Politikanın, yaşamın her alanında olduğu gibi iş alanında da yadsıyanı olmayan bir önem taşıdığı malum. Bu yazıda kastedilen ise şüphesiz “siyaset” ya da başka bir deyimle “siyasi politika” değil”. İş yaşamında, açıkça ya da kapalı kapılar arkasında yer alan ve değişkenliğin temel özellik olduğu bir eylem ve faaliyet biçimi ile sınırlandırılmış bir kapsam kastedilmekte.

Eski Yunan etimolojik kökünden de anlaşılabileceği üzere , politika , yönetsel gücün ve otoritenin var olduğu her zeminde, bu gücü ve otoriteyi etkilemek, yönlendirmek, değiştirmek ya da en keskin biçimiyle söyleyelim,  ele geçirmek için , insan gruplarının arasındaki ilişkileri tanımlayan bir süreç. Aristo’nun bu alana ilk kafa yormasından bu yana çok şey değişse de “politikanın” varlığı değişmez durumda. Politikanın yadsıyanı olmayan bir önem taşıdığını söylememizin nedeni ise, onu yadsıdığınız  ya da - pek moda bir deyimle – iyi okuyamadığınız her sosyal ortamda varlığınızın oldukça kısa ömürlü olmasından. Politikayı yadsıyacak kimsenin o ortamda zaten kalamamasından !

Politika, iş ya da kurumsal yönetim alanında BT yöneticilerinin en büyük sorunlarından biri olmaya ise devam etmekte. Gerek eğitimleri, gerekse de bu eğitim de dahil diğer yönetim unsurlarından farklı kişisel tarihler sonucunda oluşmuş tercihleri nedeniyle BT yöneticileri iş yeri “politikasından” uzak durmayı, ona “bulaşmamayı” genel geçer bir eğilim olarak taşıya gelmiş durumdalar. (Bu da bir “politikadır” diyebilirsiniz !) Çoğu BT yöneticisi kurumsal koridorlarda Bizans oyunları olarak adresleyeceği bir faaliyetin içinde yer almaktansa, kartondan kalesine çekilip, sunucu konsolidasyonuyla, ağ yapılandırmasıyla, yazılım mimarisiyle v.b. uğraşmayı yeğler. Gerçekten de “politikanın” üzerine yapışmış olumsuzluk etiketi BT yöneticilerinin bu yönelimini haklı gösterecek etik kaygılar içerebilir.

Öte yandan BT yöneticilerinin kurumsal politika işlerinden bu “uzak durma”, “savuşturma” eylemine çoğu zaman “politikayı yadsıma” ya da “yanlış okumanın” eşlik etmesine ne anlam verilmeli ? Pratikte nice BT üst düzey yöneticisinin kurumdan tasfiyesinin ya da kurum içinde her hangi bir varlığı olmayan (non-entity) dekoratif unsurlar  haline dönüşmesinin altında yatan en temel iki nedenden biri bu “politikasızlık/yanlış politika okuması” dır. (Diğeri ise doğrudan teknik/cari finanssal başarısızlık)

Kestirmeden gidersek, bir BT üst düzey yöneticisinin en temel işlevi BT’nin kuruma stratejik değer katmasını sağlamak. Bu temel işlevi yerine getirmek için parlak fikirlere sahip olmak yetmez. Bu fikirleri/planları/projeleri yaşama geçirmek için BT üst düzey yöneticisinin kurumsal politikayı iyi çözümlemiş olması da yetmez. Sevsin sevmesin doğrudan kurum içindeki politikada yer alması, ilişkiler kurması, bu ilişkilerden temel işlevini yerine getirmek için faydalanması ve zaman zamanda sınırlı kaynaklar için çarpışan değişken tarafların BT’nin temel işlevini engellemesinin önüne geçmek için ciddi bir politik mücadele vermesi gerekir.

Olumsuz etiketli (negatif), ayak oyunlarından ibaret bir politikanın kurumsal planda hem kurumu hem de  oyuncuları duman edeceği aşikar. Ancak bir de olumlu/yapıcı olarak etiketlenebilecek bir politika türü olduğunu BT yöneticileri tekrar anımsamak durumunda. Olumlu politikanın formülü ise başkalarını kendi stratejik amaçlarınıza katkı sağlar ve destekler hale getirip, bu pozisyonda tutabilmekte gizli. Bu da bir “politika” ve öğrenilmesi olanaklı.

Olumsuz politika alanında ise BT yönetimleri ,diğer oyuncuların kendilerinden daha deneyimli ve daha yüksek hareket yeteneğine sahip olduklarını  hiç unutmamalı. Olumsuz politikadan kesinlikle uzak durmalı ama bu tür bir “gerçekliği” gördüklerinde de yadsımamalı. Kendi mücadele alan ve araçlarını doğru ve zamanında belirlemeli. Nasılı ise başka yazıların konusu …

Kurumsal bilişim güvenliği , bu alanda yoğunlaşanların çok iyi bildiği üzere, efsanenin bol olduğu bir alandır. Uygulamacılar, teorik ve pratik olarak desteklenen çeşitli yönelimlerle birlikte ,geçerliliğine ait kanıtlar henüz olgunlaşmamış çeşitli “en iyi yöntem” (best practice) reçeteleri ve ortama yoğun biçimde sızan söylencelerle  boğuşma halindedirler.  Bir risk gerçekleştiğinde ise bilişim güvenliğinin “bir öğrenme süreci” olduğu ve tehdit potansiyelinin “hep gerisinden geldiği” gibi iki retoriğe sığınmak ise kimseyi kurtaramaz.

