1. Anasayfa
  2. HER ŞEYİN BAŞI ENVANTER

HER ŞEYİN BAŞI ENVANTER

Hani insanlar için deriz ya her şeyin başı sağlık diye işte bilişim sitemleri için de her şeyin başı envanter desek yanlış demiş olmayız. Esasen varlık yönetimi de dediğimiz envanteri aşağıda belirttiğimiz 5 ana başlık altında değerlendirmek gerekir.

  • Bilgi varlıkları
  • İnsan kaynakları
  • Yazılım varlıkları
  • Donanım varlıkları
  • Yapılar (Bina, tesis, saha)

Temel olarak da cansız her varlık için

  • Varlığın kimlik numarası ve sürümü;
  • Varlığın açık adı;
  • Varlığın bulunduğu (konum);
  • Varlığın değeri (objektif bir metodla tarafsız hesaplanan);
  • Varlığın sorumlusu,
  • Erişim, Gizlilik ve Bütünlüklerin bozulduğunda ne ölçüde olumsuz etkilere neden olabileceğini gösteren risk sıralama puanları yer aldığı bir envanter tutmak gerekmektedir.

Belirtiğim tüm varlık türleri çok önemli olmakla beraber ben bu yazımda yazılım ve donanım envanterine değineceğim

Özellikle kamu kurumlarında yazılım ve donanım envanterinin tutulmasında çeşitli sorunlar bulunmaktadır. Ayniyat yönetimi, muhasebe yönetimi ve bilişim yönetimini yapan birimler arasında tutarsızlıklar ve sık sık anlaşmazlıklar yaşanmaktadır. Özellikle yazılım envanterinin tutulmasında maalesef kamu tarafında bir uygulama birliği bulunmamaktadır.

Ayniyata bakan destek hizmetleri ya da yönetim hizmetleri gibi birimler yazılım ürünlerinin kaydını yapmazlar. Uygulamalarında haksız da sayılmazlar. Taşınır Mal Yönetmeliğine göre, “taşınır” Taşınır Kod Listesinin (A) ve (B) bölümlerinde gösterilen taşınırları” ifade eder. Taşınır Kod Listesinin (A) ve (B) bölümlerinde ise “bilgisayar yazılımı/bilgisayar programı” adı altında herhangi bir tanıma yer verilmediğinden Taşınır Mal Yönetmeliği anlamında bilgisayar programı veya yazılımı bir taşınır türü değildir. Dolayısıyla Ayniyata bakan arkadaşlarımız Taşınır İşlem Fişi düzenlenmez ve taşınır kayıtlarına bilişimciler olarak satın aldığımız ya da geliştirdiğimiz yazılımları almazlar. Sorunlar bununla da sınırlı değil. 4734 sayılı Kamu İhale Kanun’un 4’üncü maddesindeki “hizmet” tanımı içerisinde geçen “bilgisayar sistemlerine yönelik hizmetler ile yazılım hizmetleri” ibaresinin içeriğinin açık ve net bir şekilde ortaya konulmaması nedeniyle hizmet olarak değerlendirilmektedir. Dolayısı ile hizmet alımı çerçevesinde ilgili birimler tarafından ihale edilmektedir. Bütün bunların yanı sıra muhasebe birimlerinin bir varlık olarak dışarıdan alınan yazılımları ve özellikle kurum içerisinde geliştirilen yazılımları muhasebe sistemine kaydetmemesi olayları iyice içinden çıkılmaz bir hale sokmaktadır. Bu durumdan dolayı tüm kurumlarda yazılım envanteri farklı farklı tutulmakta veyahut hiç tutulmamaktadır. Donanım alımlarında ise mal olarak ayniyat ve muhasebe sistemlerine işlenmekle beraber bu kez donanım konfigürasyonları (mac adresleri, ip adresleri, ram büyüklükleri, cpu büyüklükleri ..vb) detaylı olarak kaydedilmemektedir.

