Artık hırsızlığın şekli de değişti: Facebook üzerinden avlanmayın.

Bir önceki yazımda KOBİ'lere bazı tavsiyelerde bulunmuş ve yaptıkları BT yatırımlarında güvenlik kalemini de planlamalarını önermiş, güvenlik yatırımlarının öneminden bahsetmiştik.

Bu gün ise sosyal medya araçlarındaki savunmasız kullanıcılara yönelik bir paylaşımım ve bir kaç önerim olacak.

Öncelikle açık hedef şeklinde olan ve şu an listemde canlı canlı yapılan bir saldırıyı da hızlıca paylaşalım, uyarımızı yapalım. Yazıyı akabinde hızlıca güncelleyeceğim.

Saldırganımız arkadaşınıza ait hesabı ele geçiriyor. Sonrasında size onun ağzından yazdığı mesajlar ile sizden kontör ya da mobil ödeme sistemi üzerinden para istiyor. Genel yalan ise aynı; yolda kaldım, zor durumdayım, konuşamam vs. Lütfen bu tarz bildirimlere itibar etmeyiniz, arkadaşınızın telefonu var ise sizde acil irtibat kurup, durumu onaylatınız.

Şu anki canlı saldırı ise hesabı çalınan bir arkadaşımın hesabı üzerinden mobil ödeme sistemi üzerinden fayda elde etme amacı taşıyor. Bizim örneğimizde size direkt bkal50 (50 kontör miktarıdır burada) yazıp, 7979'a gönderip, gelen pini bana gönderir misin canım, yok yarışma yok bilmem ne dedikleri zaman itibar etmeyiniz. Sonrasında Türk oyunu olan Metin2'de sizden aldığı ve sizin gsm operatörünüz üzerinden yaptığınız ödemeden elde ettiği puanları oyun içerisinde kullanıyor. Belki de oyun içerisinde kontörleri satıp, nakite çeviriyordur. PIN hali hazırda Personel Identification Number (Kişisel Tanılama Numarası) demektir ve her hangi bir sisteme erişim talebi yapan kişinin gerçekte hesaba sahip kişi olduğunu doğrulama amacı taşıyan, artık ilkel kalmış bir yöntemdir. Kişisel bilgileri de lütfen ama lütfen paylaşmayınız.

Burada düşündürücü olan ise oyun gibi eğlence amaçlı mecraların dahi hırsızların hedefi içerisinde olmaları, belki de karşımızdaki saldırgan oyun içerisinde aşırı hırslanmış bir ufaklıktır. Her ne olursa olsun karşımızda bir sebepsiz zenginleşme ve kandırma mevcut. Bunun teknoloji ile yapıldığı düşünülürse direkt dolandırıcılığa doğru gidiyor iş. Şahsın arkadaşımın kişisel haklarına verdiği zarar ve sızdığı sistemden kişiye verdiği zarar ise cabası.

Basit saldırganların en çok kullandıkları yöntem ve hırsızlık metodu bu dur. İnternet kafelere kurdukları keylogger tarzı programlarla, gizli soru tahmin yöntemleri ya da rastlantısal ele geçirdikleri şifrelerle bu saldırıları gerçekleştirerek olabildiğince gelir elde etmeye çalışırlar.

Daha önceki benzeri bir olayda ise facebook hesabı ele geçirilen başka bir arkadaşımın listesindeki insanlara sıradan onun ağzından yazarak kontör talep etmişler, kontörlerin şifrelerini almış, insanları maddi zarar uğratmışlardı. Facebook hesabına hacklenen mail adresi üzerinden gelmişler ve maalesef mail adresindeki maillerin de bir güzel yedeklerini almışlardı. Tahmin edersiniz ki gelen mail kutusu kredi kartı ekstreleri, faturalar ve kişisel bilgi içeren başka mailleri barındırıyordu.

Öneriler kısmına gelince:

1. Sosyal medya mecralarını kullanırken geliştiricisini bilmediğiniz uygulamaları kurmaktan kaçınınız. Facebook sizi kurduğunuz uygulamanın erişim yapabileceği bilgilere yönelik uyarmaktadır, uyarıları okumadan kabul etmeyiniz.
2. Facebook üzerine paylaşılan ve sizi bir dış bağlantıya yönlendiren web sayfalarına dikkat ediniz. Özellikle bu tarz sayfalara kişisel bilgi, mail adresi, hele hele şifre vs girmeyiniz.
3. Gelen linke tıkladıktan sonra sizi facebooktan çıktınız, şifrenizi tekrar giriniz tarzı uyarılara yönlendiren sayfalara dikkat ediniz. (Sizi kendi hazırladıkları tuzak sayfaya yönlendirip, şifrenizi alabilirler.)
4. Internet kafa ya da umuma açık yerlerden şifrenizi girerken dikkatli olunuz, sanal klavye kullanınız. Mümkünse hesaplarınıza bu tarz yerlerden girmeyin. Girdiyseniz de DeepFreeze tarzı uygulamaların olduğu ve her seferinde ayarların başa döndüğünden emin olunuz.
5. Şifrelerinizi internet üzerinden mail yoluyla vs paylaşmayınız. Çok özel durumlarda paylaşırsanız hemen değiştiriniz.
6. Facebook, twitter gibi hesapların güvenlik ayarlarını biraz kurcalayıp, güvenlik seviyesini artırınız. Facebookun bilgisayar tanımlama ekranları vs vardı, bunları aktifleştiriniz.
7. Bir mail adresinizi açamadığınız zaman şüphelenip, derhal mail adresinizle alakalı sosyal medya araçları hesaplarınızın ayarlarını değiştiriniz. Yeni bir mail adresi tanımlayınız.
8. Arkadaşlarınız ile konuşurken, sizden talepte bulundukları anlarda arkadaşınızı doğrulayınız. Telefon ile ulaşınız ya da özel bir kaç soru sorup, cevap isteyiniz.
9. Hesap şifrelerinizi belirli aralıklarla değiştiriniz.
10. Kafe, restoran gibi yerlerin kablosuz ağlarını kullanıyorsanız mümkünse internet bankacılığı gibi hizmetleri kullanmayınız. Korunmaya yönelik ayarları yapılmamış bir ağ üzerinden bilgileriniz alınabilir. Şifreleriniz okunabilir. Ben özellikle kafeleri çok tehlikeli buluyorum.

Bu örnekler ve öneriler artırılabilir. Burada önemli olan bizlerin farkındalığını artırmaktır. Hırsızların yöntemleri, beklentileri her geçen gün değişiyor. Eskiden direkt çantalara asılan hırsızlar artık kişisel bilgilerimizi ve mobil ödeme yöntemlerini hedef belirliyorlar. Ve dahada önemlisi saldırı yöntemlerini uygulamak için dahi olmak gerekmiyor.

