Siberkült

Web sitesi/portal tasarımlarında amaç netliğinin önemi açık. Bu konudaki temel kategorizasyon tanım ve gereklerine bu satırlarda daha önce değinilmişti. (Bknz.) Kurumsal planda bu gereklerin üzerinde ne kadar spekülasyon yapılırsa yapılsın, iş tasarıma gelince, “başkası ne yapıyorsa biz de yapalım” mantığı halen büyük ölçüde varlığını korumakta.

Bir web varlığının tasarımında bu varlığın temel amacının ne olduğunun net tespiti yapılmaya çalışılsa bile esasta başkasının/rakibin yaptığını taklit etme olgusunun altında, kurumsal amacın bu “başkasından” farklılığının altının çizilememesi yatmakta. Kurumunuzun iş hedef/amaçlarının “başkasından” farksızlığının bu peşin kabulü aslında kurumunuzun iş hedef/amaçlarının tanımında ciddi bir gizli sorun olduğunun işareti. Bu sorunu görüp çözemiyorsanız - iş amaçlarınıza hizmet etmekten uzak bir yığın siteye boş yere kaynak harcamanız bir yana - bu gösterge, kurumunuzun diğer operasyonlarında da ciddi zafiyetler olduğunun bir izdüşümü de sayılabilir.

Dolayısıyla kurumun , iş zekası yaklaşımının (BI- business intelligence) geliştirilmesi , yine kurumun web varlığında beliren bu zafiyetlerin aşılabilmesinde de temel unsurlardan biri olarak beliriyor. BI yöntem ve çözümleriyle bir kurum, hedeflerini/zaaflarını ve bu hedeflere varmada / zaaflarını yok etmede, izlemesi gereken “asıl” yolları keşfetmede büyük hamleler yapabiliyorsa, web varlığının işe yarar hale gelmesini de sağlayabilir.

Bu web sitesi/portal “kimin için ?” ve “ne için ?” sorularına BI çözümleriyle yönelmenin teknik doğruluğu bir yana , özellikle izleyici (müşteri/potansiyel müşteri) gruplandırma /segmentasyonunda daha önce düşünülmemiş önemli ayrıntılar elde edilebilir. İşte web varlığının tasarımının aslında dayanması gereken de bu ayrıntılar da yatmakta.

İzleyicinin eğitim, gelir v.s. profilini gözetmeyen tasarımların cirit attığı bir ortamda bu yazılanlar hoş ama boş olarak algılanabilir. (İnternet bankacılığı sitelerinin bilmem kaç saat devre dışı kalıp ta kimsenin umurunda olmadığını düşündürten bir ortamda yaşanıldığı için özellikle BT’ cileri, bu yazılanlar çok güldürebilirse de web varlığı tasarımının onların esas işi olmadığının altını çizerek, bu neşeyi daha da besleyebiliriz !)

Sonuçta bir W2C web varlığının temel amacı hangi kategoriye girerse girsin (Bknz.) dönüşümdür.(conversion) Birilerini sitenize çekmek zorundasınız. Öte yandan site tasarımıyla ,”dönüşümü” etkilemek , örneğin, “geliş kanallarının çeşitliliği” gibi çok nedenli büyük bir karmaşıklık içerir. Buna motivasyon çeşitliliğini de eklerseniz , tasarımın dayanacağı bulguların yüksek karmaşıklığı göz önüne getirilebilir. O nedenle BI araç ve yöntemleri dışında bu karmaşıklıkla baş etmek mucizedir diyebiliyoruz. Bütün bu süreçteki faktör ve aktörlerin zaman içinde değişkenliğinden ise hiç söz etmedik !

Bu renkli (!) resimde BT yönetimlerine , web varlıklarının alt yapı desteğinin sağlanması dışında “dönüşümün maksimizasyonuna” yönelik teknolojik rehberlik ve destek sağlamak gibi bir görev düşmekte. Kurum içinde bir BI alt yapısı ya da alışkanlığı yoksa ne yazık ki, bu da pek olacak bir iş değil…

“Müşteri”nin, kurumsal BT organizasyonlarının reflekslerini belirlemede anahtar sözcüklerden biri olduğu malum. Bu anahtar sözcüğün kurumsal BT çalışanları açısından çağrışımı ise -genel ,geçer olarak savlayalım- kurumun BT organizasyonu dışındaki diğer birimlerini ve bunların üyelerini tanımlamakta. Bu sözcüğün semantik çözümlemesiyle oynadığımız sanılmamalı. “Müşterinin” kurumun tamamen dışında yer alan bir kesimi tanımladığının çoğu durumda kurumsal BT çalışanları tarafından unutulduğuna işaret etmek zaruri. “Müşteriyi” kurumun içindeki BT harici kesimlere indirgediğinizde asıl olanın “atlanması” doğal sonuç.

Bu yanlış anlamlandırma ve dolayısıyla, çalışma amaç ve biçimini bu algılamaya göre belirleme günümüzün süregelen bir kurumsal BT açmazı olsa da tarihsel bir kökene sahip. Kurumsal BT organizasyonlarının geçmişinde, BT ile diğer birimler arasındaki gerek yapılanma gerekse de insan kaynağı açısından oluşmuş olan ciddi ayrışmanın kalıntısı bu durum.

İlginç olan, bu ayrışmanın getirdiği zafiyetleri gidermede özellikle son 20 yıldır ,kurumsal BT’nin “hizmet odaklı” bir yapılanmaya doğru evrimleşmesi için geliştirilmiş bin bir çeşit çerçevenin (framework) ,BT birimlerini başarılı birer “hizmet organizasyonu” haline sokarken haliyle hizmetin o dönemlerdeki ilk hedef alanlarını, esas müşteri olarak görmelerini dayatması.

