CobiT, ITIL, ISO/IEC 20000 ve TS ISO/IEC 27001:2005-A.10
Bilginin güvenliği için BT operasyonları nasıl yönetilmeli? İlişkili dokümanlar arası yapıyı nasıl kurmalıyız?
Bilgi teknolojilerinin iç çalışması ve operasyonlarının yönetimi, bilgi güvenliğinden bağımsız ele alınan, kendi içinde neredeyse bir meslek haline gelen bir konu. Üstelik iki ayrı kıtada geliştirilmesine devam edilen iki ayrı standart bu konuya cevap arıyorlar. ABD’de geliştirilen CobiT, bilgi teknolojilerinin yönetilmesinde ne yapılacağını tanımlamaya çalışıyor. Buna karşın Atlas okyanusunun diğer ucunda, İngiltere’de geliştirilen “Bilgi Teknolojileri Altyapı Kütüphanesi”, orijinal kısaltmasıyla ITIL, yönetimin nasıl yapılması gerektiğini tanımlıyor.
CobiT, daha buyurgan bir yapıya sahip, nasıl yapacağınıza karışmadan, ne yapılması gerektiğini söylüyor. Sonra da hem iç hem de dış denetimlere kolaylık sağlamak için bu yapılması gerekenlerin sorgulanmasına ilişkin bilgiler veriyor.
CobiT’in en önemli avantajı, CMM (Capacity Maturity Model)’i esas alan bir değerlendirme ölçütü sunuyor olmasında yatıyor. Bu sayede hem bulunduğumuz yeri sektör ve ülke durumu ile karşılaştırabiliyor, hem de iç ve dış hedefler koyabiliyoruz.
1980’lerin başına devlet kurumlarındaki BT yapısının ve verilen hizmetlerin yetersiz olduğunu fark eden İngiliz hükümeti, başlangıçta sadece devlet kurumlarında kullanılmak üzere bir doküman hazırladı. İlk adı “Government Information Technology Infrastructure Management/Devlet Bilgi Teknolojileri Altyapı Yönetimi” olan bu kaynak, devlet kurumlarının bilgi teknolojilerini nasıl yönetmeleri gerektiğini tanımlıyordu. 1990’larda yaygınlaşan ve devlet kurumları dışında da kullanılmaya başlanan ITIL, 2000’lerin başında Microsoft’un ürünleriyle entegre ederek çıkardığı MOF – “Microsoft Operations Framework/Microsoft Operasyon Çerçevesi” ile daha da ünlendi. Bilgi teknolojilerinin ve düzeninin değişmesine bağlı olarak düzenli olarak yenilenen bu dokümanın önce 2001 yılında ikinci sürümü, sonra da 2007’de üçüncü sürümü çıktı.
Ancak hem CobiT’in, hem de ITIL’ın ortak bir problemi var. Her ikisi de BT yönetimi ile ilgileniyor ancak bu yapının sürekliliği ve kalıcılığı üzerine çalışmıyor. Bu nedenle her ikisine de yönetim sistemleri adına “standart” diyemiyoruz. Bu eksiği kapatacak çalışma yine İngiltere’den çıktı. 2000’lerin başında BT hizmet yönetimini esas alan İngiliz Standardı (British Standard – BS) hazırlandı ve “BS 15000” kodunu alarak yayınlandı. Bu standart, daha sonra 2005 yılında ISO/IEC 20000 kodu altında uluslar arası hale getirildi.
ISO/IEC 20000 iki bölümden oluşuyor. İlk bölüm BT servis yönetiminde olması gereken kuralları (şartlar) ortaya koyuyor. Bu sayede BT servis yönetimini gereken şartlara göre yapan kurumlar bağımsız değerlendirme gerçekleştirerek, sertifika alma şansı kazanabilir. İkinci bölüm ise, ISO/IEC 20000’e uyumluluk için yapılabilecek farklı uygulamaları tanımlıyor. Bu doküman, en iyi uygulamalar bir zorunluluk olmadan tariflendiği için, sertifikalayabilir bir belge niteliği taşımıyor.
Hem CobiT, hem ITIL, hem de ISO/IEC 20000 bilgi teknolojileri (BT) hizmet yönetimini bir bütün olarak ele alıyor. Ancak bu konuların bilgi güvenliği ile ilişkisi esas olarak ISO/IEC 27001’in içinde yer buluyor. Standardın A.10.1 numaralı bölümü, kontrol hedefi olarak “Bilgi işleme olanaklarının doğru ve güvenli işletimini sağlamak” cümlesini kullanmış. Buradaki esas amaç bilginin elektronik ortamda saklandığı, işlendiği ve aktarıldığı ortamların doğru yönetilmelerini sağlamaktır.
Hedefe ulaşma yolunda ilk kontrol, işletim süreçlerinin yazılı hale getirilmesi gerektiğini söylüyor.
Dokümanlar hangi detayda, ne uzunlukta yazılmalı?
Bu soru hem sistemi kuranlar, hem de değerlendiren ve denetleyenler tarafından sorulan, cevaplaması somut delillere bağlı olmayan, bir durum. Gerçekleştirme ölçüsü kuruluşun büyüklüğüne ve yapısına uygun tasalanmalıdır. Çok sayıda çalışan personeli olan, hızlı eleman değişimi yaşayan büyük bir kuruluş, az sayıda ancak konusunda çok deneyimli bir kadronun tüm işi yaptığı küçük bir kuruluşa göre daha fazla doküman yaratmalı, daha detaylı açıklamaları yazılı hale getirmelidir. Çalışan değişikliğinin çok yaşandığı ortamlarda, örneğin çağrı merkezlerinde ve askeri birliklerde fotokopi nasıl çekilir talimatı bile yazılı hale getirilmeli. Oysa yirmi yıldır çalışanları değişmeyen küçük bir aile işletmesinde çok daha önemli konular bile yazılı olmayabilir. Burada önemli olan operasyonun her seferinde aynı şekilde gerçekleştirilmesi ve gerekli değişikliklerin, ilerlemenin kontrol edilebilmesidir.