulması gereklidir, kontrollerin fazlalığı sebebiyle iş yapılamaz duruma gelinmesi de kurumlar için başlı başına bir risk faktörü olabilmektedir. Risk yönetimi çalışma yöntemleri oluşturulurken fayda ve etkinlik iyi değerlendirilmelidir. (TBD, 2006: 9) 4. BİLİŞİM SİSTEMLERİNDE RİSK YÖNETİMİ SÜREÇLERİ BT risk yönetiminin amacı, tehditlerin belirlenmesi ve kontrol altına alınması yoluyla, kurumun gereksiz tehlikelerle karşılaşmasının önlenmesi, önceden görülebilen kayıpların engellenmesidir. Tüm riskli durumların engellenmesi mümkün olmamakla birlikte, iyi bir planlama ile kayıplar en düşük seviyede tutulabilmektedir. Bu çerçevede yapılacak planlama ile bilişim sistemleri risk yönetiminin devreye sokulması için atılması gereken adımlar şunlardır: (TBD, 2006: 12) Risk yönetimi hedefleri, kurumsal hedefleri ile uyumu olarak saptanmalıdır. Risk yönetimi süreci şeffaf bir şekilde yürütülmeli ve diğer iş süreçlerinin risk yönetimine katkısı sağlanmalıdır. Küçük hedeflerle başlanmalı ve böylece erken gelen başarılarla güvenilirlik sağlanmalıdır. Tüm taraflarla etkin iletişim sağlanmalıdır. Üst yönetim desteği sağlanmalıdır. Süregiden risklerin izlenmesi için uygun bir yöntem geliştirilmelidir. 43 TEMMUZ - AĞUSTOS - EYLÜL 2011

8 Bilişim Sistemlerinde Risk Yönetimi Risk yönetimi devreye sokulduktan sonra, bu süreç kapsamında yürütülmesi gereken aktiviteler ise şunlardır: (TBD, 2006: 12) Riskin tanımlanması, çerçevenin oluşturulması, Risk alanlarının belirlenmesi ve değerlendirilmesi, Risklerin gerçekleşme olasılıklarının ve etkilerinin ölçülmesi, Risklerin derecelendirilmesi, Belirlenmiş riskler için kabul edilebilir veya istenen sonuçların tanımlanması, Tehditlerin azaltılması ve fırsatların artırılması için yöntemler geliştirilmesi, Bir risk yönetim yöntemi ve stratejisinin seçilmesi, Bir risk yönetim planının oluşturulması ve risk yönetimi stratejinin uygulanması, Risklerin izlenmesi, kontrollerin uygulama sonuçlarının analiz edilmesi ve gerekli olması durumunda kontrol mekanizmalarında ve risk yönetim planında değişiklik yapılması. 5. BİLİŞİM SİSTEMLERİ RİSK YÖNETİMİNDE ROLLER Risk yönetimi kapsamında, üst yönetimden başlayarak, bilişim sistemleri personeli ve kurumdaki diğer tüm çalışanların bir rolü bulunmaktadır. Bilişim sistemleri risk yönetimindeki değişik grupların üstlenebilecekleri sorumluluklar ve roller aşağıdaki şekilde özetlenebilir: (TBD, 2006: 13) 5.1. ÜST YÖNETİMİN SORUMLULUKLARI Risk yönetiminin kurum strateji ile entegrasyonu, Risk yönetiminin yakından izlenmesi ve sürekli olarak desteklenmesi, Risk yönetimi çalışmalarının etkililiğinin denetimi, Risk yönetimi eğitimlerinin sağlanması, Risk yönetiminin daha sistematik hale getirilmesine yönelik yatırımların yapılması BİRİM YÖNETİMLERİNİN SORUMLULUKLARI Risk yönetim stratejilerinin kurum içinde uygulanmasının sağlanması, Risklerin önceliklendirilmesi, Risk yönetiminin performansının değerlendirilmesi, Risk yönetimi prensiplerinin karar verme sürecinin bir parçası haline getirilmesi, Risk yönetiminde yeterli planlama, gerçekleştirme, eğitim, kontrol, izleme ve dokümantasyon çalışmasının yapılması. 44 TEMMUZ - AĞUSTOS - EYLÜL 2011

