MEHMET BALiOGLU

Bilişim Varlıkları Üzerinde Gerçekleştirilecek Değişikliklerin Yönetimiyle İlgili Kural ve Uygulamaların Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetimi için kullanılacak kurallar ve süreçlerin ve acil durumlarda bu süreçlerin nasıl işletileceğinin belirlenmemiş olduğu tespit edilmiştir.
  • Bilişim sistemleri üzerinde gerçekleştirilen değişikliklerin yönetimi için herhangi bir süreç işletilmediği ve kuralların belirlenmemiş olduğu görülmüştür.
  • Her bilişim personeli kendi sorumluluk alanındaki değişiklikleri yönetmekte, değişikliklerin sisteme ve iş sürekliliğine etkisinin değerlendirilmesi ve onaylanarak işletilmesi söz konusu değildir.

Yasal ve Düzenleyici Çerçeve

  • 27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardı, 12.1.2 Değişiklik Yönetimi: “Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.”

Önerilen Ana Eylem Noktaları

  • Kurumun bilişim varlıklarını ve süreçlerini etkileyebilecek tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi için gerekli süreçlerin oluşturulması.
  • Değişikliklerin etkileyeceği bileşen ve sistemlerin önceden tanımlanması ve gerekli tedbirlerin alınması.
  • Yazılım güncellemeleri gibi değişikliklerin test edilmeden hayata geçirilmemesinin sağlanması.
  • Acil durum değişikliklerine ilişkin ayrı bir süreç işletilmesi ve bu değişikliklerin geriye dönük olarak ilgilere bildirilmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınmasının sağlanması.
  • Bilişim sistemleriyle ilgili değişiklik talep ve önerilerinin yönetim süreçlerinin ve acil durum değişikliklerine ilişkin süreçlerin belirlenmesi.
  • Değişikliklerin hangilerinin onaya tabi olacağının, değerlendirmenin kimler tarafından yapılacağının, ret ve kabul kriterlerinin tanımlanması.

Rapor Metni

Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetilmesi için kullanılacak kuralların ve süreçlerin ve acil durumlarda bu süreçlerin nasıl işletileceğinin belirlenmemiş olduğu görülmüştür.

27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardında konuyla ilgili tanımlanan kontrol şu şekildedir:

“12.1.2 Değişiklik Yönetimi

Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.”

Kurumun bilişim varlıklarını ve süreçlerini etkileyebilecek tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi gereklidir. Değişikliklerin, bunlardan etkilenecek bileşen ve sistemler tanımlanmadan yürütülmesi, farklı sistemlerin aksamasına sebep olabilir. Söz konusu değişikliklerin, ilgili etkileşimleri izlemeye ve gerekli tedbirleri almaya imkân tanıyacak şekilde planlanarak yürütülmesi gerekmektedir. Örneğin, yazılım güncellemeleri gibi bazı değişikliklerin test edilmeden hayata geçirilmesi bilişim hizmetlerinde önemli aksamalara sebep olabilmektedir.

Bilişim sistemlerinin yapısı gereği, ne kadar planlama yapılırsa yapılsın, bazı değişikliklerin acil nitelik taşıması ve herhangi bir planlama ve bildirim sürecine imkân tanımayacak şekilde ivedilikle uygulanması söz konusu olabilmektedir. Acil durum değişikliklerinde, değişikliğe ilişkin sürecin gecikmesi kurumu yüksek maliyetler ile karşı karşıya getirebilir. İvedi müdahaleyi gerektiren bu tür durumlarda rutin değişikliklerin yönetimi için tasarlanmış süreçlerin işletilmesi mümkün olmayabilir. Ancak doğurduğu yüksek riskler sebebiyle acil durum değişikliklerinin sonradan takip edilmesi büyük önem taşır. Bu önemi sebebiyle acil durumlarda yapılan değişikliklere ilişkin ayrı bir süreç işletilmesi ve bu değişikliklerin geriye dönük olarak ilgilere bildirilmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınması sağlanmalıdır.

Kurumda, bilişim sistemlerinin yönetiminde görev alan personel sayısının azlığı sebebiyle bilişim sistemleri üzerinde gerçekleştirilen değişikliklerin yönetilmesi için herhangi bir süreç işletilmediği ve kuralların belirlenmemiş olduğu görülmüştür. Her bilişim personeli

kendi sorumluluk alanındaki değişiklikleri yönetmektedir. Değişikliklerin sisteme ve iş sürekliliğine etkisinin değerlendirilmesi ve onaylanarak işletilmesi söz konusu olmamaktadır.

Bilişim sistemleriyle ilgili değişiklik talep ve önerilerinin yönetim süreçlerinin ve acil durum değişikliklerine ilişkin süreçlerin belirlenmesi, değişikliklerin hangilerinin onaya tabi olacağının, değerlendirmenin kimler tarafından yapılacağının, ret ve kabul kriterlerinin tanımlanması gerekmektedir.