Bu zorlu ortamda neyin gerçekten doğru ve dolayısıyla “gerekli” olduğunu sürekli sorgulamadan basmakalıp reçete ve söylencelere güvenip kurumunun bilişim güvenliğini sağlama almaya çalışanlar bir kaç yıl içerisinde “yok olan bir tür” haline gelecekse de, eşitsiz gelişme yasaları nedeniyle ülkemizde daha uzun süre gözlenebilirler. O nedenle yılların kullanıcı/uygulamacı tortusundan ilk kurtarılması gereken lokal alan belki de kurumsal bilişim güvenliği alanı. Biz yine de iyimser olalım ve Türkiye’de de bu alanda özlenen gelişmelerin olacağını ümit edelim.

İyimser olmak ise halihazırda bu alandaki yaygın söylencelere işaret etmeyi engellememeli. 4 temel söylence çeşitli değişkenlerin etkisiyle ortama göre kılık değiştirerek varlığını sürdürmekte:

• Çok katmanlı savunma her zaman az katmanlı savunmadan iyidir.
• Sistem kontrolleri bizde ise veri tabanında “executable” çalıştırmak güvenlidir.
• Etkin güvenlik daima çok zahmetlidir.
• Güvenli sistem özelikleri (trusted computing) ,insanlara güven gereğini bertaraf eder.

Bilgi birikimi ve deneyim arttıkça bu söylencelerden çıkılıp , test edilebilen, veri ile desteklenen yönelimlere geçilebilecekse de birincil öncelik sorgulama yeteneğinin geliştirilmesi olarak gözüküyor. Pek çok alanda olduğu gibi kurumsal bilişim güvenlik uzmanı önüne gelen her savı ciddi bir sorgulama süzgecinden geçirmek zorunda. Bu işin bir “kara sanat” (black art) olmadığını sonuçta, finansman, teknoloji ve insan üçlemesinin kurumun olanakları ölçüsünde optimizasyonu ile yürütülebileceğini kavramak ve bunu kurumun iş kanadına/iş yönetimine  anlatabilmek zorunda.

En başta söylenmesi gerekeni sonda söylersek; finans gücünüz ölçeğinde bilişim güvenliğine para ayırabilirsiniz. Öte yandan ne kadar para ayırmanız gerektiği, bahsettiğimiz söylencelerin de etkisiyle hep tahsis olanağından çok çıkacaktır.Bu kısır döngüyü kırmakla vakit geçirirken de birileri sizin sisteminizi kırıverecektir.

Web sitesi/portal tasarımlarında amaç netliğinin önemi açık. Bu konudaki temel kategorizasyon tanım ve gereklerine bu satırlarda daha önce değinilmişti. (Bknz.) Kurumsal planda bu gereklerin üzerinde ne kadar spekülasyon yapılırsa yapılsın, iş tasarıma gelince, “başkası ne yapıyorsa biz de yapalım” mantığı halen büyük ölçüde varlığını korumakta.

Bir web varlığının tasarımında bu varlığın temel amacının ne olduğunun net tespiti yapılmaya çalışılsa bile esasta başkasının/rakibin yaptığını taklit etme olgusunun altında, kurumsal amacın bu “başkasından” farklılığının altının çizilememesi yatmakta. Kurumunuzun iş hedef/amaçlarının “başkasından” farksızlığının bu peşin kabulü aslında kurumunuzun iş hedef/amaçlarının tanımında ciddi bir gizli sorun olduğunun işareti. Bu sorunu görüp çözemiyorsanız - iş amaçlarınıza hizmet etmekten uzak bir yığın siteye boş yere kaynak harcamanız bir yana - bu gösterge, kurumunuzun diğer operasyonlarında da ciddi zafiyetler olduğunun bir izdüşümü de sayılabilir.

Dolayısıyla kurumun , iş zekası yaklaşımının (BI- business intelligence) geliştirilmesi , yine kurumun web varlığında beliren bu zafiyetlerin aşılabilmesinde de temel unsurlardan biri olarak beliriyor. BI yöntem ve çözümleriyle bir kurum, hedeflerini/zaaflarını ve bu hedeflere varmada / zaaflarını yok etmede, izlemesi gereken “asıl” yolları keşfetmede büyük hamleler yapabiliyorsa, web varlığının işe yarar hale gelmesini de sağlayabilir.

Bu web sitesi/portal “kimin için ?” ve “ne için ?” sorularına BI çözümleriyle yönelmenin teknik doğruluğu bir yana , özellikle izleyici (müşteri/potansiyel müşteri) gruplandırma /segmentasyonunda daha önce düşünülmemiş önemli ayrıntılar elde edilebilir. İşte web varlığının tasarımının aslında dayanması gereken de bu ayrıntılar da yatmakta.

İzleyicinin eğitim, gelir v.s. profilini gözetmeyen tasarımların cirit attığı bir ortamda bu yazılanlar hoş ama boş olarak algılanabilir. (İnternet bankacılığı sitelerinin bilmem kaç saat devre dışı kalıp ta kimsenin umurunda olmadığını düşündürten bir ortamda yaşanıldığı için özellikle BT’ cileri, bu yazılanlar çok güldürebilirse de web varlığı tasarımının onların esas işi olmadığının altını çizerek, bu neşeyi daha da besleyebiliriz !)

