Birinci sanayi devrimi 1712 yılında (18.yy) İngiltere buhar makinesinin icadının gerçekleşmesiyle birlikte başladığı kabul edilmektedir. O zamana kadar tezgahlarda el emeğiyle yapılan üretim yerine mekanik üretim ortaya çıkmıştır. Makinelerin üretime katılmasıyla demir-çelik ve tekstil üretimi artmış ülkelerde sermaye birikimi gerçekleşmiştir. Yine aynı dönem kölelikten ucuz işçiliğe geçiş dönemi olarak da bilinmekte. 2. sanayi devrimi 19. Yüzyılın sonlarından 20. yüzyılın sonuna doğru 1970-80’lere kadar olan süreyi kapsıyor. Elektriğin bulunuşu ile uzun süreli çalışma imkanları, içten yanmalı motorların icadı ile ulaşımın ucuz ve hızlı hale gelmesi, telefonun icadı sayesinde uzak mesafeler ile haberleşe bilinmesi, ekonomi ve sanayinin gelişimini bu dönemde hızlandırmıştır. Ancak 1970’lere geldiğimizde kişisel bilgisayarların ortaya çıkması ile üretimin otomasyonu ve sayısallaşması sağlanmıştır. Buna paralel olarak organizasyonlar kendi veri merkezlerini kurmaya ve bu veri merkezlerinde sunucu ve veri tabanlarını barındırmaya başladılar. Bilişim altyapısındaki bu hızlı gelişim beraberinde karmaşıklığı da getirdi ve bilişim standartları 1980’lerden itibaren yaygınlaşmaya başladı. İlk olarak 2011 yılında Almanya’da Hannover Fuarı’nda ifade edilen 4. sanayi devrimi sonrasında siber-fiziksel sistemler, nesnelerin interneti, yapay zekâ, bulut bilişim, hiper otomasyon, 5G ve 6G şebeke sistemleri ile beraber insanlığın tarihinde hiç olmadığı kadar veri odaklı çalıştığı ve bilişim teknolojileri (BT) bağımlı olduğu bir dönemi yaşamaktayız. Endüstri 4,0 olarak da adlandırılan bu yeni çağda her cihazın akıllı olduğundan hareketle güncellenen BT standartlarının uygulanması da her organizasyon için zorunlu hale gelmiştir.

BT Standartlarına birkaç açıdan bakmak gerekiyor.

· Altyapı

· Proje ve yazılım geliştirme

· Süreç yönetimi

· Risk yönetimi

· Siber güvenlik

Şeklinde kategorize edebileceğimiz standartları biraz daha açalım.

Altyapı Standartları

Günümüzde her organizasyonun ya kendi veri merkezi var ya da bulut sistemlerine erişim için kullandığı BT altyapıları var. Bugün hepimiz hem evimiz hem de işletmemiz için elektriğin ve internetin olmadığı bir dünya hayal edemediğimize göre altyapı standartları her standarttan daha önceliklidir diyebiliriz.

Uptime Institute daha önce TIA (Telecommunicaiton Infrastructe Standarts for Datacenter) tarafından ortaya konan TIER Standartlarını denetleyerek sertifika veren bir kuruluştur. Veri Merkezi Altyapısı dört ayrı Tier olarak değerlendirilir. Her Tier, belirli bir işleve karşılık gelir ve güç, soğutma, bakım ve hatayla başa çıkma kabiliyeti için uygun olan kriterleri belirler. En üst düzey sertifika TIER 4 Sertifikasıdır.

EN50600 Avrupa veri merkezi standardı. Bina inşaatından yenilenebilir enerji kullanımına kadar 10 farklı alt bölümde değerlendirilen standart Avrupa Birliği ülkelerinde kullanılmakta.

BICSI, (Data Center Design and Implementation Best Practices) standardı gerek Uptime Institute standartlarının odaklanmadığı gerekse TIA-942 standardında değinilmeyen konuları kapsamlı bir çerçevede bütünsel olarak uygulama pratikleri ile ele almaktadır. Veri merkezleri için BISCI tarafından evrilen DCDC sertifikasının temeli BICSI 002 Veri Merkezi Tasarımı ve BICSI 009 Veri Merkezi operasyonu standartlarına dayanır.

Proje ve yazılım yönetimi Standartları

CMMI (Capability Maturity Model Integration) organizasyonların yazılım süreçlerinin (planlama, geliştirme, yapılandırma vb.) olgunluğunu denetler. Carnegie Mellon Üniversitesi’ne bağlı Yazılım Mühendisliği Enstitüsü tarafından geliştirilmiştir. 5 seviyede organizasyonların olgunluğunu ölçer. Ülkemizde sayısı çok az olmakla beraber TÜBİTAK, Milsoft gibi kuruluşlar 5. Seviyeye ulaşmışlardır.