Bu geçmişte, dış tedarikin gelişmesi ile birlikte kurumsal BT birimlerinin , dış tedarikçiyi kendilerine çok ciddi bir rakip olarak görmelerinin de etkisini azımsamamak gerek. Dış tedarikçinin “esas müşterisi” (hedefi) kimse dahili BT biriminin de “esas müşterisi” o olmuş durumda. Kurumun dışarıdaki esas müşterisiyle, kurumsal BT arasında oluşmuş çeşit çeşit temsilci, aracı, v.b. bariyerleri de buna eklenince kurumsal BT çalışanı esas müşteriyi göremez, “görse de seçemez” hale gelmiş durumda.

Artık aşılması gereken bu zafiyet temelde kuruma, özelde kurumun BT sine büyük handikaplar getirirken bazı net göstergelere de sahip:

• BT organizasyonu ,kendi dışındaki kurumsal birimleri müşteri olarak tanımladığı anda kendisi ile “onları” kalın bir çizgi ile ayırmış oluyor. (Biz ve onlar..) En iyi olasılıkla kendisini bir” tedarikçi” olarak tanımlamakla aslında kendi strateji ve amaçları/menfaatleri ile kurumunkileri birbirlerinden ayırıyor. (Diğerleri tarafından anlaşılmaz bir dil kullanımı da büyük ölçüde bununla ilgili.) Sonuçta kurumun diğer birim ve çalışanlarının da BT yi onlardan ayrı bir dünyanın sakinleri olarak konumlamalarına da neden oluyor.
• “Müşteri daima haklıdır” özdeyişine bağlanıp, gelen her türlü isteği bir an önce ve “bir şekilde !” karşılamaya çabalıyor. Bir kurumun teknoloji desteğini nasıl kullanabileceği yönünde kafa yormak, kılavuzluk etmek ve “en verimli ve en az hatalı” yolu araştırmak yerine doğrudan bir “sipariş masası” haline geliyor. Bu yaklaşım doğal ki “siparişlerin” de anomali düzeyine çıkmasını beraberinde getirdiği için, hiç bir zaman da “müşterisini !” memnun edemiyor. Ya da çok “politik” bir BT konuşlanması varsa “tek bir müşteriyi !” memnun ederek kendisine bir-iki yıllık tasasız bir yaşam aralığı yaratıyor.

Dışarıdaki esas müşteri ise kendisini “hiç görmeyen ellerce” yazılmış/kurulmuş sistemleri yarım yamalak kuşanıp, önüne çıkmış satış,operasyon v.b. birimleri ile kılıç kalkan oynamakla meşgulmüş, kimin umurunda !

(*) Yukarıda çizilen çerçeveye bir istisna olarak ise Toplam Kalite Yönetimi (TQM) yapılanmalarının derin nüfuz edebildiği kurumlar işaret edilmek durumunda. Bu tür az sayıda kurumda her birim diğerini “müşteri” olarak tanımlamakta olsa da “iç” ve “dış” müşteri kavramlarının net olarak belirlendiği unutulmamalı.

Önümüzdeki 5 yıl içerisinde, BT organizasyonunun katkısının , ölçekli kurumların temel başarı faktörleri içinde yer alacağı kesin. Kurumsal BT’nin değer yaratmadığı durumlarda ise bu kez BT organizasyonları, “temel başarısızlık” faktörleri arasında boy göstermeye devam edecek. Yurt dışı ve yurt içindeki belirsizlikler ve aşırı karışık gözüken kurumsal ortamlar bir yanılsamaya yol açmamalı: Bu durum bir kriz sarhoşluğundan ibaret. Daha derin ve değişik bir global krize girilmedikçe- kısa vadede bu yönde bir belirti yok- önümüzdeki 5 yıl da pek çok taş yerine otururken, BT de içten içe başlamış dönüşüm bu sektördeki herkesi etkileyecek. (BT paradigma kayması için: Bknz.)

Bu süreç, kurumsal BT organizasyonlarını klasik “günah keçisi” pozisyonlarından çıkarıp, yönetim performanslarının, “iş performansı” kriterlerinde ciddi ve metodik sorgulanmasını da beraberinde getirecek. Açıkça tekrarlamaktan bıkmamak gerekmekte: İş yönetiminin kritik faktörleri neyse, BT yönetiminin kritik başarı faktörleri de onlardan ibaret. Kurulu düzeniniz bilmem kaç terrabyte mış, filanca çekirdek yazılımın bilmem kaçıncı yükseltmesini başarıyla tamamlamışsınız, kimsenin umurunda olmayacak. (Aslında şu anda da kimsenin umurunda değil, ama temel sorunlar bu durumu  gizleyebiliyor.)

Bu yeni dönemde, kurumsal BT’de değer yaratabilmek, her türlü belirsizliğin cirit atacağı bir ortamda BT ‘yi yönetebilmek ve “varlığını sürdürebilmek” için, kritik başarı faktörlerini ise basite indirgeyip listelemek olanaklı:

•  Asli unsurları koruyabilmek .(İşi taşıyan BT hizmetlerinin idamesi, şeffaflık ve hesap verebilirlik, proje ve maliyet yönetimi, BT insan kaynağı yönetimi gibi unsurlar)
•  İş gereklerine çözümde inovasyon.
•  BT ve İş süreçlerinin, veri işleme/kullanımının ve alt yapının, topyekün/birlikte karmaşıklığını (karmaşa demek daha doğru olabilir !) azaltmak.
•  Yaratıcı ve katılımcı bir yönetişim sistemi oluşturup, yönetebilmek.
•  BT organizasyonunun içine hapsolmayıp, dışına odaklanmak.( İş ilişkileri ve güven tesisi !)
•  Teknoloji mimarisini iş stratejisiyle çakıştırmak. (Hangi kurumda halen bu gerekten bahsediliyorsa orada büyük sorun vardır !)

