Bilgi Teknolojileri ekiplerinin anlaşılamama hali…
BT ekipleri olarak doğru olanı yapıp bilgi güvenliği ve kurallara tam uyum mu sağlayalım? Yoksa işleri kolaylaştırıp şikayetlerden uzak mı duralım diye soruyorum ve postun altına yorumlarınızı bekliyorum?
KVKK, ISO 27001 ve diğer tüm güvenlik kuralları gibi kritik kurallar, bilgi güvenliği ve iş sürekliliği için olmazsa olmaz. Ancak bu kuralları firma içinde uygulamaya başladığınızda, özellikle alışılmış iş yapış biçimlerini değiştirdiğinizde, personel ile karşı karşıya gelebiliyorsunuz. Çünkü her kural personel tarafından engel gibi algılanıyor. Uygulanmak istenen tüm kuralların amacı firmanın sisteminin 7/24 ayakta kalması ve sürdürülebilir olmasıdır.
25+ yıllık Bilgi Teknolojileri alanındaki iş hayatımdaki karşılaştığım sorunlar, tecrübelere dikkat çekmek isterim.
BT Ekiplerinin dertleri nelerdir?
1. “Her şeyi engelliyorsunuz, sizin yüzünüzden işim aksıyor” algısı
Her istediği programı kuramayan, her dosyayı indiremeyen, istediği siteye girmek isteyip giremeyen, evindeki bilgisayardan VPN talep eden ve bunlar olmayınca da ilk fırsatta üst yönetime dahil şikayet eden personeller bu tarz bilgi güvenliği adına alınan önlemleri, “yeni adetler çıkarmak, bu da engelli, ne var ki, işimi aksatıyorsunuz” olarak değerlendiriyor.
2. Farkındalık Eğitimi Eksikliği
Birçok firmada çalışanlar, şirketin teknoloji varlıklarını kendi kişisel cihazları gibi kullanabileceğini düşünüyor. Bilgi güvenliği standartlarından haberdar olmayan ya da bilse bile önemsemeyen bir yaklaşımla, bu kuralları gereksiz buluyorlar. Bunlar için verilen eğitimlere özellikle yöneticiler katılmıyor, veya atılan farkındalık eğitimi maillerini okumuyorlar bile…
3. Üst Yönetimin BT arkasında durmaması
Bu şikayetler üst yönetime ulaştığında acaba bu engel kurallarının nedenini ve önemini biliyor mu? BT ekiplerinin aldığı önlemlerin önemini bilen bir yönetim olmadığı sürece, yapılan işler “işi yavaşlatan”, “engel çıkaran”, “boyuna engelleyen”,”yasakçı zihniyet” olarak algılanıyor. Bu konuda üst yönetim BT ekiplerine tam desteği veriyor mu?
4. “Bilgisayarcı” adlandırması
Ben bu “Bilgisayarcı” ironisi ile hatta kitap bile yazdım. Okumanızı önerebilirim.
https://smazi.ballut.com/images/SadeddinMAZI_Bilgisayarci.pdf
BT ekiplerinin stratejik bir iş ortağı olduğu gerçeği göz ardı ediliyor. Firmanın dijital varlıklarını korumak, iş sürekliliğini sağlamak gibi kritik sorumluluklar yerine, hâlâ sadece teknik destek veren, format atan, telefon kuran, internette bazı evrakları dolduran vs vs. bir birim gibi “bilgisayarcı, donanımcı” olarak algılanıyorlar.
Peki hangi kategoride olmak gerekir;
Doğru mu yapıyoruz: Bilgi güvenliği ve kurallara tam uyum sağlayarak firmayı korumak ama sürekli şikayet edilmek ve “işi zorlaştıran” taraf olmak.
Herkese okey mi diyoruz: Güvenlikten taviz vererek iş birimlerini memnun etmek ama olası bir kriz veya ihlal durumunda ilk suçlanan olmak.
Doğru yapınca yalnız kalabiliyoruz. Herkese okey deyince de riskleri biz almış oluyoruz. Hep söylerim işini en iyi yapan BT çalışanı, hiç sevilmeyendir. Çünkü siz güvenlik kurallarını uyguladıkça personelin istekleri karşılanmamış oluyor ve çok sevilmiyorsunuz.
Kurallara tam uyum sağlayıp doğru olanı mı yapmalı, yoksa işlerin kolay akmasını sağlayıp şikayetlerden uzak mı durmalı? Sıkıntı yaşamaktan sa, kötü olmayı tercih eden BT olmalı.
Firmalarda üst yönetimin ve müdür, direktör koordinatör seviyesindeki üst düzey profesyonellerin mutlak surette BT ekiplerinin aslında ne yaptığını, neleri kontrol ettiğini, tedbirlerin neden alındığını, sistemin ayakta kalması ve sürdürülebilir olması için neler yapılıyor, ne gibi tedbirler alınıyor; öğrenmesi veya anlatılmasını talep etmesi gerekiyor.
Sizin bu konuda ilaveleriniz ve yorumlarınız nelerdir…
