Bölüm 1
Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu tarafından hazırlanan Bilgi Sistemleri İşletimi ve Bilgi Sistemleri Bağımsız Denetim Sınavı çalışma notlarının ilk bölümünü ele alacağız. otuz bir Aralık iki bin yirmi beş tarihli güncel müfredatı temsil eden bu notlar, Sermaye Piyasası Kurulu uzmanları Cem Ergül, Nezihe Uygun, Ceren Tosun ve Ceyhun Tokmak tarafından kaleme alınmıştır. Dersimiz kapsamında bilgi sistemleri altyapısı, operasyonları ve sürekliliği konularını derinlemesine inceleyeceğiz. Bilgi sistemleri altyapısı, bir işletmede kullanılan tüm teknolojik çözümlerin işletilmesini ve çalıştırılmasını sağlayan bileşenlerin bütünüdür. İş süreçlerinin beklenen verimlilikte yürütülmesi için bu altyapının iş ihtiyaçlarına uygun ve belirli kriterler çerçevesinde yönetilmesi esastır. Sınav hazırlık sürecinde, altyapı unsurlarının Sermaye Piyasası Kurulu mevzuatı ve uluslararası standartlar ışığında nasıl ele alındığını kavramak büyük önem taşımaktadır. Bilgisayar kavramı, en temel ifadeyle kullanıcıdan veriyi alan, işleyen, saklayan ve tekrar sunan elektronik bir cihazı temsil eder. Bilgisayar mimarisi ise işletim sistemi ile etkileşime giren, hiyerarşik yapıda düzenlenmiş devre ve mantık katmanlarından oluşur. Bu hiyerarşinin temelinde donanım ve gömülü kodlar olan firmware bulunur. Bir üst seviyede ise çekirdek yani kernel fonksiyonları yer alır. Çekirdek, kesinti işleme yönetimi, işlem oluşturma ve sonlandırma, işlem durum değişimi, görev dağıtımı, işlem senkronizasyonu, işlemler arası iletişim, girdi çıktı işlemleri desteği ile belleğin tahsisi ve serbest bırakılması gibi kritik görevleri yürütür. Çekirdek, çoğu kullanıcının erişiminin kısıtlandığı son derece ayrıcalıklı bir alandır ve bu ayrım sistem güvenliği açısından temel bir unsurdur. Sistem yazılımı olarak adlandırılan işlemler, bilgisayar sistemini çalıştırmak, kontrol etmek ve sürdürmek için kullanılan programların toplamıdır. Bu yazılımlar sistemin bütünlüğünü sağlar, program akışını kontrol eder ve arayüzleri yönetir. Bilgi sistemleri altyapısı en genel anlamda donanım ve yazılımdan oluşmaktadır. Donanım, fiziksel cihazları veya parçaları ifade ederken, yazılım bu donanımların bir işi nasıl yapması gerektiğini tarif eden komutlar dizisidir. Altyapı bileşenlerini kullanıcı donanımları, sunucu donanımları, ağ donanımları ve yazılımlar olarak dört ana kategoride sınıflandırabiliriz. Kullanıcı donanımları arasında dizüstü ve masaüstü bilgisayarlar, tabletler ve akıllı telefonlar yer alırken, ağ donanımları yönlendiriciler, güvenlik duvarları ve anahtarlardan oluşur. Temel donanım bileşenlerini incelediğimizde, çevre birimleri, merkezi işlem birimi ve depolama birimleri karşımıza çıkar. Çevre birimleri veriyi dış dünyadan almak ve sonuçları iletmek için kullanılır ve tümü merkezi işlem birimi tarafından yönetilir. Giriş birimleri klavye, fare, mikrofon ve kamera gibi cihazları kapsarken, çıkış birimleri ekran, yazıcı ve ses sistemlerini içerir. Merkezi işlem birimi yani CPU, veri ve komutları işleyen ana birimdir ve işlemci olmaksızın hiçbir donanım işlev göremez. CPU içerisinde matematiksel ve mantıksal işlemlerin yapıldığı aritmetik mantık birimi, komut trafiğini yöneten kontrol birimi ve yüksek hızlı geçici bellek olan ön bellek bulunur. Depolama birimleri ise işlenen verilerin tutulduğu alanlardır. Ana bellek yani RAM, bilgisayarın birincil depolama ünitesidir, yüksek hızlıdır ancak geçici bir yapıya sahiptir. Bilgisayar kapatıldığında buradaki veriler silinir. İkincil depolama ise verilerin kalıcı olarak saklandığı, hızı ana belleğe göre daha düşük olan birimlerdir. Bunlar manyetik, optik ve katı hal sürücüleri yani SSD olarak sınıflandırılır. Son yıllarda grafik işleme birimleri olan GPU kullanımı, merkezi işlemcilere göre daha yüksek hız ve işlem kapasitesi sunduğu için büyük veri, yapay zeka ve blok zincir teknolojilerinde kritik bir rol oynamaya başlamıştır. Bu teknik detaylar sınavda donanım performansının değerlendirilmesi aşamasında karşınıza çıkabilir. Bilgisayarları büyüklüklerine göre sınıflandırdığımızda süper bilgisayarlar, ana çatı yani mainframe bilgisayarlar, mini bilgisayarlar ve kişisel bilgisayarlar ile karşılaşırız. Süper bilgisayarlar, bilimsel araştırmalar gibi çok karmaşık hesaplamalar için tasarlanmış yüksek maliyetli cihazlardır. Mainframe bilgisayarlar ise günlük bir trilyona kadar işlem yapabilen, yüksek güvenlik ve esneklik sunan, büyük kuruluşların veri ambarı olarak kullandığı sistemlerdir. Kişisel bilgisayarlar ise bireysel kullanım için tasarlanmış mikro bilgisayarlardır. Bu kategoride yer alan ince istemciler, kendi kaynakları olmayan ve işlem yapmak için bir sunucuya ihtiyaç duyan cihazlardır. Dizüstü bilgisayarlar ise taşınabilir olmaları sebebiyle hırsızlık ve veri sızıntısı risklerine karşı daha savunmasızdır, bu durum denetim süreçlerinde özel dikkat gerektirir. Ağ mimarisine göre bilgisayarlar eşler arası yani peer to peer ve istemci sunucu mimarisi olarak ikiye ayrılır. Eşler arası modelde merkezi bir otorite yoktur, her kullanıcı ağın ortağıdır. Günümüzde yaygın olan istemci sunucu mimarisinde ise sunucular sistemi yönetir, istemciler ise hizmet talep eder. Bu mimaride sunucular paketleri kabul edebilir, reddedebilir veya bağlantıyı kesebilir. Veri akışı bağlantı noktaları yani portlar üzerinden sağlanır. İstemci sunucu mimarisinin merkezi yönetim ve veri kurtarma gibi avantajları olsa da, hizmet reddi saldırıları ve ortadaki adam saldırıları gibi riskleri bulunmaktadır. Bu risklerin yönetimi, bilgi sistemleri işletiminin temel konularından biridir. Görevlerine göre sunucu bilgisayarlar arasında uygulama, web, veri tabanı, dosya, e-posta, vekil, DNS, DHCP ve FTP sunucuları bulunur. Uygulama sunucuları karmaşık yazılımları barındırırken, web sunucuları internet sitesi içeriğini sunar. Web sunucuları HTTP için seksen, HTTPS için dört yüz kırk üç numaralı bağlantı noktalarını kullanır. Veri tabanı sunucuları ise Microsoft SQL veya Oracle gibi sistemleri barındırır ve güvenlik gerekçesiyle genellikle uygulama sunucularından ayrı tutulur. Dosya sunucuları verilerin merkezi olarak saklanmasını ve yedeklenmesini sağlar. Yazıcı sunucuları ise baskı kuyruklarını yönetir. Bu sunucu türlerinin işlevlerini ve kullandıkları port numaralarını bilmek sınavda teknik soruları yanıtlamanıza yardımcı olacaktır. Elektronik posta sunucuları, SMTP protokolünü kullanarak iletişim sağlar ve genellikle yirmi beş, beş yüz seksen yedi ve yüz on numaralı portları kullanır. E-posta sistemleri oltalama ve fidye yazılımı gibi saldırıların ana hedefidir. Bu riskleri azaltmak için Gönderen Politikası Çerçevesi olan SPF, Alan Anahtarı Tanımlı Posta olan DKIM ve DMARC protokolleri kullanılır. SPF, hangi sunucuların e-posta göndermeye yetkili olduğunu DNS kayıtları üzerinden belirler. DKIM, kriptografik imzalama ile e-postanın içeriğinin değiştirilmediğini doğrular. DMARC ise bu iki protokolü birleştirerek raporlama yeteneği kazandırır. Bu güvenlik katmanlarının doğru yapılandırılması, kurumsal iletişimin güvenliği için elzemdir. Vekil yani proxy sunucular, istemci ile hedef sunucu arasında aracı görevi görerek güvenliği ve performansı artırır. DNS sunucuları ise alan adlarını IP adreslerine çevirir ve elli üç numaralı portu kullanır. DHCP sunucuları ağdaki cihazlara otomatik IP adresi atarken, FTP sunucuları dosya aktarımı için kullanılır. Atlama yani jump sunucuları ise farklı güvenlik bölgeleri arasında kontrollü erişim sağlayan, sıkılaştırılmış cihazlardır. Jump sunucularında çok faktörlü kimlik doğrulama kullanılması, internet erişiminin kısıtlanması ve iz kayıtlarının sürekli takip edilmesi güvenlik açısından zorunludur. Kimlik doğrulama sunucuları ise LDAP gibi protokollerle kullanıcı yetkilerini kontrol ederken, NTP sunucuları ağdaki tüm cihazların saatlerini UTC ile senkronize eder. Son olarak sunucuları yapılarına göre fiziksel ve sanal olarak ikiye ayırıyoruz. Fiziksel sunucular tüm kaynaklarını tek bir işletim sistemine tahsis eden geleneksel donanımlardır. Sanal sunucular ise sanallaştırma yazılımları sayesinde bir fiziksel donanım üzerinde birden fazla işletim sisteminin çalıştırılmasına olanak tanır. Sanallaştırma, kaynakların verimli kullanılmasını ve maliyet avantajı sağlar. Veri merkezleri bu teknolojiyi kullanarak farklı müşterilere paylaşımlı hizmet sunabilir. Ancak paylaşımlı kullanımın güvenlik, log izleme ve mevzuata uyum açısından riskler barındırabileceği unutulmamalıdır. Bilgi sistemleri altyapısının bu temel taşlarını anlamak, operasyonel süreçlerin ve denetim faaliyetlerinin temelini oluşturmaktadır.
Bölüm 2
Bilgi sistemleri altyapısının güvenliği ve işlevselliği açısından kritik öneme sahip olan sunucu türlerini inceleyerek dersimize başlayalım. Doğrulama sunucuları, bir uygulamaya veya hizmete bağlanan kullanıcıların kimliklerini teyit eden özel ağ sunucularıdır. Bu sunucuların temel amacı, arkasındaki uygulama, depolama alanı veya diğer bilgi sistemi kaynaklarına yalnızca yetkili ve kimliği doğrulanmış uç noktaların erişmesini sağlamaktır. Bu uç noktalar bir son kullanıcı olabileceği gibi bir bilgisayar, sunucu veya başka bir uygulama da olabilir. Kimlik doğrulama sunucusu, erişim talebinde bulunan her bir sistem için geçerli kimlik bilgilerini doğrulamakla yükümlüdür. Bu noktada sınav açısından teknik bir ayrıma dikkat etmek gerekir. Windows tabanlı sistemlerde yaygın olarak LDAP protokolü kullanılırken, Unix sistemler için Centrify gibi çözümler örnek gösterilebilir. Bir diğer önemli sunucu türü ise Ağ Zaman Protokolü yani NTP sunucusudur. NTP sunucuları, bilgisayar ağlarındaki saat bilgilerinin evrensel koordineli zaman olan UTC ile senkronize edilmesini sağlar. Cihazların atomik bir saatten alınan kesin zaman bilgisini talep etmesine olanak tanıyan bu protokol, sistem günlüklerinin tutarlılığı ve güvenlik denetimleri için hayati önem taşır. Sunucu bilgisayarları yapılarına göre fiziksel ve sanal olmak üzere iki ana grupta incelemek mümkündür. Fiziksel sunucular, donanım kaynaklarını yani ana belleği ve merkezi işlem birimini sadece kendi üzerindeki tek bir işletim sistemi için kullanan geleneksel yapılardır. Genellikle her fiziksel sunucuya web sunucusu veya veri tabanı sunucusu gibi tek bir görev atanır. Ancak günümüzde kaynak verimliliği sağlamak amacıyla sanal sunucular daha yaygın hale gelmiştir. Sanallaştırma yazılımları, bir fiziksel sunucu üzerinde birden fazla işletim sisteminin çalışmasına imkan tanıyarak fiziksel donanımı birden fazla sanal makineye dönüştürür. Hipervizör olarak da adlandırılan bu yazılımlar sayesinde, fiziksel sunucunun kaynakları sanal sunucular arasında paylaştırılır. Bu durum işletmelere ciddi bir maliyet avantajı sağlar. Özellikle düşük yoğunluklu sunucuların tek bir fiziksel makinede birleştirilmesi, donanım maliyetlerini düşürürken kaynakların boşta kalmasını engeller. Bir sanal sunucu daha az kaynak kullandığında, boşa çıkan kapasite daha yoğun çalışan diğer sanal sunuculara kaydırılabilir. Bu esneklik ticari veri merkezleri için de temel bir iş modelidir. Veri merkezleri fiziksel sunucuları toptan fiyatına temin edip elde ettikleri sanal sunucuları işletmelere kiralayarak ölçek ekonomisinden faydalanırlar. Ancak güvenlik, log izleme ve mevzuata uyum gibi hassas konularda, farklı işletmelerin aynı fiziksel donanımı paylaşması her zaman tercih edilmeyebilir. Bilgi sistemleri altyapısında sadece genel amaçlı sunucular değil, belirli görevlere atanmış özel cihazlar da bulunur. Kapasite, performans ve güvenlik gereksinimleri nedeniyle bazı servislerin standart sunucular yerine özel donanımlarda çalıştırılması esastır. Güvenlik duvarları, saldırı tespit sistemleri olan IDS, saldırı engelleme sistemleri olan IPS, ağ anahtarları ve yönlendiriciler bu kapsamda değerlendirilir. Ayrıca özel sanal ağlar olan VPN, ağ erişim kontrolü sağlayan NAC ve yük dengeleyiciler de bu özel cihazlar arasındadır. Güvenlik operasyonları merkezlerinde kullanılan SIEM ürünleri ile parola saklama kasaları da altyapının vazgeçilmez unsurlarıdır. Bu noktada Donanım Güvenlik Modülü yani HSM cihazlarına ayrı bir parantez açmak gerekir. HSM, kriptografik anahtarların oluşturulması, depolanması ve korunması için kullanılan yüksek güvenlikli elektronik cihazlardır. Bu cihazlar FIPS yüz kırk ve Common Criteria EAL4 artı gibi uluslararası güvenlik standartlarına uygun olmak zorundadır. HSM cihazları, sertifika yetkililerinin kök şifreleme anahtarlarını koruyarak tüm dijital sertifika altyapısının güvenliğini sağlar. Eğer bu anahtarların güvenliği ihlal edilirse, o otorite tarafından imzalanan tüm sertifikalar şüpheli hale gelir. Radyo Frekans Tanımlama yani RFID teknolojisi de bilgi sistemleri yönetiminde önemli bir yer tutar. RFID, sınırlı bir yarıçap içindeki etiketli nesnelerin radyo dalgaları aracılığıyla tanımlanmasını sağlar. Bir mikroçip ve antenden oluşan etiketler, nesne bilgilerini depolar ve okuyucuya iletir. Pasif etiketler enerjisini okuyucudan alırken, aktif etiketler kendi pillerini kullanarak daha uzun mesafelerde iletişim kurabilirler. RFID teknolojisi varlık yönetimi, izleme, orijinallik doğrulaması, süreç kontrolü ve erişim kontrolü gibi alanlarda kullanılır. Özellikle tedarik zinciri yönetiminde ürünlerin üretimden perakendeye kadar izlenmesi bu teknolojiyle mümkün olmaktadır. Ancak RFID kullanımı beraberinde iş süreci riskleri, iş zekası riskleri ve gizlilik risklerini de getirmektedir. Rakiplerin RFID verilerine yetkisiz erişimi veya kişisel verilerin izinsiz takibi bu risklere örnek gösterilebilir. Bu riskleri yönetmek için idari, operasyonel ve teknik kontrollerin uygulanması gerekir. İdari kontroller politikaların güncellenmesini, operasyonel kontroller fiziksel güvenliği, teknik kontroller ise verilerin şifrelenmesini ve etiketlerin kendini imha etme özelliklerini kapsar. Donanım yönetim süreçlerine geçtiğimizde, donanım bakım programlarının süreklilik açısından önemi ortaya çıkmaktadır. Bakım faaliyetleri önleyici ve düzeltici olmak üzere ikiye ayrılır. Önleyici bakım, henüz bir arıza oluşmadan yapılan rutin kontrollerdir ve donanımın ömrünü uzatırken hizmet dışı kalma süresini minimize eder. Düzeltici bakım ise bir sorun ortaya çıktığında yapılan müdahaleleri kapsar. Bakım süreçlerinde güvenlik boyutu asla ihmal edilmemelidir. Özellikle dış kaynaklı bakım hizmetlerinde uzaktan erişim izinleri dikkatle planlanmalı, işlemler kayıt altına alınmalı ve iş bitiminde yetkiler derhal geri alınmalıdır. Kurum dışı personelin bakım faaliyetleri sırasında mutlaka kurum çalışanları tarafından refakat edilmesi esastır. Sınavda donanım performansının izlenmesi konusu da sıklıkla karşımıza çıkar. Erişilebilirlik raporları, donanım hata raporları, varlık yönetimi raporları ve kullanım raporları bu sürecin temel çıktılarıdır. Bu raporlar sayesinde yetersiz donanım kapasitesi veya aşırı yük durumları tespit edilerek proaktif önlemler alınabilir. Donanım tedarik süreci de belli bir plan dahilinde yürütülmelidir. Tedarik planları iş gereksinimlerine, kurumsal mimariye ve bilgi sistemleri iş planlarına uyumlu olmalıdır. Satın alma öncesinde mutlaka fayda maliyet analizi yapılmalı ve süreç işletmenin merkezi satın alma birimi tarafından yönetilmelidir. Bu yaklaşım, süreçlerin tekrar edilebilir olmasını ve toplu indirim gibi avantajlardan yararlanılmasını sağlar. Donanım altyapısının üzerinde çalışan en kritik yazılım bileşeni ise işletim sistemidir. İşletim sistemi; bellek, işlemci ve tüm donanım kaynaklarının yönetiminden sorumludur. Uygulamalar ile donanım arasında bir güvenli bölge oluşturur. İşletim sisteminin en temel bileşeni olan çekirdek yani kernel, donanım üzerinde doğrudan kontrole sahiptir. İşlem yönetimi, bellek yönetimi, aygıt yönetimi, ağ yönetimi ve güvenlik yönetimi işletim sisteminin temel fonksiyonlarıdır. Kurumsal dünyada Microsoft Windows, Unix, Linux ve MacOS en yaygın kullanılan sistemlerdir. Mobil tarafta ise Android ve iOS hakimiyeti söz konusudur. İşletim sistemi bütünlüğünün sağlanması, sistemin kasıtlı veya kasıtsız değişikliklerden korunması anlamına gelir. Bu kapsamda en az ayrıcalık ilkesinin uygulanması, yani süreçlerin sadece ihtiyaç duydukları kadar yetkiye sahip olması kritik bir güvenlik kuralıdır. İşletim sistemlerinin denetimi sırasında yapılandırma dosyaları, kayıt defteri ayarları, güvenlik yamaları ve kullanıcı yetkilendirmeleri titizlikle incelenmelidir. Özellikle Windows sistemlerde kayıt defteri yani registry ayarlarının gözden geçirilmesi önemli bir denetim hedefidir. Ayrıca sunucuların güvenlik duvarı arkasında olması, zararlı yazılımlara karşı korunması ve gereksiz portların kapatılması gerekir. Sıkılaştırılmış baz konfigürasyonlar kullanmak, sistemlerin güvenliğini standart bir seviyeye taşır. Bu noktada CIS olarak bilinen organizasyonun yayınladığı rehberler dünya genelinde kabul görmüş standartlardır. Sanallaştırma teknolojisi, donanım kaynaklarının verimli kullanılmasını sağlarken bazı riskleri de beraberinde getirir. Sunucu, işletim sistemi, veri, masaüstü ve ağ fonksiyonları sanallaştırması gibi farklı türler mevcuttur. Sanal ortamlarda aynı fiziksel sunucuda farklı güvenlik seviyelerine sahip iş yüklerinin bulunması bir risk faktörüdür. Bir sanal makinedeki güvenlik açığı, aynı donanımı paylaşan diğer makineleri de etkileyebilir. Bu nedenle hassas verilerin ve kritik uygulamaların paylaşımlı sunucularda tutulmaması önerilir. Dersimizin son bölümünde veri yönetişimi konusuna değinelim. Veri yönetişimi, kurumsal verinin güvenliğini, doğruluğunu ve sürekliliğini sağlamak için oluşturulan bir çerçevedir. COBIT iki bin on dokuz çerçevesine göre veri kalitesi içsel ve bağlamsal olarak iki grupta değerlendirilir. İçsel kalite verinin kesinliği, nesnelliği ve inanılırlığı ile ilgiliyken; bağlamsal kalite verinin ilgililiği, tamlığı ve güncelliği ile ilgilidir. Veri yaşam döngüsü ise planlama, tasarım, geliştirme, kullanım, izleme ve elden çıkarma aşamalarından oluşur. Verinin bu döngü boyunca nasıl aktığını anlamak için Veri Akış Şemaları yani DFD'ler kullanılır. DFD'ler, verilerin sisteme nereden girdiğini, nasıl işlendiğini ve nerede depolandığını grafiksel olarak gösteren önemli araçlardır. Sınavda veri yaşam döngüsünün aşamaları ve veri kalitesi kriterleri arasındaki farklar sıklıkla sorulmaktadır.