 Önümüzdeki dönemde bu temel yetenek testinden bakalım kimler geçecek, kimler kalacak, kimler ise “uzaklaştırma” alacak….

İşlerin bir türlü hızlanmadığı, krizden hızlı çıkış beklentilerinin boşa çıktığı bu günlerde, kurumların BT yönetimleri de en düşük maliyet ve de en düşük faaliyet döneminden ne zaman çıkacaklarını merakla beklemekteler. Yatırım düğmesine yukarıdan basılacağı zamanı beklemek ile eş anlamlı, bu alınan pozisyon. Beklemek yerine bu çıkışta, kurumlarını rakiplerinden çok daha hızla koşturmak için neler yapılması gerektiğini bir an önce belirleyip ,alternatifli iş programlarını hazırlayanlar ise kazanacak.

BT yönetimlerinin bu hazırlığı  nerede nasıl “değer” yaratabileceklerini tespit etmeden yapmaya çalışmaları abesle iştigal. İşin kökünde ise, bir BT organizasyonunun değer yaratmada kullanabileceği iki temel kaldıraç olduğu ise çok yazıldı, çizildi:

1. Bilgi kalitesinin ve bilgi temin hızının arttırılarak kurumsal karar verme mekanizmalarının bir üst düzeye çıkarılması ve,
2. Kurumdaki süreçlerin geliştirilerek ,kurumsal,verim, kalite ve işlevselliğin arttırılması.

Bu iki temel kaldıracın kullanıma alınabilmesi BT yönetimlerinin yüksek değer yaratabilecekleri 4 ana yönelimden birine veya bir kaçına odaklanabilmeleri ile olası.İş için “gerçekten” bir değer yaratabilecek fırsatlar içeren bu ana yönelimleri ise önce formüle edip sonra üzerine gitmek gerekiyor.

Kurumsal karar verme mekanizmalarına ilişkin olarak bunlar;

• Dahili Bilgilendirme: Kurum içi operasyonel kararları geliştirmek için bilgi kalitesine ve bilgi temin hızına ilişkin yönelimler .
• Harici Bilgilendirme: Bilginin ürün ve hizmetlerin içine yerleştirilmesi/eşlik etmesine yönelik olanlar.

Süreç geliştirmeye ilişkin olarak ise;

• Optimizasyon: Dahili süreçlerin teknoloji kullanımıyla geliştirilmesi ya da “dönüştürülmesi”.
• Yeniden Biçimlendirme: Kurumun iş ortaklarının, tedarikçilerin ve müşterilerinin yine kurumun kendisi, ürünleri ve hizmetleri ile etkileşim biçiminin değiştirilmesi, geliştirilmesi ya da “dönüştürülmesi”.

olarak kısaca özetlenebilirler.

Bu dört ana yönelimin getirileri ,”götürüleri”, (maliyet,zahmet ve sonuç alabilme süresi) birbirleriyle eş olmadığı gibi , her kurum için hepsinin birden geçerli yönelim olmadığını da belirtmek gerekiyor. Kurumun ve de BT’sinin mevcut özellikleri  bu 4 ana yönelimden hangisinin (ya da hangilerinin) izlenmeye uygun olduğunun belirleyicisi. Öte yandan bu yönelimlerden her hangi biriyle yola çıkılmasının ,bir diğer kategorik yönelimi tetikleyebileceği de unutulmamak durumunda.

Yine, Dahili Bilgilendirme, Harici Bilgilendirme,Optimizasyon ve Yeniden Biçimlendirme’nin değer yaratmada birbirlerine karşı her hangi bir üstünlükleri olmadığı gibi, bu yönelimlerden her hangi birinde gelişkinliğin “en iyi” (best practice) olarak işaret edilemeyeceği söylenmeli. Önemli olan kurum açısından uygunluk.

Krizden çıkışta rakiplerle bir fark yaratabilmek için BT yönetimleri her bir alana ait zaten oluşmuş fırsatları gözleyip, tespit etmek ve bu fırsatları değere çevirmek için gerekli mali ve idari planlamalarını kurumsal üst yönetimin önüne bir an önce getirmek durumundalar. Oturup, beklemek ise bir süre sonra yukarıdan gelecek ve çoğu zaman da yanlış alınmış karar ve hatalı tercihlerin tutsağı olmanın garantisi olacak…

Kurumsal Bilişimin en baş ağrıcı konularından birinin “Felaketten Geri Dönüş/Kurtarma” (DR= Disaster Recovery) alanı olduğu malum. Bu alanın yönetimi giderek daha karmaşık hale gelirken, uygulamaların odaklanma biçimi de giderek değişmekte. DR yönetimleri gelişmiş ülkelerde, topyekün bir yaklaşımdan ziyade birbirinden farklı sorumluluklara bölünmüş ve artan oranda yine farklı farklı üsteleniciler tarafından yönetilebilecek bir dizi alt fonksiyona doğru evrilmekte.