Başkaları tarafındna tasarlanmış, güvenlik açıklarını bulup, sunan bir sürü hazır araç internet üzerinde mevcut. Geçenlerde modem üzerinden Whatsapp mesajlarını çözen aracı bile bir yerlerde görmüştüm. Canı sıkılan 15 yaşındaki bir çocuk dahi, güvenlik ayarları yapılmamış bir modem üzerine tuzak kurup, avlarını bekleyebilir. Çalıştırılan bilgisayarlarda geçmişte girilmiş şifreleri bulup, okuyan; ağ üzerinden şifre dinleyip çözen yazılımlar da cabası. Olağanüstü durumlar için tasarlanmış bu yazılımları kötü amaçlar için kullanan hırsızlar size özel ve gelir elde edebilecekleri bilgileri kullanabiliyorlar.

Günümüzde Facebook üzerinden banka şubeleri bile açılmışken, mobil ödeme sistemleri bu derece yaygınlaşmışken, cephe her geçen gün genişliyor iken biz kullanıcılara düşen sorumluluk dikkatli olmak ve şüphe içeren durumları yetkililer ile paylaşmaktır.

Güvenle kalın.

KOBİ'lere tavsiyeler: Bilişim suçlarının hedefi olmayın..

Geçen hafta içerisinde aldığım bir telefondaki ses ülkemizde faaliyet gösteren KOBİ'lerden birisini Mali işlerden sorumlu Genel Müdür Yardımcısı idi. Sunucularından birisine bilgisayar korsanları tarafından sızıldığını ve konuya ilişkin nasıl bir yol izlemeleri gerektiğini soruyordu bana.

Başınıza bu şekilde bir olay geldiğinde yapmanız gerekenler hakkında bilgiyi bu adreste bulabilirsiniz: http://bilisimsuclari.iem.gov.tr

Örnek olayımızda durumu anlamak adına sunucu'da nelerin olduğunu ve korsanların sisteme sızdıklarını nasıl anladıklarını sordum. Cevap oldukça basit, sorularıma aldığım cevaplar ise kara mizah derecesinde idi. Sunucuda önemli uygulamalar, veri tabanları, yazışmalar ve daha önemlisi bir de bunların yedekleri mevcut idi.

Korsanların yaptıkları tespit ettikleri bir açıkla sistemde yer alan network üzerinden paylaşımda olan dosyaları, bir dizine kopyalamak ve dizinde sıkıştırdıkları bu dokümanları şifrelemek idi. Sistemdeki önemli dokümanlarını Gutman metodu ile geri dönülemeyecek şekilde sildiklerini söylüyorlardı. (Recovery'nin işe yaramayacağından bahsediyorlar.) Sistem üzerinde ele geçirilmiş yüksek yetkili bir kullanıcı hesabı, ya da sistemde tanımlanmış yeni bir kullanıcı izi mevcut değildi. Sunucuya erişim gerçekleştiren IP adresleri incelendiğinde korsanların Hindistan senin, Brezilya benim gezdikleri görülüyordu. Şifreledikleri dosyanın uzantısını da her hangi bir çözme işlemine karşı silmiş olmaları idi. Sunucuya bıraktıkları text dosyasının içerisinde sisteminize sızdık. dokümanlarını geri istiyorsanız bizimle mail ile iletişim kurun. Şartlarda anlaşırsak sisteminizi size eski hali ile teslim edeceğiz ve sisteminizdeki açığı da kapatıp, çıkacağız.

Sonradan web üzerinden biraz araştırma sonucunda aynı suça konu olan irili, ufaklı işletmeler olduğunu gördüm. Her birine ayrı tutarlar teklif ediyorlar. Sonrasında ise pazarlığa giriyorlardı. Şifreledikleri dokümanlar şayet bir veri tabanı yedeği ise tutarlar yükseliyordu. Tabii web üzerinden sızdıkları sistem sahibi hakkında biraz bilgi edinip, fiyatlarının ona göre belirliyorlardı. Davranışları ve yazışmaları oldukça kibar. Pazarlık esnasında Rus ortaklardan bahsedip, olayın heyecanın artırıyorlar. Tabii tutarlar dolar üzerinden, ödeme ise alternatif ödeme yöntemleri ile gerçekleştiriliyor. Banka hesapları üzerinden değil.

Nette biraz araştırınca konuya ilişkin bir blog yazısına rastladım, örnek olaydaki ile aynı yöntemden bahsediyordu. Blog sahibini aradım, konuştuk biraz. Aynı olay başından geçen bir şirket yardım istemiş kendisinden, 3 günlük kayıpları olmuş, çalışanlarına biraz mesai yaptırıp, sistemdeki kaybı gidermişler. ellerinde hali hazırda yedek olduğu için ucuz atlatmışlar ama korsanlarla sıkı bir pazarlığa da tutuşmuşlar. 3bin dolardan bahseden korsanımız, tutar cebimden çıkacak diyen bilgi işlem personeline iyilik yapıp, 2 bin tutara inmiş. alış veriş gerçekleşmemiş. Bloğunda korsanlara ilişkin yazı yazan arkadaşa, günde nereden baksanız 2-3 tane telefon geliyormuş, ne yapmaları gerektiği konusunda. Varın şebekenin kazandığı parayı siz düşünün.

Gelelim yazının asıl kısmına Bilgi Teknolojileri konusunda yatırım yapmayı erteleyen, alt yapıyı oluşturmadan direkt CRM, ERP çözümleri kullanmaya yönelene KOBİ'lerimiz bu tarz saldırıların açık hedefi oluyorlar maalesef. İşletmelerinde driver yüklemek, office programları kurmak konusunda bilgi sahibi arkadaşları çalıştırmalarının yeterli olacağı hatasına düşüyorlar her zaman.

Elbette kurum çalışanlarına Bilgi Teknolojileri kullanımı konusunda destek sunacak paydaşların olması da önemlidir. Peki ya güvenlik? Gereksiz yatırım olarak düşünülen güvenlik çözümleri ve danışmanlıkları KOBİ'lerimizin çoğuna fazla geliyor, sonrasında bu tarz saldırıların hedefi oldukları zaman sığınacak liman arıyorlar. Girişimcilerin ya da idari yöneticilerin elbette teknik konulara hakim olmaları beklenemez, onlar açısından en önemli olan nokta çözüm ortağı olarak çalışan firmaları iyi seçmeleri ve firmanın güvenlik konusuna önem verdiklerinden emin olmalarıdır.