Bölüm 3
Veri kalitesinin değerlendirilmesine ilişkin kontrollerin yapılması ve bu kontrollere dair kayıtların titizlikle saklanması, kurumsal bilgi sistemlerinin güvenilirliği açısından temel bir gerekliliktir. Bilgi sistemleri yönetimi çerçevesinde, veri kalitesi ölçümlerine ait periyodik raporların oluşturulması ve bu kalitenin işletmenin stratejik hedefleriyle uyumlu hale getirilmesi gerekmektedir. Bu noktada veri yaşam döngüsü yönetimi kavramını derinlemesine incelemek faydalı olacaktır. Veri yaşam döngüsü yönetimi, verinin bir kuruluştaki varlığı süresince geçtiği aşamaları tanımlayan kapsamlı bir süreçtir. Bu döngünün ilk aşaması planlamadır. Planlama aşamasında veri kaynağının yaratılması, elde edilmesi ve kullanılmasına yönelik hazırlıklar yapılır. İlgili iş süreçlerinde veri kullanımının anlaşılması, veri varlığının değerinin ve sınıflandırmasının belirlenmesi, hedeflerin konulması ve veri mimarisinin planlanması bu aşamadaki temel faaliyetlerdir. Planlamayı takip eden tasarım aşamasında, verinin yapısı ve veriyi işleyen sistemlerin çalışma prensipleri ayrıntılandırılır. Veri tanımları, veri toplama, erişim ve depolama prosedürleri ile üst veri özellikleri bu safhada geliştirilir. Geliştirme veya tedarik aşaması ise veri kaynağının fiilen edinildiği süreçtir. Burada veri kayıtlarının oluşturulması, harici verilerin satın alınması veya yüklenmesi işlemleri gerçekleştirilir. Veri yaşam döngüsünün en kritik evrelerinden biri kullanım ve işletim aşamasıdır. Bu aşama kendi içinde çeşitli alt süreçlere ayrılır. Saklama süreci, verilerin elektronik veya basılı ortamlarda muhafaza edilmesini ifade eder. Paylaşma süreci ise verinin e-posta veya dosya sunucuları gibi yöntemlerle erişilebilir kılınmasıdır. Kullanım süreci, verinin iş hedeflerine ulaşmak amacıyla yönetimsel karar verme veya otomatik süreçlerde değerlendirilmesini kapsar. İzleme süreci, veri kaynağının güncelliğini ve değerini korumasını sağlamak amacıyla yapılan temizleme, birleştirme ve mükerrer verileri ayıklama faaliyetlerini içerir. Döngünün son aşaması olan elden çıkarma ise verinin saklama politikaları doğrultusunda arşivlenmesi veya güvenli bir şekilde imha edilmesi sürecidir. Bilgi sistemleri denetçisi, bu döngünün her aşamasında verilerin kalitesinin stratejik hedeflere hizmet edip etmediğini ve veri tabanı yönetim sistemlerinin yapılandırmasının bu hedeflerle uyumunu denetlemelidir. Verilerin korunması amacıyla ağ bölümlenmesi, veri kaybı önleme sistemleri ve hem hareket halindeki hem de durağan verilerin şifrelenmesi gibi teknik önlemlerin mevcudiyeti sınav sorularında sıklıkla karşımıza çıkan denetim noktalarıdır. Veri akışlarının modellenmesi noktasında Veri Akış Şeması, yani kısa adıyla DFD, merkezi bir öneme sahiptir. Bir veri akış şeması, verilerin bir sistem tarafından girdiler ve çıktılar açısından nasıl işlendiğini grafiksel olarak temsil eder. Bu şemalar odak noktasına bilginin akışını, verinin kaynağını, varış noktasını ve depolanma şeklini alır. Sisteme genel bir bakış sunmak amacıyla kullanılan DFD’ler, verinin nasıl işlendiğini görselleştirirken, süreçlerin zamanlaması veya süreçlerin paralel mi yoksa sıralı mı çalışacağı hakkında bilgi içermez. Bu ayrım sınavda teknik bir detay olarak sorulabilir; DFD’lerin süreç akış zamanlamasını göstermediği unutulmamalıdır. Veri tabanı yönetim sistemlerine geçtiğimizde, bu sistemlerin verilerin organize bir şekilde saklanması, yönetilmesi ve uygulama programlarının ihtiyaç duyduğu verilerin düzenlenmesi amacıyla kullanıldığını görüyoruz. Temel hedefler arasında veri mükerrerliğinin en aza indirilmesi, erişilebilirliğin artırılması ve güvenlik önlemlerinin alınması yer alır. Günümüzde veri tabanı türleri arasında ilişkisel veri tabanları altın standart olarak kabul edilmektedir. Bu modelde veriler tablolar halinde tutulur; satırlar her bir kaydı, sütunlar ise bu kayıtların özelliklerini temsil eder. İlişkisel veri tabanlarının yönetimi için Yapılandırılmış Sorgu Dili olan SQL kullanılır. Ancak yapılandırılmamış verilerin işlenmesi söz konusu olduğunda NoSQL veri tabanları devreye girer. NoSQL sistemleri kendi içinde dört ana gruba ayrılır. Anahtar Değer modeli, veriyi bir sözlük yapısında saklar. Doküman veri tabanları, her birim veriyi esnek yapılı dokümanlar olarak muhafaza eder; MongoDB bu türün en bilinen örneğidir. Kolon tabanlı veri tabanları, veriyi satır yerine sütun bazlı saklayarak büyük veri setlerinde yüksek performans sağlar. Çizge veri tabanları ise veriler arasındaki ilişkileri düğümler ve kenarlar aracılığıyla temsil eder, bu yapı özellikle sosyal medya analizlerinde tercih edilir. Veri tabanı denetimi, bir bilgi sistemleri denetçisinin en yoğun mesai harcadığı alanlardan biridir. Denetim sürecinde kullanılan veri tabanının sürüm ve yama yönetimi ilk incelenmesi gereken husustur. Güvenlik yamalarının test edilerek yüklenmiş olması kritik önemdedir. Kapasite yönetimi kapsamında eşik değerlerin belirlenmesi ve veri büyümesinin takibi yapılmalıdır. Performans yönetimi ise iş birimlerinin beklentileriyle uyumlu olmalıdır. Erişim haklarının yönetimi konusunda, veri tabanına hem uygulama seviyesinde hem de işletim sistemi seviyesinde kimlerin eriştiği, iz kayıtlarının nasıl tutulduğu titizlikle kontrol edilmelidir. Kullanıcı yönetimi başlığı altında, periyodik hesap kontrolleri, şifre politikaları ve ayrıcalıklı hesapların yönetimi ele alınmalıdır. Yapılandırma yönetimi ise değişikliklerin test ortamında doğrulanması ve onay süreçlerinden geçirilmesi prensibine dayanır. Veri tabanı güvenliğinde şifreleme konusu iki boyutta ele alınır. Hareket halindeki verinin şifrelenmesi ağ protokolleri ile sağlanırken, durağan verinin şifrelenmesi hem veri tabanı içindeki verileri hem de yedekleri kapsar. Burada en kritik nokta şifreleme anahtarlarının güvenliğidir; anahtarın kaybedilmesi verinin tamamen erişilemez hale gelmesine yol açar. Yedekleme sistemleri ise veri tabanı yönetiminin ayrılmaz bir parçasıdır. Kurumlar, iş etki analizi sonuçlarına göre belirlenmiş bir yedekleme çizelgesine sahip olmalı ve periyodik olarak yedekten geri dönüş testleri yapmalıdır. Yedekleme politikası maliyet, yasal çerçeve ve iş sürekliliği gereksinimleri arasında bir denge kurmalıdır. İz kayıtları yani loglar, yasal zorunluluklar gereği güvenli bir şekilde saklanmalı, bütünlüğü korunmalı ve yetkisiz erişimlere karşı savunulmalıdır. Veri ambarı kavramı, operasyonel veri tabanlarından farklı olarak, stratejik karar destek süreçleri için heterojen kaynaklardan gelen verilerin birleştirildiği bir ortamı ifade eder. Veri ambarları, iş zekâsı sistemlerinin çekirdeğini oluşturur ve geçmişe dönük büyük veri setleri üzerinde hızlı analiz yapılmasına olanak tanır. Veri modelleme süreci ise bu yapıların görsel bir temsilini oluşturma işlemidir. Modelleme süreci kavramsal, mantıksal ve fiziksel olmak üzere üç aşamada gerçekleşir. Kavramsal model sistemin büyük resmini ve iş kurallarını sunarken, mantıksal model veri türleri ve öznitelikler gibi detaylara iner ancak teknik sistem gereksinimi belirtmez. Fiziksel model ise verinin veri tabanında nasıl depolanacağına dair en somut şemadır ve performans ayarlamalarını da içerir. Veri modelleme sürecinde varlıkların tanımlanması, özniteliklerin eşleştirilmesi ve normalleştirme derecesine karar verilmesi adımları izlenir. Normalleştirme, veri tekrarını önlemek için kullanılan bir tekniktir; depolama alanını azaltırken sorgu performansını etkileyebilir. Sistem ve kullanıcı arayüzleri, farklı sistemlerin birbiriyle etkileşim kurmasını sağlayan fonksiyonel bağlantılardır. Arayüzler sistemden sisteme, ortaktan ortağa veya kişiden kişiye veri akışı şeklinde gerçekleşebilir. Kişiden kişiye yapılan veri iletimleri, örneğin e-posta ekleri, yönetilmesi ve güvenliğinin sağlanması en zor olan türdür. Ara katman yazılımları ise iki ayrı uygulamayı birbirine bağlayan bir yapıştırıcı görevi görür. Arayüzlerin hatalı çalışması finansal raporlama üzerinde ciddi olumsuz etkilere yol açabileceği için, bu akışların dokümante edilmesi ve denetim izlerinin tutulması şarttır. Veri aktarımlarının otomatikleştirilmesi, şifrelenmesi ve bütünlük kontrollerinin yapılması denetim açısından aranan özelliklerdir. Son kullanıcı bilgi işlemi veya diğer adıyla gölge bilgi işlem, teknik bilgisi olmayan kullanıcıların kendi uygulamalarını geliştirmesini ifade eder. Bu model esneklik sağlasa da, değişiklik yönetimi ve test süreçlerinin eksikliği, hatalı kod kullanımı, yetersiz yedekleme ve güvenlik zafiyetleri gibi ciddi riskler taşır. Bu nedenle, son kullanıcılar tarafından geliştirilen uygulamaların bir envanteri tutulmalı ve bu uygulamalar kurumsal güvenlik politikalarına tabi kılınmalıdır. Denetim sürecinde kullanılan bilgiler iki ana kategoriye ayrılır: Kontrollerde Kullanılan Bilgiler yani IUC ve İşletme Tarafından Üretilen Bilgiler yani IPE. IUC, işletmenin bir kontrolü yürütürken kullandığı rapor veya verilerdir. Denetçi, bu bilgilerin çekildiği kaynağın ve kullanılan parametrelerin doğruluğunu teyit etmelidir. IPE ise denetçinin risk değerlendirmesi veya test prosedürlerinde kanıt olarak kullandığı personel listesi gibi bilgilerdir. Her iki durumda da verinin doğruluğu, bütünlüğü ve güvenilirliği denetim kanıtının geçerliliği için esastır. Bilgi sistemleri altyapı teknolojileri kapsamında dijital dönüşümün en önemli unsurlarından biri bulut bilişimdir. Bulut bilişim, yapılandırılabilir kaynak havuzuna her yerden isteğe bağlı erişim sağlayan bir modeldir. NIST tanımlamasına göre bulut bilişimin beş temel özelliği bulunmaktadır. Bunlar; isteğe bağlı self servis, geniş ağ erişimi, kaynak havuzu, hızlı esneklik ve ölçülü hizmettir. Eğer bir hizmet bu beş özelliği taşımıyorsa, o sadece bir dış kaynak kullanımıdır, bulut bilişim değildir. Bulut bilişim üç temel hizmet modeli üzerinden sunulur. SaaS yani Hizmet Olarak Yazılım modelinde kullanıcı sadece uygulamayı kullanır. PaaS yani Hizmet Olarak Platform modelinde kullanıcı kendi uygulamalarını geliştirebileceği bir platforma sahiptir. IaaS yani Hizmet Olarak Altyapı modelinde ise kullanıcıya işlemci, depolama ve ağ gibi temel kaynaklar sunulur; kullanıcı işletim sistemi seviyesine kadar kontrol sahibidir. Bulut bilişimin dağıtım modelleri ise özel bulut, topluluk bulutu, halka açık bulut ve melez bulut olarak dörde ayrılır. Melez bulut, iki veya daha fazla farklı bulut altyapısının birleşiminden oluşur ve veri taşınabilirliği sağlar. Bulut bilişimin avantajları arasında maliyet kazancı, hız ve ölçeklenebilirlik yer alır. Ancak bulut yönetişimi ve güvenliği, sorumluluğun paylaşıldığı bir alandır. Bulut güvenliğinde veri koruması, verinin hem durağan hem de hareket halindeyken şifrelenmesini gerektirir. Denetçiler, kurumun bulut politikasını incelerken Bulut Güvenliği İttifakı yani CSA tarafından yayınlanan tehdit raporlarını referans almalıdır. Bulut bilişimde veri lokasyonu ve altyapı sürekliliği, kurumların en çok dikkat etmesi gereken risk faktörleridir. Sonuç olarak, veri yönetimi ve bilgi sistemleri altyapısı, sadece teknik bir konu değil, işletmenin stratejik hedeflerine ulaşmasını sağlayan temel bir sütundur. Veri yaşam döngüsünden veri tabanı denetimine, arayüz yönetiminden bulut bilişim stratejilerine kadar her aşama, kurumsal risklerin yönetilmesi ve denetim standartlarına uyum açısından titizlikle ele alınmalıdır. Sınav hazırlık sürecinde bu kavramların tanımları, birbirleriyle olan ilişkileri ve denetim noktaları arasındaki farklar üzerinde durulması başarı için kritik öneme sahiptir. Özellikle IUC ve IPE ayrımı ile bulut bilişimin beş temel özelliği gibi konular, lisanslama sınavlarında belirleyici niteliktedir. Veri tabanı türlerinin kullanım amaçları ve NoSQL modellerinin karakteristik özellikleri de teknik bilgi düzeyini ölçen soruların temelini oluşturmaktadır. Tüm bu süreçlerin dokümante edilmesi ve izlenebilirliğinin sağlanması, şeffaf ve güvenilir bir bilgi sistemi yönetiminin vazgeçilmez unsurudur. Bulut bilişim altyapılarının denetimi ve yönetimi süreçlerine dair teknik detayları incelemeye devam ediyoruz.