Ölçekli kurumların DR işlerinde;

• Kurtarma Merkezinin kendisi(barındırma)
• BT altyapı ekipmanı, bunların restorasyonu, yeniden devreye alımı ve rekonfigürasyonu
• Ağ hizmetinin hata telafisi (Network service failover)
• Kullanımdaki iş uygulamalarının (Production application), restorasyonu ve yeniden açılması (reactivation)
• Kullanımdaki verinin (Production data) kurtarılması ve yeniden devreye alımı
• Kurtarma test ve manevra yönetimi

gibi kategorik hizmetler artık tek bir BT birimi ya da üstlenici tarafından yüklenilebilecek boyutları aşmış durumdalar. Bunda aşırı hızla artan karmaşıklığın yanı sıra, teknoloji tabanındaki hızlı ayrışma ve gelişmeler de çok etkili. O nedenle dev hosting/DR merkezlerinde dahi hem bu fonksiyonların yönetimi hem de tedarikçiler hızla ayrışmaktalar.

Öte yandan “Bulut” (Cloud) temelli tesisler de hızla gelişmekte ise de bu temelde bir DR yeteneğinin 7×24 servis düzeyine gelmesi için henüz zaman var. Halen en büyük bulut hizmeti sağlayıcıları bile ölçekli işletmelerin kritik uygulamalarını kesintisiz taşıyabilecek ya da bunların kurtarmasını yapabilecek düzeyde değil. Türkiye’de ise bulut henüz çok yeni bir kavram ve dev yatırım gereklerinden ve şebeke alt yapısının zorluklarından dolayı halen büyük bir oyuncu belirmiş değil.

Gelişmeler bu minvalde olunca yeni DR yapılanmalarına gidecek, ya da yatırımlarını yenileyecek ölçekli kurumların ünlü 80/20 Pareto kuralına göre yol haritaları çizmeleri en pragmatik yöntem. Bu da aslında BT DR bütçelerinin esas itibariyle sadece kritik uygulamaların kurtarma ve yeniden devreye alınmasına odaklanmaları gereğinden başka bir şey değil.

İkinci bir gerek ise DR dış tedarikinde esas karar verme ya da stratejiyi belirleme işinin mutlaka kurumun içinde tutulması. Barındırmadan başlayarak diğer alt fonksiyonların tamamı dış tedarikçiler tarafından üstlenilebilirse de neyin, nasıl, ne zaman ve hangi hizmet düzeylerine (SLA’lar = Service Level Agreements) ait bir karışımla sağlanacağı kurum BT yönetimi tarafından belirlenmek durumunda.

Burada ise bir önemli noktanın altı çizilmek durumunda: kurumsal BT yönetimi gerek kritik uygulamaların tespitini gerekse de bir felaket anında bu kritik uygulamaların kurtarılması,geri dönüşü ve sürdürülmesi için gerekli hizmet düzeyini (SLA’lar) oturup kendi başına belirlememeli. Mutlaka “iş yönetiminin” tepesindekilerle beraber, bu faktörlere ait tespitleri yapmalı ve kararları almalı. Bu türden bir yaklaşım ile “beklentiler yönetilebileceği gibi” ,risklerin yönetiminde abartılı /aşırı maliyetli/ zor çözümlerden kaçınılabilir ve herkesin mutabık kalabileceği optimal çözümler geliştirilebilir ve de son tahlilde,  “kabul edilebilir riskler” alınabilir.

DR yapılanmalarında kendi başına hareket eden BT yönetimleri için ise rahatça “intihar ediyorlar” diyebiliriz…

BT yöneticisi olup da şu serzenişleri duymamış olan herhalde azdır:

Neden bu işler böyle pahalı ?
Bir çok şirket bu işlere para harcamadan da çok başarılı..
Kendim yapsam daha çabuk yapardım !
Benim oğlan yarım saatte eve wireless modem kurdu, seninkiler hala bir iş yapacak !
Tüm BT’yi dışarıdan tedarik etsek daha ucuz ve iyi hizmet alırız !

Bu tür dokundurmalar bir kurumda ya BT’nin ya bir değer yaratamadığını ya da aslında değer yaratsa da bunu fark ettiremediğinin doğrudan göstergesidir aslında. Her iki durumun da ciddi bir soruna işaret ettiği ise çok açıktır.

Bir kötü bir de iyi haber vermek gerekirse; kötü haber bu sorunların çözümünün BT yöneticisine ait olduğu ve onun başkasından bir çözüm bekleyemeyeceğidir. Bir BT yöneticisi kurumun iş kanadı yöneticilerinin BT değeri üzerine bilgi ve kanı sahibi olmalarının onların (!) sorunu olduğunu sanabilir. Aslında bu sorun tam da kendisine aittir. İyi haber ise, çözüm sorumluluğu BT yöneticisine ait olduğuna göre, çözüm sağlanabilir !

Hizmet kalitesi/sürekliliği ve maliyeti konusunda günü idare edebilen, kurumsal BT fonksiyonlarında dahi genel bir iletişim sorunu olduğunu rahatlıkla söyleyebiliriz. BT bir türlü yarattığı değeri kurumun diğer bölümlerine anlatamamakta, bir ifade zorluğu içinde kıvranmakta ya da en kötüsü yukarıda belirttiğimiz gibi bunu başkalarının sorunu olarak algılamakta olabilir.

Öte yandan, değer yaratmakla kalmayıp bunu ifade edebilmek dolayısıyla kurumsal algıları lehine değiştirebilmek için , bir BT yöneticisinin adım adım (adımların sırasını atlayıp değiştirmeden) izleyebileceği bir şablondan söz etmek olanaklı.