PMBOK (Project Management Body of Knowledge), Project Management Institute'un (PMI) proje yönetimi ile ilgili standart terminoloji, en iyi uygulamalar ve süreç kılavuzlarını içeren bir belgedir. Bu belge içinden enstitü sınav yaparak PMP sertifikaları vermektedir.

PRINCE 2 proje yönetim süreci ve bu süreci uygulayıcı sertifika programıdır. Projeleri yönetilebilir ve kontrol edilebilir aşamalara ayırmayı vurgulayan sisteme PMBOK’ın genellikle İngiltere’de uygulanan versiyonu diyebiliriz.

ISTQB (International Software Testing Qualifications Board) Yazılım testleri ile ilgili sertifika sunun gönüllü bir organizasyondur. Türkiyede faaliyetlerini Yazılım Kalite ve Test Derneği ile birlikte yürütmektedir.

ISO 29119, ISO (International Organization for Standardization) tarafından yayınlanan bir dizi test standardını içerir.

Agile, scrum, lean ve kanban hepimizin bildiği son zamanlarda adını sıkça duyduğumuz yazılım geliştirme de kullanılan proje yaklaşımlarıdır.

Süreç Yönetim Standartları

ITIL İngiltere hükümeti 1980’lerde ortaya konan ve kendi kuruluşlarının kullanmasını tavsiye ettiği BT servis yönetim standardıdır. Şubat 2019’da güncellenerek son şeklini almış ve ITIL v4 olarak yayınlanmıştır. Günümüzde tüm dünyada yaygın olarak kullanılan ITIL, ITSM (Information Technology Service Management) yazılımlarının kullandığı temel standarttır.

ISO 20000 Bilgi Teknolojileri Hizmet Yönetim Sistemi Standardı, BT hizmeti sunan organizasyonların operasyonlarını yönetmelerinde ve hizmet vermelerinde hangi yöntemleri uygulayacaklarına kılavuzluk eden bir standarttır. ITIL ile ISO standartlarının temel farkı ISO ne yapacağımızı ITIL ise nasıl yapacağımızı söylemektedir.

ISO 38500 Sorumluluk, strateji, yatırım, performans, uyumluluk ve insan davranışlarının yönetimsel açıdan değerlendirme, izleme ve yönlendirme faaliyetlerini konu alan bir BT süreç standardıdır.

TOGAF, (The Open Group Architecture Framework), ABD savunma bakanlığı tarafından geliştirilmiş olup işletmelerin IT mimarilerini ve organizasyonel yapılarını planlamak ve tasarlamak için kullanılan gelişimsel bir yöntemdir.

ISO 22301 BT organizasyonlarında sunulan servislerin iş sürekliliğine odaklanan ISO standartıdır.

Six Sigma (6σ), ilk olarak 1986 da Motoroladan Bill Smith ve Mikel Harry’nin ortaya attığı yöntem General Elektirik CEO’su Jack Welch tarafından 1995 şirkette uygulanarak başarısını kanıtlamıştır. Değişim ihtiyacı, problem çözme ve stratejik iyileştirme becerilerini geliştirerek süreçlerin kalitesinin artırılmasını hedefleyen bir yaklaşımdır.

Risk Yönetim Standartları

COBIT (Control Objectives for Information and Related Technology), Organizasyonların bilgi yönetimi ve yönetişim etrafında stratejiler geliştirmelerine, düzenlemelerine ve uygulamalarına yardımcı olmak için ISACA tarafından geliştirilen bir BT yönetim çerçevesi olmakla beraber bakış açısı risk tabanlıdır. En son standart 2012 de güncellenerek paydaş ihtiyaçlarının karşılanması, organizasyonun baştan sona kapsanması, tek bir bütünleşik çerçevenin uygulanması, bütüncül yaklaşımın sağlanması ve yönetişimi yönetimden ayırma prensiplerinin temelinde COBIT 5 olarak yayınlanmıştır.

COSO (Committee of Sponsoring Organizations) tarafından 1992'de yayımlanan “İç Kontrol için Bütünleşik Çerçeve” yaygın olarak kullanılmaya başlanmıştır. Uluslararası düzeyde kabul gören iç kontrol, kurum ve/veya kuruluşun hedeflerine ulaşması için makul güvence sağlamak üzere tasarlanmış olan bir sistemdir. Ülkemizde de iç denetim birimleri tarafından yaygın olarak kullanılmaktadır ve denetçiler sıklıkla BT denetimlerini COSO çerçevesinde COBIT standartlarını göz önüne alarak yapmaktadırlar.