Bölüm 4
Bulut bilişim altyapılarının denetimi ve yönetimi süreçlerine dair teknik detayları incelemeye devam ediyoruz. Bulut platformlarının doğru oluşturulduğunu ve işleyişinin mevzuata uygun şekilde sürdürüldüğünü değerlendirmek denetçinin temel görevleri arasındadır. Dağıtım modellerine ilişkin denetimler gerçekleştirilirken güvence seviyelerinin nasıl sağlandığı ve bulut dağıtım yönetiminin hangi esaslara göre yapıldığı titizlikle tespit edilmelidir. Bu kapsamda hem mevcut güvence seviyelerinin korunması hem de geleceğe yönelik bulut dağıtımlarının stratejik yönetimi denetim planının merkezinde yer almalıdır. Bulut bilişimin kurumlara sağladığı temel avantajlar maliyet kazancı, hız ve ölçeklenebilirlik başlıkları altında toplanabilir. Maliyet açısından bakıldığında, bulut hizmet sağlayıcılarının ölçek ekonomisinden yararlanması sayesinde işletmelerin sıfırdan bilgi sistemi kurma maliyetleri önemli ölçüde azalmaktadır. Hız faktörü ise aylarca sürebilecek sistem geliştirme süreçlerinin günlerle ifade edilen sürelere inmesini sağlar. Ölçeklenebilirlik ise işletmelere sadece ihtiyaç duydukları kadar kaynağa sahip olma ve yalnızca kullandıkları hizmetin bedelini ödeme esnekliği tanır. Bu avantajlar sınav sorularında sıklıkla karşımıza çıkabilecek temel kavramlardır. Bilgi teknolojileri yönetişim çerçevesinin kritik bir parçası olan bulut yönetişimi, kurumsal risk toleransı ve kontrol çerçeveleriyle doğrudan bağlantılıdır. Bir kurumda bulut kullanımı değerlendirilirken öncelikle bulut politikasının varlığı ve içeriği kontrol edilmelidir. Bulut politikası, buluta geçiş sürecini, ilgili paydaşları, riskleri ve bu riskleri yönetmek için uygulanacak önlemleri tanımlayan temel belgedir. Bu noktada Bulut Güvenliği İttifakı yani kısaca CSA tarafından periyodik olarak yayınlanan en önemli tehditler raporu, risklerin belirlenmesinde temel bir referans kaynağı olarak kabul edilmelidir. Bulut bilişim güvenliği ise hem altyapının hem de bulutta saklanan verinin korunmasını kapsar. Burada sorumluluk paylaşımı ilkesi esastır; güvenlik konusu hem hizmet verenin hem de hizmet alanın sorumluluğundadır. Hizmet alanın yetki ve sorumluluk düzeyi, seçilen bulut hizmet ve dağıtım modeline göre değişkenlik gösterir. Bu ayrım, denetim süreçlerinde sorumlulukların belirlenmesi açısından büyük önem taşımaktadır. Bulut bilişimde korunması gereken iki ana faktör veri güvenliği ve altyapı sürekliliğidir. Veri koruması, verinin hem depolama sistemlerinde dinlenme halindeyken hem de ağ üzerinde dolaşım halindeyken korunmasını ifade eder. Her iki durumda da en etkili koruma yöntemi şifrelemedir. Şifreleme sayesinde veri çalınsa dahi güvenli bir algoritma ve anahtar yönetimi ile korunmaya devam eder. Teorik olarak bulutta saklanan verinin internet üzerinden her an erişilebilir olması ve farklı lokasyonlarda bulunabilmesi, veri lokasyonu konusunu kritik bir hale getirmektedir. Özellikle kişisel verilerin korunmasına yönelik yasal düzenlemeler, verinin fiziksel olarak nerede tutulduğunu sorgulamaktadır. Altyapı sürekliliği ise sistemin siber saldırılara karşı korunmasını ve olası bir saldırı anında hizmet performansının düşmesini engelleyecek yeteneklere sahip olmasını gerektirir. Erişim yönetimi pratikleri, hem buluttaki veriler hem de kurum içi donanımlar için dikkatle uygulanmalıdır. Veri yedeklemesinin tek bir bulut ortamına hapsedilmemesi ve erişimlerde güvenli yöntemlerin tercih edilmesi güvenlik mimarisinin temel taşlarıdır. Hizmet sağlayıcıların değerlendirilmesi ve denetimi aşamasında, kurumun sahip olduğu sertifika ve standartlar belirleyici rol oynar. Sektörde yaygın olarak kullanılan Consensus Assessment Initiative Questionnaire yani CAIQ dokümanı, sağlayıcıların güvenlik kontrollerini belgelemek için kullanılan standart bir araçtır. Ayrıca birden fazla yasal gereksinimi tek bir çerçevede birleştiren Bulut Kontrol Matrisi ve Avrupa Birliği Veri Koruma Yönetmeliği uyumluluğu için geliştirilen CSA GDPR Davranış Kuralları, denetçilerin incelemesi gereken temel belgelerdir. Hizmet alımı, dış kaynak kullanımında olduğu gibi riskleri ortadan kaldırmaz; aksine denetçinin erişim haklarını kısıtlayabilir. Bu nedenle sözleşmelerde denetim hakkının yani right to audit maddesinin yer alması hayati önem taşır. Eğer bu hak alınamıyorsa, üçüncü taraf denetim raporlarının ve güncel sertifikaların düzenli olarak talep edilmesi gerekir. Hizmet sağlayıcının kendi alt yüklenicileriyle olan ilişkileri ve onlardan aldığı güvenceler de kurumun genel güvenlik duruşu hakkında önemli ipuçları verir. Büyük veri kavramı, geleneksel veri yönetimi araçlarıyla analiz edilemeyecek kadar hacimli, hızlı ve çeşitli verileri ifade eder. Bir verinin büyük veri kategorisine girip girmediğini anlamak için hacim, hız ve çeşitlilikten oluşan üç V kriterine bakılır. Hacim, verinin miktarını; hız, verinin üretim ve işlenme süratini; çeşitlilik ise yapılandırılmamış farklı kaynaklardan gelen veri türlerini temsil eder. Günümüzde yapılandırılmış verilerin toplam verinin sadece yüzde beş gibi küçük bir kısmını oluşturduğu tahmin edilmektedir. Büyük verinin işlenmesi için Hadoop gibi paralel analiz sağlayan yazılım çerçeveleri veya veriyi ana bellek üzerinde analiz ederek hız kazandıran Spark gibi teknolojiler kullanılmaktadır. Veri gölü kavramı ise hem yapılandırılmış hem de yapılandırılmamış veriyi temizleme işlemine gerek duymadan saklayabilen depoları ifade eder. Finansal piyasalarda büyük veri; algoritmik alım satım işlemleri, yatırım geri dönüş tahminleri, piyasa trend analizi ve hileli işlemlerin tespiti gibi kritik alanlarda kullanılmaktadır. Denetim perspektifinden bakıldığında, büyük veri projelerinin kurumun bilgi sistemleri stratejisiyle uyumu ve yeterli insan kaynağına sahip olunması temel değerlendirme kriterleridir. Nesnelerin interneti veya kısa adıyla IoT, geleneksel olmayan cihazların internet üzerinden birbirine bağlanmasını ifade eder. Bu cihazların sınırlı boyutları ve doğuştan gelen güvenlik eksiklikleri, siber saldırılara karşı ciddi bir risk oluşturmaktadır. Denetçiler IoT güvenliği kapsamında kişisel verilerin korunması, hassas bilgilerin sızmasının önlenmesi ve hizmet reddi saldırılarına karşı alınan önlemleri incelemelidir. Yapay zeka ise insana özgü muhakeme yeteneğinin bilgisayar sistemlerine aktarılmasıdır. Makine öğrenmesi ve derin öğrenme gibi alt dalları bulunan yapay zeka, büyük veriyi kullanarak anlam çıkarma ve öğrenme yeteneğine sahiptir. Siber güvenlik alanında yapay zeka; saldırı tespit sistemlerinde, veri sızıntısı önleme çözümlerinde ve kimlik avı saldırılarının engellenmesinde aktif rol oynar. Geleneksel yöntemlerin yetersiz kaldığı karmaşık veri kaynaklarının izlenmesinde yapay zeka tabanlı modeller kesinlik ve hız avantajı sağlar. Finansal piyasalarda yapay zeka ve makine öğrenmesi uygulamaları, IOSCO tarafından yayınlanan raporlarda da geniş yer bulmaktadır. Robo-danışmanlık çözümleri, risk yönetimi araçları, müşteri tanıma süreçleri ve algoritmik trading bu teknolojilerin başlıca kullanım alanlarıdır. Ancak bu sistemlerin beraberinde getirdiği yönetişim, veri kalitesi, şeffaflık ve etik riskler göz ardı edilmemelidir. Özellikle veri setlerindeki ön yargı faktörü, sistemin ürettiği sonuçların taraflı olmasına yol açabilir. Bu nedenle yapay zeka sistemlerinin çıktıları sürekli gözetim altında tutulmalı ve son karar mercii olarak mutlaka insan gücü devreye girmelidir. Robotik süreç otomasyonu ise tekrara dayalı rutin işlerin bilgisayar yazılımları aracılığıyla yapılmasını sağlar. Bu teknoloji sayesinde hata payı azalırken verimlilik artar ve iç kontrol süreçleri otomatize edilebilir. Blok zincir ve dağıtık defter teknolojisi, verilerin merkezi bir otoriteye ihtiyaç duymadan, değiştirilemez bir şekilde kaydedilmesini sağlayan devrim niteliğinde bir gelişmedir. Blok zincir sisteminde her bir blok, kendinden önceki bloğun özet değerini taşıyarak birbirine bağlanır. Bu yapı verinin geriye dönük olarak değiştirilmesini imkansız hale getirir. Sistemdeki düğümler, yani node yapıları, tam düğüm, hafif düğüm, madenci düğüm ve süper düğüm gibi farklı roller üstlenebilir. Tam düğümler zincirin bütün bir kopyasını tutarak güvenliği sağlarken, madenci düğümler yeni blokların yaratılmasından sorumludur. Blok zincirde güvenliğin temeli kriptolojiye, özellikle de asimetrik şifreleme yöntemine dayanır. Özel anahtar varlık üzerindeki tasarruf yetkisini sağlarken, genel anahtar ve cüzdan adresleri transfer işlemlerinde kimlik tanımlayıcı olarak kullanılır. Blok zincir ağlarında yeni bir bloğun eklenmesi için mutabakat veya uzlaşı protokolleri kullanılır. En yaygın iki yöntem Çalışma Kanıtı ve Hisse Kanıtı protokolleridir. Çalışma Kanıtı, yani PoW, yüksek işlem gücü ve elektrik tüketimi gerektiren bir matematiksel problem çözme sürecine dayanır. Bitcoin bu protokolün en bilinen örneğidir. Hisse Kanıtı, yani PoS ise enerji tüketimini azaltmak amacıyla geliştirilmiş olup blok üretim yetkisini sahip olunan varlık miktarına göre belirler. Ethereum iki nokta sıfır bu modele geçiş yapmıştır. Blok zincir uygulamalarında asimetrik şifrelemenin kullanımı, işlemlerin inkar edilemezliğini ve bütünlüğünü garanti altına alır. Sınav hazırlığında olan adayların, özel anahtarın gizli tutulması gerektiği, genel anahtarın ise herkes tarafından bilinebileceği ve bu ikisinin matematiksel bir çift oluşturduğu bilgisini özümsemesi şarttır. Gelecekte kuantum bilgisayarların bu algoritmaları kırma riski, adres kullanımının ve daha karmaşık kriptografik yöntemlerin önemini artırmaktadır. Merkeziyetsiz finansal sistemlerde güven, kurumlar yerine bu matematiksel ve kriptolojik protokollere emanet edilmiştir. Kriptoloji biliminin temel unsurlarından biri olan şifreleme teknikleri, verinin yetkisiz kişilerin eline geçmesini engellemek amacıyla kullanılan matematiksel yöntemler bütünüdür.