1. adım : BT deki yerleşik kavrayış ve algılamanın değiştirilmesi. Değer tuzaklarının bilincine varılıp, bunlardan kaçınılması. Yıllardır yapmaya çalıştığınız işler, kurumsal getiriler açısından bir değer ifade etmiyor olabilir !
2. adım : BT nin değer yarattığının gösterilmesi. Doğru maliyet ve doğru hizmet düzeylerinde ve de doğru hizmetin (!) sağlandığını aktarabilmek. (Bunu yapabilmek için gerçeğin de böyle olduğunu varsayıyoruz.) Bu üç unsurdan biri ya da hepsi yanlış kurgulanmış veya batmış olabilir.
3. adım :BT nin iş performansını gerçekten arttırdığının gösterimi. BT yatırımları ile kurumsal performansın geliştiğine ait kanıtsal bağlantıların bulunup duyurulmasını sağlamak. Bir iş atağını destekleyen/sağlayan BT yatırımının getirisinin ifadesini,o işin yöneticisinden boş yere beklemekte olabilirsiniz.
4. adım :BT ‘nin ötesinde de bir değer sahibi olunduğunun gösterimi. Bir BT üst düzey yöneticisinin/CIO’nun (ilk üç adımı geçtikten sonra) , BT dışındaki alanlardan ek sorumluluklar alıp bunları başarması. BT yöneticisi kurumun icra/idare kurullarında görev almaya, ya da başka fonksiyonlara ait işleri de yönetmeye başladıkça gerçek kurumsal üst yönetici haline gelir.

BT yönetiminin temelinde ,BT’nin tek başına başarısının bir anlamı olmadığı yatar. Kurumun başarılı olması, yani para kazanabilmesidir asli unsur. Bir türlü performansını düzeltemeyen/geliştirmeyen bir kurumun BT fonksiyonu süper olsa ne olur ! Dolayısıyla BT’nin yarattığı değerin bir anlam taşıması için, (yani paranın hakkının verildiğinin kanıtlanması) için kurumun belirli ve sürdürülebilen bir performansı olması şarttır.

Tersten bakarsak performansı dibe vurmuş bir kurumun ayağa kaldırılmasında da BT bir rol oynamışsa bu ancak kurum ayağa kalktıktan sonra anlaşılıp, savlanıp, anlatılabilir. Anlatacak olan ise yine BT yöneticisidir, başkası değil !

Kurumsal Performans Yönetimi (CPM: Corporate Performance Management) Sistemlerinin öneminden söz etmeye gerek yok. Söz edilmesi gereken ise, ölçeğinden bağımsız olarak kurumlarda mevcut raporlama kurgu ve düzeneklerinin (var mı, var !) misali CPM sistemi olarak yorumlanmasının yanlışlığı. Bu yanlışlığın aşılmasında ve bir takım gösterge ve parametrelerin Web temelli bir iç gösterim ile kağıttan elektronik ortama atılmasını CPM olarak algılama zafiyetinin giderilmesinde görev, yine ve maalesef , kurumların BT üst yöneticilerine düşmekte.

Yine ve maalesef ,sözcükleri burada , rastgele seçilmediler. Pek çok başka kurumsal alanda olduğu gibi BT yönetimleri ,orta vadede , “iş yönetimi” bölgelerinde geliştirilmesi gereken ya da sıfırdan kurulması gereken çeşitli uygulamaların öncülüğünü/sözcülüğünü üstlenmek, bu uygulamaların belirli yöntem ve teknoloji kanallarında akmasını sağlamayı üstlenmek zorunda. Zira çoğu kurumda teknoloji tabanlı uygulamaların ve bu uygulamaları belirleyecek metodolojileri besleyecek kaynakların ezici ağırlığı BT’nin elinde olduğu gibi bu kaynakları evirip çevirecek mühendislik disiplini de sadece BT bölümlerine hapsolmuş durumda.

Bu durumun geçici olduğunu ve değişmekte olan BT disiplininin giderek “iş disiplinleri” ile kaynaşıp, erime sürecine girdiğine daha önceki yazılarda işaret edilmişti. CPM uygulamaları işte, tam bu noktadaki iyi örneklerden.

Kapitalizm tarihi, kurumların , kurumsal performans ölçüm ve izleme metodolojileri üzerine giriştiği sayısız ve ağır çabalarla dolu. Son 40 yıldır ise Edward Deming’in 50-60 yıl önce geliştirmeye başladığı yöntemlerin 70li yıllarda Japon endüstrisine aktarımından , sonraları da , Baldridge, Kaplan ve Norton gibi isimlerin önemli şematiklerinin iş dünyasında takipçilerinin oluşmasından bu yana çok zaman geçti. Öyle ki ortaya çıkmış olan metodolojilere bu gün “geleneksel” CPM metodolojileri diyebiliyoruz.

Kalite odaklı ve süreçlere yönelik; Lean/Six Sigma, EFQM/TQM, M.Baldridge,Kaizen gibi kavram ve metodolojiler bir yanda, strateji odaklı ve performans yönetimine yönelik; Balanced Score Card, EVA, ABC/ABM, Performance Prism gibi kavram ve metodolojiler diğer yanda, belirli bir ölçeğin üzerindeki kurumlara bir şekilde sirayet ettiler ve tümü artık “geleneksel”, şemsiye tanımı altında.

İçinde yaşadığımız dönemde ise bu geleneksel kavram ve metodolojilerin birbirleriyle karıştırılmasından oluşmuş esas itibariyle “melez” (hybrid) yaklaşımların söz konusu olmasının yanı sıra, bu hareketli geçmişte olmayan çok ağır bir teknolojik olanak faktörü mevcut. Geçmişin deneyimleri de kurumlara tek bir CPM metodolojisinin yeterli olmadığını ,bu disiplinlerden her birinin kendine ait güçleri ve zayıflıkları olduğunu ,aşırı masraflı da olsa zorla öğretmiş durumda.