9 Necip POLAT SONUÇ İster eylem halinde, isterse eylemsizlik halinde olsun, bir varlığın olduğu her durumda mutlaka risk veya riskler vardır. Bireyler veya kurumlar günlük yaşam içerisinde; bir faaliyeti gerçekleştirirken, bir karar alırken veya başka birey ya da kurumlarla etkileşim içerisindeyken sürekli olarak risklerle karşı karşıyadır. Modern kamu yönetimi anlayışında yöneticiler, iyi yönetim gerçekleştirmekle sorumlu tutulmaktadırlar. Risk yönetimi de iyi yönetimin önemli ve vazgeçilmez bir unsuru olarak kabul edilmektedir. Bu çerçevede, en doğru eylemlerde bulunmak, süreçler içerisinde veya sonucunda ortaya çıkabilecek olumsuzlukları minimize edip fırsatlardan en iyi şekilde yararlanmanın en iyi yolu; problemleri, olumsuzlukları veya tehditleri meydana gelmeden önce tahmin etmek ve karşı önlem geliştirmektir. Risk yönetimi anlayışını ifade eden bu yaklaşım, başarılı yönetim yolunda yöneticilere önemli bir araç sunmaktadır. Dolayısıyla günümüzde kurum ya da kuruluşların amaçlarını en iyi şekilde gerçekleştirebilmeleri, etkin bir şekilde faaliyet göstermeleri ve hedeflerine ulaşabilmeleri risk yönetimindeki başarılarına paralellik arz etmektedir RİSK YÖNETİMİ UZMANLARININ SORUMLULUKLARI Risk yönetimi ile ilgili öneri, yönlendirme ve yardımların tüm kurumun risk politikalarıyla ve üst yönetimin hedefleri doğrultusunda yapılması Birimlerin riskleri belirlemelerine ve risk değerlendirmesi yapmalarına yardımcı olunması Birimlere, daha etkili bir risk yönetimi için yardımcı araçlar sağlanması veya bu tür araçların tasarım ve gerçekleştirimine yardımcı olunması 5.4. İÇ DENETİM VE KONTROL UZMANLARININ SORUMLULUKLARI Risk yönetimi kuralları çerçevesinde üst yönetime birimlerin performansı konusunda raporlama yapılması 5.5. TÜM ÇALIŞANLARIN SORUMLULUKLARI Risk yönetimi konularına karşı ilgili ve bilgili olunması İşlerin risk değerlendirmesi çerçevesinde yürütülmesi Bilgi ve doküman sağlanması Risk yönetiminin en önemli konusu, öngörülen risklere karşı en doğru kontrol mekanizmalarının belirlenmesi, geliştirilmesi ve en iyi şekilde uygulanmasıdır. Bunu sağlamak üzere öncelikle risklerin tam ve doğru olarak tespit edilmesi, risk sorumlularının tayin edilmesi, sürecin işleyişinin belirlenmesi, izlenmesi ve gözden geçirilmesi aşamaları takip edilmelidir. Bu da güçlü bir iç kontrol sisteminin varlığının ve etkin işleyişinin gerekliliğine işaret etmektedir. Kurumsal risk yönetimi çerçevesinde, bilişim sistemleri risk yönetiminin ağırlığı her geçen gün daha da artmaktadır. Bunun en önemli ve birinci nedeni diğer tüm iş süreçlerinde bilişim sistemlerinin yaygınlaşması ve bu süreçlerin faaliyetlerinin bilişim sistemlerine bağımlı hale gelmesidir. Bu aynı zamanda bilişin sistemleri yönetiminin kurumsal yönetim sürecinde, ayrı bir şekilde ele alınması sonucunu da doğurmaktadır. Önemli diğer bir neden de, bilişim sistemlerinden büyük faydalar elde etme beklentisiyle yapılan yüksek maliyetli teknoloji yatırımlarıdır. Bunların dışında, bilişim sistemlerinin doğasından kaynaklanan riskler söz konusudur. Bu riskler de büyük oranda bilişim teknolojilerinin hızlı değişiminden ve karmaşıklığından kaynaklanmaktadır. 45 TEMMUZ - AĞUSTOS - EYLÜL 2011