Benim bu konuda önerebileceğim bir kaç nokta olabilir. Öncelikle Bilgi Teknolojileri yatırımlarından işin güvenlik kısmını önemsemeleri ve aşağıdaki hususlara dikkat etmeleridir:

• Öncelikle nasılsa hizmet alıyorum düşüncesiyle kulağınızın üzerine yatmayın. Size hizmet sunan firmanın Teknik Destek Hizmetleri sunarlarken Bilgi Güvenliğine de dikkat ettiklerinden emin olmaya çalışın hatta belirli aralıklarla rapor isteyin. Sundukları hizmetleri yazılı olarak size raporlamalarını isteyin.
• Mümkünse sözleşme yaparken işletme ile Servis Seviye Anlaşması (SLA) belirleyin, sistemlere minimum erişim süresi, sistemleri minimum ayağa kaldırma sürelerini kesinlikle belirleyin. Cezai şartları dahi koyun.
• Sunucularınızı önem derecesine göre puanlayın ve önem derecesine göre sıralayın. Özellikle yüksek önem verdiğiniz varlıklarınızın hassasiyet ile korunmasını sağlayın.
• Sunucularınızı asla ama asla direkt internet erişimine açmayın. Bir Firewall arkasından erişim sağlanmasına özen gösterin. Bunu size hizmet sunan firmadan isteyin.
• Belirlediğiniz önem derecesine göre bir yedekleme planı tasarlatın. Düzenli bir şekilde yedek alınmasını sağlayın, gerekiyorsa bu iş için yazılım çözümleri kullanın.
• Asla ama asla aldırdığınız bu yedekleri aynı sunucu üzerinde tutmayın. (gülmeyin, bir çoğu böyle yapıyor, emin olun. ) Yedekleri başka sunuculara aldırın, bulut çözümleri kullanmayı deneyin.
• Ağızın üzerinde bir erişim ve paylaşım politikası oluşturtun, herkesin herşeyi paylaşmasına izin vermediğiniz gibi bütün varlıklarınızı da herkese açmayınız. ( Saldırıların büyük kısmı size kızan bir çalışandan gelebileceği gibi, ağınızda iyi niyetle multimedia paylaşan çalışanınız networkunuzde açıklara sebebiyet verebilir.)
•  Bütün bilgisayar ve sunuculara anti virüs programları kurdurup, sunucu kontrolü sağlanacak şekilde yapılandırılmasını sağlayın. Sunucu üzerinden güncellemeleri yapılacak şekilde yapılandırtın. Sunucudan düzenli güncellik ve saldırı raporları aldırıp, destek aldığınız firmadan gerektiğinde aksiyon almasını talep edin.
• Kullanıcı bilgisayar ve sunucuların işletim sistemlerinin düzenli güncellendiğinden emin olun. Gerekiyorsa bu iş için yazılım çözümleri kullanın ve asla lisanssız işletim sistemi kullanmayın. ( Bu yazılımlar gerek güncellemeye kapalı olduğundan, gerekse kötü niyetli kişiler tarafından virüs yuvası olarak kullanıldıklarından zararlı olacaktır.)
• Belirli aralıklarla işin ehli kişilerden güvenlik açığı taraması hizmeti alın, açıklarınızın kapanmasını sağlayın. Bir kere hizmet alıp bırakmak, her geçen gün başka bir açığın ve sızma yönteminin keşfedildiği Dünyada yetersiz kalacaktır.)
• Dışarıdan gelen konuklarınızın internet kullanımları için ağınıza dahil olmalarını belirli politikalara bağlayın.
• Kullandığınız kablosuz çözümleri savunmasız bırakmayın, hepsinde şifreli erişim ayarları yaptırın. Zaten erişim sağladığınız kişilerin internet kullanımlarını kanunen kayıt altına almanız gerekiyor.
• Mümkünse (bence elzem olmakla birlikte) Acil Durum Planı tasarlatın. İşletmenizin günlük iş yapışını engelleyecek doğal olayların yanı sıra sistem kesintisi gibi senaryoları da önem derecesine göre puanlatın. Belirlenen senaryolara göre minimum düzeyde de olsa işletmenizin devamlılığını sağlayacak etkinlikleri planlayın. Mümkünse buna yönelik veri yedekleme merkezi desteği alın. Lokasyon dışında tuttuğunuz sunucular üzerinden hizmetin devam edebileceği bir çözüm belirletin.
• Networkunuzdeki kullanıcılarınızı lokal admin yetkileri ile iş yapmalarına ihtiyacınız yok. Onlara sadece kullanıcı yetkisine sahip kullanıcılar ile erişim sağlatın. Bilgisayarlara program kurulumu ve ayar yapılmasına izin vermeyin. Bunu tek elden yapmaya özen göstertin.

Elbette bu ve diğer önlemleri size belirli bir maliyeti olacaktır. Burada önemli olan sizin harcayacağınız bütçe ve kaybetmeyi göze alabildikleriniz arasındaki değerlendirmedir. Günlük muhasebe kayıtlarını tuttuğunuz, belki de bütün işlemlerinizi gerçekleştirdiğiniz sunucuların bir gün sizden çalınması, verilerinizin silinmesi ya da değiştirilmesi riskleri sizin için önemliyse bu yatırımları yapmaktan çekinmeyeceksinizdir. Her geçen gün hayatımıza daha çok giren ve işlerimizi kolaylaştıran Bilgi Teknolojileri dünyasının karmaşıklaştığı ve cephenin her geçen gün büyüdüğünü farkında olmanız önemli.

IV. Bilgi Teknolojileri Yönetişim ve Denetim Konferansı

 

Bilgi Teknolojileri Yönetişim ve Denetim alanında Türkiye'deki kalifiye iş çevresini bir araya getiren, oturumlarda Bilgi Teknolojilerine yönelik risk, uyumluluk, mevzuat, denetim gibi başlıkların saygın profesyoneller tarafından ele alındığı konferanslar serisinin dördüncüsü  13-14 Mart 2013 tarihlerinde İstanbul'da düzenlenecek. Serinin birinci ve ikinci dizileri Ankarada organize edilmiş, doğal olarak kamu kesiminin yoğun bir katılımıyla gerçekleşmişti. Serinin ikinci konferansı hariç hepsine katılma şansım olmuştu. Organizasyon atmosferi üzerine genel bir değerlendirme yapmak isterim.

Öncelikle belirtmekte fayda var ki; organizasyonun düzenleme ve danışma komitesi yıllardır Bilişim sektöründe yer alan ve özellikle yönetişim üzerine değerli katkılarda bulunan profesyonellerden oluşmakta. Gerek kamu kesiminden, gerekse özel sektörden yıllardır Bilgi Teknolojileri alanında daha kaliteli yönetim ve yönetişim nasıl uygulanabilir konusuna kafa yoran profesyoneller tarafından tasarlanan etkinliklerin isimleri bile bilgi teknolojileri yönetişim ve denetim alanında çalışanları heyecanlandıracak nitelikte. Önceki konferanslardaki tecrübeme dayanarak söyleyebilirim ki katılımcıları BT yönetişim ve denetimi alanına yönelik son gelişmelerin, yeni yaklaşımların tartışıldığı bir bilgi ziyafeti bekliyor. Konfernas programına buradan ulaşabilirsiniz.