Öte yandan bu düşe kalka öğrenim, özellikle pahalı başarısızlıkların da bir getirisi olarak CPM’i çekirdek finansal alanlara doğru yoğunlaştırmış/hapsetmiş halde.(Bütçe, Planlama, bunların tahminleri, Finansal Konsolidasyon, Finansal veya Resmi raporlama v.b.). Bu olgu tamamıyla negatif bir şey olmasa da , örneğin karlılığı tetikleyici unsurlara ve strateji yönetimlerine ait daha vurucu ve temel sonuç sağlayıcı CPM yaklaşımlarının bu gün için geri planda kalmasına yol açmakta.

Burada esas unsur periyodik olarak geriye bakıp bir şeyler yapmaktansa, gerideki verileri de kullanarak ,o anki ve ileriye dönük gelişmeleri öngörebilmek , kurumun ve pazarının asli faaliyet göstergelerinde oluşan yeni biçimlenmeleri önceden kavrayabilmekte.

Özellikle “biçimlenmelerin tespiti” (patern detection) yıllardır var olan bir kavram , ama bilim ve teknolojiden, iş yaşamına ancak yeni yeni geçebilmekte. Burada şüphesiz bu çerçevede bir CPM yönelimine gidebilmek için gerekli teknolojilerin ucuzlaması ve uç “iş kullanıcısı” için erişilebilir ve rahatça kullanılıp/yönetilebilir olmasının da önemi belirleyici.

İşte bu nedenle, bu yeni teknolojileri , eskinin kavramlarının yeniden tanımlanmış halleriyle kuruma getirilmesinde BT yönetimlerinden başka “üstlenici” yok diyoruz. En azından şimdilik…

Kurumsal Bilişim Güvenliği çerçevesinde ilgili yönetimin zaman zaman uğraşmak zorunda kaldığı işlerden biri kurum dahilindeki bazı “ihlallerin” veya varlığından şüphe edilen “ihlallerin” araştırılması ve incelenmesidir. Bu gerek; doğrudan kurumsal yönetim unsurlarının talebiyle oluşabileceği gibi kamu otoritelerinin ya da adli mercilerin resmi istekleri çerçevesinde de BT yöneticisinin önünde belirebilir.Talebe konu olay veya duyumun özelliklerine göre teknik alanda yapılması gereken işlemler ile kullanılması gereken yöntem ve araçlar her zaman sorunlu ve zahmetli olmuştur ve bu olumsuzluk, teknolojinin ilerlemesi ve kullanıcıların “öğrenme” hızı nedeniyle giderek yükselen bir eğilim taşımaktadır.

Kurum ağı ve BT ekipmanlarında bir olay gerçekleştikten sonra onunla ilgili delil ve kanıtların bulunup incelenmesi olan BT forensiğinin, çok geniş ve “derin” alanının her yönüyle bir BT yöneticisi tarafından bilinmesi, hele hele kurumun iş kanadı yöneticilerince bilinmesi şüphesiz beklenemez.

Öte yandan konunun hukuki yönü de teknik yönü kadar önem taşımaktadır. Ölçekli kurumlarda BT ya da BT Güvenlik sorumlularının yasal konularla ilgili danışabileceği birimler bulunabilse de, orta ölçek ve daha küçük organizasyonlarda bu tür bir olanak yoktur. Bu alt ölçekte, BT yöneticisi işin hukuki tarafını el yordamıyla, sağa sola başvurarak öğrenmek ve uygulamaya çalışmak zorundadır.

Her durumda BT yönetimi etik olarak, hem kendisini, hem kurumu, hem de forensik incelemeye tabii olacak ekipmanın kullanıcısı olan çalışanın özlük ve yasal haklarını korumak ve gözetmek durumundadır. Bu da takdir edilebilir ki, hem içinde birbiriyle çelişebilir öğeler barındırdığından hem de bu tür incelemelerde mevcut “panik” ve zaman basınçlarından dolayı çok kolay gerçekleştirilebilir bir iş değildir.

Bu genel çerçeveden hareketle en temel uygulamalardan birine bakalım: Disk Kopyalama. “…Bilgisayar disklerine el kondu.., ya da bilgisayar diskleri kopyalandı…” gibi tümcelerle medyada da yoğun bir şekilde bahsi geçen konu aslında ,kurumsal BT forensiğinde de sık sık rastlanılan bir olgudur.

Bu işlemlerde yukarıda belirtilen üç ana unsurun, (kurum ,BT yönetimi, ve çalışan) yasal ve özel haklarının korunabilmesi için gelişmiş ülkelerin BT forensiğinde ve bu işlemler sonucu elde edilen kanıt veya delilerin (ya da bir kanıt bulunamadığının) hem yasal, hem de kurumsal zeminde ifade edilmesinde temel aranan şart; kanıtların dayandığı elektronik ortamın “ellenmemiş” ve “orijinal halde” ve “zamanda” olduğunun da kanıtlanmasıdır.

İster kurumsal BT tarafından isterse de dış kaynak uzmanlar ya da adli merciler tarafından getirilsin bir elektronik ortamda bu temel şart sağlanmamışsa elde edilen ortamın geçerliliği yoktur. Aksi durumda bahsettiğimiz üç unsurun da başına adli/mali açıdan bir çok şey gelebilir. Tabii gelişmiş örnekleri kastettiğimizi tekrar söyleyelim.