10 Bilişim Sistemlerinde Risk Yönetimi Artan ağırlığı nedeniyle kurumların planlarında, stratejilerinde, hedeflerinde bilişim sistemlerine ve bilişim sistemleri risklerine daha fazla yer verilmesi, bunların yönetilmesine yönelik kapsamlı çalışmalar yapılması ve bu konuda yöneticilerin ve çalışanların bilinçlendirilmesi da kaçınılmaz hale gelmektedir. Nitekim başarılı bir risk yönetimi; üst yönetimin sorumluluk almasına, bilişim sistemleri yönetici ve personelinin tam desteği ve katılımına, risk değerlendirme ekibinin yetkinliğine, çalışanların farkındalığına ve işbirliğine bağlıdır. Çünkü bilgi her birim veya süreç için kritiktir ve günümüz koşullarında çoğunlukla bilişim sistemlerinde oluşturulur, işlenir, iletilir ve saklanır. Bunun sonucu olarak, bilişim riskleri sadece bilişim sistemleri ile ilgili birimlerin sorumluluğunda değil, aynı zamanda tüm kurumun sorumluluğundadır. Türk kamu yönetiminde yer alan kurum ve kuruluşların birçoğu risk yönetimi konusunda çok az bilgi sahibidir. Aynı şekilde, iyi yönetimin bir aracı olarak risk yönetimi uygulamasından henüz kamu kurum ve kuruluşlarında yararlanılmamaktadır. Risk yönetimi tüm iş süreçlerini kapsayacak şekilde, geniş bir ilgi alanına sahip olmakla birlikte, bilişim sistemleri yönetimi sürecinde diğer süreçlere göre daha çok ön plana çıkmaktadır. Bunun itici gücünü de bu alanda Cobit, ITIL, ISO gibi uluslararası standart, yaklaşım ya da metotların geliştirilmiş olması ve bunların özel sektördeki birçok organizasyon tarafından bilişim sistemleri yönetimlerine adapte etmesi oluşturmuştur. Türk kamu yönetiminde de, bu durumun bir yansıması olarak, risk yönetimi anlayışının önce bilişim sistemleri yönetiminde benimsenmesi, daha sonra diğer süreçlerde de hayata geçirilmesi, risk yönetimi anlayışına geçiş sürecini hızlandırabilecek bir olgu olarak gözükmektedir. Bu da bilişim sistemleri yönetiminin söz konusu uluslararası standartlara uygun olarak gerçekleştirilmesinin önemini bir kat daha artıracaktır. Sonuç olarak, risk yönetimi tehditleri fırsatlara dönüştüren, faaliyetlerin etkinliğini, kaynakların verimliliğini sağlayan, başarıyı ve hedeflere ulaşmayı mutlak olmasa da garanti eden çağdaş bir yönetim aracıdır. Günümüzde bir zorunlu olarak görülen bu araçtan yararlanmak için, kamu yöneticilerinin öncelikle risk belirleme ve risk değerlendirmesinin önemini kavramaları, bu anlayışı benimsemeleri, daha sonra da bunlarla ilgili bilgi ve becerilerini artırmaları gerekmektedir. KAYNAKÇA BAĞCI, Barış, Bilgi Teknolojileri Risk Yönetimine Genel Bakış, Deloitte, ( ). Boğaziçi Üniversitesi, Course Descriptions: Information Systems Management, ( ). EREN, Ayşen. ITIL Bilgi İşlem Süreçleri İçin Bir Standart Olabilir mi?, Kalite Dergisi, Sayı. 93, (2005), ( ). FIKIRKOCA, Meryem, Bütünsel Risk Yönetimi, Pozitif Matbaacılık, Ankara, KARABACAK, Bilge, Bilgi Güvenliği Risk Yönetimi Sunumu, TÜBİTAK, UEKAE, , ( ). KAYRAK, Musa, Bilişim Sistemleri Stratejisinin Önemi ve Sayıştay Deneyimi, Sayıştay Dergisi, Sayı:65, OECD. OECD Guidelines for the Security of Information Systems. 1992, fr_2649_34223_ _1_1_1_1,00.html, ( ). SAKA, Tamer, Türk Bankacılık Sektöründe Bilgi Teknolojileri Denetimi, Türkiye Bankalar Birliği, İstanbul, STONEBURNER, Gary, GOGUEN, Alice ve FERINGA, Alexis, Risk Management Guide For Information Technology Systems, National Institute Of Standards And Technology Special Publication , Gaithersburg, July The IT Governance Institute (ITGI), COBIT 4.1, Türkiye Bilişim Derneği (TBD), Kamu-BİB Kamu Bilişim Platformu VIII, Bilişim Teknolojilerinde Risk Yönetimi, 2. Çalışma Grubu Raporu, Mart WEBER, R., Information Systems Control and Audit, 1999, Akt. ASOSAI, IT Audit Guidelines, ASOSAI Research Project, Eylül TEMMUZ - AĞUSTOS - EYLÜL 2011