Bölüm 5
Kriptoloji biliminin temel unsurlarından biri olan şifreleme teknikleri, verinin yetkisiz kişilerin eline geçmesini engellemek amacıyla kullanılan matematiksel yöntemler bütünüdür. Şifreleme süreci, okunabilir durumdaki bir metnin belirli bir algoritma ve anahtar kullanılarak anlaşılamaz hale getirilmesini ifade ederken, deşifreleme işlemi ise bu karmaşık metnin tekrar orijinal haline dönüştürülmesini sağlar. Blok zincir uygulamalarında asimetrik şifreleme yöntemi esas alınmaktadır. Asimetrik şifrelemede özel anahtar ve genel anahtar olarak adlandırılan bir anahtar çifti bulunur. Bu iki anahtar matematiksel olarak birbirine bağlıdır. Genel anahtar herkes tarafından bilinebilir ve belirli bir algoritma aracılığıyla özel anahtardan elde edilir. Ancak kritik bir güvenlik unsuru olarak, genel anahtardan özel anahtarın elde edilmesi matematiksel olarak mümkün değildir. Özel anahtarın sadece sahibi tarafından bilinmesi ve korunması esastır. Bu anahtar ile gerçekleştirilen her türlü dijital imzalama veya varlık transferi eyleminin, ilgili genel anahtar aracılığıyla doğrulanması, işlemin gerçek sahibi tarafından yapıldığının ispatı niteliğindedir. Blok zincir teknolojisinin popülerlik kazanması kripto varlık transferleri ile başlamış olsa da her blok zincir ağının aynı protokollerle çalışmadığı bilinmelidir. Farklı zincirlerde farklı yöntemler ve algoritmalar kullanılabilmektedir. Genel bir kural olarak, blok zincir üzerindeki her bir işlem, gönderici tarafından kendi özel anahtarı ile imzalanır. Bu imzalama süreci, kripto varlığın sahipliğini kanıtlar ve varlığın sadece gerçek sahibi tarafından harcanabilmesini sağlar. Genel anahtarlar ise alıcıyı tanımlayan unsurlardır ve varlık transferinin zincir üzerinde hangi noktaya yapılacağını belirtir. Bir genel anahtara yapılan gönderimin sahibinin kim olduğu, yine o genel anahtara karşılık gelen özel anahtar ile ispatlanmaktadır. Bu noktada adres kavramı ile genel anahtar kavramı arasındaki farka dikkat etmek gerekir. Cüzdan adresleri, ilişkili oldukları genel anahtardan belirli algoritmalar aracılığıyla üretilir. Özetle özel anahtar varlık sahipliğini kanıtlayıp harcama yetkisi verirken, genel anahtar cüzdan sahipliğini kanıtlar. Cüzdan adresi ise bir banka hesap numarası gibi işlev görerek transferin yapılacağı hedef noktayı belirler. Blok zincir uygulamalarında adres kullanımının çeşitli teknik ve güvenlik nedenleri bulunmaktadır. Bazı uygulamalarda doğrudan genel anahtara transfer yapılabilse de genel uygulama pratiği her transfer için farklı adres kullanılması yönündedir. Bu yöntem, kişilerin toplam varlık bakiyelerinin blok zincir üzerinde açıkça görülmesini engelleyerek gizliliği korur. Ayrıca adreslerin boyut olarak genel anahtarlardan daha kısa olması, işlem bilgilerinin veri tabanında daha az yer kaplamasını sağlar. Geleceğe yönelik en önemli güvenlik gerekçesi ise kuantum bilgisayarların oluşturabileceği tehdittir. Kuantum bilgisayarların mevcut anahtar oluşturma algoritmalarını kırabileceği ve özel anahtarları ele geçirebileceği öngörülmektedir. Adres kullanımı, genel anahtarı da özel anahtar gibi gizli tutarak bu riske karşı ek bir koruma katmanı oluşturur. Klasik finansal sistemlerde merkezi otoriteler tarafından yürütülen kimlik belirleme, işlem onayı ve güvenli saklama fonksiyonları, blok zincir ekosisteminde asimetrik şifreleme ve kriptolojik işlemler aracılığıyla merkeziyetsiz bir biçimde yerine getirilir. Blok zincir sistemlerinde müşteri tanıma süreci, geleneksel finansal sistemlerdeki süreçlerden farklılık gösterir. Geleneksel anlamdaki müşterini tanı kuralları yerine, blok zincirin temelinde işlem yapanların anonim kalması fikri yatar. Uygulamalarda müşteri kimliği olarak sadece işlem adresi veya açık anahtar bilgisi mevcuttur. Gerçek dünya kimliği, özel durumlar haricinde bilinmez. Bu sistemde müşteri tanıma, müşterinin yaptığı işlemi kendi özel anahtarı ile imzalaması ve bu işlemin ağdaki diğer taraflarca açık anahtar ile doğrulanabilmesi anlamına gelir. Kriptoloji, işlem sahiplerinin anonim kalmasını sağlarken aynı zamanda işlemlerin düğümler tarafından doğrulanabilmesine imkan tanır. Kriptolojinin bir diğer önemli uygulaması olan özetleme yani hashing fonksiyonu ise blok zincirin değiştirilemez ve tahrif edilemez yapısını oluşturur. Özetleme fonksiyonu hem blok içindeki işlemlerin hem de blokların birbirine bağlanma şeklinin güvenliğini sağlayarak finansal bir otoriteye duyulan ihtiyacı ortadan kaldırır. Kripto varlık kavramı, Sermaye Piyasası Kanunu kapsamında belirli bir tanıma kavuşturulmuştur. Kanuna göre kripto varlık, dağıtık defter teknolojisi veya benzer bir teknoloji kullanılarak elektronik olarak oluşturulup saklanabilen, dijital ağlar üzerinden dağıtımı yapılan ve değer veya hak ifade edebilen gayri maddi varlıklar olarak tanımlanmaktadır. Bu varlıklar fiziksel bir formda bulunmazlar ve kriptolojik teknikler kullanılarak üretilip korunurlar. Kripto varlıkların en temel iki türü coin ve token olarak sınıflandırılır. Coin, bir blok zincir ağının doğal para birimidir ve kendi mutabakat mekanizmasına sahiptir. Bitcoin ağı üzerindeki BTC ve Ethereum ağı üzerindeki ETH bu duruma en somut örneklerdir. Coinlerin temel amacı ödeme ve takas aracı olmaktır ancak yatırım amacıyla da yaygın olarak kullanılmaktadırlar. Tokenlar ise mevcut bir blok zincir üzerinde akıllı sözleşmeler aracılığıyla üretilen, doğrudan blok zincirin doğal katmanında yer almayan varlıklardır. Tokenlar, altyapı olarak kullandıkları blok zincirin güvenliğine dayanırlar ve genellikle belirli bir ürün veya hizmet üzerindeki hakkı temsil ederler. Kripto varlıkların sınıflandırılmasında token türleri geniş bir çeşitlilik göstermektedir. Hizmet tokenları, bir kurumun ürün veya hizmetlerine erişim hakkı sağlarken, menkul kıymet tokenları yatırımcılardan fon toplamak amacıyla ihraç edilir ve pay sahipliği gibi haklar tanıyabilir. Nitelikli Fikri Tapu olarak adlandırılan NFT'ler ise benzersiz dijital varlıkların sahipliğini temsil eder. Gerçek dünya varlıkları tokenları, gayrimenkul veya emtia gibi fiziksel varlıkların blok zincir üzerindeki dijital karşılığıdır. Yönetişim tokenları sahiplerine merkezi olmayan özerk kuruluşlarda söz hakkı tanırken, stabil coinler değeri belirli bir itibari paraya veya emtiaya endekslenmiş varlıklardır. Örneğin bir Tether her zaman bir Amerikan Dolarına eşit olacak şekilde tasarlanmıştır. Bitcoin dışındaki tüm kripto varlıklar genel olarak altcoin kategorisinde değerlendirilir. Kripto varlıkların temel özellikleri arasında merkezi bir otorite tarafından kontrol edilmemeleri, tamamen kriptolojik altyapılar üzerinde işlem görmeleri ve mülkiyet kayıtlarının sadece blok zincir üzerinde tutulması yer alır. Bu varlıklar yatırım ve ödeme amaçlı kullanılabildiği gibi, anonimlik özellikleri nedeniyle yasa dışı faaliyetlerde de kullanılabilmektedir. Akıllı sözleşmeler, blok zincir ağlarında çalışan ve belirli koşullar gerçekleştiğinde otonom olarak icra edilen yazılım kodlarıdır. Bu sözleşmelerde hükümler doğrudan kod satırlarına yazılmıştır ve dış müdahaleye gerek duymadan çalışırlar. İlk olarak Ethereum platformu ile hayatımıza giren akıllı sözleşmeler, veri tutmanın yanı sıra program mantığını da blok zincirine taşımıştır. Bir akıllı sözleşmeyi ağa yüklemek veya fonksiyonlarını çağırmak için genellikle belirli bir işlem ücreti ödenmesi gerekir. Akıllı sözleşmeler, taraflar arasındaki güven ihtiyacını kod düzeyinde çözerek, örneğin bir ödeme gerçekleştiğinde mülkiyetin otomatik olarak devredilmesi gibi işlemleri mümkün kılar. Ancak bu teknolojide kodun doğruluğu hayati önem taşır. Yazılımsal hatalar veya siber saldırılar ciddi finansal kayıplara yol açabilir. Akıllı sözleşmelerin yanı sıra, airdrop ve ilk kripto varlık arzı gibi kavramlar da ekosistemin önemli parçalarıdır. Airdrop, pazarlama amacıyla bedelsiz varlık dağıtımını ifade ederken, ICO olarak bilinen ilk kripto varlık arzı, projelere fon sağlamak amacıyla yapılan satış sürecidir. ICO süreçleri yüksek risk barındırmakta olup bazı ülkelerde yasaklanmış veya sıkı denetimlere tabi tutulmuştur. Blok zincir ekosisteminde farklı ağların birbiriyle iletişim kurmasını sağlayan köprü uygulamaları ve dış dünyadan veri alınmasını sağlayan kâhin yani oracle uygulamaları geliştirilmiştir. Bu yapılar akıllı sözleşmelerin işlevselliğini artırsa da aynı zamanda potansiyel saldırı noktaları oluşturabilirler. Kripto varlıkların alınıp satıldığı platformlar ise Sermaye Piyasası Kanunu'nda platform olarak tanımlanmıştır. Bu platformlar alım satım, takas, transfer ve saklama hizmetlerini yürütürler. Platformlar merkezi ve merkeziyetsiz olmak üzere ikiye ayrılır. Merkezi borsalar, geleneksel finans kuruluşlarına benzer şekilde çalışır, müşterilerine saklama hizmeti sunar ve genellikle daha likit bir piyasa sağlarlar. Merkeziyetsiz borsalar ise işlemlerin doğrudan blok zincir üzerinde, akıllı sözleşmeler aracılığıyla gerçekleştiği yapılardır. Merkezi borsalar yasal düzenlemelere daha uyumlu olmaları nedeniyle güvenilir kabul edilseler de siber saldırıların birincil hedefi konumundadırlar. Kripto varlıkların güvenli bir şekilde yönetilmesi cüzdanlar aracılığıyla sağlanır. Cüzdanlar varlığın kendisini değil, varlığa erişim sağlayan özel anahtarları saklar. Soğuk cüzdanlar internet bağlantısı olmayan donanımsal cihazlardır ve siber saldırılara karşı en yüksek güvenliği sağlarlar. Sıcak cüzdanlar ise internete bağlı yazılımlardır ve işlem kolaylığı sunmalarına rağmen hırsızlık riskine daha açıktırlar. Ilık cüzdanlar ise bu iki yapının avantajlarını birleştirmeyi hedefler. Günümüzde yaygın olarak kullanılan Hiyerarşik Deterministik cüzdanlar, tüm anahtar çiftlerini tek bir ana tohum cümlesinden üreterek yönetim kolaylığı sağlar. Kurumsal düzeyde ise yetki ve riskin dağıtılması amacıyla Çok Taraflı Hesaplama yani MPC ve Çoklu İmza yani Multi-sig protokolleri kullanılır. MPC protokolünde özel anahtar parçalara bölünerek farklı kişilere dağıtılırken, Multi-sig protokolünde bir işlemin onaylanması için birden fazla bağımsız özel anahtarın imzasına ihtiyaç duyulur. Blok zincir ağları erişim modellerine göre herkese açık, özel, hibrit ve konsorsiyum ağları olarak sınıflandırılabilir. Herkese açık ağlarda katılım izni gerekmezken, özel ağlar belirli bir kurumun kontrolündedir. Hibrit ağlar her iki yapının özelliklerini barındırır, konsorsiyum ağları ise birden fazla kurum tarafından ortaklaşa işletilir. Blok zincir teknolojisi esneklik, zaman tasarrufu, güvenilirlik, şeffaflık ve işlemlerin değişmezliği gibi önemli avantajlar sunar. Finans, sağlık, kamu sektörü ve lojistik gibi pek çok alanda yaygın kullanım potansiyeline sahiptir. Özellikle sermaye piyasalarında takas işlemlerinin hızlandırılması, finansal araçların arzı, kimlik tanıma süreçlerinin verimliliği ve temettü ödemelerinin otomatize edilmesi gibi alanlarda devrim niteliğinde değişiklikler vaat etmektedir. Ancak yüksek maliyetler, işlem hızındaki yavaşlıklar, enerji tüketimi ve yasal çerçevedeki eksiklikler bu teknolojinin önündeki temel engellerdir. Güvenlik riskleri açısından blok zincir sistemleri oltalama, yönlendirme, Sybil, yüzde elli bir, Eclipse ve zaman manipülasyonu gibi çeşitli saldırı türlerine maruz kalabilir. Yüzde elli bir saldırısı, ağdaki işlem gücünün çoğunluğunu ele geçirerek kayıtları manipüle etmeyi hedefler. Bu risk büyük ağlarda ekonomik olarak zor olsa da küçük ağlar için ciddi bir tehdittir. Blok zincir uygulamalarının denetimi ise sistemin mimarisi, risk yönetimi, erişim denetimleri, akıllı sözleşmelerin doğruluğu ve anahtar yönetimi gibi kritik alanları kapsamalıdır. Denetçiler, sistemin tasarımının ve işletiminin doğru dokümante edildiğinden, siber olaylara müdahale süreçlerinin etkinliğinden ve yasal uyumdan emin olmalıdır. Blok zincir teknolojisi, sunduğu merkeziyetsiz güven modeli ile finansal sistemlerin geleceğinde belirleyici bir rol oynamaya devam edecektir. Bu nedenle, sermaye piyasası çalışanlarının bu teknolojinin teknik detaylarına ve beraberinde getirdiği risklere hakim olması, sınav başarısı ve mesleki yetkinlik açısından büyük önem arz etmektedir. Sınavda özellikle kripto varlık tanımları, cüzdan türleri arasındaki farklar ve siber saldırı yöntemleri sıklıkla sorulmaktadır. Bu kavramların teknik özelliklerini ve birbirlerinden ayrılan yönlerini dikkatle incelemek gerekir. Blok zincir ağlarının güvenliği ve bu ağlara yönelik saldırı türlerini inceleyerek dersimize devam edelim. Blok zincir teknolojisi her ne kadar güvenli bir yapı sunsa da ağın kendisine yönelik çeşitli saldırı yöntemleri mevcuttur.
Bölüm 6
Blok zincir ağlarının güvenliği ve bu ağlara yönelik saldırı türlerini inceleyerek dersimize devam edelim. Blok zincir teknolojisi her ne kadar güvenli bir yapı sunsa da ağın kendisine yönelik çeşitli saldırı yöntemleri mevcuttur. Bunlardan ilki olan Timejack saldırısında, Bitcoin gibi bazı blok zincirlerinde düğümlerin komşu düğümlerden öğrendikleri zaman bilgisinin ortalamasını alarak saatlerini ayarlaması suistimal edilir. Saldırganlar, bir düğümün komşuları ile haberleşmesini aksatarak zaman bilgisini manipüle edebilirler. Bu durum, ilgili düğümün ağda üretilen yasal blokları zaman bilgilerinin hatalı olduğu gerekçesiyle reddetmesine yol açar. Sonrasında saldırgan, bu düğüme gönderilecek işlemlerle çifte harcama gibi çeşitli saldırılar gerçekleştirebilir. Bir diğer saldırı türü olan Race saldırısında ise saldırgan, bir kripto varlık üzerinde bir gönderim işlemi yaparken hemen ardından bu işlemle çelişen ikinci bir işlemi ağa gönderir. Eğer çeşitli mekanizmalarla ikinci işlem ilk işlemden önce onaylanırsa, ilk gönderim işlemi geçersiz hale gelir. Bu noktada satıcının dikkatli olması ve varlıkların blok zincire işlendiğini kontrol etmesi hayati önem taşır. Finney saldırısı da Race saldırısına benzerlik gösterir ancak burada saldırganın kendisi bir madencidir. Saldırgan, mağdur aleyhine yapmış olduğu ters işlemi içeren bir blok üretir ve ilk işlemi geçersiz kılar. Bu saldırı türlerinde mağdurun gönderimin gerçekten bloğa yazılıp yazılmadığını kontrol etmemesi, saldırının başarıya ulaşmasına neden olur. Sınav hazırlığı sürecinde bu saldırı türlerinin teknik farklarını bilmek, özellikle çifte harcama riskinin hangi aşamalarda ortaya çıktığını anlamak açısından kritiktir. Blok zincir ekosistemindeki diğer risklere baktığımızda, cüzdanlara yönelik saldırılar, kripto varlık platformları veya hizmet sağlayıcılarına yapılan saldırılar, zararlı yazılım kullanımı ve akıllı sözleşme ihlalleri karşımıza çıkmaktadır. Özellikle akıllı sözleşmelere dışarıdan veri sağlayan kâhin yani oracle uygulamalarının bozulması, sözleşmelerin yanlış çalışmasına sebebiyet verebilir. Ayrıca akıllı sözleşme kodlarının bilinçli olarak zarar verici şekilde yazılması veya bu sözleşmelere yönelik hizmet dışı bırakma saldırıları da her geçen gün artan tehditler arasındadır. Bu karmaşık yapı nedeniyle blok zincir uygulamalarının denetimi, özellikle borsalar üzerinden büyük parasal değerlerin el değiştirdiği günümüzde büyük bir önem arz etmektedir. Denetim sürecinde her şeyden önce bir kapsam ve hedef belirlenmesi gerekir. Denetimlerde öncelikle güvenlik riskleri ortaya çıkarılmalıdır. Bu kapsamda sistemin amacı, tarafları, bileşenleri ve veri akışı tam olarak anlaşılmalıdır. Sistemin yönetimine ilişkin üst düzey politika ve prosedürlerin varlığı, tasarımın ve işletimin doğru şekilde dokümante edilip edilmediği, kontrol değişikliklerinin kayda alınıp alınmadığı denetimin temel taşlarını oluşturur. Denetim sürecinde değerlendirilmesi gereken kritik başlıklar arasında blok zincirin mimarisi ve türü, risk yönetimi süreçleri ve erişim denetimi yer alır. Özellikle herkese açık olmayan ağlarda ağa kabul prosedürleri titizlikle incelenmelidir. Akıllı sözleşme denetiminde