Bu alanda kullanılan (ve de kullanılması gereken) genel teknik “kriptografik hash” tekniğidir. Başka bir deyimle “checksum” tekniklerinin daha gelişmişi de diyebiliriz. Bu teknikte şüpheli veri toplamı orijinal kaynağında iken bir algoritmaya tabii tutulur ve bir “hash “değeri elde edilir. Veri ortamı yerinden alınsa da “kopyalansa” da veriye (yani mevcut her türlü dosyaya” ya da diskin gizli alanlarına müdahale edilmedikçe , aynı algoritmanın tekrar çalıştırılması aynı sonucu verir. Böylece kanıtların “oynanmamış” olduğu ileri sürülebilir.

Şüphesiz her hangi bir algoritma bu iş için yeterli değildir. Checksum’lar başka tekniklerle aldatılabilir veya oynanabilir özellikler taşırlar. O nedenle “kriptografik hash” deyimini kullandık. Kriptografik hash yöntemleriyle elde edilen çıktı da bir seri karakterdir (string). (Teorik olarak ayrı iki veri bloğundan aynı algoritma ile aynı karakter dizinini elde etmek olasılığı 2 üzeri 65 de bir civarlarında bu günlerde.)

Yine günümüzün en popüler iki algoritmasının dahi bazı istismar edilebilecek bazı güvenlik açıkları olduğu bilinmekte. Ancak yukarıdaki olasılık rakamının çok düşük olması nedeniyle bu durum -biraz da mecburen - göz ardı edilmekte.

En popüler iki algoritmaya gelince; bazı güvenlik açıklarına karşın bunlardan en yaygını MD5 (Message Digest Algorithm) ve 1990 lardan beri kullanımda. Diğeri ise Amerikan NSA’nın (National Security Agency ) geliştirdiği MD5 e alternatif bir algoritma ailesi olan SHA (Secure Hash Algorithm). Bu grup MD5 den daha güvenli olmasına karşın SHA-1 serisinde de bir güvenlik açığı bulunmuştu. (Bu işlerde %100 güvenlik diye bir şey yok malum.)

Bu tür “sağlama” ve “güvenilirlik” işlerine ülkemizde bu gün gereken önem verilmiyor olabilir. Ama yarın ?
(*) Konuya yabancı olabilecekler için MD5′den bir örnek verelim:
MD5 Hash: (”Computer Forensics”) = 7e48ea010d29aa81311d0fa10afa9ea4
MD5 Hash: (”computer forensics”) = 982952ca09c9f9a6e11f0db4ed4c1b39
Görüldüğü üzere sadece “C ve F ” harfleri büyükten küçüğe dönüşse bile hash değeri çok farklı olarak çıkıyor.

Bir önceki yazıda kurumsal BT organizasyonlarının geleceğini belirleyen iki ana eğilimden bahsedilmişti: Kurumsal BT’nin süreç temelli çalışma biçimlerine doğru evrilmesi ve stratejik tedarik (dış tedarikten farklı bir kavram olarak) .

Bu eğilimleri birbirlerini etkileyerek ve geliştirerek süreceği gözleminin altı çizilirken “stratejik tedarikin” sadece bir dış kaynak yönetimi olmayıp , temelinde kurum içi BT birimlerinin ,üstlendikleri fonksiyonların, kurumun tamamen dışındaki “dış tedarikçilerle” ya da büyük ölçekli kurumlarda, Uzmanlık Merkezleri ile de rekabete sokulması yatmakta olduğuna işaret edilmişti.

Bu dönüşme sürecinde yüksek sayıda BT uzmanı ve yöneticisinin, iş birimlerinde eriyeceği , aynı şekilde çok yüksek teknik uzmanlık gerektirmeyen BT işlerinde de doğrudan “iş kanadından” gelen çalışanların ağırlık kazanacağı ve bunun sonucunda ise yüksek teknik uzmanlık gerektiren BT alanlarında istihdamın, dış tedarikçilerde yoğunlaşacağı öngörüsü dile getirilmişti.

Böylesine büyük ölçekli bir dönüşüme karşın bazı BT yeteneklerinin kurum dışına asla çıkarılmaması gerekmekte. Stratejik tedarik süreci olsun ,kurumsal BT organizasyonunun giderek “incelmesi” ve süreç temelli “yalın” yapılanmalara indirgenmesi olsun, bir kurumun kendine “ait” tutması gereken bu temel BT yetenekleri ise şöyle özetlenebilir:

BT Liderliği : Tüm kurumsal BT vizyonunun oluşturulabilmesi ve yürütmeye konulabilmesi için vazgeçilemeyecek bir temel yetenek.

Mimari Geliştirme: Bahsi geçen tüm dönüşümü ana dayanağı kurumsal BT mimarisinin tasarımına yönelik kararlar ve uygulamalar. Burada “mimari”nin kendisinin dış tedarikinden değil nasıl bir mimari sorusuna nerede yanıt verileceği anlaşılmalı. Mimarinin kendisi dışarıya verilebilir.

İş Zenginleştirme: Temel BT-İş gerekleri çakıştırmasına yönelik tasarım ve eylemler bütünü. Bu rol kurumsal BT’nin maliyet odaklı yaklaşımlardan sıyrılıp değer odaklı bir yapılanmaya dönüştürülmesinin kurum dahilinde tutulması demek.

Teknoloji ilerletme yeteneği: Dış tedarik ile en yeni ve inovatif teknolojileri kuruma getirebilirsiniz ama buna ait karar ve dönüşümsel/inovasyonel yol haritalarını dışarıdan bekleyemezsiniz. Inovasyonun dışarıdan içeriye doğru yapılması pek olası değil.

Tedarikçi Yönetimi: Kurumun mali kaynaklarını dışarıya doğru daha çok açtıkça daha da önem kazanan bir disiplin.