Yazılım ve donanımların kurumların envanterlerine sağlıklı kaydedilememesi sonucu

  • Kurumların duran varlık envanteri ve ekonomik değeri yanlış hesaplanmakta, bu durum sayıştay denetimlerinde sorunlara yol açmaktadır.
  • Mükerrer alımlar olmakta, örneğin bir birimde olan çizim programı lisansı başka birimde de kullanılabilecekken kullanılamamakta ya yeniden mükerrer alım olmakta ya da ürünü kullanamamaktan dolayı verimsizlik oluşmaktadır. Taşra ve merkez birimlerinde özellikle bilgisayar, yazıcı ve tarayıcı gibi envanter takip edilmediğinden depoda bulunan ürünlere bakılmaksızın yeni donanımlar gönderilmekte milli servet dediğimiz ve büyük bir çoğunluğu ithal olan bu donanımlar depolarda atıl bir vaziyette bırakılmaktadır.
  • Eskiyen ürünlerin takibi yapılamamakta, bakım onarımlar ile ilgili sağlıklı bir envanter çıkarılamadığı için bakım onarım işini alan firmanın insafına kalınmakta ya da genel bir bakım yapılmadığından teker teker çok daha pahalıya bakım onarım yaptırılmaktadır.
  • Görevden ve kurumlardan ayrılan personellerin zimmetinde bulunan donanımlar takip edilememekte ve burada da maddi kayıplar oluşmaktadır.
  • En önemlisi ise bilgi güvenliği sağlanamamaktadır. Envanter kaydı tam olarak yapılmadığından merkezi bir denetim sistemi kurulamamakta, sahibi, içeriği ve konfigürasyonu bilinmeyen bu cihazlar bilişim sistemi için büyük bir risk oluşturmaktadır.

Ancak, 5846 sayılı Fikir ve Sanat Eserleri Kanununda, “Bilgisayar programı: Bir bilgisayar sisteminin özel bir işlem veya görev yapmasını sağlayacak bir şekilde düzene konulmuş bilgisayar emir dizgesini ve bu emir dizgesinin oluşum ve gelişimini sağlayacak hazırlık çalışmalarını…” şeklinde ifade edilmekte olup fikir ve sanat eserleri hukukunun koruma alanına dâhil edilmiş bulunmaktadır. “Gayrimaddi Mal”, maddi olmayan mal anlamına gelmekte olup taşınır ve taşınmaz gibi maddi varlıkları olmayan, taşınır ve taşınmaz mallardan farklı olarak elle tutulur gözle görülür fiziki gerçekliğe sahip olmayan, fikir ve sanat eserleri gibi gayri maddi varlığı bulunan malları ifade eder.

Bilindiği üzere 4734 sayılı Kanun’a tabi idarelerce “bilgisayar programı”, “bilgisayar yazılımı”, “yazılım” gibi kalemlerin alımları “hizmet” olarak nitelendirilerek genellikle hizmet alımı şeklinde gerçekleştirilmektedir. Ancak her ne kadar uygulama yazılım alımları genellikle hizmet alımı şeklinde gerçekleştiriliyor olsa da gerçekte alıma konu edilen unsur yazılım hizmeti değil yazılımın kullanım hakkıdır. Dolayısı ile mal alımı olarak ihale edilmesi gerekmektedir.

Dolayısı ile Bilgisayar yazılımları/programları her ne kadar taşınır kayıt sistemine kaydedilmese de muhasebe sistemlerinde 267 gayri maddi hak alımları hesap kodunda hesaplara alınması gerekmektedir. Yine kurum tarafından geliştirilen ya da hizmet alımı yöntemi ile dış kaynağa geliştirtilen uygulamalar proje sonrasında kurum adına bir gayri maddi hakka dönüştüğünden hareketle muhasebe sistemine bir duran varlık olarak eklenmelidir.

Ayniyat, muhasebe ve bilişim yönetimi üçgeninde sağlıklı bir donanım/yazılım envanteri tutmak istiyorsak mutlaka bilişim sisteminde asset management dediğimiz envanter yönetimi sistemleri bulunmalıdır. Sistemde tüm yazılım ve donanım ürünlerinin

  • Seri numaraları, mac adresleri, ip adresleri
  • Sözleşme numaraları, lisans adetleri, sözleşme SLA ve detayları
  • Bakım ve garanti tarihleri
  • Üretici ve bakımı yapan firma bilgileri
  • İçerisinde barındırdığı donanım ve yazılım parçacıkları (firmware)
  • Version ve patch seviyeleri
  • Konfigürasyon bilgileri, kullanım kılavuzları
  • Sahiplik bilgileri ve kullanım sorumluları (Zimmet)
  • Lokasyon bilgileri
  • Geçmiş arıza, bakım ve güncelleme kayıtları
  • Bildirilen ya da tespit edilen geçmiş ve güncel güvenlik açıkları

