Teknik alanlardaki hızlı gelişmeler geleneksel bilişim hizmet modellerini zorlamakta.Bunda bilişim teknolojilerinin hızla gelişmesinin dışında iletişim teknolojilerindeki ivmelenmenin de büyük etkisi var. Özellikle çevresel ya da mali kısıtlar nedeniyle geleneksel iş yapma yöntemlerini sürdürmek zorunda kalan kuruluşların global oyuncularla karşılaşma noktalarında, BT de ortaya çıkan yeni hizmet modelleri karşısında bocalamamaları için gelişmeleri sürekli izlemeleri gerekiyor.

“Geleneksel” bilişim hizmet modelleri, deyince ne anlaşılmalı sorusuna uzun yanıtlar verilebilirse de, bazı örnekler nelerin geleneksel sayılması gerektiği konusunu kısa yoldan açıklayabilir:

Kurum içi yazılım geliştirme ve yazılım bakımı ; İş süreçlerinin tedarikçilere verilmesi (business process outsourcing); yazılım işlerinin uzak lokasyonlara aktarımı (Hindistan örneği); kurumda kurulu lisanslı yazılımlar barındırmak; e-mail ,baskı ve postalama ve doküman yönetimi işlerinin dışarıya verilmesi; dahili veri depolama ve yedekleme işleri ; sunucu ve Web-sunucusu barındırma(hosting) ve ko-lokasyon (colocation) işleri; dahili ağ yönetimi veya ağ yönetiminin dışarı verilmesi ; kurum tarafından alınan ve yönetilen BT demirbaşlarının varlığı; donanım ve yazılımın finansal kiralama yoluyla temini ve donanım ve yazılıma ilişkin amortisman uygulamaları .

Bu örnekleri daha da genişletebiliriz. Ancak özetle, uzun bir süredir alışılagelmiş ya da benimsenmiş tüm BT iş yapma ,yaptırtma biçimleri bu “geleneksel” BT hizmet modelleri altında toplanabilecektir.

Ortaya çıkmış ya da çıkmakta olan tüm yeni BT hizmet modellerinin ortak noktası, bu modellerin bilişim teknolojisini yine bir maliyet karşılığında kurumlara dışarıdan sunmasıdır.Yani aslında değişmekte olan dış tedarik uygulamalarının yapısıdır. Bu yeni hizmet modelleri yukarıda verilen geleneksel dış tedarik modellerinden ciddi farklılıklar göstermektedir. Bu farkların odaklandığı nokta ise ,kurumların geleneksel modellerde ellerinde tuttukları teknolojik yaşam döngüsünün artık onların mülkiyetinden uzaklaşmasıdır.

Geleneksel modellerde, bir BT fonksiyonu kurum dışından temin edilse bile, bu fonksiyonun dayandığı teknoloji ve onun ömrü kurum tarafından belirlenmektedir. Tedarikçilerin sunduğu seçenekler içinden karar verilen teknolojik bileşenler aslında kurumun kontrolünde kalmakta ve yapılmış sözleşmeler süresince yine kurum tarafından değiştirilmedikçe aynen sürmektedir. Öte yandan yeni BT hizmet modellerinde artık bu tür bir mülkiyet anlayışı terk edilmekte ve kurum , tedarikçinin seçim ve stratejilerine uymak durumunda kalmaktadır.

Yeni BT hizmet modellerinin gelişkinliği ve de gelişme hızı ,hizmetin yer aldığı BT disiplinlerine göre farklı düzeylerde. Bu yeni hizmet modelleri yurtdışında özellikle BT yoğun iş sektörlerinde yer bulmaya başlarken, orta ve küçük ölçekli kurumlarda ise çok daha ekonomik ve esnek olanaklar yaratabildiklerinden artan bir hızla benimsenmektedirler. Bunların kısa bir sürede Türkiye’de de belirli pazarlar açacağını öngörmemiz gerekiyor.

Gerek BT gerekse de iş yöneticilerinin karşısına hızla çıkacak (ve de çıkması gereken) bu seçenekleri ise şöyle özetlemek olanaklı:

Yeni iş süreci sağlama hizmetleri: Burada dış tedarik kapsamındaki iş genelde uçtan ucadır ve ücret, bir asgari aylık işlem adeti ve işlem başı fiyatlamasına dayanarak geleneksel dış tedarikten ayrılınmaktadır.