Etkinliğin resmi web sitesinde ise organizayona, kayıt detaylarına ve önceki konferanslara ilişkin bilgilere de erişebilirsiniz. Resmi web sitesi için http://www.btyd.org.tr/

Beni önceki konferanslarda da en çok etkileyen katılımcılara yapılan sunumların resmi web sitesi üzerinden herkes ile paylaşılması. Bu olanak bu tarz etkinliklerde pek görülmeyen ve etkinliğin arkasındaki temel düşüncenin sektörün geliştirilmesine yönelik olduğunu kanıtlayan önemli bir gösterge bence. Dönelim önceki konferanslardaki izlenimlerime..

Birincisine katıldığım zaman organizasyon Ankara'da Hilton'da gerçekleştirilmişti. TÜBİTAK, BTK, Türk Telekom gibi Bilişim sektöründe yönlendirici olan firmalardan temsilcilerin yanı sıra çeşitli bakanlıklardan ve Teknoparklarda faaliyet gösteren çeşitli firmalardan temsilcilerin de katılımıyla gerçekleştirilmişti. Organizasyonda Bilgi Teknolojileri alanında faaliyet gösteren uygulayıcı birimlerin temsilcileri, kamu kesimine Bilgi Teknolojileri alanında destek hizmeti sunan firmaların temsilcileri, yönetişim ve denetim alanında gerek yazılım, gerekse danışmanlık anlamında destek sunan firmaların temsilcileri, yönetişim ve denetim alanında çalışan akademisyenler ve öğrencilerden oluşan geniş bir kitle katılmıştı. Sunumlar içerisinde yönetişim ve denetime yönelik çerçeveler, standartlar, uygulamalar katılımcılar tarafından paylaşılmıştı.

Geçen sene de konferanslar serisinin üçüncüsüne katılma şansım olmuştu. Serinin üçüncüsü ise İstanbulda olduğu için finans sektörü başta olmak üzere sigorta ve telekom sektöründen ağırlıklı olarak özel sektör temsilcileri katılım göstermişlerdi. Kalkınma ajanslarından, belediyelerden ve sağlık sektöründe çalışan bazı profesyonellerle de kahve aralarında tanışma fırsatım olmuştu. Bilgi Teknolojileri alanında uygulayıcı olan birimlerin yanı sıra, Risk, İç Kontrol ve Denetim alanında çalışan profesyonellerden yoğun bir katılım vardı.

Konferans serilerinde katılımcılar tarafından paylaşılan zengin içerikler ve uygulama tecrübelerinin yanı sıra networking anlamında da geniş olanak sunan kahve araları benim için cezbedici olmuştu. Önceki katılımlarımda diğer bankalarda risk, iç kontrol ve teftiş alanlarında çalışan bir sürü insan ile tanışma ve son gelişmeler, sektördeki ihtiyaçlara yönelik uygulanan çözümler üzerine konuşma fırsatım olmuştu.

Konferanslara ilişkin bir diğer önemli nokta ise konferanslara finans sektörüne yönelik denetim alanında düzenleyici role sahip BDDK ve kamu kesimine yönelik denetleyici role sahip Sayıştay gibi kurumlardan da katılım gösterilmesiydi. Kurumlarına temsilcileri gerek konferanslarda konuşmacı olarak, gerekse dinleyici olarak konferanslarda yer almışlar ve son düzenlemeler, düzenlemelere ilişkin beklentiler gibi konularda bilgi paylaşımında bulunmuşlardı. Kamu temsilcilerinin yanı sıra Türkiye İç Denetim Enstitüsü (TİDE) ve Türkiye Bilişim Derneği (TBD) gibi önemli aktörler de konferans dizilerinde hem konuşmacı, hem de katılımcı olarak yer almışlardı. Bu kurumların yanı sıra ISACA İstanbul'un organizasyonlar arkasındaki desteğini de vurgulamak oldukça önemli olacaktır.

Konferans salonunda Bilgi Teknolojileri ve Yönetişim alanına yönelik eğitim ve danışmanlık hizmetlerinin yanı sıra sağladıkları çözümlerle BT yönetişim alanına destek sunan firmaların standlarında hizmetler ve firmaların tanıtımına yönelik sunumlar mevcuttu.

Elbette bu kadar Bilgi Teknolojileri ve Yönetişim alanında profesyonelin bir araya geldiği bir ortamda sertifikasyon, standart ve çerçevelere yönelik son gelişmeler, alandaki önemli başlıklar konuşulmadan olmazdı.

Tüm bunların yanı sıra organizasyon gayet profesyonel bir şekilde tasarlanmış, katılımcıların her türlü ihtiyacı düşünülmüştü. Son organizasyonda mekan merkezi bir yerde seçilmiş, otopark için opsiyonlar katılımcılar ile paylaşılmış, katılımcıların her türlü ihtiyaçları düşünülmüştü.

Konferans dizilerinin ilk seyrinden bu zamana kadar olan gelişimini bilen birisi olarak söyleyebileceğim her seride katılımcı kitlesinin genişlediği ve farklı sektörlerden temsilcilerin de etkinliklere iştirak ettiği, sunum içeriklerinin her organizasyonda zenginleştirildiği ve sektörü ilgilendiren son gelişmelere göre profesyonel bir şekilde güncellendiği ve katılımcılara sunulan networking olanakları ile Bilgi Teknolojileri Yönetişim ve Denetim alanında önemli bir sinerjinin oluşturulduğudur. Bu seneki program incelendiği zaman yabancı konuşmacıların oturumlarının sayısının artırılması da organizasyonun gün geçtikçe uluslararası bir boyut kazanmaya başladığı şeklinde yorumlanabilir.

Gelelim organizasyonla ilgili detaylara:

Poster için buraya tıklayınız.

Yer: Millî Reasürans Konferans Salonu
Tarih: 13-14 Mart 2012
Adres: Maçka cad. No:35 34367 Şişli İSTANBUL

Kimler katılmalı ve neden katılmalı sorularına cevap bulmak için resmi web sitesine buyurunuz.

Bilim ve Teknoloji Yüksek Kurulu Kararları Üzerine:

Bilim, Sanayi ve Teknoloji Bakanı Nihat Ergün, Başbakan Recep Tayyip Erdoğan başkanlığında 15.01.2013 tarihinde gerçekleştirilen Bilim ve Teknoloji Yüksek Kurulu'nun (BTYK) 25. toplantısında alınan kararların Bilişim sektöründe çalışan herkes tarafından sektöre ilişkin dinamikleri daha iyi okuyabilmek adına bilinmesi ve yorumlanması gerektiğini düşünüyorum. Gelecek vadede sektöre ilişkin çizilecek stratejilerde sektörde yer alan her aktör bir şekilde pozisyonunu almak durumunda kalacaktır. Bu açıdan alınan kararları okumak sektöre yönelik herkesin kendine düşen payı bilmesi açısından da önemsenmeli diye düşünüyorum.