Sonuçta bir W2C web varlığının temel amacı hangi kategoriye girerse girsin (Bknz.) dönüşümdür.(conversion) Birilerini sitenize çekmek zorundasınız. Öte yandan site tasarımıyla ,”dönüşümü” etkilemek , örneğin, “geliş kanallarının çeşitliliği” gibi çok nedenli büyük bir karmaşıklık içerir. Buna motivasyon çeşitliliğini de eklerseniz , tasarımın dayanacağı bulguların yüksek karmaşıklığı göz önüne getirilebilir. O nedenle BI araç ve yöntemleri dışında bu karmaşıklıkla baş etmek mucizedir diyebiliyoruz. Bütün bu süreçteki faktör ve aktörlerin zaman içinde değişkenliğinden ise hiç söz etmedik !

Bu renkli (!) resimde BT yönetimlerine , web varlıklarının alt yapı desteğinin sağlanması dışında “dönüşümün maksimizasyonuna” yönelik teknolojik rehberlik ve destek sağlamak gibi bir görev düşmekte. Kurum içinde bir BI alt yapısı ya da alışkanlığı yoksa ne yazık ki, bu da pek olacak bir iş değil…

“Müşteri”nin, kurumsal BT organizasyonlarının reflekslerini belirlemede anahtar sözcüklerden biri olduğu malum. Bu anahtar sözcüğün kurumsal BT çalışanları açısından çağrışımı ise -genel ,geçer olarak savlayalım- kurumun BT organizasyonu dışındaki diğer birimlerini ve bunların üyelerini tanımlamakta. Bu sözcüğün semantik çözümlemesiyle oynadığımız sanılmamalı. “Müşterinin” kurumun tamamen dışında yer alan bir kesimi tanımladığının çoğu durumda kurumsal BT çalışanları tarafından unutulduğuna işaret etmek zaruri. “Müşteriyi” kurumun içindeki BT harici kesimlere indirgediğinizde asıl olanın “atlanması” doğal sonuç.

Bu yanlış anlamlandırma ve dolayısıyla, çalışma amaç ve biçimini bu algılamaya göre belirleme günümüzün süregelen bir kurumsal BT açmazı olsa da tarihsel bir kökene sahip. Kurumsal BT organizasyonlarının geçmişinde, BT ile diğer birimler arasındaki gerek yapılanma gerekse de insan kaynağı açısından oluşmuş olan ciddi ayrışmanın kalıntısı bu durum.

İlginç olan, bu ayrışmanın getirdiği zafiyetleri gidermede özellikle son 20 yıldır ,kurumsal BT’nin “hizmet odaklı” bir yapılanmaya doğru evrimleşmesi için geliştirilmiş bin bir çeşit çerçevenin (framework) ,BT birimlerini başarılı birer “hizmet organizasyonu” haline sokarken haliyle hizmetin o dönemlerdeki ilk hedef alanlarını, esas müşteri olarak görmelerini dayatması.

Bu geçmişte, dış tedarikin gelişmesi ile birlikte kurumsal BT birimlerinin , dış tedarikçiyi kendilerine çok ciddi bir rakip olarak görmelerinin de etkisini azımsamamak gerek. Dış tedarikçinin “esas müşterisi” (hedefi) kimse dahili BT biriminin de “esas müşterisi” o olmuş durumda. Kurumun dışarıdaki esas müşterisiyle, kurumsal BT arasında oluşmuş çeşit çeşit temsilci, aracı, v.b. bariyerleri de buna eklenince kurumsal BT çalışanı esas müşteriyi göremez, “görse de seçemez” hale gelmiş durumda.

Artık aşılması gereken bu zafiyet temelde kuruma, özelde kurumun BT sine büyük handikaplar getirirken bazı net göstergelere de sahip:

• BT organizasyonu ,kendi dışındaki kurumsal birimleri müşteri olarak tanımladığı anda kendisi ile “onları” kalın bir çizgi ile ayırmış oluyor. (Biz ve onlar..) En iyi olasılıkla kendisini bir” tedarikçi” olarak tanımlamakla aslında kendi strateji ve amaçları/menfaatleri ile kurumunkileri birbirlerinden ayırıyor. (Diğerleri tarafından anlaşılmaz bir dil kullanımı da büyük ölçüde bununla ilgili.) Sonuçta kurumun diğer birim ve çalışanlarının da BT yi onlardan ayrı bir dünyanın sakinleri olarak konumlamalarına da neden oluyor.
• “Müşteri daima haklıdır” özdeyişine bağlanıp, gelen her türlü isteği bir an önce ve “bir şekilde !” karşılamaya çabalıyor. Bir kurumun teknoloji desteğini nasıl kullanabileceği yönünde kafa yormak, kılavuzluk etmek ve “en verimli ve en az hatalı” yolu araştırmak yerine doğrudan bir “sipariş masası” haline geliyor. Bu yaklaşım doğal ki “siparişlerin” de anomali düzeyine çıkmasını beraberinde getirdiği için, hiç bir zaman da “müşterisini !” memnun edemiyor. Ya da çok “politik” bir BT konuşlanması varsa “tek bir müşteriyi !” memnun ederek kendisine bir-iki yıllık tasasız bir yaşam aralığı yaratıyor.

Dışarıdaki esas müşteri ise kendisini “hiç görmeyen ellerce” yazılmış/kurulmuş sistemleri yarım yamalak kuşanıp, önüne çıkmış satış,operasyon v.b. birimleri ile kılıç kalkan oynamakla meşgulmüş, kimin umurunda !