ise güvenlik, doğruluk ve performans kriterleri esas alınır. Sistem ve ağ güvenliği, mutabakat protokolleri, anahtar yönetimi ve üçüncü tarafların güvenilirliği de denetim listesinde bulunmalıdır. Kâhin ve köprü uygulamalarının denetimi, blok zincir uygulamalarının diğer bilgi sistemleri ile olan iletişimi ve ara yüzleri de bu sürecin bir parçasıdır. Ayrıca sistem geliştirme, değişim yönetimi, kod gözden geçirme, sızma testleri, siber olaylara müdahale yönetimi, iş sürekliliği ve insan kaynakları süreçleri de denetim kapsamında ele alınmalıdır. Sınavda blok zincir teknolojisinin sınırları veya dezavantajları sorulduğunda, işlem maliyetleri, işlemlerin hızı ve hata riski gibi unsurlar ön plana çıkarken, merkeziyetsiz yapının bir dezavantaj değil temel bir özellik olduğu unutulmamalıdır. Şimdi bilgi sistemleri operasyonları konusuna geçiş yapalım. Gartner tarafından yapılan tanıma göre bilgi sistemleri operasyonları; müşterilere ve kullanıcılara doğru hizmeti, doğru kalitede ve rekabetçi bir bütçeyle sunmak için hizmet yönetimiyle ilgili çalışanlar ve yönetim süreçlerinin bütünüdür. Bu pratiklerin temel amacı, kurumun iç ve dış kullanıcılarının bilgi teknolojisi konusunda desteklenmesi ve süreçlerin başarılı bir şekilde işletilmesidir. Operasyon yönetimi, bir kurumun tüm bilgi teknolojisi altyapısının yönetimi olarak ifade edilir ve hizmetlerin teknik gerçekleştirimini kapsar. Hizmet yönetimi ise daha çok kullanıcı odaklıdır ve stratejik hedeflere ulaşılmasını sağlayan araç ve mekanizmaları yönetir. Hizmet sunumunda süreklilik, çeviklik, kapasite, maliyet ve iyileştirme gibi temel özellikler aranır. Süreklilik, hizmetlerin istenen kalitede ve kesintisiz sağlanmasını ifade ederken; çeviklik, yeni ihtiyaçların hızla karşılanabilmesidir. Kapasite ise hizmetin kabul edilebilir ölçüm değerleri içinde sunulmasıdır. Maliyet unsuru bütçe sınırları içinde kalmayı gerektirir. İyileştirme ise teknolojinin ve iş gereksinimlerinin değiştiği dünyada hizmetlerin sürekli geliştirilmesini sağlar. Bu noktada ölçüm yapabilmek için hizmet seviyesi kriterlerinin belirlenmiş olması gerekir. Hizmet yönetimi kapsamında iki önemli kavram olan hizmet kataloğu ve hizmet portföyünü ele alalım. Hizmet kataloğu, bir işletmede kullanıcılara sunulan güncel bilgi teknolojisi hizmetlerinin envanteridir. Bu katalog sadece cari durumda sunulan hizmetleri içerir ve hizmet masası pratiklerini kolaylaştırır. Hizmet portföyü ise daha geniş bir kavramdır; cari hizmetlerin yanı sıra geçmişte sunulmuş ve gelecekte sunulması planlanan tüm hizmetleri kapsar. Portföy oluşturmak kurumsal hafızaya hizmet eder ve gelecekteki hizmetler için bir perspektif sunar. Hizmet kataloğunda genellikle yazılım, donanım, e-posta, internet ve yedekleme gibi kategoriler bulunur. Bu kategorizasyon, yardım masası işlevinin etkinliğini artırır ve hangi alanlarda problemlerin yoğunlaştığının ölçülmesine olanak tanır. Sınav açısından önemli bir detay şudur: Hizmet seviyesini bilgi sistemleri birimi değil, iş tarafı belirler. Bu belirleme süreci işletmenin stratejisi ve iş hedefleri doğrultusunda rasyonel bir şekilde gerçekleştirilmelidir. Hizmet masası konusuna değinecek olursak, bu birim tüm olay, sorun ve isteklerin yönetildiği tek iletişim noktası yani single point of contact olarak görev yapar. Hizmet masası, problemlerin raporlanmasını, olayların zamanında çözülmesini ve ilgililere bildirim gönderilmesini sağlar. Günümüzde yardım masası kavramı, hizmet masasının bir alt kümesi olarak olay yönetimi süreci altında değerlendirilmektedir. Özellikle küçük ölçekli işletmelerde kullanıcıların doğrudan bilgi sistemleri personeliyle kişisel temasa geçmesi veya işlemlerin kayıt altına alınmaması ciddi sorunlara yol açar. Bu durum sorunların sayısının belirlenememesine, kategorizasyon yapılamamasına, kök sebeplerin bulunamamasına ve kurumsal hafızanın oluşamamasına neden olur. Hizmet masası yönetiminde kullanılan araçlar arasında yanıt süresi raporları, kesinti raporları, yardım masası raporları, çevrimiçi monitörler, ağ analizörleri ve basit ağ yönetimi protokolü olan SNMP yer alır. SNMP ağdaki değişkenleri inceler, yapılandırmaları yönetir ve performans ile güvenlik unsurları hakkında bilgi toplar. Talep yönetimi ve olay yönetimi süreçleri de operasyonların ayrılmaz parçalarıdır. Talep yönetimi, kullanıcı beklentilerine göre ihtiyaçları belirler ve bunları talep veya proje olarak sınıflandırır. Olay yönetimi ise hizmet kesintilerini en aza indirmeyi ve hizmetleri en kısa sürede normal operasyon seviyesine döndürmeyi amaçlar. Olay yönetimi yaşam döngüsü, bir sorunun bildirilmesiyle başlar ve çözülmesiyle sona erer. Bu süreçte olaylar kategorize edilir ve önceliklendirilir. Olay çözümünün beş standart adımı mevcuttur. İlk adım olay tanımlama, iz kaydı ve sınıflandırmadır. İkinci adım olay bildirimi ve eskalasyondur. Üçüncü adım araştırma ve teşhis, dördüncü adım çözüm ve kurtarma, beşinci ve son adım ise olay kapatmadır. Bu adımların her birinde yapılan işlemlerin kayıt altına alınması kurumsal hafıza için elzemdir. Olay yönetiminde roller de net bir şekilde tanımlanmıştır. Son kullanıcı sorunu bildiren taraftır. Katman bir hizmet masası ilk başvuru noktasıdır ve genel sorunlarla ilgilenir. Katman iki daha karmaşık olaylarda uzmanlık sağlar. Katman üç ise sunucu desteği gibi ileri düzey teknik bilgi gerektiren alanlarda devreye girer. Olay yöneticisi süreci izlerken, olay sorumlusu işlemin iyileştirilmesinden ve anahtar performans göstergelerinin takibinden sorumludur. Problem yönetimi ile olay yönetimi arasındaki fark sınavda sıklıkla sorulmaktadır. Olay yönetimi sistemi en kısa sürede ayağa kaldırmaya odaklanırken, problem yönetimi olayların kök nedenlerini bulmaya ve tekrarlanmasını önlemeye odaklanır. Problem yönetiminde kök nedenleri belirlemek için balık kılçığı yani Ishikawa diyagramı ve beş neden analizi gibi teknikler kullanılır. Kök nedenleri ve geçici çözümleri saptanmış problemler bilinen arıza olarak tanımlanır. Kalıcı bir çözüm bulunana kadar uygulanan önlemlere ise geçici çözüm veya work around denir. Bilgi sistemleri denetçisi, problemlerin zamanında çözüldüğünü ve çözüm üreten kişinin yetkinliğini kontrol etmelidir. Bunun için problem kayıtları, yardım masası çağrı günlükleri ve performans kayıtları incelenmelidir. Ayrıca çözümsüz kalan problemlerin üst yönetime eskale edilmesi için belirlenmiş prosedürlerin varlığı denetimin kritik bir parçasıdır. Değişiklik, sürüm ve yama yönetimi konuları da bilgi sistemleri altyapısının sürdürülebilirliği için hayatidir. Değişiklik yönetimi, hizmetler üzerinde etki yaratabilecek her türlü ekleme veya kaldırma işleminin riskleri en aza indirerek gerçekleştirilmesini sağlar. Değişiklikler standart, normal ve acil olarak üç kategoride ele alınır. Standart değişiklikler düşük etkili ve önceden onaylanmış işlemlerdir. Normal değişiklikler planlama, risk değerlendirmesi ve onay gerektirir. Acil değişiklikler ise iş operasyonlarını etkileyen yüksek öncelikli durumlarda hızlandırılmış süreçlerle uygulanır. Değişiklik yönetimi uygulanmadığında, başarısız değişimler, veri kayıpları ve iş süreçlerinde aksamalar gibi ciddi riskler ortaya çıkar. Sürüm yönetimi ise büyük ölçekli yazılım güncellemelerini ve donanım değişikliklerini koordine eder. Bu süreçte yeni sürümün test edilmesi, önceki sürümlerin yedeklenmesi ve kullanıcıların eğitilmesi gibi faaliyetler yürütülür. Sürüm yöneticisi, yayın takvimini oluşturur ve riskleri yönetir. Son olarak sürekli test ve yama yönetimi süreçlerine değinelim. Yazılım geliştirme aşamasında regresyon testi, performans optimizasyon testleri, yük testi, fonksiyonel test ve kullanıcı kabul testi gibi çeşitli testler yapılır. Regresyon testi, yeni eklenen kodun mevcut işlevleri bozup bozmadığını kontrol eder. Yük testi, sistemin yoğun işlem altında nasıl performans gösterdiğini ölçer. Kullanıcı kabul testi ise ürünün kullanıcı ihtiyaçlarını karşılayıp karşılamadığını görmek için yapılan son aşamadır. Yama yönetimi ise yazılımlardaki güvenlik açıklarını kapatmak ve performansı artırmak için güncellemelerin yüklenmesi işlemidir. Yama işlemleri sırasında öncelikle veri yedeklemesinin yapılmış olması ve yamaların canlı ortama alınmadan önce test edilmesi gerekir. Tüm bu süreçlerin dokümante edilmesi ve izlenebilir olması, hem operasyonel verimlilik hem de denetim uyumluluğu açısından zorunluluktur. Sınavda bu süreçlerin birbirleriyle olan ilişkileri ve her birinin temel amacı üzerinden sorular gelmesi muhtemeldir. Yazılım geliştirme ve dağıtım süreçlerinde kullanıcı veya iş işlevlerinde minimum kesinti ile yazılımın zamanında dağıtılmasını sağlayan mekanizmalar kritik öneme sahiptir.
Bölüm 7
Yazılım geliştirme ve dağıtım süreçlerinde kullanıcı veya iş işlevlerinde minimum kesinti ile yazılımın zamanında dağıtılmasını sağlayan mekanizmalar kritik öneme sahiptir. Bu süreçlerin en temel bileşenlerinden biri olan sürekli test aşamasını ele alarak dersimize başlayalım. Yazılım oluşturmanın daha etkin ve doğru olabilmesi için testlerin sadece belirli bir aşamada değil, geliştirme sürecinin her aşamasında sürekli olarak yapılması gerekmektedir. Geliştirme sırasında yazılan birim testlerine ek olarak, yeni eklenen özelliklerin birbirleriyle doğru bir şekilde etkileşime girmesini sağlamak amacıyla entegrasyon testleri icra edilir. Bu noktada sınav hazırlığı kapsamında test çeşitlerini ve bunların işlevlerini iyi kavramak gerekir. İlk olarak regresyon testinden bahsedelim. Regresyon testi, sisteme yeni eklenen bir özelliğin veya kod parçacığının mevcut işlevleri bozup bozmadığını kontrol etmek amacıyla yapılır. Performans optimizasyon testleri ise genellikle web uygulamalarının ortalama yüklenme süresini, erişilebilirliğini ve arama motoru optimizasyonunu denetlemek için kullanılır. Bir diğer önemli yöntem olan yük testi, sistemi spesifik iş yükleri altında ve spesifikasyon limitlerine yakın seviyelerde ölçer. Bu test, kullanıcı veya işlem sayısı arttıkça uygulamanın yanıt süresi ve kullanılabilirlik açısından ne kadar verimli performans gösterdiğini değerlendirmeye yardımcı olur. Fonksiyonel test aşamasında ise yazılımın fonksiyonel analize uygunluğu denetlenir. Buradaki temel amaç, sistem analizinde belirtildiği üzere yazılım bileşenlerinin birbiriyle doğru entegre edildiğini doğrulamaktır. Ürünün kullanıcı ihtiyacını karşılayıp karşılamadığını görmek açısından bu aşama kritiktir ve test yürütme sürecinde fonksiyonel gereksinim maddelerinin onayları da alınmış olur. Kullanıcı kabul testi süreci, proje ekibi tarafından yürütülen testlerin başarıyla sonuçlanmasının ardından Proje Teknik Lideri onayı ile başlar. Bu aşamaya gelen projelerde, testi gerçekleştirecek proje sahibi ve paydaşlarına gerekli bilgilendirmeler Proje Yöneticisi tarafından iletilir. Test öncesinde senaryoların ve kullanılacak verilerin hazırlanması şarttır. Senaryolar belirli bir şablon üzerinden takip edilir ve sonuçlar olumlu veya olumsuz, yani İngilizce tabiriyle pass veya fail olarak kaydedilir. Kullanıcıya gönderilen test senaryoları için onay alınmalı ve testi gerçekleştiren kullanıcı tüm test kanıtlarını kayıt altına almalıdır. Eğer bir hata tespit edilirse, bu hatalar önceliklendirilerek çözülür ve sistem tekrar teste tabi tutulur. Kullanıcı kabul testinin tamamlanmasıyla birlikte paydaşlardan nihai onay alınır. Bazı durumlarda bir grup kullanıcı, uygulamayı beta testi olarak adlandırılan aşamada deneyimleyerek geri bildirimde bulunur. Kuruluş bu geri bildirimleri kullanarak ürünü gerçek ortamda kullanıma sunmadan önce gerekli iyileştirmeleri yapar. Şimdi yama yönetimi konusuna geçelim. Yama yönetimi, programlama kodunun daha yüksek verimlilikle çalışmasını sağlamak, kod değişikliklerini tanımlamak ve test etmek için uygun yöntemler üzerine kurgulanmış bir süreçtir. Bu süreç, yazılımları ve sürücüleri güvenlik açıklarına karşı korumak ve yüksek performansta çalışmalarını temin etmek amacıyla güncellemelerin yüklenmesi işlemini kapsar. Yapılan güncellemeler kuruluş içindeki üretkenliği desteklerken, cihaz yönetim ve onarım maliyetlerini düşürür ve yasal uyumluluk standartlarının yerine getirilmesine yardımcı olur. Belirli bir sisteme uygulanan yamalar veya tüm kod değişiklikleri hakkında sürüm ve içerik bilgilerinin tutulması zorunludur. Yapılan değişikliğin doğruluğundan emin olmak için önceki test verileri ile karşılaştırma yapılabilmelidir. Kod değişiklikleri tamamlanıp son kullanıcı erişimine açıldıktan sonra da test işlemleri devam etmelidir. Bunun nedeni, simülasyonlar sırasında fark edilemeyen sorunların canlı ortamda farklı bir göz tarafından değerlendirilmesi ve gerçek zamanlı verimliliğin takip edilmesidir. Yama yönetimi görevleri arasında güncel bilgileri koruma, uygun yamalara karar verme, düzeltme eklentilerinin doğruluğundan emin olma, kurulum sonrası test ve tüm işlemlerin belgelendirilmesi yer alır. Yama işlemleri sırasında dikkat edilmesi gereken kritik hususlar mevcuttur. Öncelikle veri yedeklemesinin yapılmış olması, yamanın benzer sistemlerde test edilmesi ve mümkünse işlemlerin mesai saatleri dışında gerçekleştirilmesi gerekir. Eğer bir kesinti yaşanacaksa, kesintinin zamanı ve süresi hakkında bilgilendirme yapılmalı, olumsuz bir durumda yedekten dönüş imkanları hazır bulundurulmalıdır. Bu işlemler otomatik güncelleştirme veya merkezi dağıtım yöntemleriyle yapılabilir. Otomatik güncelleştirme genellikle kişisel sistemler için tercih edilirken, kurumsal ağlarda yamalar merkezi bir makineye çekilerek diğer cihazlara dağıtılır. Active Directory kullanılan ortamlarda Smart Update Services aracılığıyla otomatik güncelleme yönetimi sağlanabilir. Konfigürasyon yönetimi konusunu ele aldığımızda, bu sürecin verilen servislerle ilgili her parçayı kayıt altına alma yöntemi olduğunu görmekteyiz. Bu sayede bilgi teknolojileri altyapısının maliyet ve işletim takibi sağlanır, bileşenlerin birbiriyle olan ilişkileri kaydedilerek olay ve problem etkileri tespit edilir. Konfigürasyon yönetim sistemindeki bilgilerin eksiksiz olması ve değişikliklerin sadece yetkili kişilerce yapılması esastır. Bu süreç, değişiklik ve sürüm yönetimi ile entegre bir şekilde planlanmalıdır. Ağ konfigürasyon yöneticisi, ağ cihazlarının tüm yaşam döngüsünü yönetir, karmaşık faaliyetleri otomatikleştirir ve ayrıntılı raporlar sunar. Konfigürasyon yönetimi uygulamaları, kullanıcı odaklı yönetimi destekleyerek en önemli uygulamaların her cihazda erişilebilir olmasını sağlar. Bu sistemin iki temel çıktısı mevcuttur. Birincisi, sistemi değiştirmeye kimin yetkili olduğunu belirleyen konfigürasyon yönetim sistemi değişiklik politikasıdır. İkincisi ise kayıtlardaki veriler ile gerçekteki öğeler arasındaki farkları gösteren konfigürasyon yönetimi denetim raporudur. Bu noktada Konfigürasyon Yönetimi Veri Tabanı, yani kısa adıyla CMDB kavramına değinmek gerekir. CMDB, bir kuruluşun bilgi teknolojileri hizmetlerinde kullanılan donanım ve yazılım bileşenleri ile bunlar arasındaki ilişkileri içeren kapsamlı bir veri tabanıdır. Bilgi sisteminin her bir bileşeni yapılandırma öğesi olarak isimlendirilir. ITIL spesifikasyonlarına göre konfigürasyon yönetiminin dört ana görevi bulunmaktadır. Bunlar yapılandırma öğelerinin tanımlanması, sadece yetkili kişilerce değiştirilebilmesi için kontrol verilerinin oluşturulması, mevcut durumun kaydedilerek güncel tutulması ve verilerin doğruluğu için sürekli denetlenmesidir. CMDB, yapılandırma öğeleri arasındaki bağımlılıklar hakkında ayrıntılı bilgi sunar. Örneğin bir kesinti yaşandığında, hangi sistemlerin etkileneceği bu veriler sayesinde anlaşılır. Ayrıca gereksiz kaynakların tespit edilerek maliyet tasarrufu sağlanmasına imkan tanır. Ağ konfigürasyonu yönetimi ise cihaz bulma, envanter bakımı, uyumluluk izleme, arıza giderme ve yedekleme işlemlerini