Öncelikle Bilim ve Teknoloji Yüksek Kurulu'nun kimlerden oluştuğunu ve aldığı kararların ne kadar bağlayıcı olabileceğini değerlendirelim kısaca. Bilim ve Teknoloji Yüksek Kurulu, başbakanın başkanlığında, aralarında dört Başbakan Yardımcısının yanı sıra 10 Bakanın da bulunduğu 90’dan fazla üst düzey yetkilinin görev aldığı bir kuruldur. Ülkenin bilim ve teknoloji ile ilgili stratejilerinin belirlendiği, stratejilere ilişkin kararların alındığı bir kuruldur Bilim ve Teknoloji Yüksek Kurulu.

Gelelim kararlara...

Alınan kararlara tam metin olarak aşağıdaki listeden erişebilirsiniz.

·   Üstün Yetenekli Bireyler Stratejisi‘nin İzlenmesi [2013/101]

·   e-Devlet Organizasyonu Yönetim Modeli Çalışmalarının Yapılması [2013/102]

· e-Devlet Uygulamaları Hizmet Alımları için Firma Belgelendirme Sistemi Oluşturulması [2013/103]

·   Ulusal Veri Merkezi Çalışmalarının Yapılması [2013/104]

·   Kurumların İhtiyaç Duyduğu Paket Program Çözümlerinin Toplu Alım Yöntemi ile Tedarik Edilmesi [2013/105]

·   Sağlık Alanının Öncelikli Alan Olması [2013/106] 

Üstün Yetenekli Bireyler Stratejisinin izlenmesi kararına göre kurulun 19. toplantısında almış olduğu Üstün Yetenekli Bireyler Stratejisinin devamına karar verilmiştir. Karara göre ülkemizde üstün yetenekli bireylerin eğitiminin iyileştirilmesine yönelik olarak Milli Eğitim Bakanlığı koordinasyonunda hazırlanan önceki planın 2013-2017 yılları için de uygulanmasına karar verilmiştir. Bilim ve Teknolojinin ülkemizde gelişmesi adına üstün yetenekli bireylerin bilim ve teknoloji iş gücüne tam katılımının sağlanmasının önemsendiği yorumu bu karardan yapılabilir.
 

e-Devlet Organizasyonu Yönetim Modeli Çalışmaları kararına göre Ulusal Bilgi Toplumu Stratejileri doğrultusunda e-Devlet ile ilgili eylemlerin hedeflenen sürelerde hayata geçirilmesi için gerekli koordinasyonu sağlayabilecek, kamunun katılım ve sahiplenmesini de temin edecek üst seviye bir yapının oluşturulması kararlaştırılmıştır.  Son yıllarda kamu kurum ve kuruluşlarında e-Devlet dönüşüm projeleri kapsamında kat edilen mesafe malumunuzdur. Eskiden filmlerde gördüğümüz ve bizim ülkemizde ne zaman gerçekleşir ki acaba dediğimiz çoğu hizmet teknolojinin gelişmesi ve bilişim sektöründeki aktörlerin yetkinliklerinin artması ile gerçekleşmeye başlamıştır. Kurumsal sahiplenmenin de sağlanması adına her kurumda bu konuya ilişkin üst düzey bir temsilcinin belirlenmesi kararlaştırılmıştır. Bakanlıkların e-Devlet projelerindeki üst düzey danışmanlık ihtiyaçlarını karşılaması, kurumlar üstü ortak altyapı ve projelerde e-Devlet Koordinasyon Kuruluna teknoloji danışmanlığı sağlamak üzere teknik danışmanlık biriminin oluşturulmasına ve konuyla ilgili yetkin ve tecrübe sahibi kamu kaynaklı kurum ve kuruluşlardan destek alınmasına da ihtiyaç vardır şeklinde bir açıklama ile karar gerekçelendirilmiştir.
 

e-Devlet Uygulamaları Hizmet Alımları için Firma Belgelendirme Sistemi Oluşturulması kararına göre e-Devlet ihalelerine kabul edilecek firmalara yönelik Bilim, Sanayi ve Teknoloji Bakanlığı tarafından bir belgelendirme sisteminin oluşturulmasına, gerekli olması halinde ihtiyaç duyulacak olan mevzuatın oluşturulması kararlaştırılmıştır. Bu karara göre devlet kurumları kendilerine hizmet sunacak firmaları seçerken değerlendirmesi tek bir merkezden, ortak kriterlere göre yapılan belgelendirme sonuçlarını kullanabilecekler. Geçmişte ihale şartnamelerinde ön koşul olarak sunulan yeterlilikler, farklı otoriteler tarafından sağlanan farklı kıstaslarla değerlendirilen çeşitli sertifikasyonlardan ziyade ilgili bakanlık tarafından belirlenen ortak kıstaslara göre firmalar değerlendirileceği için yetkinlik ve yeterlilik değerlendirmesi anlamında ortak bir bakış ve değerlendirme süreci işletilebilecektir. Firmalar için oluşturulacak belgelendirme sistemi ile e-Devlet projelerinde ihtiyaç duyulan donanım, yazılım ve hizmet temini süreçlerinde kalite artışı sağlanacak olması kararın gerekçesi olarak sunulmaktadır.
 

Ulusal Veri Merkezi Çalışmalarının Yapılması kararına göre Kamu kurumlarının veri merkezlerinin birleştirilmesine yönelik hukuki, teknik ve idari yapılanma modelinin oluşturulmasına ve Türkiye Kamu Entegre Veri Merkezi’nin kurulması çalışmalarının yapılmasına karar verilmiştir. Her kurum tarafından kendi imkanları ile farklı özelliklerde gerçekleştirilen veri merkezi çalışmalarının ortaklaştırılması ve ortak bir veri merkezinin oluşturulması ile amaçlanan kurumların tek merkezden yönetilen, ortak kalitede bir veri merkezinden hizmet almalarını sağlamak, böylelikle hem ölçek ekonomisinden faydalanarak kurum maliyetlerinin düşürülmesini sağlamak, hem de veri merkezi işletim maliyetlerinden kurumları kurtarmanın amaçlandığı düşünülebilir. Buradaki maliyet sadece alt yapı maliyeti olarak algılanmamalıdır, veri yedekleme ve gerekli güvenlik alt yapısını sağlamada yetersiz kalıp, verilerini kaybedecek olan bir kurumun maliyetleri paranın ötesinde olabilir. Dünyadaki eğilimin de bu doğrultuda olduğu, gelişmiş ülkelerde de büyük hacimlerde veri merkezlerinin kurulduğu ve böylelikle hem alt yapı, hem de işletim maliyetlerinin düşürüldüğü ve siber saldırılara karşı daha güvenli bir yapının kurulup, işletilebildiği açıklaması ile karar gerekçelendirilmiştir. Kararı yorumlarsak gelecek vadede bahsi geçen veri merkezinin oluşturulması, işletilmesi, belki merkeze yönelik yazılım ürünlerinin tedarik edilmesine yönelik kamu ihtiyaçlarının doğacağı bir gerçek.

