Menu
Denetim IT Çatışması

Denetim ile IT Arasında Görünmeyen Çatışma

Denetim ile IT Arasında Görünmeyen Çatışma

Mevzuatın Söylediği mi, IT de Yapılabilen mi?

Kurumsal denetim süreçlerinde sık karşılaşılan bir durum vardır. Müfettişler mevzuatı göstererek mevzuata aykırı derken, IT bunu bu şekilde uygulamak mümkün değil yanıtını verir. Sorun tam da burada başlar. Yazılı düzenlemeler ile çalışan sistemler arasında görünmeyen bir boşluk oluşur. Denetim tarafı olması gerekeni esas alırken, IT ekipleri gerçekte çalışan sistemi merkeze alır. Denetim perspektifinde teknik detaydan ziyade şu soru öne çıkar: “Bu sistem hangi kararları etkiliyor ve bu kararların sahibi kim?” IT tarafında ise öncelik nettir, sistemin sürekliliğini sağlamak. Bu iki yaklaşım, çoğu zaman aynı noktada buluşmakta zorlanır.

IT tarafı kendi bakış açısıyla, müfettişler kendi bakış açısıyla konuya yaklaşır, Bilgi Güvenliği tam da bu gibi durumlarda hem mevzuata uyum sağlanabilecek hem de iş sürekliliğini kesmeyecek bir orta yol bulmaya çalışır. Bu çalışmaları yapan Bilgi Güvenliği uzmanlarının hem teknik yeterliliği hem de mevzuat bilgisi olması gerekir.

Mevzuat ve Soyut Beklentiler

Birçok regülasyonda şu tür ifadeler vardır; erişimler kontrol altında olmalı, loglar izlenmeli, yetkilendirme güvenli yapılmalı gibi. Bu ifadeler doğru olmakla birlikte, mevzuat uygulamaya dair net bir yol haritası sunmaz. Denetim tarafı bu beklentileri deneyim ve risk algısına göre yorumlarken, IT ekipleri mevcut sistem mimarisi, güvenlik ve teknik sınırlar içinde çözüm üretmeye çalışır.

Özellikle yeni teknolojiler söz konusu olduğunda, teoride uygun görülen çözümlerin pratikte uygulanması her zaman kolay değildir. Bu nedenle denetim tarafının beklentisi soyut kalırken, IT tarafının karşılaştığı sorunlar oldukça somut hale gelir.

Mevzuat maddelerine uyum sağlamamak evet bulgu getirir ancak sadece bulgu çözmek için bir sistemin istenildiği şekilde çalışmaması durumu oluşması veya bulgunun kritikliğine bağlı şekilde, düşük riskli bir bulgu için çok fazla efor sarf ederek veya yüksek maliyetli alımlar yaparak bulgu kapatmaya çalışmak da ayrı bir sorun oluşturur. Yapılması gereken; şirket envanterinde olan ürünlerle ve süreçlerle riskleri azaltmaya, telafi etmeye (compensating) veya karşıt önlem almaya (countermeasure) çalışılarak güvenlik riskleri minimize edilmesi ve mevzuata uyum sağlanmasıdır. Bu aşamada Bilgi Güvenliğinin iş süreçleri sahibiyle beraber riskleri anlaması ve risk hesaplaması yaparak maliyet-risk analizi yapması, yanlış satın alımların ve ekiplerin boşa efor sarf etmesinin önüne geçer.

IT’nin Gerçek Sınırlamaları

Dışarıdan bakıldığında teknik ekipler her şeyi yapabilir gibi görünsede, pratikte ciddi sınırlamalar vardır. Bu sınırlamalarda en çok karşımıza çıkan zorluklar aşağıdaki gibidir.