(*) Yukarıda çizilen çerçeveye bir istisna olarak ise Toplam Kalite Yönetimi (TQM) yapılanmalarının derin nüfuz edebildiği kurumlar işaret edilmek durumunda. Bu tür az sayıda kurumda her birim diğerini “müşteri” olarak tanımlamakta olsa da “iç” ve “dış” müşteri kavramlarının net olarak belirlendiği unutulmamalı.

Önümüzdeki 5 yıl içerisinde, BT organizasyonunun katkısının , ölçekli kurumların temel başarı faktörleri içinde yer alacağı kesin. Kurumsal BT’nin değer yaratmadığı durumlarda ise bu kez BT organizasyonları, “temel başarısızlık” faktörleri arasında boy göstermeye devam edecek. Yurt dışı ve yurt içindeki belirsizlikler ve aşırı karışık gözüken kurumsal ortamlar bir yanılsamaya yol açmamalı: Bu durum bir kriz sarhoşluğundan ibaret. Daha derin ve değişik bir global krize girilmedikçe- kısa vadede bu yönde bir belirti yok- önümüzdeki 5 yıl da pek çok taş yerine otururken, BT de içten içe başlamış dönüşüm bu sektördeki herkesi etkileyecek. (BT paradigma kayması için: Bknz.)

Bu süreç, kurumsal BT organizasyonlarını klasik “günah keçisi” pozisyonlarından çıkarıp, yönetim performanslarının, “iş performansı” kriterlerinde ciddi ve metodik sorgulanmasını da beraberinde getirecek. Açıkça tekrarlamaktan bıkmamak gerekmekte: İş yönetiminin kritik faktörleri neyse, BT yönetiminin kritik başarı faktörleri de onlardan ibaret. Kurulu düzeniniz bilmem kaç terrabyte mış, filanca çekirdek yazılımın bilmem kaçıncı yükseltmesini başarıyla tamamlamışsınız, kimsenin umurunda olmayacak. (Aslında şu anda da kimsenin umurunda değil, ama temel sorunlar bu durumu  gizleyebiliyor.)

Bu yeni dönemde, kurumsal BT’de değer yaratabilmek, her türlü belirsizliğin cirit atacağı bir ortamda BT ‘yi yönetebilmek ve “varlığını sürdürebilmek” için, kritik başarı faktörlerini ise basite indirgeyip listelemek olanaklı:

•  Asli unsurları koruyabilmek .(İşi taşıyan BT hizmetlerinin idamesi, şeffaflık ve hesap verebilirlik, proje ve maliyet yönetimi, BT insan kaynağı yönetimi gibi unsurlar)
•  İş gereklerine çözümde inovasyon.
•  BT ve İş süreçlerinin, veri işleme/kullanımının ve alt yapının, topyekün/birlikte karmaşıklığını (karmaşa demek daha doğru olabilir !) azaltmak.
•  Yaratıcı ve katılımcı bir yönetişim sistemi oluşturup, yönetebilmek.
•  BT organizasyonunun içine hapsolmayıp, dışına odaklanmak.( İş ilişkileri ve güven tesisi !)
•  Teknoloji mimarisini iş stratejisiyle çakıştırmak. (Hangi kurumda halen bu gerekten bahsediliyorsa orada büyük sorun vardır !)

 Önümüzdeki dönemde bu temel yetenek testinden bakalım kimler geçecek, kimler kalacak, kimler ise “uzaklaştırma” alacak….

İşlerin bir türlü hızlanmadığı, krizden hızlı çıkış beklentilerinin boşa çıktığı bu günlerde, kurumların BT yönetimleri de en düşük maliyet ve de en düşük faaliyet döneminden ne zaman çıkacaklarını merakla beklemekteler. Yatırım düğmesine yukarıdan basılacağı zamanı beklemek ile eş anlamlı, bu alınan pozisyon. Beklemek yerine bu çıkışta, kurumlarını rakiplerinden çok daha hızla koşturmak için neler yapılması gerektiğini bir an önce belirleyip ,alternatifli iş programlarını hazırlayanlar ise kazanacak.

BT yönetimlerinin bu hazırlığı  nerede nasıl “değer” yaratabileceklerini tespit etmeden yapmaya çalışmaları abesle iştigal. İşin kökünde ise, bir BT organizasyonunun değer yaratmada kullanabileceği iki temel kaldıraç olduğu ise çok yazıldı, çizildi:

1. Bilgi kalitesinin ve bilgi temin hızının arttırılarak kurumsal karar verme mekanizmalarının bir üst düzeye çıkarılması ve,
2. Kurumdaki süreçlerin geliştirilerek ,kurumsal,verim, kalite ve işlevselliğin arttırılması.

Bu iki temel kaldıracın kullanıma alınabilmesi BT yönetimlerinin yüksek değer yaratabilecekleri 4 ana yönelimden birine veya bir kaçına odaklanabilmeleri ile olası.İş için “gerçekten” bir değer yaratabilecek fırsatlar içeren bu ana yönelimleri ise önce formüle edip sonra üzerine gitmek gerekiyor.

Kurumsal karar verme mekanizmalarına ilişkin olarak bunlar;

• Dahili Bilgilendirme: Kurum içi operasyonel kararları geliştirmek için bilgi kalitesine ve bilgi temin hızına ilişkin yönelimler .
• Harici Bilgilendirme: Bilginin ürün ve hizmetlerin içine yerleştirilmesi/eşlik etmesine yönelik olanlar.