Kurumların İhtiyaç Duyduğu Paket Program Çözümlerinin Toplu Alım Yöntemi ile Tedarik Edilmesi kararına göre kamu kurum ve kuruluşları tarafından kullanımı tercih edilen ortak yazılım ürünlerinin tedariği sürecinin ortak bir şekilde işletilmesi kararlaştırılmıştır. Bu noktada kurumların ihtiyaçlarını ortaya koyan yazılım envanterinin oluşturulması ve toplu alım modelinin geliştirilerek gerek mükerrer yatırımların engellenmesi, gerekse maliyetlerin düşürülmesi hedeflenmektedir. Bu noktada bilişim sektöründe faaliyet gösteren müteşebbisler geliştirdikleri yazılımların envantere girebilmesi için hem ürün kalitelerini yüksek tutmak, hem de kamu kurumlarının ihtiyaçlarını daha yakından takip etmek durumunda kalacaklar, bu da uzun vadede sektörün gelişmesini tetikleyecektir diye düşünüyorum. Uluslar arası yazılım şirketleri ise alımlar tek merkezden olacağı için belki de satış operasyonlarını yeniden yapılandırmak durumunda kalacaklardır. 

Sağlık Alanının Öncelikli Alan Olması kararına göre AR-GE faaliyetlerinde sağlık alanı öncelikli alan olarak ilan edilmiştir. Gerekçe kısmında yapılan açıklama ile ülkemizin sağlık alanındaki ithalatının ihracatından oldukça yüksek olduğu, sağlık alanında gerçekleştirilecek AR-GE faaliyetleri ile ihracat rakamlarının artırılabileceği ve dengenin sağlanabileceği vurgulanmaktadır. Bu noktada devletten teşvik almayı düşünen girişimci arkadaşların sağlık alanına yönelik fikirler geliştirmelerini önerebilirim. 

Alınan kararları bilişim teknolojilerindeki aktörlerden, girişimci adaylarına, bilişim çalışanlarından, üniversite öğrencilerine genel bir kitlenin değerlendirmesi gerektiğini düşünüyorum. 

Özetle e-Devlet projeleri için üst düzey bir yönetim metodunun geliştirileceği ve projelerin kurum ölçeğinde sahiplenmesinin sağlanması adına oluşturulacak kurulun, kurumlar içerisinde üst düzeyde temsil edileceği, 

Oluşturulacak olan ulusal veri merkezi ile kurumların yükleri ve maliyetleri azaltılacak ve merkezi işletim sağlanacağı için kurumlar bireysel kaynaklarla veri merkezine yönelik bir işletim sağlama yükünden kurtulacaklardır. Girişimci ve sektörde faaliyet gösteren aktörler açısından okunabilecek ise oluşturulacak ulusal veri merkezine yönelik iş fırsatlarının doğabileceği ve sürecin yakından takip edilmesinin avantajlı olabileceğidir. 

Kurumların yazılım ihtiyacının büyük ihtimalle DMO gibi bir ortak kurum üzerinden sağlanması, kurumlar açısından gereksiz yatırımların önlenmesi ve daha uygun maliyetler ile ihtiyaçların giderilebilmesi imkanın sağlayacaktır. Girişimcilerin ilgili envanterde yerlerini alabilmeleri için belirli kalite standartlarını oluşturmaları ve envantere girebilmek adına gerekli süreci takip etmeleri gerekecektir diye düşünüyorum. Uluslar arası yazılım sağlayan güçlü firmaları ise ortak bir müzakere süreci beklemektedir. Belki de bu kuruluşlar satış operasyonlarını yeniden organize etmek durumunda kalacaklardır. 
 

Sağlık alanının yatırım yapılacak öncelikli alan olarak ilan edilmesi girişimci adayları tarafından doğru okunmalı, üzerinde düşündükleri inovatif fikirleri sağlık bilişim ya da sağlık teknolojileri alanın yönlendirmelerinin faydalı olabileceği şeklinde okunabilir.

Destek Hizmetleri Yönetmeliği

Türk finans sektöründe 05 Kasım 2011 tarihinde yayınlanan Destek Hizmetleri Alımına İlişkin Yönetmelik ile Türk Bankacılık sistemi düzenleyicisi BDDK, bankaların temel faaliyetlerini destekleyen satın alımlara ilişkin risklerinin yönetilmesini hedeflemektedir. Bir sonraki yazımızda yönetmeliği detayları ile inceleyeceğimiz notunu buraya düştükten sonra genel hatları ile Destek Hizmetleri uygulamasından bahsedelim.

BDDK, 1 yıllık intibak süresi sonunda bütün bankaların destek hizmetleri alımlarını yönetmeliğe uygun hale getirmelerini yönetmelikte belirtmiştir.

Yönetmelik kapsamındaki temel işlemler aşağıdaki gibidir:

Yıllık destek hizmetlerine ilişkin bir risk programının hazırlanması, alımı planlanan destek hizmetine ilişkin risk analiz çalışmasını yapılması ve denetim komitesine sunulması, destek hizmeti alımına karar verilen destek hizmeti kuruluşuna yönelik BDDK'dan talep edildiği takdirde kuruma sunulacak olan teknik yeterlilik raporunun hazırlanması ve denetim komitesine 3'er aylık periyotlarla destek hizmeti kuruluşunun taşıdığı risklere ilişkin rapor sunulması.

Yönetmelik kapsamında yerine getirilmesi gereken bu temel işlemlerde destek hizmetlerinden faydalanan paydaşa ek olarak risk programının oluşturulması, risk analiz raporlarının oluşturulması sürecinin koordine edilmesi ve denetim komitesine sunulan raporların oluşturulması gibi işlemlerin İç Sistemlerde yer alan paydaşların sorumluluğunda olduğu aşikardır. Yönetmelik içerisinde bu sorumlulukların sahibi direkt adreslenmemekle birlikte Riske ilişkin işlemlerden sorumlu paydaş ağırlıklı olarak Risk Yönetim Başkanlıkları, denetim komitesine sunulan raporların oluşturulması sürecinde ise İç Kontrol Başkanlıkları ve Teftiş Kurulları olmaktadır.