kapsar. Cihaz bulma aşamasında seri numaraları ve port konfigürasyonları gibi detaylar envantere eklenir. Konfigürasyon yedekleme, hatalı bir değişiklik veya güvenlik ihlali durumunda iş sürekliliğini sağlamak için güvenilir sürüme geri dönülmesine olanak tanır. Değişiklik yönetimi kapsamında ise kimin ne zaman değişiklik yaptığına dair kullanıcı kayıtları tutulur. Hizmet Seviyesi Anlaşmaları olan SLA ve İş Birimleriyle Mutabakat olan OLA kavramları, müşteri memnuniyetini korumak ve hizmet kalitesini ölçmek için kullanılan temel araçlardır. SLA, hizmet sağlayıcı ile son kullanıcı arasında beklenen hizmet düzeyini belirleyen yasal bir sözleşmedir. Bu anlaşmalar öncelikleri, sorumlulukları, garantileri, minimum hizmet seviyelerini, fesih şartlarını ve felaket kurtarma prosedürlerini içerir. Donanım ve yazılım performans hedefleri, kullanıcı yanıt süreleri ve erişilebilirlik gibi kriterler bu kapsamda tanımlanmalıdır. Bilgi sistemleri denetçisi, bu ölçüm kriterlerinin risk, güvenlik ve verimlilik unsurlarını içerdiğinden emin olmalıdır. Hizmetlerin verimliliğini takip etmek için istisna raporları, sistem ve uygulama günlükleri, operatör problem raporları ve operatör çalışma çizelgeleri gibi araçlar kullanılır. İstisna raporları, başarılı tamamlanmayan uygulamaları tanımlarken; sistem günlükleri, kök neden analizine yardımcı olur. OLA ise kurumun iç destek grupları arasındaki teknik detayları içeren bir anlaşmadır. SLA hizmet kısmına odaklanırken, OLA bakım ve teknik destek süreçlerine odaklanır. Hizmet seviyelerinin izlenmesi, özellikle dış kaynak kullanımı mevcutsa kritik önem arz eder. Kaynak yönetimi sürecine geçtiğimizde, bu sürecin insan, zaman, finansman ve teknoloji gibi kaynakların verimli kullanılmasını sağladığını görmekteyiz. Etkili bir kaynak yönetimi planı, öngörülemeyen engellerin aşılmasını ve üretkenliğin optimize edilmesini sağlar. Proje yöneticisi, hem insan kaynaklarını hem de fiziksel kaynakları güvence altına almakla yükümlüdür. Yığın işler veya teknik adıyla batch işlemler ise belirli bir zamanda yapılması planlanan ve kullanıcı etkileşimi gerektirmeyen işlerin biriktirilerek çalıştırılmasıdır. Bu yöntem sistem giderlerini azaltır ve verimliliği artırır. Örneğin mesai saati dışında otomatik olarak çalışan yedekleme işlemleri birer yığın iştir. Windows sistemlerde zamanlanmış görevler, Unix sistemlerde ise at komutu bu amaçla kullanılır. Sınavda sıklıkla karşınıza çıkabilecek bir diğer önemli konu yedekleme ve yedekten geri dönme süreçleridir. Felaket ve yedekleme kavramları arasındaki farkı iyi bilmek gerekir. Felaket, doğal afetler veya teknik sorunlar nedeniyle çalışma sürecinin kesintiye uğramasıdır. Yedekleme ise verilerin kopyasının alınması işlemidir. Felaketten kurtarma, kesintiden sonra kaynaklara hızlı erişimi sağlamayı hedefler. Yedekleme çeşitlerini şu şekilde sınıflandırabiliriz. Tam yedekleme, verilerin bütün bir kopyasının alınmasıdır. Artımlı yedekleme, son yedeklemeden sonraki değişmiş verileri kapsar. Diferansiyel yedekleme ise en son yapılan tam yedeklemeden sonraki değişiklikleri yedekler. Sentetik yedekleme, tam ve artımlı yedeklerin birleştirilmesiyle oluşur. Ayna yedeklemesi tam yedeğin bir kopyasını başka bir yere alır. Sürekli yedekleme ise veriyi gerçek zamanlı izleyerek her değişikliği anında yedekler. Veri depolama teknolojilerinde RAID yapıları büyük önem taşır. RAID sıfır, en az iki disk ile kurulur ve yüksek hız sağlar ancak hata toleransı yoktur. RAID bir, veriyi diğer diske aynalar ve yüksek güvenlik sunar. RAID on, en az dört disk gerektirir ve hem hız hem güvenlik sağlar. RAID beş, en az üç disk ile çalışır ve parite bilgisi kullanarak hata toleransı sağlar. RAID altı ise çift parite kullanarak iki diskin aynı anda bozulmasına karşı koruma sağlar. Depolama türleri arasında DAS doğrudan bağlantıyı, NAS ağ üzerinden erişimi, SAN ise yüksek performanslı blok düzeyinde veri aktarımını ifade eder. Yedekleme teknolojisi seçilirken standartlaştırma, kapasite, hız ve maliyet kriterleri göz önünde bulundurulmalıdır. Veri yedekleme sıklığı, Kurtarma Noktası Hedefi yani RPO değerine göre belirlenir. Yedekten geri dönme konusunda Büyükbaba, Baba, Oğul yöntemi yaygın olarak kullanılır. Bu yöntemde günlük yedekler oğul, haftalık yedekler baba ve aylık yedekler büyükbaba olarak nitelendirilir. Alınan yedeklerin doğruluğunu test etmek için periyodik olarak geri dönüş testleri yapılmalı ve belgelenmelidir. Sürekli iyileştirme süreci, Planla, Uygula, Kontrol Et ve Önlem Al adımlarından oluşan PUKÖ döngüsü üzerine kuruludur. Planla aşamasında problem analiz edilir ve hedefler belirlenir. Uygula aşamasında planlar hayata geçirilir. Kontrol et aşamasında standartlara uyum ve sonuçlar denetlenir. Önlem al aşamasında ise sorunları engellemek için çalışma sistemi geliştirilir. İyileştirme faaliyetlerini ölçmek için uygulama gözden geçirmesi, değerlendirme, kıyaslama, boşluk analizi, dengelenmiş skor kartı, SWOT analizi ve swim lane diyagramları gibi teknikler kullanılır. Son olarak kapasite yönetimi konusunu detaylandıralım. Kapasite yönetiminin amacı, bilgi sistemleri altyapısının mevcut ve gelecekteki ihtiyaçları karşılamasını sağlamaktır. ITIL çerçevesinde bu sürecin kilit faaliyetleri performans izleme, ayarlama, planlama, politika tanımlama ve talep yönetimidir. Kapasite yönetimi, iş kapasite yönetimi, hizmet kapasite yönetimi ve kaynak kapasite yönetimi olmak üzere üç alt sürece ayrılır. İş kapasite yönetimi gelecekteki gereksinimlere odaklanırken, hizmet kapasite yönetimi canlı hizmetlerin performansına, kaynak kapasite yönetimi ise tek tek altyapı bileşenlerine odaklanır. Kapasite yönetiminde talebi izlemek, kullanıcıların kaynakları nasıl etkilediğini anlamamızı sağlar. Analiz aşamasında iş yükü, işlem sayısı ve kullanım eğilimleri gibi ölçütler değerlendirilir. Tahmin faaliyetleri ise işletmenin büyüme öngörülerine göre kapasite planlaması yapmasına olanak tanır. Bu süreçte modelleme ve uygulama büyüklüğü gibi teknikler kullanılır. Kapasite yönetiminin faydaları arasında doğru zamanda doğru yatırım yapılması, sistemlerin proaktif yönetilmesi ve tahmin becerisinin gelişmesi yer alır. Ancak olgunlaşmamış süreçler veya organizasyonel yetki eksiklikleri bu sürecin başarısını engelleyebilir. Kullanılabilirlik yönetimi ise işletmenin amaçlarına ulaşması için sistemlerin her an erişilebilir ve işlevsel olmasını sağlama gayesi güder. Bilgi sistemleri yönetiminde hizmet seviyesi anlaşmaları, beklenen yanıt sürelerini ve hizmetin geri yüklenmesi, eskalasyon ile çözümleme süreçlerini referans aldığı için hizmet seviyesi yönetimi sürecinin çıktıları bu noktada temel teşkil etmektedir.
Bölüm 8
Bilgi sistemleri yönetiminde hizmet seviyesi anlaşmaları, beklenen yanıt sürelerini ve hizmetin geri yüklenmesi, eskalasyon ile çözümleme süreçlerini referans aldığı için hizmet seviyesi yönetimi sürecinin çıktıları bu noktada temel teşkil etmektedir. Performansın izlenmesi aşamasında ise destekleyici izleme yazılımları ve ağ izleme sistemleri gibi çok katmanlı çözümlerden faydalanılmaktadır. Tahmin etme faaliyetleri, işletmenin gelecekteki büyüme potansiyelini öngörmesine ve kapasite planlamasını bu öngörüler doğrultusunda şekillendirmesine olanak tanır. Bu süreç teknolojik imkanlara göre farklılık gösterebilir. Örneğin, bir işletme web tabanlı kullanıcı sayısını iki katına çıkarma kararı aldığında, mevcut veri ve büyüme modellerine dayanarak yeni kullanım oranlarının getireceği maliyetleri hesaplayabilir. Kapasite tahminleri kaynak artırımı gerektiriyorsa, bu durum bilgi sistemleri bütçe döngüsüne doğrudan bir girdi olarak aktarılır. Kapasite planlaması yapılırken sadece mevcut duruma odaklanmak yeterli değildir; beklenen hizmet seviyelerinin sürekli izlenmesi ve analiz edilmesi şarttır. Kapasite yönetiminde kullanılan tahmin tekniklerini detaylandırmak gerekirse, ilk olarak ayarlama faaliyetinden bahsetmek gerekir. Ayarlama, izlenen verilerin analizi yoluyla sistem kaynaklarının daha etkin kullanılması veya belirli bir hizmetin performansının artırılması için yapılandırma ayarlarının optimize edilmesidir. İkinci teknik olan uygulama ise izleme, analiz ve ayarlama süreçleriyle belirlenen her türlü değişikliğin canlı ortama aktarılmasını ifade eder. Üçüncü olarak kapasite yönetim verisinin saklanması süreci gelir ki bu süreçte iş, hizmet, teknik, finansal ve kullanım verileri belirli süreler boyunca muhafaza edilir. Modelleme tekniğinde, bilgi sistemleri hizmetlerinin belirli bir iş hacmi ve çeşitliliği altındaki davranışları öngörülmeye çalışılır. Son olarak uygulama büyüklüğü tekniği, önerilen bir uygulama değişikliğinin veya yeni bir uygulamanın gerektirdiği hizmet seviyelerini karşılamak için ihtiyaç duyulan kaynak miktarının tahmin edilmesini amaçlar. Satın alma süreçlerinde kapasite yönetimi, hangi bileşenlerin yükseltileceği ve gelecekteki gereksinimleri desteklemek için yeni donanımların ne zaman temin edileceği gibi kritik finansal kararlar için gerekli bilgiyi sağlar. İşletme, bilgi sistemleri tarafından sunulan maliyet analizlerine dayanarak satın alma kararlarını şekillendirir. Yük testi ise tüm uygulamaların eş zamanlı ve tam yük olarak belirlenen işlem seviyelerinde çalıştığı durumlarda, işlerin kesintiye uğramadan devam etmesini garanti altına almak için yürütülen bir faaliyettir. Ayarlama faaliyeti ise yeni hizmetlerin devreye alınmasından sonra veya mevcut sistemlerde belirli dönemlerde yapılan optimizasyon çalışmalarını kapsar. Kapasite yönetiminin faydalarına bakıldığında, ana hedefin kullanıcılara kararlaştırılmış seviyelerde hizmet sunmak için yeterli bilgi sistemleri kapasitesinin varlığını garanti etmek olduğu görülür. Bu sürecin sağladığı avantajlar arasında doğru zamanda doğru yatırımların yapılması, mevcut sistemlerin bütçe dahilinde verimli kullanılması, olay ve problemlerin azaltılması için proaktif yönetim sergilenmesi ve müşteri tahmin becerisinin gelişmesi yer almaktadır. Ancak bu süreçte bazı problemlerle de karşılaşılabilir. İşletmede resmi olmayan veya olgunlaşmamış hizmet yönetim süreçlerinin varlığı, kapasite yöneticisi gibi ayrı bir rolün tanımlanmaması, süreç sahibinin yeterli yetki ve izin seviyesine sahip olmaması, yanlış uzmanlık veya teknoloji seçimi, mevcut kapasitenin sorgulanmadan iyi kabul edilmesi ve kapsam tanımının yanlış yapılması bu problemlerin başlıcalarıdır. Özellikle kapsamın çok geniş tutulması süreci işlemez hale getirebilir. Kullanılabilirlik yönetimi konusuna geçtiğimizde, bu sürecin temel amacının işletme hedeflerine ulaşmayı sağlayan, maliyet etkin ve tanımlanmış hizmet seviyesinde bir kullanılabilirlik sunmak olduğunu görmekteyiz. Bu süreç teknoloji, insan, kaynak planlama ve uygulamalar aracılığıyla yürütülür. Kullanılabilirlik yönetiminin işletmeye sağladığı faydalar arasında arıza sürelerinin ve maliyetlerin azalması, sistemlerin hedeflere göre yönetilmesi, çekirdek operasyonlara verilen desteğin artması ve tepkisel destek ihtiyacının azalması sayılabilir. Sürecin anahtar faaliyetleri izleme, etki hesaplama, analiz etme, esneklik ve güvenliği sağlama olarak gruplandırılır. Bilgi sistemleri organizasyonları, hizmet ve altyapı bileşenlerinin genel kullanılabilirliğini iyileştirmek için proaktif bir plan oluşturmalı ve bunu sürdürmelidir. İzleme aşamasında, altyapı ve bileşenlerin belirlenmesi ile uygun araçların seçilmesi kritik önem taşır. Bu aşamada toplanan temel ölçüler şunlardır: Kullanılabilirlik, yani belirli zaman dilimindeki toplam kesinti süresi; güvenilirlik, yani kesintinin süresi; sürdürülebilirlik, yani organizasyonun hizmetleri çalışabilir durumda tutma kabiliyeti ve kullanışlılık, yani harici sistemlerin izlenmesini de kapsayan sürdürülebilirlik ölçüsüdür. Sınav açısından bu dört kavramın tanımlarının iyi bilinmesi gerekmektedir. İdeal bir yönetim süreci, ortamın sürekli izlenmesini ve raporlanmasını zorunlu kılar. Etki hesaplama aşamasında, operasyonel altyapıda yaşanan sapmaların ve kesintilerin bilgi sistemleri hizmetleri üzerindeki etkisi kayıt altına alınır. Bu analiz, kullanılabilirlik problemlerine neden olan bileşenleri tespit etmeye ve ek maliyetlerin kaynağını anlamaya yardımcı olur. Tedarikçi yönetimi bu noktada sıklıkla ihmal edilen bir alandır; oysa tedarikçi ilişkileri mutlaka hizmet seviyesi anlaşmalarını içermelidir. Analiz aşamasında ise iyileştirme alanlarını belirlemek için mevcut veriler değerlendirilir. Yapısal bir analizde amaç, bir kullanılabilirlik matrisi oluşturmaktır. Bu matrisi oluştururken kullanılan teknikler sınavda sıklıkla sorulmaktadır. Bileşen başarısızlık etki analizi yani CFIA, önemli bileşenlerin hizmet içindeki rollerini belirler. Hata ağaç analizi yani FTA, başarısızlığa yol açan olaylar zincirini tespit eder. CCTA risk analizi ve yönetim yöntemi olan CRAMM, hizmetleri performans ve güvenlik ihlallerine karşı korumak için araçlar sunar. Hizmet kesinti analizi yani SOA, hataların nedenlerini ve verimliliği araştırarak iyileştirme önerileri üretir. Teknik gözlem mevkii yani TOP ise rutin bilgilerin yetersiz kaldığı durumlarda uzmanların tek bir yöne odaklanarak yaptığı araştırmadır. Esneklik ve güvenlik aşamasında, kullanıcılar kesintiden etkilenmeden önce değişimleri tespit eden araçlar kullanılır. Kullanılabilirlik yönetimi, güvenli bir ortam oluşturmak için izleme ve analizden gelen verileri kullanır. Sürecin başarısı, işletme amaçlarının net tanımlanmasına ve hizmet seviyesi yönetimi ile entegrasyona bağlıdır. Ancak algı farklılıkları, uygun olmayan ölçümlerin sunulması, diğer disiplinlerle olan bağın anlaşılamaması ve personel direnci gibi engeller bu sürecin etkinliğini kısıtlayabilir. Özellikle sistem kullanılabilirliği ile hizmet kullanılabilirliği arasındaki farkın yanlış anlaşılması, işletme yönetiminde olumsuz bir algı yaratabilir. Bilgi sistemleri operasyonları ve denetimi ile ilgili değerlendirme sorularına bakıldığında, yedekleme süreçlerinin denetiminde işletmenin tabi olduğu regülasyonlar, risk kabulleri ve cari dönem çıktıları kapsam dahilindeyken, kullanılan RAID seviyesinin doğrudan bu sürecin bir parçası olarak değerlendirilmediği görülmektedir. Veri yedekleri üzerinde uygulanan kontroller arasında gizlilik, fiziksel kontroller, bütünlük ve saklama süreleri yer alırken, yedekten geri dönüş süreleri bir kontrol değil, bir performans hedefidir. Kapasite yönetim sürecinde işlemci kullanımı, işlem sayısı ve büyüme tahminleri temel girdilerdir. Kullanılabilirlik yönetiminde ise izleme istatistikleri, kesinti raporları ve hata analizleri kullanılırken, büyüme analiz raporu kapasite yönetiminin bir çıktısıdır. Yedekleme testlerinin belirli bir düzende ancak riskli bir rotasyonla yapılması, sürecin işleyişinde bir zafiyet olduğuna işaret eder. Bilgi sistemleri sürekliliği konusuna geçtiğimizde, bilginin işletmenin en değerli varlığı olduğunu ve özellikle finans sektöründe kesintisiz erişimin hayati önem taşıdığını vurgulamalıyız. Bilgi sistemleri sürekliliği, bir kesinti durumunda hizmetlerin önceden belirlenmiş kabul edilebilir seviyelerde sürdürülmesini sağlama yetkinliğidir. Bu sürecin amaçları arasında felaket sonrası risk ve etki değerlendirmesi yapmak, kritik hizmetleri belirlemek, kurtarma planları geliştirmek ve hizmetlerin geri yükleme sürelerini tanımlamak yer alır. Bilgi sistemleri sürekliliği, genel iş sürekliliği stratejisinin ayrılmaz bir parçasıdır. İş sürekliliği kavramı, bir felaket sonrasında ürün ve hizmetleri kabul edilebilir seviyelerde sunmaya devam etme yeteneğidir. İş sürekliliği yönetimi ise bu süreci bütünsel bir şekilde ele alan, kurum kültürünün parçası olması gereken stratejik bir yaklaşımdır. ISO yirmi iki bin üç yüz bir standardı bu alandaki uluslararası çerçeveyi belirler ve Planla Uygula Kontrol Et Önlem Al modelini yani PUKÖ modelini esas alır. Planlama