Süreç geliştirmeye ilişkin olarak ise;

• Optimizasyon: Dahili süreçlerin teknoloji kullanımıyla geliştirilmesi ya da “dönüştürülmesi”.
• Yeniden Biçimlendirme: Kurumun iş ortaklarının, tedarikçilerin ve müşterilerinin yine kurumun kendisi, ürünleri ve hizmetleri ile etkileşim biçiminin değiştirilmesi, geliştirilmesi ya da “dönüştürülmesi”.

olarak kısaca özetlenebilirler.

Bu dört ana yönelimin getirileri ,”götürüleri”, (maliyet,zahmet ve sonuç alabilme süresi) birbirleriyle eş olmadığı gibi , her kurum için hepsinin birden geçerli yönelim olmadığını da belirtmek gerekiyor. Kurumun ve de BT’sinin mevcut özellikleri  bu 4 ana yönelimden hangisinin (ya da hangilerinin) izlenmeye uygun olduğunun belirleyicisi. Öte yandan bu yönelimlerden her hangi biriyle yola çıkılmasının ,bir diğer kategorik yönelimi tetikleyebileceği de unutulmamak durumunda.

Yine, Dahili Bilgilendirme, Harici Bilgilendirme,Optimizasyon ve Yeniden Biçimlendirme’nin değer yaratmada birbirlerine karşı her hangi bir üstünlükleri olmadığı gibi, bu yönelimlerden her hangi birinde gelişkinliğin “en iyi” (best practice) olarak işaret edilemeyeceği söylenmeli. Önemli olan kurum açısından uygunluk.

Krizden çıkışta rakiplerle bir fark yaratabilmek için BT yönetimleri her bir alana ait zaten oluşmuş fırsatları gözleyip, tespit etmek ve bu fırsatları değere çevirmek için gerekli mali ve idari planlamalarını kurumsal üst yönetimin önüne bir an önce getirmek durumundalar. Oturup, beklemek ise bir süre sonra yukarıdan gelecek ve çoğu zaman da yanlış alınmış karar ve hatalı tercihlerin tutsağı olmanın garantisi olacak…

Kurumsal Bilişimin en baş ağrıcı konularından birinin “Felaketten Geri Dönüş/Kurtarma” (DR= Disaster Recovery) alanı olduğu malum. Bu alanın yönetimi giderek daha karmaşık hale gelirken, uygulamaların odaklanma biçimi de giderek değişmekte. DR yönetimleri gelişmiş ülkelerde, topyekün bir yaklaşımdan ziyade birbirinden farklı sorumluluklara bölünmüş ve artan oranda yine farklı farklı üsteleniciler tarafından yönetilebilecek bir dizi alt fonksiyona doğru evrilmekte.

Ölçekli kurumların DR işlerinde;

• Kurtarma Merkezinin kendisi(barındırma)
• BT altyapı ekipmanı, bunların restorasyonu, yeniden devreye alımı ve rekonfigürasyonu
• Ağ hizmetinin hata telafisi (Network service failover)
• Kullanımdaki iş uygulamalarının (Production application), restorasyonu ve yeniden açılması (reactivation)
• Kullanımdaki verinin (Production data) kurtarılması ve yeniden devreye alımı
• Kurtarma test ve manevra yönetimi

gibi kategorik hizmetler artık tek bir BT birimi ya da üstlenici tarafından yüklenilebilecek boyutları aşmış durumdalar. Bunda aşırı hızla artan karmaşıklığın yanı sıra, teknoloji tabanındaki hızlı ayrışma ve gelişmeler de çok etkili. O nedenle dev hosting/DR merkezlerinde dahi hem bu fonksiyonların yönetimi hem de tedarikçiler hızla ayrışmaktalar.

Öte yandan “Bulut” (Cloud) temelli tesisler de hızla gelişmekte ise de bu temelde bir DR yeteneğinin 7×24 servis düzeyine gelmesi için henüz zaman var. Halen en büyük bulut hizmeti sağlayıcıları bile ölçekli işletmelerin kritik uygulamalarını kesintisiz taşıyabilecek ya da bunların kurtarmasını yapabilecek düzeyde değil. Türkiye’de ise bulut henüz çok yeni bir kavram ve dev yatırım gereklerinden ve şebeke alt yapısının zorluklarından dolayı halen büyük bir oyuncu belirmiş değil.

Gelişmeler bu minvalde olunca yeni DR yapılanmalarına gidecek, ya da yatırımlarını yenileyecek ölçekli kurumların ünlü 80/20 Pareto kuralına göre yol haritaları çizmeleri en pragmatik yöntem. Bu da aslında BT DR bütçelerinin esas itibariyle sadece kritik uygulamaların kurtarma ve yeniden devreye alınmasına odaklanmaları gereğinden başka bir şey değil.

İkinci bir gerek ise DR dış tedarikinde esas karar verme ya da stratejiyi belirleme işinin mutlaka kurumun içinde tutulması. Barındırmadan başlayarak diğer alt fonksiyonların tamamı dış tedarikçiler tarafından üstlenilebilirse de neyin, nasıl, ne zaman ve hangi hizmet düzeylerine (SLA’lar = Service Level Agreements) ait bir karışımla sağlanacağı kurum BT yönetimi tarafından belirlenmek durumunda.

Burada ise bir önemli noktanın altı çizilmek durumunda: kurumsal BT yönetimi gerek kritik uygulamaların tespitini gerekse de bir felaket anında bu kritik uygulamaların kurtarılması,geri dönüşü ve sürdürülmesi için gerekli hizmet düzeyini (SLA’lar) oturup kendi başına belirlememeli. Mutlaka “iş yönetiminin” tepesindekilerle beraber, bu faktörlere ait tespitleri yapmalı ve kararları almalı. Bu türden bir yaklaşım ile “beklentiler yönetilebileceği gibi” ,risklerin yönetiminde abartılı /aşırı maliyetli/ zor çözümlerden kaçınılabilir ve herkesin mutabık kalabileceği optimal çözümler geliştirilebilir ve de son tahlilde,  “kabul edilebilir riskler” alınabilir.

