MEHMET BALiOGLU

Bilişim Varlıkları Üzerinde Gerçekleştirilecek Değişikliklerin Yönetimiyle İlgili Kural ve Uygulamaların Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetilmesi için kullanılacak kurallar ve süreçlerin ve acil durumlarda bu süreçlerin nasıl işletileceğinin belirlenmemiş olduğu tespit edilmiştir.
  • Değişikliklerin, bunlardan etkilenecek bileşen ve sistemler tanımlanmadan yürütülmesi, farklı sistemlerin aksamasına sebep olabilmektedir.
  • Acil durum değişikliklerinde, değişikliğe ilişkin sürecin gecikmesi kurumu yüksek maliyetler ile karşı karşıya getirebilir.
  • Kurum bilişim sistemlerinde yapılması planlanan değişikliklerde son kullanıcılarla iletişim kurulduğu ve akademik takvim izlenerek yapılan değişikliklerin etkisinin en aza indirilmesine çalışıldığı belirlenmiştir.
  • Ancak bu uygulama değişikliklerin etkisinin izlenmesi için yeterli değildir ve bilgi işlem biriminin çabası ile yürütülmekte olup, zorunlu bir süreç niteliğinde değildir.
  • Değişikliklerin sisteme ve iş sürekliliğine etkisinin değerlendirilmesi ve onaylanarak işletilmesi söz konusu olmamaktadır.

Yasal ve Düzenleyici Çerçeve

  • 27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardı, 12.1.2 Değişiklik Yönetimi: Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.

Önerilen Ana Eylem Noktaları

  • Bilişim varlıklarını ve süreçlerini etkileyebilecek tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi,
  • Değişikliklerin, ilgili etkileşimleri izlemeye ve gerekli tedbirleri almaya imkân tanıyacak şekilde planlanarak yürütülmesi,
  • Acil durum değişikliklerinin sonradan takip edilmesi,
  • Acil durumlarda yapılan değişikliklere ilişkin ayrı bir süreç işletilmesi ve bu değişikliklerin geriye dönük olarak ilgilere bildirilmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınması,
  • Bilişim sistemleriyle ilgili değişiklik talep ve önerilerinin yönetim süreçlerinin ve acil durum değişikliklerine ilişkin süreçlerin belirlenmesi,
  • Değişikliklerin hangilerinin onaya tabi olacağının, değerlendirmenin kimler tarafından yapılacağının, ret ve kabul kriterlerinin tanımlanması

Rapor Metni

Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetilmesi için kullanılacak kuralların ve süreçlerin ve acil durumlarda bu süreçlerin nasıl işletileceğinin belirlenmemiş olduğu görülmüştür.

27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardında konuyla ilgili tanımlanan kontrol şu şekildedir:

“12.1.2 Değişiklik Yönetimi

Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.”

Kurumun bilişim varlıklarını ve süreçlerini etkileyebilecek tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi gereklidir. Değişikliklerin, bunlardan etkilenecek bileşen ve sistemler tanımlanmadan yürütülmesi, farklı sistemlerin aksamasına sebep olabilir. Söz konusu değişikliklerin, ilgili etkileşimleri izlemeye ve gerekli tedbirleri almaya imkân tanıyacak şekilde planlanarak yürütülmesi gerekmektedir. Örneğin, yazılım güncellemeleri gibi bazı değişikliklerin test edilmeden hayata geçirilmesi bilişim hizmetlerinde önemli aksamalara sebep olabilmektedir.

Bilişim sistemlerinin yapısı gereği, ne kadar planlama yapılırsa yapılsın, bazı değişikliklerin acil nitelik taşıması ve herhangi bir planlama ve bildirim sürecine imkân tanımayacak şekilde ivedilikle uygulanması söz konusu olabilmektedir. Acil durum değişikliklerinde, değişikliğe ilişkin sürecin gecikmesi kurumu yüksek maliyetler ile karşı karşıya getirebilir. İvedi müdahaleyi gerektiren bu tür durumlarda rutin değişikliklerin yönetimi için tasarlanmış süreçlerin işletilmesi mümkün olmayabilir. Ancak doğurduğu yüksek riskler sebebiyle acil durum değişikliklerinin sonradan takip edilmesi büyük önem taşır. Bu önemi sebebiyle acil durumlarda yapılan değişikliklere ilişkin ayrı bir süreç işletilmesi ve bu değişikliklerin geriye dönük olarak ilgilere bildirilmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınması sağlanmalıdır.

Kurum bilişim sistemlerinde yapılması planlanan değişikliklerde son kullanıcılarla iletişim kurulduğu ve akademik takvim izlenerek yapılan değişikliklerin etkisinin en aza indirilmesine çalışıldığı belirlenmiştir. Ancak bu uygulama değişikliklerin etkisinin izlenmesi için yeterli değildir ve bilgi işlem biriminin çabası ile yürütülmekte olup, zorunlu bir süreç niteliğinde değildir. Değişikliklerin sisteme ve iş sürekliliğine etkisinin değerlendirilmesi ve onaylanarak işletilmesi söz konusu olmamaktadır.

Bilişim sistemleriyle ilgili değişiklik talep ve önerilerinin yönetim süreçlerinin ve acil durum değişikliklerine ilişkin süreçlerin belirlenmesi, değişikliklerin hangilerinin onaya tabi

olacağının, değerlendirmenin kimler tarafından yapılacağının, ret ve kabul kriterlerinin tanımlanması gerekmektedir.