aşamasında politikalar ve hedefler belirlenir, uygulama aşamasında bunlar hayata geçirilir, kontrol aşamasında performans izlenir ve raporlanır, önlem alma aşamasında ise gerekli iyileştirmeler yapılır. Diğer önemli standartlar arasında COBIT ve ITIL bulunmaktadır. COBIT çerçevesinin Teslimat ve Destek bölümü olan DS4, bilgi sistemleri sürekliliği için on adet kontrol hedefi tanımlar. Bunlar arasında süreklilik çerçevesi, planlar, kritik kaynaklar, bakım, test, eğitim, dağıtım, hizmet kurtarma, tesis dışı yedekleme ve kurtarma sonrası gözden geçirme yer alır. ITIL ise BT hizmet sürekliliği yönetimi yani ITSCM aracılığıyla, felaket risklerini kabul edilebilir düzeye indirmeyi ve minimum hizmet düzeylerini sağlamayı hedefler. Felaket türlerini doğal, teknolojik ve insan kaynaklı olarak üç ana kategoride inceleyebiliriz. Doğal afetler deprem, sel ve fırtına gibi olayları kapsarken; teknolojik afetler endüstriyel kazalar ve altyapı sorunlarını içerir. İnsan kaynaklı afetler ise siber saldırılar, terör eylemleri ve ihmalleri kapsar. Son dönemde pandemiler de iş sürekliliği planlamasında kritik bir yer edinmiştir. Pandemilerin etkisi, ölçek ve süre bakımından diğer felaketlerden ayrıldığı için planlanması daha zordur. Felaketler sadece fiziksel zarar vermekle kalmaz, aynı zamanda itibar kaybına da yol açabilir. Bu nedenle etkili bir iletişim stratejisi ve halkla ilişkiler protokolü hayati önem taşır. Felaket kurtarma ile iş sürekliliği arasındaki ilişkiyi anlamak sınav başarısı için çok kritiktir. Felaket kurtarma, iş sürekliliğinin bir parçasıdır ve daha çok teknik sistemlerin geri yüklenmesine, yani reaktif müdahalelere odaklanır. İş sürekliliği ise işletmenin tüm yönlerini kapsayan proaktif bir süreçtir. Felaket kurtarma planı bir felakete nasıl müdahale edileceğini, iş sürekliliği planı ise felaket boyunca nasıl çalışılacağını belirler. İş etki analizi, iş sürekliliği planının en kritik adımıdır. Bu analizle kritik kaynaklar belirlenir ve kesintinin yasal, finansal, itibar ve müşteri ilişkileri üzerindeki etkileri değerlendirilir. Kritiklik analizi aşamasında ise süreçlerin bağımlılıkları ve etki zaman dilimleri tahmin edilir. Bu noktada dört temel kavram karşımıza çıkar: Maksimum tahammül edilebilir kesinti süresi yani MTPoD, kurtarma süresi hedefi yani RTO, iş kurtarma süresi yani WRT ve kurtarma noktası hedefi yani RPO. MTPoD, RTO ve WRT toplamından oluşur. RTO, sistemlerin tekrar çalışır hale gelmesi için gereken süreyi ifade ederken; WRT, veri bütünlüğünün doğrulanması ve iş yığınlarının sisteme dahil edilmesi için gereken süreyi temsil eder. RPO ise kabul edilebilir veri kaybı miktarını, yani ne kadarlık bir veri kaybına tahammül edilebileceğini gösterir. Örneğin, bir sunucu iki saatte onarılıyor ve veri kaybı yaşanmıyorsa RTO iki saat, RPO sıfırdır. Eğer veriler altı saatte bir alınan yedeklerden dönülüyorsa RPO altı saattir. Risk değerlendirmesi süreci, riskin olasılık ve etki faktörlerinin çarpımıyla hesaplandığı bir aşamadır. Risk eşittir olasılık çarpı etki formülü, riskin sayısallaştırılmasını sağlar. İşletmeler fiziksel, bilgi güvenliği, uyum, itibar, çalışan, çevresel ve biyolojik riskleri dikkate almalıdır. Risk değerlendirmesinin ana hedefi, tehditleri tanımlamak ve işletmenin hedefleriyle orantılı müdahale planları hazırlamaktır. Bu aşamada felaket senaryoları geliştirilir ve bu senaryoların işletme üzerindeki etkileri analiz edilir. Senaryoların kapsamlı olması, iş süreçlerinin dayanıklılığını artırmak için elzemdir. Tehditler, ortaya çıkma olasılığı ve yaratacağı etki düzeyine göre sınıflandırılarak önceliklendirilir. Bu sistematik yaklaşım, işletmenin beklenmedik durumlara karşı hazırlıklı olmasını ve minimum kayıpla faaliyetlerine devam etmesini sağlar.
Bölüm 9
Is sürekliliği faaliyetlerinde üzerinde önemle durulması gereken temel kavramlardan biri risktir. Bir risk öngörüldüğü takdirde, gerekli önlemler alınarak bu riskin azaltılması veya tamamen önlenmesi mümkündür. Bu bağlamda riskin yönetilebilir bir olgu olduğu kabul edilmektedir. Kurumsal çerçevede risk, işletmenin hedeflerini gerçekleştirmesini etkileyebilecek her türlü unsur olarak tanımlanmaktadır. İş sürekliliği kapsamında dikkate alınması gereken risk türleri oldukça çeşitlidir ve bu risklerin doğru tasnif edilmesi sınav hazırlık sürecinde büyük önem taşımaktadır. Fiziksel risk, işletmenin kendisinin veya varlıklarından bir kısmının korunamaması durumunu ifade eder. Bilgi güvenliği riski ise işletmenin elektronik ortamda ya da fiziksel olarak bünyesinde barındırdığı verilerin ve bilgilerin korunamaması riskidir. Bir diğer önemli risk türü olan uyum riski, yasalara, mevzuata, iş kanununa, kurallara ve standartlara uyulmaması nedeniyle ortaya çıkan riskleri kapsamaktadır. İtibar riski, paydaşlar veya kamuoyu tarafından işletmeye duyulan güvenin azalması ile ilgilidir. Çalışan riski ise yetişmiş personel gücünün varlığı ve elverişliliği ile ilgili durumları kapsar. Ayrıca çevre ve tabiatın zarar görmesine neden olabilecek çevresel riskler ile insan veya hayvan hastalıkları nedeniyle ortaya çıkan biyolojik riskler de iş sürekliliği planlamasında mutlaka göz önünde bulundurulmalıdır. Bu riskler, işletmenin iş hedeflerine göre tek tek tanımlanan, meydana gelme olasılıkları ve kritik iş süreçleri üzerindeki olumsuz etkileri analiz edilen unsurlardır. Gerekli görüldüğü takdirde risk azaltma stratejileri uygulanır ve bu süreç risk değerlendirme aşamasında detaylandırılır. Risk değerlendirmesi, işletmenin iş sürekliliği amaçlarına ulaşmasını olumsuz etkileyen ve kayba yol açan risklerin belirlenmesi ve yönetilmesi çalışmalarını içeren kapsamlı bir süreçtir. Sınav sorularında sıklıkla karşımıza çıkan ISO yirmi iki bin üç yüz bir standardına göre risk değerlendirmesinin ana hedefi, işletmeyi tehdit eden risklerin tanımlanması, analiz edilmesi, değerlendirilmesi ve işletmenin iş sürekliliği hedefleriyle orantılı bir müdahale planlamasının yapılmasıdır. Risk değerlendirme süreci, işletmenin iş süreçlerinde herhangi bir kesinti yaşanmaması için atılması gereken adımlara odaklanır. Bu süreçte insan, doğa ve teknoloji kaynaklı tehditlerin meydana gelme olasılıkları ve etkileri titizlikle incelenir. Kritik risklere karşı yanıt planları hazırlanırken iş etki analizinin sonuçları ile olası felaket senaryoları teste tabi tutulur. Bu testlerin bir kısmı herhangi bir ek eylem gerektirmezken, bazıları finansal ve personel kaynaklarıyla desteklenen önemli iş sürekliliği planlarının geliştirilmesini zorunlu kılabilir. İşletmeler, paydaş beklentilerini karşılamayı engelleyebilecek kötü niyetli faaliyetler, doğal afetler ve teknik felaketler gibi kapsamlı senaryolar geliştirmelidir. Felaket senaryoları analiz edilirken felaketin doğasından ziyade işletme üzerindeki etkisine odaklanılmalıdır. Örneğin, belirli bir tehdidin etkisi sadece belirli bir coğrafi alanı veya sistemi etkileyen bir iş kesintisine indirgenebilir. Felaket senaryolarının kapsamlı olması, iş sürekliliği planlamasının yüzeysel kalmasını önler ve dayanıklılığı artırır. Tehditler, ortaya çıkma olasılığı yüksek ancak etkisi düşük olan kısa süreli elektrik kesintileri gibi durumlar olabileceği gibi, meydana gelme olasılığı düşük fakat etkisi çok yüksek olan kasırga veya terörizm gibi olaylar da olabilir. İşletmeler genellikle yüksek olasılıklı tehditler için kapsamlı planlar yapar, ancak etkisi yüksek fakat olasılığı düşük olan tehditlerin yönetilmesi en zor olanlardır. Bu aşamada işletmelerin bir boşluk analizi yapması gerekmektedir. Boşluk analizi, bir kesinti durumunda normal iş süreçlerini sürdürmek için gereken planlar ile mevcut planlar arasındaki farkın karşılaştırılmasıdır. Bu fark, işletmenin ele alması gereken ek risk maruziyetini ortaya koyar. Risk değerlendirmesi yapılırken tesislerin coğrafi konumu, doğal afetlere duyarlılıkları ve kritik altyapılara yakınlıkları gibi unsurlar mutlaka dikkate alınmalıdır. Tesislerin tamamen yıkılması veya can kaybı gibi en kötü senaryoların düşünülmesi, kritik iş süreçlerinin önceliklendirilmesi açısından hayatidir. Risk değerlendirmesinin temel amaçları arasında iç ve dış tehditlerin belirlenmesi, bunların önceliklendirilmesi ve bir eylem planı geliştirilerek risk yönetimine veri sağlanması yer alır. Bu süreçte izlenmesi gereken faaliyetler sırasıyla şöyledir. Öncelikle seçilen süreçlere yönelik tehditler listelenir. Ardından her tehdidin etkisi tahmin edilir ve oluşma oranı belirlenir. Tehditlerin olasılıkları tespit edildikten sonra risk hesaplaması yapılır. Son aşamada ise her bir tehdit için risk kabulü, risk transferi, riskten kaçınma veya risk azaltma gibi uygun bir risk stratejisi seçilir. TS ISO otuz bir bin Risk Yönetim Standardı çerçevesinde risk değerlendirmesi; risk tanımlama, risk analizi ve risk irdelemesi aşamalarından oluşan genel bir süreçtir. Bu sürecin sistematik, yinelemeli ve paydaşlarla iş birliği içinde yürütülmesi esastır. Risk tanımlama, risklerin bulunması, tanınması ve kaydedilmesi sürecidir. Bu aşamada hangi risklerin kritik iş süreçlerini etkileyebileceği belirlenir. Risk tanımlamasının odak noktası işletmenin dayanıklılığıdır. Bu süreçte coğrafi konumdan piyasa değişkenlerine kadar pek çok faktör analiz edilir. Risk tanımlama tek seferlik bir işlem değil, sürekli tekrarlanması gereken bir faaliyettir. Risk analizi aşamasına gelindiğinde, risk olasılığı ve risk etkisinin çarpımı ile elde edilen risk derecelendirmesi yapılır. Her bir riske sayısal bir değer atanır. Bu adımda belirsizlikler, risk kaynakları, senaryolar ve mevcut kontrollerin etkinliği ayrıntılı olarak değerlendirilir. Riskler tanımlandıktan sonra büyüklüklerine göre ölçülür ve bu sayede önceliklendirme yapılır. Riskleri analiz etmenin en yaygın yolu, gerçekleşme olasılığı ve sonuçlarına göre derecelendirme yapan bir ölçek kullanmaktır. Risk irdelemesi ise risk analizinin sonuçlarını yerleşik risk kriterleriyle karşılaştırarak ek eylemlerin gerekli olup olmadığını belirleme sürecidir. Bu aşamada riskin tehdit ettiği iş sürecinin işletme için önemi, işletmenin risk üzerindeki kontrolü ve potansiyel kayıplar dikkate alınır. İrdeleme sonucunda riskler öncelik sırasına dizilir ve hangi risk yanıt stratejisinin kullanılacağına karar verilir. Risk yanıtı stratejileri sınavda sıklıkla sorulan ve adayların karıştırmaması gereken dört ana başlıktan oluşmaktadır. İlk strateji olan risk kabulü, potansiyel kaybın yönetilebilir olduğu veya riski önleme maliyetinin kaybın kendisinden daha yüksek olduğu durumlarda uygulanır. Örneğin bin Türk Lirası tutarındaki bir riski önlemek için bin Türk Lirası veya daha fazla harcama yapmak rasyonel değildir. Risk kabulü bilinçli veya bilinçsiz olabilir. Bilinçli kabulde maliyet nedeniyle önlem alınmazken, bilinçsiz kabulde riskin farkına varılmadığı için önlem alınmaz. İkinci strateji olan riskten kaçınma, potansiyel kayba neden olabilecek sürecin veya sistemin tamamen ortadan kaldırılmasını ifade eder. Ancak bir riskten tamamen kaçınmak her zaman mümkün olmayabilir. Örneğin sel riski olan bir bölgedeki işletme bariyerler kurarak riski azaltabilir ancak bölgeden taşınmadığı sürece riskten tamamen kaçınmış sayılmaz. Üçüncü strateji olan risk transferi, potansiyel zararın üçüncü bir tarafa kaydırılmasıdır. En yaygın örneği sigorta yaptırmaktır. Sigorta doğrudan hasar maliyetlerini karşılayabilir ancak müşteri kaybı gibi dolaylı maliyetleri telafi edemez. Ayrıca sözleşmelerdeki tazminat maddeleri de birer risk transferi yöntemidir. Son strateji olan riski azaltma ise, zararı hafifletmek için önleyici eylem planlarının uygulanmasıdır. Bu strateji, tehdidin tamamen önlenemediği durumlarda olumsuz etkileri minimize etmeye odaklanır. İş etki analizi ve risk değerlendirmesi arasındaki ilişki, iş sürekliliği planlamasının temel taşını oluşturur. İş etki analizi genellikle risk değerlendirmesinden önce gerçekleştirilir ve risk değerlendirmesi için en önemli girdiyi sağlar. İş etki analizinin çıktıları olan RPO, RTO, WRT ve MTPoD değerleri, risk değerlendirme sonuçlarıyla birlikte en uygun yanıtın hazırlanmasında kullanılır. İş etki analizi kesintinin sonuçlarına ve maliyetlerine odaklanırken, risk değerlendirmesi potansiyel riskleri ve zayıf noktaları tanımlar. Bu iki sürecin entegre edilmesi, işletme yönetiminin hedeflerine kesintisiz ulaşmasını sağlar. Bilgi sistemleri süreklilik planının yönetimi, bir felaketten sonra bilgi sistemleri altyapısının en uygun zaman ve maliyet sınırları içinde geri yüklenmesini amaçlar. Bu süreç bir yaşam döngüsüdür ve sürekli değişen iş koşullarına uyum sağlamalıdır. Yönetim süreci, rollerin ve sorumlulukların belirlendiği başlangıç adımıyla başlar, iş etki analizi ve risk değerlendirmesiyle devam eder, strateji belirlenmesi ve planın uygulanmasıyla sürer. Son aşamalarda ise test, bakım ve sürekli eğitim faaliyetleri yer alır. Organizasyonel yapıda rollerin netleşmesi kritik bir husustur. Yönetim kurulu, iş sürekliliği programında liderlik göstermeli, planın yılda en az bir kez gözden geçirilmesini sağlamalı ve stratejik hedefleri onaylamalıdır. Üst düzey yönetici ekibi ise riskler hakkında detaylı bilgiye sahip olmalı, RPO ve RTO gibi değerleri onaylamalı ve çalışanları sürecin önemine inandırmalıdır. İş birimleri ise kendi sorumluluk alanlarındaki kritik süreçlerin tanımlanmasına, analizine ve test çalışmalarına aktif katılım sağlamalıdır. İş sürekliliği yönetim politikası, işletmenin bu konudaki amaçlarını ve yaklaşımını belirleyen temel dokümandır. Bu politika; politika bildirimi, kapsam, amaçlar, planlama parametreleri, gereksinimler, roller, yönetişim ve yürürlük tarihi gibi unsurları içermelidir. Politika, üst yönetimin kararlılığını gösterir ve tüm projeler için bir rehber niteliği taşır. İş etki analizi sürecinde veri toplama yöntemleri de sınav açısından önem arz etmektedir. Anketler, düşük maliyetli ve geniş katılımlı yöntemlerdir. Çalıştaylar, farklı görüşlerin paylaşılmasına imkan tanır ancak maliyetlidir. Kişisel görüşmeler, detaylı bilgi edinilmesini sağlar. Fiziksel inceleme ise operasyonel süreçlerin yerinde görülmesine olanak tanır. Toplanan bu veriler işlendikten sonra kritik iş süreçleri MTPoD değerine göre gruplandırılır ve nihai rapor oluşturulur. Risk değerlendirme sürecinde risk analizi yapılırken nicel ve nitel yöntemler kullanılır. Nicel analizde sayısal ve istatistiksel değerler karşılaştırılırken, nitel analizde yüksek veya düşük gibi niteleyiciler kullanılır. Riskin sıklığı, öngörülebilirliği, etki hızı ve kalıcılık derecesi analizde dikkat edilen temel unsurlardır. Risk irdelemesi aşamasında ise olasılık ve etki düzeylerine göre bir matris oluşturulur. Çok yüksek riskli alanlar için derhal karşı önlemler alınması planlanırken, düşük riskli alanlar hazırlık durumunu artırmak amacıyla değerlendirilir. İş sürekliliği stratejileri; önleme, azaltma, hazırlık, müdahale, süreklilik, kurtarma, iletişim ve eğitim gibi farklı odak noktalarına sahip olabilir. Bu stratejilerin operasyonel düzeyde uygulanması ve test edilmesi gerekir. İş sürekliliği ve felaket kurtarma planının uygulanması aşamasında, planın ne zaman ve kimin yetkisiyle etkinleştirileceği net olarak tanımlanmalıdır. Felaketler büyük, orta ve küçük olarak sınıflandırılmalı ve her seviye için farklı tetikleyiciler belirlenmelidir. Son olarak, iş sürekliliği planında ekiplerin oluşturulması ve iletişim bilgilerinin güncel tutulması hayati önemdedir. İletişim bilgilerinin hem elektronik hem de basılı olarak, tesis dışı konumlarda da erişilebilir olması sağlanmalıdır. Bir irtibat ağacı tanımlanarak, bildirim sürecinin kimler tarafından ve hangi sırayla yürütüleceği netleştirilmelidir. Görevlerin belirlenmesi, küçük parçalara bölünmesi, sorumluların atanması ve teknik gereksinimlerin saptanması ile uygulama aşaması tamamlanmalıdır.
