MEHMET BALiOGLU

Bilişim Varlıkları Üzerinde Gerçekleştirilecek Rutin ve Acil Değişikliklerin Yönetimiyle İlgili Kural ve Uygulamaların Yetersiz Olması

Rapor Özet

Ana Konu ve Temel Bulgular

  • Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetimi için kullanılacak kurallar ve süreçler ile acil durum yönetimi tanımlanmamıştır.
  • Değişikliklerin kontrolsüz bir şekilde yapılması, farklı sistemlerin aksamasına sebep olabilmektedir.
  • Acil durum değişikliklerinde, değişikliğe ilişkin sürecin gecikmesi kurumu yüksek maliyetler ile karşı karşıya getirebilir.
  • Kurumda bilişim sistemlerinde yapılacak değişikliklerde bilgi işlem birimi içinde ilgililerle sözlü iletişim kurulmaktadır, ancak bu uygulama zorunlu ve izlenen bir kurumsal süreç niteliğinde değildir.

Yasal ve Düzenleyici Çerçeve

  • 27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardı, 12.1.2 Değişiklik Yönetimi: “Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.”

Önerilen Ana Eylem Noktaları

  • Tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi için gerekli süreçler tanımlanmalıdır.
  • Değişikliklerin etkileyeceği bileşen ve sistemler önceden tanımlanmalıdır.
  • Yazılım güncellemeleri gibi değişikliklerin test edilmeden hayata geçirilmemesi gerekmektedir.
  • Acil durum değişikliklerine ilişkin ayrı bir süreç işletilmelidir.
  • Acil durum değişikliklerinin geriye dönük olarak incelenmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınması sağlanmalıdır.
  • Değişiklik talep ve önerilerinin yönetim süreçleri ve acil durum değişikliklerine ilişkin süreçler belirlenmelidir.
  • Hangi değişikliklerin onaya tabi olacağı, değerlendirmenin kimler tarafından yapılacağı, ret ve kabul kriterleri tanımlanmalıdır.

Rapor Metni

Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetilmesi için kullanılacak kuralların ve süreçlerin ve acil durumlarda bu süreçlerin nasıl işletileceğinin belirlenmemiş olduğu görülmüştür.

27002 sayılı “Bilgi teknolojisi – Güvenlik teknikleri” standardında konuyla ilgili tanımlanan kontrol şu şekildedir:

“12.1.2 Değişiklik Yönetimi

Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.”

Kurumun bilişim varlıklarını ve süreçlerini etkileyebilecek tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi gereklidir. Değişikliklerin, bunlardan etkilenecek bileşen ve sistemler tanımlanmadan yürütülmesi, farklı sistemlerin aksamasına sebep olabilir. Söz konusu değişikliklerin, ilgili etkileşimleri izlemeye ve gerekli tedbirleri almaya imkân tanıyacak şekilde planlanarak yürütülmesi gerekmektedir. Örneğin, yazılım güncellemeleri gibi bazı değişikliklerin test edilmeden hayata geçirilmesi bilişim hizmetlerinde önemli aksamalara sebep olabilmektedir.

Bilişim sistemlerinin yapısı gereği, ne kadar planlama yapılırsa yapılsın, bazı değişikliklerin acil nitelik taşıması ve herhangi bir planlama ve bildirim sürecine imkân tanımayacak şekilde ivedilikle uygulanması söz konusu olabilmektedir. Acil durum değişikliklerinde, değişikliğe ilişkin sürecin gecikmesi kurumu yüksek maliyetler ile karşı karşıya getirebilir. İvedi müdahaleyi gerektiren bu tür durumlarda rutin değişikliklerin yönetimi için tasarlanmış süreçlerin işletilmesi mümkün olmayabilir. Ancak doğurduğu yüksek riskler sebebiyle acil durum değişikliklerinin sonradan takip edilmesi büyük önem taşır. Bu önemi sebebiyle acil durumlarda yapılan değişikliklere ilişkin ayrı bir süreç işletilmesi ve bu değişikliklerin geriye dönük olarak ilgilere bildirilmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınması sağlanmalıdır.

Kurum bilişim sistemlerinde yapılacak değişikliklerde bilgi işlem birimi içinde ilgililerle sözlü iletişim kurulduğu, bu şekilde değişikliklerin olası olumsuz etkilerinin en aza

indirilmesine çalışıldığı belirlenmiştir. Ancak bu uygulama, kişisel çabalar ile yürütülmekte olup, zorunlu ve izlenen bir kurumsal süreç niteliğinde değildir.

Bilişim sistemleriyle ilgili değişiklik talep ve önerilerinin yönetim süreçlerinin ve acil durum değişikliklerine ilişkin süreçlerin belirlenmesi, değişikliklerin hangilerinin onaya tabi olacağının, değerlendirmenin kimler tarafından yapılacağının, ret ve kabul kriterlerinin tanımlanması gerekmektedir.