Bir sonraki yazımızda yönetmeliği daha detaylı incelemekle birlikte BDDK'nın bankalardan destek hizmetlerine yönelik işletilmesini istediği temel süreçler özetle aşağıdaki gibidir:

1-Yıllık Risk programının hazırlanması
2-Yönetmelik kapsamında giren destek hizmetine ilişkin risk analiz raporlarının oluşturulması
3-Satın alıma yönelik yönetim kurulunun bilgilendirilmesi ve görüşünün alınması
4-Alım kararı verilen destek hizmeti kuruluşuna yönelik teknik yeterlilik raporunun oluşturulması
5- 3'er aylık periyotlarla denetim komitesine destek hizmeti kuruluşuna ilişkin risklere yönelik değerlendirmenin yapılması (29.01.2013 tarihinde yönetmelikte yapılan değişiklikle birlikte denetim komitesine en az yılda bir değerlendirme raporu sunulacağı belirlenmiştir.) 

Yönetmelik kapsamında ele alınan çoğu sürecin kaynağının COBIT DS.02 sürecinden aldığını söylemek de yanıltıcı olmayacaktır.

İlkeler Tebliği ve COBIT5

Bankacılık sektöründe Bilgi Teknolojileri Denetimi konusunda özellikle regulatör kuruluş rolündeki BDDK'nın 2006'dan bu yana yürüttüğü çalışmalar neticesinde Türk Bankacılık Sektörü Bilgi Teknolojileri Hizmetlerinin bankanın ana faaliyetlerine ilişkin stratejilerini destekleme rolünün, bilgi güvenliği, süreklilik ve kurumsallaşma gibi başlıkları da göz önünde bulundurarak geliştirdiği önemli bir gerçektir. Özellikle 2006 yılından günümüze olan süreçte bankalar teftiş kurullarında Bilgi Sistemlerinin denetlenmesine yönelik gerek organizasyonel yapılanma gerekse kurumsal bilgi birikimine yönelik büyük yatırımlar yapmışlardır.

BDDK tarafından yayınlanan ve sektörde İlkeler Tebliği olarak bilinen Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği içerisinde Bilgi Teknolojileri denetiminin ISACA tarafından yayınlanan çerçeve olan COBIT'in en güncel versiyonu ile yapılacağından bahsedilmektedir. 2006 yılından bu yana bankalar ve bankaları denetleyen bağımsız denetçiler tarafından temelde kontrol oldaklı olan CobIT 4.1 sürümü kullanılmış, bankaların Bilgi Teknolojileri faaliyetlerinde rol alan aktörleri iş süreçlerini ve yapılanmalarının CobIT 4.1'e uygun organize etmişlerdir.

Haziran 2012 ayında ISACA COBIT'in yeni versiyonu COBIT5'i yayınlamış, çerçeve tanıtım ve uygulama rehberi dokümanlarını yayınlamış, gelecek vadede yayınlanacak doküman setinin üyelerini de açıklamıştır.

Şimdi kafalardaki soru, Bilgi Teknolojileri Denetimi faaliyetlerinin tebliğde bahsi geçtiği gibi COBIT'in en güncel sürümü olan COBIT5 ile mi yapılacağı, yoksa bu konuda bir uyum sürecinin BDDK tarafından bankalara tanınıp, tanınmayacağıdır. Kaldı ki bu uyum sürecindeki en önemli aşamanın bankaların teftiş kurullarının COBIT5'e uygun denetim yapacak bilgi ve uygulama birikimine sahip olmalarından ziyade banka Bilgi Teknolojileri süreç sahiplerini yönettikleri süreçleri COBIT5'e uygun hale getirmeleri olacağı aşikardır. Bilgi Teknolojileri süreç sahiplerine bu geçiş ve uyum süreci tanınmadığı takdirde 2006'dan bu yana süregelen uygulamalarla CobIT 4.1 hükümlerine göre uyarlanan BT süreçlerinin COBIT5 hükümlerine göre teftiş kurulları tarafından denetlenmesi neticesinde elde edilenin bulgu üreten bir mekanizmadan öteye gidemeyeceği bir gerçektir.

Akıllardaki bu önemli soru geçen Çarşamba günü katıldığım bir toplantı esnasında ilgili daire başkanı Ahmet Turkay Varlı'ya yöneltilmişti. Ahmet Bey cevabında tebliğde bahsedilen güncel Cobit sürecinden kastın belirli bir olgunluğa erişmiş, dokümanlarının önemli bir kısmının tamamlandığı hali ile olduğunu, denetimlerde önemli bir kılavuz olan Assurance Guide for COBIT5'in 2013 yılı içerisinden yayınlanmasının öngörüldüğünü, bu sebeple 2014 yılından önce teftiş kurullarının COBIT 5 kapsamında denetim yapmalarının mümkün olmadığını, BDDK tarafında bu geçişe ilişkin bir takvimin henüz var olmadığını belirtmiştir.

Kendime not bağlamında paylaşmak isterim.

CobIT 4.1: AI.06 Manage Changes / Değişlikleri Yönet

CobIT 4.1 Edinim ve Kurulum temel alanı içerisinde yer alan, mevcut tasarlanmış, kullanılan sistemler ve süreçler üzerinde tasarım ve/veya fonksiyonellik anlamında meydana gelen ve diğer sistemleri de etkileme olasılığı bulunan değişikliklerin kontrollü bir şekilde yönetilerek hayata geçirilmesini öneren süreçtir. Üretim ortamındaki alt yapı ve uygulamalara ilişkin bütün değişikliklerin resmi bir süreç yardımıyla, kontrollü olarak yönetilmesi önerilmektedir. Bu değişikliklere planlanmış ve takvimi belirlenmiş değişikliklerin yanı sıra acil duruma ilişkin değişiklikler ve rutin, periyodik yama uygulamaları da dahildir. Tasarlanmış ve işletilmekte olan prosedürler, süreçler, sistemler ve hizmeti etkileyebilecek bütün değişiklikler uygulama öncesinde kayıt altına alınmalı, değerlendirilmeli, etkilenen ilgili taraflarca onaylanmalı ve uygulama sonrası da planlanan sonuçlara göre gözden geçirilmelidir. Böylelikle üretim ortamında bütünlüğü ve sürekliliği olumsuz yönde etkileyecek risklerin azaltılması ve risklerin oluşması durumunda, değişiklik aşamaları kayıt altına alındığı, geri dönüş planlamaları yapıldığı için risk faktörü kolaylıkla ortadan kaldırılabilecektir.

BT Yönetişim alanlarından Değer üretimi alanı ile birincil, kaynak yönetimi alanı ile ikincil dereceden ilişkili olarak tanımlanmaktadır.