FAIR (Factor Analysis of Information Risk) Kâr amacı gütmeyen FAIR Enstitüsü tarafından bilgi güvenliği noktasında organizasyonların risklerini yönetmelerini sağlayan en yeni çerçevelerden biridir.

ISO 17799 işletmeler içerisinde bilgi güvenliğini başlatan, gerçekleştiren ve sürekliliğini sağlayan kişilerin kullanımı için, bilgi güvenlik yönetimi ile ilgili tavsiyeleri kapsayan standart İngiliz BS 7799 yönetim sistemi standardını temel almıştır.

Siber Güvenlik Standartları

ISO 27001 Bir Bilgi Güvenliği Yönetim Sistemini (ISMS – Information Security Management System) kurmak, geliştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için model oluşturmak amacıyla hazırlanmış bir standartlar bütünüdür. Günümüzde bilgi güvenli açısından uygulanan en yaygın standarttır.

PAS 555, İngiltere Standartlar Enstitüsü (British Standards Institution) tarafından geliştirilmiştir. Siber Güvenliğe yalnızca teknik değil, aynı zamanda fiziksel, kültürel ve davranışsal olarak bütüncül bir çerçeve sunar.

ISA 62443 Endüstriyel iletişim ağları ve sistemleri için BT güvenliği üzerine uluslararası bir standartlar serisidir. Standart, farklı bölümlere ayrılmıştır ve endüstriyel siber güvenliğin hem teknik hem de süreçle ilgili yönlerini açıklamaktadır.

ENISA Avrupa Ağ ve Bilgi Güvenliği Ajansı, Avrupa Birliği'ne bağlı ağ ve bilgi güvenliğinden sorumlu bir ajanstır. 13 Mart 2004 tarihinde kurulmuştur. Siber Güvenlik ile ilgili ENISA tarafından bugüne kadar hazırlanmış 100’den fazla rapor bulunmaktadır.

ETSI Avrupa Telekomünikasyon Standartları Enstitüsü, mobil, sabit, radyo, yayın ve İnternet teknolojileri de dahil olmak üzere bilgi ve iletişim teknolojileri için küresel olarak uygulanabilir standartlar geliştiren ve dağıtan bağımsız, kâr amacı gütmeyen bir standardizasyon kuruluşudur.

Siber güvenliğe bakarken standartların yanında sürekli güncellenen kılavuzlara da bakmak gerekiyor.

OWASP Top 10, ilgilileri web uygulama güvenlik zafiyetleri konusunda bilgilendirmek için oluşturulan bir projedir. OWASP Top 10 listesi, her 3 yılda bir yayınlanmakta olup değişen risklere göre liste güncellenmektedir.

SANS Enstitüsü, bilgi güvenliği ve siber güvenlik eğitiminde uzmanlaşmış özel bir Amerikan şirkettir. SANS Enstitüsü, SAN Top 20 ile, etkili bir siber savunma için kritik güvenlik kontrol listesi yayınlayarak, kurum ve kuruluşların dikkatini buraya çekerek bilgi güvenliği konusunda katkıda bulunmaktadır.

NIST (National Institute of Standards and Technology) ABD Ulusal Standartlar ve Teknoloji Enstitüsü olarak birçok sektörde olduğu gibi bilgi güvenliğe alanında da yönergeler, tavsiyeler ve referans malzemeleri yayınlayan bir kuruluştur. NIST SP1800 kılavuzu ise, kamu ve özel sektörlerde belirli siber güvenlik konularını hedeflemektedir. Bu kılavuz siber güvenliğe yönelik standartlara dayalı yaklaşımların benimsenmesini kolaylaştıran pratik, kullanıcı dostu kılavuz olma özelliğine sahiptir.

Mitre ATT&CK (Adversarial Tacticks, Techniques and Common Knowledge) Framework, siber dünyada saldırganların organizasyonların sistemlerine yapabileceği eylemleri gösteren teknik, taktik ve prosedürleri gösteren bir çerçeve ve sürekli güncellenen veri tabanıdır (CVE).

Organizasyonlar için her kategoride bir standart kullanılabileceği gibi birden fazla standardın birbirini tamamlayacağı şekilde bir yapı da kullanılabilir. Ancak ne yaparsak yapalım bu standartlarda belirtilen süreçlerin organizasyonun kendi iç süreçlerine çapalanması ve organizasyonun kültürünün bir parçası olması sürdürülebilirlik açısından çok önemlidir. Unutmayalım “Mükemmel iyinin düşmanıdır” mükemmel olmak yerine sürdürülebilir olanı tercih ederek süreçleri organizasyonunuzun kültürüne enjekte etmeyi değerlendirmenizde fayda olabilir.