DR yapılanmalarında kendi başına hareket eden BT yönetimleri için ise rahatça “intihar ediyorlar” diyebiliriz…

BT yöneticisi olup da şu serzenişleri duymamış olan herhalde azdır:

Neden bu işler böyle pahalı ?
Bir çok şirket bu işlere para harcamadan da çok başarılı..
Kendim yapsam daha çabuk yapardım !
Benim oğlan yarım saatte eve wireless modem kurdu, seninkiler hala bir iş yapacak !
Tüm BT’yi dışarıdan tedarik etsek daha ucuz ve iyi hizmet alırız !

Bu tür dokundurmalar bir kurumda ya BT’nin ya bir değer yaratamadığını ya da aslında değer yaratsa da bunu fark ettiremediğinin doğrudan göstergesidir aslında. Her iki durumun da ciddi bir soruna işaret ettiği ise çok açıktır.

Bir kötü bir de iyi haber vermek gerekirse; kötü haber bu sorunların çözümünün BT yöneticisine ait olduğu ve onun başkasından bir çözüm bekleyemeyeceğidir. Bir BT yöneticisi kurumun iş kanadı yöneticilerinin BT değeri üzerine bilgi ve kanı sahibi olmalarının onların (!) sorunu olduğunu sanabilir. Aslında bu sorun tam da kendisine aittir. İyi haber ise, çözüm sorumluluğu BT yöneticisine ait olduğuna göre, çözüm sağlanabilir !

Hizmet kalitesi/sürekliliği ve maliyeti konusunda günü idare edebilen, kurumsal BT fonksiyonlarında dahi genel bir iletişim sorunu olduğunu rahatlıkla söyleyebiliriz. BT bir türlü yarattığı değeri kurumun diğer bölümlerine anlatamamakta, bir ifade zorluğu içinde kıvranmakta ya da en kötüsü yukarıda belirttiğimiz gibi bunu başkalarının sorunu olarak algılamakta olabilir.

Öte yandan, değer yaratmakla kalmayıp bunu ifade edebilmek dolayısıyla kurumsal algıları lehine değiştirebilmek için , bir BT yöneticisinin adım adım (adımların sırasını atlayıp değiştirmeden) izleyebileceği bir şablondan söz etmek olanaklı.

1. adım : BT deki yerleşik kavrayış ve algılamanın değiştirilmesi. Değer tuzaklarının bilincine varılıp, bunlardan kaçınılması. Yıllardır yapmaya çalıştığınız işler, kurumsal getiriler açısından bir değer ifade etmiyor olabilir !
2. adım : BT nin değer yarattığının gösterilmesi. Doğru maliyet ve doğru hizmet düzeylerinde ve de doğru hizmetin (!) sağlandığını aktarabilmek. (Bunu yapabilmek için gerçeğin de böyle olduğunu varsayıyoruz.) Bu üç unsurdan biri ya da hepsi yanlış kurgulanmış veya batmış olabilir.
3. adım :BT nin iş performansını gerçekten arttırdığının gösterimi. BT yatırımları ile kurumsal performansın geliştiğine ait kanıtsal bağlantıların bulunup duyurulmasını sağlamak. Bir iş atağını destekleyen/sağlayan BT yatırımının getirisinin ifadesini,o işin yöneticisinden boş yere beklemekte olabilirsiniz.
4. adım :BT ‘nin ötesinde de bir değer sahibi olunduğunun gösterimi. Bir BT üst düzey yöneticisinin/CIO’nun (ilk üç adımı geçtikten sonra) , BT dışındaki alanlardan ek sorumluluklar alıp bunları başarması. BT yöneticisi kurumun icra/idare kurullarında görev almaya, ya da başka fonksiyonlara ait işleri de yönetmeye başladıkça gerçek kurumsal üst yönetici haline gelir.

BT yönetiminin temelinde ,BT’nin tek başına başarısının bir anlamı olmadığı yatar. Kurumun başarılı olması, yani para kazanabilmesidir asli unsur. Bir türlü performansını düzeltemeyen/geliştirmeyen bir kurumun BT fonksiyonu süper olsa ne olur ! Dolayısıyla BT’nin yarattığı değerin bir anlam taşıması için, (yani paranın hakkının verildiğinin kanıtlanması) için kurumun belirli ve sürdürülebilen bir performansı olması şarttır.

Tersten bakarsak performansı dibe vurmuş bir kurumun ayağa kaldırılmasında da BT bir rol oynamışsa bu ancak kurum ayağa kalktıktan sonra anlaşılıp, savlanıp, anlatılabilir. Anlatacak olan ise yine BT yöneticisidir, başkası değil !

Kurumsal Performans Yönetimi (CPM: Corporate Performance Management) Sistemlerinin öneminden söz etmeye gerek yok. Söz edilmesi gereken ise, ölçeğinden bağımsız olarak kurumlarda mevcut raporlama kurgu ve düzeneklerinin (var mı, var !) misali CPM sistemi olarak yorumlanmasının yanlışlığı. Bu yanlışlığın aşılmasında ve bir takım gösterge ve parametrelerin Web temelli bir iç gösterim ile kağıttan elektronik ortama atılmasını CPM olarak algılama zafiyetinin giderilmesinde görev, yine ve maalesef , kurumların BT üst yöneticilerine düşmekte.