  • Legacy sistemler: Güncellenmesi zor, hatta bazen mümkün olmayan yapılar hâlâ aktif olarak kullanılmaktadır. Bu sistemlerde yapılacak her değişiklik yüksek risk içerir.
  • Üretim ortamı riski: Canlı sistemlerde yapılan değişiklikler, hizmet kesintisi veya performans sorunlarına yol açabilir. Bu nedenle IT ekipleri çoğu zaman maksimum güvenlik yerine sürdürülebilir güvenlik yaklaşımını benimser. Test ve Prod ortamın birbirinin aynısının olmaması da testte sorun çıkarmayan bir değişikliğin, prod ortamda sorun çıkarması olarak da karşımıza çıkabilir.
  • Kaynak kısıtları: Zaman, bütçe ve insan kaynağı sınırlıdır. Her yeni kontrol, başka bir önceliğin geri planda kalmasına neden olabilir.
  • Değişiklik riski: Kağıt üzerinde doğru görünen bir kontrol, uygulamada yeni hatalara veya güvenlik açıklarına yol açabilir.

Bu gerçekler nedeniyle çoğunlukla şu yaklaşım benimsenir: “%100 güvenlik değil, optimum güvenlik” çünkü bilişimde %100 güvenlik pratikte her zaman mümkün değildir, önemli olan riskin bilinçli şekilde yönetilmesidir.

IT ve Müfettişler Arasındaki Bakış Açısı Farkı

Çatışmanın temelinde teknik eksiklikten çok perspektif farkı bulunur. Denetim tarafı genellikle şu soruyu sorar: “Bu kontrol neden yok?” IT tarafı ise şu soruyla yaklaşır: “Bu kontrol bu şekilde uygulanırsa sistem çalışmaya devam eder mi?” Bir taraf riski görünür kılmaya çalışırken, diğer taraf riski yöneterek sistemi ayakta tutmaya odaklanır.

Risk Odaklı Yaklaşım

Bu noktada çözüm, risk odaklı bir bakış açısında yatmaktadır. Kontrol var mı yok mu, sorusunun ötesine geçildiğinde şu sorular daha anlamlı hale gelir:

  • Bu risk şu an nasıl yönetiliyor?
  • Alternatif kontrol mekanizmaları var mı?
  • Önerilen kontrolün iş süreçlerine etkisi ne olur?
  • Bu risk kurumsal olarak kabul edilmiş mi?

Bu yaklaşım, tartışmayı eksik kontrol üzerinden değil, risk yönetimi üzerinden ilerletir.

Ya Hep Ya Hiç Yaklaşımının Sınırları

Bazı denetimlerde, tam uygulanmıyorsa yetersizdir, yaklaşımı görülebilir. Ancak pratikte güvenlik çoğu zaman bir denge meselesidir. Her kontrolün bir maliyeti ve bir etkisi vardır. Bu nedenle kurumlar zaman zaman bilinçli olarak optimum güvenlik olacak şekilde iş sürekliliğini eksiksiz yapmaya çalışır. Bu yaklaşım bir eksiklik değil, risk-temelli bir kararın sonucudur.

Doğru Sorular

Bir kontrol eksik olduğunda odak şu sorulara kaymalıdır: “Bu durum nasıl yönetiliyor, yerine geçen bir kontrol var mı, iş sürekliliğine etkisi ne olur, risk kabul edilmiş ve belgelendirilmiş mi?“ Bu sorular, daha yapıcı ve gerçekçi bir diyalog kurulmasını sağlar.

Çözüm: Ortak Zemin

Çözüm, tarafların birbirinin gerçekliğini kabul etmesiyle başlar. Denetim tarafının teknik uygulamayı anlamaya yönelmesi, IT tarafının ise riskleri daha şeffaf ve ölçülebilir şekilde ifade etmesi kritik önem taşır. Yapılamaz yerine, hangi koşullarda yapılabilir sorusunun sorulması süreci ileri taşır. Ortak bir dil oluşturulmadıkça; denetim katı, IT ise dirençli olarak algılanmaya devam eder.

Sonuç

Denetim ve IT arasındaki bu gerilim, aslında iki farklı bakış açısının doğal sonucudur. Her iki taraf da aslında aynı hedefe hizmet eder; kurumu korumak ve riskleri yönetmek, ancak biri mevzuat diliyle, diğeri teknik gerçeklik diliyle konuşur.

Güvenlik, bu iki dili birbirine çevirebilme becerisidir. Yazılan ile yapılan arasında doğru denge kurulduğunda hem mevzuata uyum, hem güvenlik, hem de iş sürekliliği birlikte sağlanabilir.

Related Posts