Bu 5 temel alanın kurum içerisinde tutulması da yeterli değil, kurumun bunlara gereken önemi ve kaynakları da sağlaması şart. İncelmiş bir kurumsal BT de insan kaynağı açısından oluşacak kapasite sorunları ise kurumları bu kez de bu 5 temel alana yönelik danışmanlık tedarikini arttırmak zorunda bırakacak.

Kurumsal BT birimlerinin yakın gelecekte alabileceği biçimlerle ilgili spekülasyonlar çok.(Bknz.) Yaygınlık ve gelişkinlik gösteren temel eğilimlere bakmak ise bu dönemde daha öğretici. Bu satırlarda BT paradigmasının kayma/değişme noktasına geldiğimizi fakat bir paradigmanın içinden bakarak, dönüşümü tanımlamanın güç olduğundan daha önce bahsedilmişti (Bknz.) BT organizasyonlarının yapısı da bu paradigmanın bileşenlerinden biri.

İki temel eğilim ise göze çarpmakta: Kurumsal BT’nin süreç temelli çalışma biçimlerine doğru evrilmesi ve Stratejik Tedarik (dış tedarikten farklı bir kavram olarak) .

Büyük ölçekli kurumlarda bu iki ana eğilimi de yedekleyen/destekleyen bir yan ve belki de geçici bir organizasyonel birim olarak da Uzmanlık Merkezleri’in (Competency Centers veya Centers of Excellence) yapılanmaları gözlemlenmekte. Bu temel eğilimlerin yaklaşık 5 yıllık bir geçmiş içinde yaygınlaşmaya başladığını gözlemleyebiliyoruz. Ekonomik krizin yansıması olarak ise ,bu eğilimlerin yaygınlaşma hızında duraklamalar ya da yavaşlamalar da söz konusu, şüphesiz.

Bir başka olgu da BT organizasyon modellemelerinin, ekonomik krizden dolayı ,ani daralma zorunlulukları nedeniyle kısa vadeli tasarımlar içermesi. Ancak bu geçici düzenlemeler yukarıda bahsedilen iki temel eğilimin önüne geçebilen güncelleme özellikleri taşımamaktalar ve bilinen geçici maliyet/kaynak tasarrufu hamleleri olarak değerlendirilmek durumundalar.

Bu iki temel eğilimin ne ifade ettiğini bir miktar açmak ise öngörü geliştirebilmek için yararlı olabilir:

İlki; kurumsal BT’nin süreç temelli çalışma biçimlerine doğru evrilmesi, son 20 yılın (gelenekselleşmiş) birbirinden ayrı BT fonksiyon silolarında örgütlenmiş BT hizmet birimleri yerine, uçtan uça, ana iş süreçlerine veya BT süreçlerine göre örgütlenmiş birimleri dayatmakta. Burada son kullanıcıya - iş birimlerine - yakınlık ya da iç içe geçme söz konusu. Bu servis kalite ve süratini yükselten bir yapılanma getirmekte. Bir ana dezavantaj olarak ise BT uzmanlık ve iş gücünün duplikasyonu söz konusu.

İkinci eğilim olan Stratejik Tedarik ise, tüm BT hizmetleri için tüm tedarik kaynaklarının -kurumun içindekiler dahil- orta ve uzun vadeli değerlendirme ve planlamalar ile sürekli gözden geçirilip yeniden organizasyonu. O nedenle bu sadece bir “dış kaynak” yönelimi değil.

Stratejik Tedarik kavramının temelinde kurum içi BT birimlerinin ,üstlendikleri fonksiyonların, kurumun tamamen dışındaki “dış tedarikçilerle” ya da büyük ölçekli kurumlarda, Uzmanlık merkezleri ile de rekabete sokulması yatmakta. Bu çerçevede tek atışlık tedarik kararları yerine çok çeşitli gereklere yönelik ve her BT fonksiyonunun tek tek ve sürekli ele alındığı bir süreç söz konusu.Temel kriter ise düşük maliyet değil.

Her iki ana yönelim; birlikte ve birbirlerini biçimlendirerek etkileyerek mevcutlar. Kurumların ölçekleri ve içinde bulundukları mali şartların yanısıra temel stratejileri de BT birimlerinin bu dönüşümlerinde farklılıklar yaratan unsurlar olsa da alıştığımız kurumsal BT yapılanmalarının orta vadede yerinde yeller eseceğini duyumsamak olanaklı. Bu dönüşümleri besleyen ya onlara paralel teknolojilerin de kullanıma girdiğine de işaret etmek gerekiyor.(Bknz.)

Sürekli ve hızla değişimin genel gösterge olduğu dünyamızda, zamana karşı çok dayanıklı iş modellemeleri beklemek çok iyimser olur. Öte yandan kurumsal ve çevresel farklılıkların çeşitliliğinde “tek doğru” bir BT organizasyon modeli savlamak ise naif kalacaktır.

Bu temel eğilimler ise aslında kurumsal BT yapılanmalarının giderek yalınlaşarak küçüleceklerine ve vizyona, iş stratejilerine, inovasyona odaklı çekirdek yönetim ve uzmanlık birimlerine dönüşeceklerine işaret ediyor. Bu dönüşme sürecinde yüksek sayıda BT uzmanı ve yöneticisi, iş birimlerinde eriyecek , aynı şekilde çok yüksek teknik uzmanlık gerektirmeyen BT işlerinde de doğrudan “iş kanadından” gelen çalışanlar göreceğiz. Bunun sonucunda ise yüksek teknik uzmanlık gerektiren BT alanlarında ağırlıklı istihdam, dış tedarikçilerde gözlenecek.

Bu ana yönelimler dahilinde de olsa kurumun dışına çıkarılmaması gereken BT yeteneklerine ise bir başka yazıda değinilecek.