Yine ve maalesef ,sözcükleri burada , rastgele seçilmediler. Pek çok başka kurumsal alanda olduğu gibi BT yönetimleri ,orta vadede , “iş yönetimi” bölgelerinde geliştirilmesi gereken ya da sıfırdan kurulması gereken çeşitli uygulamaların öncülüğünü/sözcülüğünü üstlenmek, bu uygulamaların belirli yöntem ve teknoloji kanallarında akmasını sağlamayı üstlenmek zorunda. Zira çoğu kurumda teknoloji tabanlı uygulamaların ve bu uygulamaları belirleyecek metodolojileri besleyecek kaynakların ezici ağırlığı BT’nin elinde olduğu gibi bu kaynakları evirip çevirecek mühendislik disiplini de sadece BT bölümlerine hapsolmuş durumda.

Bu durumun geçici olduğunu ve değişmekte olan BT disiplininin giderek “iş disiplinleri” ile kaynaşıp, erime sürecine girdiğine daha önceki yazılarda işaret edilmişti. CPM uygulamaları işte, tam bu noktadaki iyi örneklerden.

Kapitalizm tarihi, kurumların , kurumsal performans ölçüm ve izleme metodolojileri üzerine giriştiği sayısız ve ağır çabalarla dolu. Son 40 yıldır ise Edward Deming’in 50-60 yıl önce geliştirmeye başladığı yöntemlerin 70li yıllarda Japon endüstrisine aktarımından , sonraları da , Baldridge, Kaplan ve Norton gibi isimlerin önemli şematiklerinin iş dünyasında takipçilerinin oluşmasından bu yana çok zaman geçti. Öyle ki ortaya çıkmış olan metodolojilere bu gün “geleneksel” CPM metodolojileri diyebiliyoruz.

Kalite odaklı ve süreçlere yönelik; Lean/Six Sigma, EFQM/TQM, M.Baldridge,Kaizen gibi kavram ve metodolojiler bir yanda, strateji odaklı ve performans yönetimine yönelik; Balanced Score Card, EVA, ABC/ABM, Performance Prism gibi kavram ve metodolojiler diğer yanda, belirli bir ölçeğin üzerindeki kurumlara bir şekilde sirayet ettiler ve tümü artık “geleneksel”, şemsiye tanımı altında.

İçinde yaşadığımız dönemde ise bu geleneksel kavram ve metodolojilerin birbirleriyle karıştırılmasından oluşmuş esas itibariyle “melez” (hybrid) yaklaşımların söz konusu olmasının yanı sıra, bu hareketli geçmişte olmayan çok ağır bir teknolojik olanak faktörü mevcut. Geçmişin deneyimleri de kurumlara tek bir CPM metodolojisinin yeterli olmadığını ,bu disiplinlerden her birinin kendine ait güçleri ve zayıflıkları olduğunu ,aşırı masraflı da olsa zorla öğretmiş durumda.

Öte yandan bu düşe kalka öğrenim, özellikle pahalı başarısızlıkların da bir getirisi olarak CPM’i çekirdek finansal alanlara doğru yoğunlaştırmış/hapsetmiş halde.(Bütçe, Planlama, bunların tahminleri, Finansal Konsolidasyon, Finansal veya Resmi raporlama v.b.). Bu olgu tamamıyla negatif bir şey olmasa da , örneğin karlılığı tetikleyici unsurlara ve strateji yönetimlerine ait daha vurucu ve temel sonuç sağlayıcı CPM yaklaşımlarının bu gün için geri planda kalmasına yol açmakta.

Burada esas unsur periyodik olarak geriye bakıp bir şeyler yapmaktansa, gerideki verileri de kullanarak ,o anki ve ileriye dönük gelişmeleri öngörebilmek , kurumun ve pazarının asli faaliyet göstergelerinde oluşan yeni biçimlenmeleri önceden kavrayabilmekte.

Özellikle “biçimlenmelerin tespiti” (patern detection) yıllardır var olan bir kavram , ama bilim ve teknolojiden, iş yaşamına ancak yeni yeni geçebilmekte. Burada şüphesiz bu çerçevede bir CPM yönelimine gidebilmek için gerekli teknolojilerin ucuzlaması ve uç “iş kullanıcısı” için erişilebilir ve rahatça kullanılıp/yönetilebilir olmasının da önemi belirleyici.

İşte bu nedenle, bu yeni teknolojileri , eskinin kavramlarının yeniden tanımlanmış halleriyle kuruma getirilmesinde BT yönetimlerinden başka “üstlenici” yok diyoruz. En azından şimdilik…

Kurumsal Bilişim Güvenliği çerçevesinde ilgili yönetimin zaman zaman uğraşmak zorunda kaldığı işlerden biri kurum dahilindeki bazı “ihlallerin” veya varlığından şüphe edilen “ihlallerin” araştırılması ve incelenmesidir. Bu gerek; doğrudan kurumsal yönetim unsurlarının talebiyle oluşabileceği gibi kamu otoritelerinin ya da adli mercilerin resmi istekleri çerçevesinde de BT yöneticisinin önünde belirebilir.Talebe konu olay veya duyumun özelliklerine göre teknik alanda yapılması gereken işlemler ile kullanılması gereken yöntem ve araçlar her zaman sorunlu ve zahmetli olmuştur ve bu olumsuzluk, teknolojinin ilerlemesi ve kullanıcıların “öğrenme” hızı nedeniyle giderek yükselen bir eğilim taşımaktadır.