Bölüm 10
İş sürekliliği planının operasyonel hale getirilmesi sürecinde, planın nasıl etkinleştirileceği prosedürlerde açık ve net bir biçimde belirtilmelidir. Etkinleştirme aşaması, iş sürekliliği planının ne zaman ve hangi koşullar altında uygulamaya konulacağının belirlenmesi açısından kritik bir öneme sahiptir. Bu noktada felaket türlerinin ve kesinti seviyelerinin tanımlanması gerekmektedir. Örneğin, bir siber saldırı ile sunucu odasında meydana gelen bir yangın, işletme üzerinde farklı etkiler yaratır ve bu durumlar planın farklı aşamalarının devreye alınmasını gerektirir. Çeşitli felaket türlerini ve düzeylerini tanımlamak, iş sürekliliği ve felaket kurtarma planı uygulamasını neyin tetiklemesi gerektiğini anlamak açısından temel bir gerekliliktir. Sınav hazırlık sürecinde bu tetikleyicilerin ve felaket sınıflandırmalarının önemini kavramak gerekir. Felaketler genel olarak büyük, orta ve küçük olmak üzere üç ana grupta sınıflandırılabilir. Büyük bir felaket veya kesintinin meydana gelme olasılığı istatistiksel olarak düşük olsa da, böyle bir durumun işletme üzerindeki etkisi son derece yüksektir. Bu tür senaryolarda işletmenin normal iş operasyonlarının tamamı veya kritik iş süreçlerinin büyük bir çoğunluğu kesintiye uğrar. İş sürekliliği planı kapsamında, bu tür büyük ölçekli durumlarda planın hangi bölümlerinin etkinleştirileceği ve hangi ekip üyelerinin göreve çağrılacağı hususları önceden tanımlanmış olmalıdır. Önemli bir husus olarak belirtilmelidir ki, iş sürekliliği planı kendi kendine etkinleşen bir mekanizma değildir. Bir yetkilinin veya bir ekibin felaket durumuyla ilgili uygun değerlendirmeleri yapması ve planın bölümlerini etkinleştirip etkinleştirmeme konusunda kesin bir karar vermesi esastır. Bu nedenle, iş sürekliliği ve felaket kurtarma ekiplerinin oluşturulması ve bu ekiplerin güncel tutulması yönetimsel bir zorunluluktur. Her bir kesinti seviyesi için açıkça tanımlanmış tetikleyiciler bulunmalıdır. Bu tetikleyiciler, işletmenin ticari faaliyetlerinde bir aksama meydana geldiğinde, bir veya birden fazla sunucunun hizmet dışı kalması durumunda, fiziksel bir tesisin yangın gibi nedenlerle etkilenmesi halinde veya iletişim ağının bir kısmının işlevini yitirmesi durumunda devreye sokulabilir. İş sürekliliği planlamasının bir diğer temel ayağı, kesinti öncesinde, sırasında ve sonrasında ortaya çıkacak çeşitli ihtiyaçları karşılayacak ekiplerin kurulması ve karar verici personelin kimler olacağının netleştirilmesidir. Bu çalışma kapsamında ekiplerin türleri, rolleri ve sorumlulukları hiçbir tereddüde yer bırakmayacak şekilde tanımlanmalıdır. Tanımlanan bu rol ve sorumluluklara uygun belirli kişiler veya pozisyonlar atanarak organizasyonel yapı sağlamlaştırılmalıdır. Süreçteki bir diğer kritik görev ise önemli iletişim bilgilerini içeren kapsamlı bir listenin oluşturulmasıdır. Bilgisayar sistemleri, ağ güvenliği ihlallerinden doğal afetlere kadar geniş bir yelpazedeki risklerden etkilenebileceği için, iletişim bilgilerinin hem elektronik hem de basılı formatta saklanması ve her koşulda erişilebilir olması zorunludur. Hatta bu bilgilere tesis dışındaki bir konumdan da ulaşılabilmesi sağlanmalıdır. Ancak bu noktada bir güvenlik uyarısı yapmak gerekir; söz konusu veriler kişisel veri niteliği taşıdığından, gizli ve hassas veri statüsünde ele alınmalı ve gerekli koruma tedbirleri uygulanmalıdır. İrtibat listesinin yanı sıra bir irtibat ağacı tanımlanması da bildirim sürecini kolaylaştırır. İrtibat ağacı, işletme içindeki ekiplerle, üst düzey yöneticilerle ve dış paydaşlarla iletişim kurmaktan kimin sorumlu olduğunu belirleyen hiyerarşik bir yapıdır. Bu sayede her ekip üyesine belirli paydaşları bilgilendirme görevi verilerek kriz anındaki karmaşa önlenmiş olur. İş sürekliliği planı dahilinde oluşturulan ekiplere görevleri ve gerekli kaynakları atanmalıdır. Bu atamalar işletmenin genel iş sürekliliği stratejileriyle tam bir uyum içinde olmalıdır. Stratejik adımlar, kritik sunucular için kesintisiz güç kaynaklarının temini, yangın söndürme sistemlerinin modernizasyonu veya alternatif bir çalışma sahasının düzenlenmesi gibi fiziksel yatırımları içerebilir. Ayrıca, bir kesinti yaşanmadan önce planın tetikleyicilerinin belirlenmesi ve iş etki analizi çalışmalarında veri toplama gibi operasyonel görevler de netleştirilmelidir. Bu görevlerin geliştirilmesi aşamasında üst düzey görevlerin belirlenmesi, büyük görevlerin yönetilebilir küçük parçalara bölünmesi, teslim tarihlerinin tanımlanması, görev sahiplerinin atanması, teknik ve işlevsel gereksinimlerin belirlenmesi ile iç ve dış bağımlılıkların tanımlanması adımları izlenmelidir. İletişim planlaması, iş sürekliliği yönetiminin en kritik unsurlarından biridir. Büyük bir felaket anında etkili bir iletişim stratejisinin varlığı, işletmenin itibar kaybını önlemede hayati rol oynar. Bir iş kesintisi durumunda tüm çalışanların nasıl bilgilendirileceği, kesintinin nedeni, çözüm için atılan adımlar ve bilgi alınacak yetkililer önceden belirlenmelidir. Örneğin, gece saatlerinde meydana gelen bir olaydan haberdar edilmeyen çalışanların sabah işe gelmesi operasyonel verimliliği olumsuz etkileyebilir. Benzer şekilde müşteriler, satıcılar ve yatırımcılar için de farklı iletişim modelleri geliştirilmelidir. Yatırımcılar genellikle kesintinin kısa vadeli mali etkileriyle ilgilendikleri için, onlarla kurulacak iletişimin yatırımcı ilişkileri konusunda uzman personel tarafından yürütülmesi beklenir. Ayrıca, yerel veya uluslararası medya ile kurulacak iletişim de önceden planlanmalı ve kriz anında kamuoyuna doğru bilgi akışı sağlanmalıdır. Süreçlerin takibi için kronolojik bir olay günlüğü tutulması, kararların zamanında ve doğru verilerle alınmasına yardımcı olur. İş sürekliliği planı dinamik bir yapıya sahip olduğundan, değişiklik kontrol mekanizmaları kurulmalıdır. Planda bir güncelleme yapıldığında bunun yöntemi, yeni risklerin izlenmesi ve güncel planın ilgili ekiplere dağıtılması stratejik bir önem taşır. Sürüm kontrolü ve revizyon bildirimleri için özel yazılımların kullanılması, tüm paydaşların en güncel plana sahip olmasını sağlar. Bu noktada bilgi sistemleri felaket kurtarma planına geçiş yapmak yerinde olacaktır. Bilgi sistemleri felaket kurtarma planlaması, kritik iş süreçlerini destekleyen teknolojik altyapının kesinti durumunda geri yüklenmesini yöneten bir kontrol sürecidir. Bu planın temel amacı, olası kesintileri önlemek ve maliyet açısından en uygun kontrollerle sistem kapasitesini yeniden tesis etmektir. Bilgi sistemlerinin kullanılabilirliği, destekledikleri iş süreçlerinin kritikliğine bağlıdır. Günümüzde çoğu iş süreci teknolojiye bağımlı olduğundan, bilgi sistemleri felaket kurtarma planlaması, iş sürekliliği planlamasının ayrılmaz bir parçasıdır. Bu süreçte en öncelikli unsur insan güvenliğidir; kritik iş süreçlerinin devamlılığı ise ikincil önceliktedir. Örneğin bir yangın durumunda öncelik tahliye, ardından sistemlerin geri yüklenmesidir. Üst yönetimin strateji belirlemesinde iki temel parametre olan Kurtarma Hedef Zamanı (RTO) ve Kurtarma Hedef Noktası (RPO) belirleyicidir. RPO, bir kesinti durumunda kabul edilebilir veri kaybı miktarını ifade eder. Eğer bir işletme en fazla iki saatlik veri kaybına tahammül edebiliyorsa, yedekleme sıklığı buna göre ayarlanmalıdır. RTO ise kabul edilebilir kesinti süresini, yani sistemlerin ne kadar sürede tekrar ayağa kalkması gerektiğini gösterir. Finansal kuruluşlar gibi veri kaybına ve kesintiye tahammülü olmayan yapılarda RPO ve RTO değerleri sıfıra yakındır. Bu durum, veri yansıtma veya gerçek zamanlı çoğaltma gibi maliyetli teknolojilerin kullanımını zorunlu kılar. Ayrıca bu tür kuruluşlarda sıcak site veya kümeleme teknolojileri tercih edilir. Sınav açısından bu iki kavramın farkını bilmek çok önemlidir; RTO teknolojiyi, RPO ise veri koruma çözümlerini etkiler. Bunlara ek olarak, kesinti penceresi, hizmet sağlama hedefi (SDO) ve maksimum kabul edilebilir kesinti (MAO) gibi parametreler de strateji geliştirme sürecinde dikkate alınmalıdır. Kesinti penceresi, kayıpların karşılanamaz hale geleceği maksimum süreyi temsil ederken; SDO, alternatif modda sunulacak minimum hizmet seviyesini tanımlar. Kurtarma stratejileri kapsamında farklı site türleri mevcuttur. Sıcak siteler, donanım ve yazılım açısından tamamen hazır tesislerdir. Ilık siteler, kısmi donanıma sahipken; soğuk siteler sadece fiziksel ve elektriksel altyapı sunar, donanım barındırmaz. İkiz siteler, asıl sistemle aynı bilgileri içeren ve yük dengelemesi yapabilen yapılardır. Mobil siteler ise ihtiyaç duyulan lokasyona taşınabilen tesislerdir. Ayrıca diğer işletmelerle yapılan karşılıklı anlaşmalar da bir seçenek olabilir. İkincil sistemlerin seçimi yapılırken, felaketten etkilenen coğrafi alanın dışında olmalarına dikkat edilmelidir. Bu tesisler işletmeye ait olabileceği gibi üçüncü taraf hizmet sağlayıcılardan da temin edilebilir. Üçüncü taraf kullanımında, kaynaklara erişimi garanti altına alan sağlam sözleşmelerin varlığı kritiktir. Uygulama esnekliği ve kurtarma metotları arasında kümeleme (clustering) yöntemi öne çıkar. Aktif-pasif kümelemede uygulama bir düğümde çalışırken diğeri yedekte bekler. Aktif-aktif kümelemede ise uygulama her iki düğümde de çalışarak kesintisiz hizmet sağlar. Veri depolama tarafında ise RAID teknolojisi, disk arızalarına karşı temel koruma sağlar. Disk ikizleme veriyi iki diske kopyalarken, disk şeritleme veriyi bloklara bölerek birden fazla aygıta yayar. Yedekleme dosyaları elektronik ortamda, bulutta veya fiziksel medyada saklanabilir ve her zaman bilgi güvenliği politikalarına uygun olmalıdır. İletişim ağlarının esnekliği de kablo kesikleri veya yazılım hataları gibi tehditlere karşı prosedürlerle korunmalıdır. İş sürekliliği planının test edilmesi, planın gerçek bir felaket anında çalışacağından emin olmak için zorunludur. Test süreci; süreçlerin anlaşılmasını, görev dağılımının doğrulanmasını, adımların onaylanmasını ve kaynakların yeterliliğinin kontrol edilmesini sağlar. Ayrıca iletişim akışındaki olası kopukluklar ve plandaki boşluklar bu aşamada tespit edilir. Testler, planın maliyeti ve fizibilitesi hakkında da somut veriler sunar. Riskler ve teknolojiler sürekli değiştiği için planın bakımı periyodik olarak yapılmalıdır. Kurumsal strateji değişiklikleri, yeni ürünler, mevzuat güncellemeleri veya denetim sonuçları planın revize edilmesini gerektiren tetikleyicilerdir. Özellikle bilgi sistemleri altyapısındaki değişiklikler plan üzerinde en büyük etkiye sahiptir. Eğitim faaliyetleri iki boyutta ele alınmalıdır; fiziksel müdahale eğitimi ve plan uygulama eğitimi. Personel hem yangın söndürme gibi fiziksel eylemleri hem de sistem geri yükleme gibi teknik prosedürleri bilmelidir. Denetim aşamasında ise Bilgi Sistemleri Denetçisi, planın sürdürülebilirliğini, dokümantasyonun yeterliliğini, iş etki analizi bulgularını ve yasal uyumluluğu kontrol eder. Denetçinin görevleri arasında iş hedefleriyle bağlantıyı anlamak, personel yetkinliğini değerlendirmek ve test sonuçlarını incelemek yer alır. Sınavda karşınıza çıkabilecek risk yönetimi stratejilerinden risk transferi, zararın üçüncü bir tarafa kaydırılmasını ifade eder. İş etki analizi ise hangi süreçlerin kritik olduğunu belirleme sürecidir. Bu kavramların ve teknik detayların eksiksiz bilinmesi, lisanslama sınavlarında başarı için temel teşkil etmektedir.
İlk 5 dakika ücretsiz dinlendi
Kalan 100 dakikayı dinlemek ve tüm bölümlere erişmek için premium lisans gerekli.
Lisans Satın Al