Değişiklik Yönetimi, hizmet talep edilen değişikliklerin tanımlanmış ve standartlaştırılmış bir şekilde bildirimini, değişikliklere ilişkin etki değerlendirmesi, önceliklendirme çalışmalarının yapılması ve bu sürecin onay mekanizması ile işlemesini ve her aşamanın kayıt altına alınmasını önermektedir. Süreçle ilgi karşımıza çıkan önemli kavramlardan birisi Acil Değişiklik kavramıdır. Acil Değişiklik kavramı, diğer sistemleri ve işleyişleri de etkileme olasılığı olan her hangi bir aksama gibi duruma ilişkin değişiklik talebinin farklı yaklaşımla ele alınmasına ilişkin bir kavramdır. Acil değişiklik olarak ayrıca etiketlenen bu değişikliklerin ivedi bir şekilde ele alınması önerilmektedir. Acil değişikliğe ilişkin dokümantasyon gibi zaman alıcı aşamalarının kısa süreli olarak atlanarak, değişikliğin sebep verdiği kesintinin anlık ve dolayısıyla geçici çözümlerle giderilmesi, atlanılan aşamaların sonradan gerçekleştirilmesi önerilmektedir. Değişiklik durumlarının takip edilmesi ve belirli aralıklarla gerçekleştirilen değişikliklere ilişkin bilgilerin üst yönetim ve ilgili paydaşlara sunulmasını, talep edilen değişikliğin giderilmesi sonrasında değişikliğe ilişkin bilgilerin dokümante edilmesini süreç kapsamında önerilen önemli adımlardır.
Peki BT birimlerinden hizmet alan paydaşlar hangi konularda değişiklik talepleri ile gelebilirler ya da talepleri hangi konularda değişiklik yapılmasını gerektirebilir? Uygulamalar, prosedürler, işletilen süreçler, sistem ve hizmetlere ilişkin parametreler değişikliklerden nasibini alabilirler.
AI.6.1 Değişiklik Standartları ve Prosedürleri:
Değişikliklerin operasyonel sistem ve bu sistemin işlevselliği üzerindeki etkileri organize bir şekilde değerlendirilmelidir. Değişikliklere yönelik bütün taleplerin hızlıca değerlendirilmesinin ve değişikliğe ilişkin aksiyonun alınmasının sağlanması için değişikliklere ilişkin taleplerin standart hale getirilmesini sağlayacak süreçler tasarlanmalıdır.
AI.6.2 Etki Değerlendirmesi, Önceliklendirme ve Onaylama
Talebi yapılan tüm değişikliklerin hali hazırda çalışan sistem ve bu sistemin işlevselliği üzerindeki etkileri belirlenmiş standartlar ışığında değerlendirilmelidir. Bu değerlendirme değişikliklerin sınıflandırılması ve önceliklendirilmesine zemin hazırlamalıdır. Değişiklikler üretim ortamına aktarılmadan ve kullanılmaya başlamadan önce değişiklik talebi yapan ve değişiklikten etkilenen paydaşlar tarafından onaylanmalıdır.
AI.6.3 Acil Durum Değişiklikleri
Acil değişiklik olarak tanımlanabilecek, diğer sistemlere ve kuruluşun temel iş yapışına etkisi büyük, hatta sistemler ve süreçler üzerinde kesinti boyutuna varacak kadar önemli olabilecek sorunlara ilişkin değişikliklerin ivedi olarak ele alınması gerekmektedir. Acil değişikliklerde değişikliğe ilişkin aksiyonun gecikmesi maliyeti yüksek olarak addedilmektedir. Bu sebeple değişikliğe ilişkin dokümantasyon ve bütün paydaşların değişikliğe ilişkin katılımını alma gibi süreçler daha hızlı yönetilmek adına geçici olarak atlanmakta ya da daha az paydaş ile değerlendirilmektedir. Fakat acil durum değişikliği sonrası atlanan bu aşamalar giderilmekte ve/veya katkısı alınamayan paydaşlar bilgilendirilmektedirler. Mevcut değişiklik yönetim süreci kapsamında ele alınamayacak olan bu değişikliklerin tanımlanması, değerlendirilmesi ve onaylanması süreçleri farklı tasarlanmalıdır. Acil değişikliklerin öncelikli olarak değişikliğe ilişkin aksiyonun yapılması ve dokümantasyon gibi süreçlerin sonrasında yerine getirilmesi şeklinde süreçlerden geçirilmesi önerilmekte, acil değişikliğe ilişkin test aşamaları ise önemsenmektedir. Çünkü aksiyonu ivedi olarak yerine getirmek, belirli süreçleri atlamak riskliliği artıracaktır.
AI.6.4 Değişiklik Durumlarını Takip Etme ve Raporlama
Değişikliklerin durumları hakkında değişiklikle ilişkili bütün paydaşların bilgi almasını sağlayacak bir raporlama mekanizması kurulması önerilmektedir. Değişiklikler hakkında güncel bilgi alınması bir raporlama ve takip etme sistemini kurulması önemsenmektedir.
AI.6.5. Değişikliklerin Kapanması ve Dokümante Edilmesi
Değişikliğe ilişkin aksiyonlar yerine getirildiğinde ve değişiklik uygulandığında değişiklikten etkilenen süreç adımları ve dokümantasyonun güncelliğinin sağlanması önerilmektedir. Değişikliklerin tam ve eksiksiz olarak uygulamaya alındığından emin olunması adına gözden geçirme süreci tasarlanmalıdır.
COBIT 5 kapsamında,
Sürece ilişkin çok büyük değişiklikler yapılmamıştır. Değişiklik Yönetim Süreci COBIT 5 kapsamında BAI 6 Manage Changes süreci kapsamında aynı isim altında ele alınmaktadır.
Özetle;

COBIT kapsamında kurum içerisinden Bilgi Teknolojileri varlıkları ve süreçlerini etkileyebilecek değişiklik talepleri tanımlanmış standartlar kapsamında bildirilmeli, değişiklik ilgili taraflarca değerlendirilmeli ve onaylanmalı, değişikliğe ilişkin etki analizi ve önceliklendirme çalışması yapılmalı, değişiklikte her hangi bir aksilik durumunda geri dönüş stratejisi belirlenmeli, değişikliğe ilişkin test ve kullanıcı kabul aşamaları işletilmeli ve değişiklik gerekli dokümantasyon yapılarak kapatılmalıdır. Bu süreçler işletilirken acil değişiklikler farklı bir şekilde ele alınmalı, değişikliğin dokümantasyonu sonradan yapılabilecek şekilde değişiklik işletilmelidir. Değişiklik durumlarının ilgili paydaşlar tarafından izlenebilmesi adına ise raporlama mekanizması kurulmalıdır. Burada asıl vurgulanması gereken bir önemli nokta ise CobIT'in değişikliği sorunsuzca uygulanabilmesinden ziyade uygulama adımlarının sistematik olarak yerine getirilmesini önemsemesidir. Uygulayıcılar değişiklik adımlarını tamamlamadan, paydaşlardan gerekli katılım ve onayı almadan, aksilik durumlarında geri dönüş stratejisi belirlemeden ilerledikleri takdirde, iş sonunda değişikliği başarılı gerçekleştirseler bile süreç boyunca yüksek derecede risk taşıdıkları ve sistematik ilerlemedikleri sürece başarısız olarak değerlendirilmektedirler.