Kurum ağı ve BT ekipmanlarında bir olay gerçekleştikten sonra onunla ilgili delil ve kanıtların bulunup incelenmesi olan BT forensiğinin, çok geniş ve “derin” alanının her yönüyle bir BT yöneticisi tarafından bilinmesi, hele hele kurumun iş kanadı yöneticilerince bilinmesi şüphesiz beklenemez.

Öte yandan konunun hukuki yönü de teknik yönü kadar önem taşımaktadır. Ölçekli kurumlarda BT ya da BT Güvenlik sorumlularının yasal konularla ilgili danışabileceği birimler bulunabilse de, orta ölçek ve daha küçük organizasyonlarda bu tür bir olanak yoktur. Bu alt ölçekte, BT yöneticisi işin hukuki tarafını el yordamıyla, sağa sola başvurarak öğrenmek ve uygulamaya çalışmak zorundadır.

Her durumda BT yönetimi etik olarak, hem kendisini, hem kurumu, hem de forensik incelemeye tabii olacak ekipmanın kullanıcısı olan çalışanın özlük ve yasal haklarını korumak ve gözetmek durumundadır. Bu da takdir edilebilir ki, hem içinde birbiriyle çelişebilir öğeler barındırdığından hem de bu tür incelemelerde mevcut “panik” ve zaman basınçlarından dolayı çok kolay gerçekleştirilebilir bir iş değildir.

Bu genel çerçeveden hareketle en temel uygulamalardan birine bakalım: Disk Kopyalama. “…Bilgisayar disklerine el kondu.., ya da bilgisayar diskleri kopyalandı…” gibi tümcelerle medyada da yoğun bir şekilde bahsi geçen konu aslında ,kurumsal BT forensiğinde de sık sık rastlanılan bir olgudur.

Bu işlemlerde yukarıda belirtilen üç ana unsurun, (kurum ,BT yönetimi, ve çalışan) yasal ve özel haklarının korunabilmesi için gelişmiş ülkelerin BT forensiğinde ve bu işlemler sonucu elde edilen kanıt veya delilerin (ya da bir kanıt bulunamadığının) hem yasal, hem de kurumsal zeminde ifade edilmesinde temel aranan şart; kanıtların dayandığı elektronik ortamın “ellenmemiş” ve “orijinal halde” ve “zamanda” olduğunun da kanıtlanmasıdır.

İster kurumsal BT tarafından isterse de dış kaynak uzmanlar ya da adli merciler tarafından getirilsin bir elektronik ortamda bu temel şart sağlanmamışsa elde edilen ortamın geçerliliği yoktur. Aksi durumda bahsettiğimiz üç unsurun da başına adli/mali açıdan bir çok şey gelebilir. Tabii gelişmiş örnekleri kastettiğimizi tekrar söyleyelim.

Bu alanda kullanılan (ve de kullanılması gereken) genel teknik “kriptografik hash” tekniğidir. Başka bir deyimle “checksum” tekniklerinin daha gelişmişi de diyebiliriz. Bu teknikte şüpheli veri toplamı orijinal kaynağında iken bir algoritmaya tabii tutulur ve bir “hash “değeri elde edilir. Veri ortamı yerinden alınsa da “kopyalansa” da veriye (yani mevcut her türlü dosyaya” ya da diskin gizli alanlarına müdahale edilmedikçe , aynı algoritmanın tekrar çalıştırılması aynı sonucu verir. Böylece kanıtların “oynanmamış” olduğu ileri sürülebilir.

Şüphesiz her hangi bir algoritma bu iş için yeterli değildir. Checksum’lar başka tekniklerle aldatılabilir veya oynanabilir özellikler taşırlar. O nedenle “kriptografik hash” deyimini kullandık. Kriptografik hash yöntemleriyle elde edilen çıktı da bir seri karakterdir (string). (Teorik olarak ayrı iki veri bloğundan aynı algoritma ile aynı karakter dizinini elde etmek olasılığı 2 üzeri 65 de bir civarlarında bu günlerde.)

Yine günümüzün en popüler iki algoritmasının dahi bazı istismar edilebilecek bazı güvenlik açıkları olduğu bilinmekte. Ancak yukarıdaki olasılık rakamının çok düşük olması nedeniyle bu durum -biraz da mecburen - göz ardı edilmekte.

En popüler iki algoritmaya gelince; bazı güvenlik açıklarına karşın bunlardan en yaygını MD5 (Message Digest Algorithm) ve 1990 lardan beri kullanımda. Diğeri ise Amerikan NSA’nın (National Security Agency ) geliştirdiği MD5 e alternatif bir algoritma ailesi olan SHA (Secure Hash Algorithm). Bu grup MD5 den daha güvenli olmasına karşın SHA-1 serisinde de bir güvenlik açığı bulunmuştu. (Bu işlerde %100 güvenlik diye bir şey yok malum.)

Bu tür “sağlama” ve “güvenilirlik” işlerine ülkemizde bu gün gereken önem verilmiyor olabilir. Ama yarın ?
(*) Konuya yabancı olabilecekler için MD5′den bir örnek verelim:
MD5 Hash: (”Computer Forensics”) = 7e48ea010d29aa81311d0fa10afa9ea4
MD5 Hash: (”computer forensics”) = 982952ca09c9f9a6e11f0db4ed4c1b39
Görüldüğü üzere sadece “C ve F ” harfleri büyükten küçüğe dönüşse bile hash değeri çok farklı olarak çıkıyor.