Tutulmalıdır. Peki bunca veriyi düzenli ve tutarlı bir şekilde nasıl toplar ve işletiriz? Tecrübelerimden yola çıkarak çözüm yöntemlerini aşağıda sıralamaya çalıştım,

  • Kurum bünyesinde bulunan taşınır kayıt sistemi, muhasebe sistemi ve bilişim envanter yönetimi envanter no gibi bir tekil id üzerinden haberleşmelidir.
  • Bir varlık taşınır kayıt sistemi ve muhasebe sisteminde yoksa bilişim envanter sistemine eklenmemelidir daha doğrusu eklenememelidir.
  • BT birimi NAC dediğimiz network erişim güvenliği sistemlerini kurumun tüm birim ve uçlarında uygulamalıdır. NAC sistemi kurum ağına dahil edilecek envanter için;
    • Bilişim envanter sistemine dahil mi? Belirtilen konfigürasyonda ve belirtilen yerde mi? (Genellikle ITSM dediğimiz bilişim yönetim sistemleri içerisinde bulunan asset management araçları, bir envanter eklendiğinde otomatik olarak yazılımsa muhasebe sisteminde donanımsa hem muhasebe hem de taşınır kayıt sisteminde olup olmadığını kontrol etmelidir)
    • Envanterin son güncel versiyonu (firmware ...vb) yüklü mü ve kurum bilişim politikaları üzerine uygulanmış mı?
    • Antivirüs, DLP (veri sızıntıları engelleme) …vb güvenlik uygulamaları güncel olarak yüklü mü?
    • Eklenecek olan envanter hub dediğimiz, çoğunlukla ağda loop oluşturan ve kesintilere neden olan dummy (akılsız) cihazlar aracılığı ile mi bağlı yoksa doğrudan trafiği adresleyen switch dediğimiz anahtarlama cihazları ile mi bağlı?

Gibi kontrolleri yapmalı. Bu kontrollerde bir sorun görünmüyorsa envanter ağa dahil edilmelidir.

Sonuç olarak bunlar yapıldığında büyük işletmelerde ve özellikle kamu kurumlarında hep yaşadığınız sorunlara karşı aşağıda listelediğim kazanımlar edinilebilecektir.

  • Ağda aktif halde bulunan ya da depolarda duran (yazılımsa kullanılmayan) tüm donanım ve yazılım envanteri güncel ve tutarlı bir şekilde kayıt edilecektir. Böylelikle ileriye dönük yatırımlar planlanabilecek. Sayıştay, iç denetim, ISO 20000, ISO 27001, COBIT, ITIL gibi standartların gereği yerine getirilecektir.
  • Herhangi bir konfigürasyon değişimi kayıt altına alınacaktır (bilgisayara ram eklenmesi, kablosuz ağ adaptörü takılması ...vb).
  • Güvenlik açıkları oluştuğunda ilgililer otomatik olarak bilgilendirilecek ve performans yönetimi bağlamında güvenlik açıklarına mühedale süresi kayıt edilecektir.
  • Envanter yer değişimleri kayıt altına alınacak. Bakım ve onarım anlaşmaları doğru verilerle yapılacaktır.
  • Mükerrer donanım ve yazılım alımları yapılmayacak. Lisansı biten ve kullanım ömrü dolan ürünler verimsizliğe yol açmadan güncellenecektir.
  • Bakım ve garanti anlaşmaları ve şartları açısından zamanında giderilmeyen arızalar ile ilgili olarak cezalar tutarlı bir şekilde kesilebilecektir.
  • Bilişim sistemleri tarafından sunulan servisleri oluşturan bileşenler (envanter) doğru ve tutarlı bir şekilde CMDB dediğimiz konfigürasyon veritabanlarına kaydedilecek. Bu bileşenlerde meydana gelebilecek sorunların hangi servisleri etkileyebileceği analiz edilerek darboğaz görülen noktalara takviyeler yapılacak. Bir servisin sunumunda problem olduğunda servisi oluşturan bileşenler süratle kontrol edilebilecek, bir envanterde planlı ya da plansız bir arıza olduğunda etki edebileceği servislerle ilgili paydaşlar (personel, müşteriler, hizmet sunulan diğer organizasyonlar) önceden haberdar edilebilecektir.

Email: yenalarslan@ictmedia.com.tr

@yenalarslan1

https://www.linkedin.com/in/yenalarslan

ICT Media Yenal Arslan
4 Aralık 2020