Yeni altyapı hizmetleri: Temelde “kullandıkça öde” kuralıyla verilen her türlü BT altyapı hizmetleri.

Bir hizmet olarak depolama : Veri merkezi hizmetlerinin ,”kullandıkça öde” temeline dayandırılan çeşitli seçenekleri.

Grid işletimi: Birden fazla sahada oluşturulmuş kaynakların, yine gereklere göre ortak kullandırıldığı Grid uygulamaları.

Hizmet olarak iletişim: (CaaS: Communications as a Service) : Mobil veya sabit ağlarda her türlü IP iletişimi, ortak çalışma, çağrı merkezi, veya ses,ve multimedya aktarım ve yönetiminin gereğinde birden fazla tedarikçi tarafından yapılandırılmış platformlar üzerinden kiralanması.

İşlemci Gücü ve Kapasite tedariki: Tedarikçilerin çok çeşitli ücretlendirme modelleriyle, sunucu ve bant genişliği sağlama gibi alanlarda önemli esneklik getiren uygulamalar.

Uzaktan yönetim hizmetleri : Mevcut altyapıların uzaktan yönetiminin yine çeşitli ücret modelleriyle üstlenilmesi.

Hizmet olarak Yazılım (SaaS: Software as a Service) : Abonman ya da kullandıkça öde modelleriyle sunulan ve standartlaştırılmış yazılımların dışında dikey uygulamalara da olanak veren BT hizmetleri.

Web “Platform” modelleri : Özellikle Web 2.0 uygulamalarının yaygınlaşmasıyla önem kazanan çok seçenekli dış tedarik modelleri.

Topluluk kaynağı modelleri : Başlangıçta özellikle kamu sektörü için geliştirilen çözümlerle hızla önem kazanan ve açık kaynak kodu geliştirme topluluklarından esinlenen ücretli modeller.

Yazılım “Akıtma” modelleri (Software Streaming) : Tedarik tarafında “Cache” veya sistem hafızası kullanarak, uygulamaların tamamen kullanıcı kaynakları dışından sağlandığı modeller.Özellikle çeşitli sanallaştırma olanakları nedeniyle hızla büyüyebilecek bir çözüm modeli.

Yazılım temelli “gereçler” (SBAs-Software based “appliances”): Yine sanallaştırmadaki gelişmeler nedeniyle, kullanıcı tarafındaki işletim sistemlerinden bağımsız uygulama olanakları sağlayan çok çeşitli araçlar.

Son Kullanıcı mülkiyetli modeller : Kurumun çalışanlarının kullandığı yazılım/donanım birimlerinin mülkiyetine sahip olmasının tam tersi modeller. Burada da önemli gelişmeler bekleniyor.

Görülebileceği üzere yeni BT hizmet modelleri deyince aslında çok daha etkin olabilecek yeni dış tedarik modellerinden bahsediyoruz. Bu da BT hizmetinin kurumların içinden dışına doğru evrilmesi sürecinin bir başka halkası olarak karşımıza çıkıyor. Kısa vadede kurumların çoğunda bu yeni modellerle ,geleneksel modellerin bir arada varolacağı melez yapılanmalarla yürüneceğini söylemek ise falcılık sayılamaz. Ama BT hizmetinin temel kurgusu hızla değişiyor. Bu BT çalışanını da çok ciddi etkileyecek bir gerçek.

Türkiye’de ki mevcut yerel dış tedarik olanakları bu gelişmelere ayak uydurabilir mi sorusu yerine, uluslararası oyuncular dış tedarik pazarı olarak Türkiye’yi ne zaman cazip bulur sorusunu sormak gerekiyor. O günlerin çok uzak olmadığını öngörmeliyiz.

Önde gelen BT kuruluşları, işletmelerinde ortak çalışma ve gerçek zamanlı iletişim sayesinde verimi artırabilir.Günümüzde çalışanların çoğu, önemli iletişim ihtiyaçları için e-posta ve web araçlarını kullanıyor.Bu nedenle, bu kanallar arasında dolaşan bilginin hassasiyeti her geçen gün giderek artıyor.Bilgi kanallarının korunması için gerekli önlemlerin alınmaması durumunda ise kuruluşlar potansiyel güvenlik tehditlerine ve uyum ihlallerine maruz kalabiliyor.
Tüm bu zorluklarla başa çıkabilmek ve elektronik iletişimlerini koruyabilmek amacıyla BT kuruluşlarının çoğu, belirli amaçlar için özel olarak hazırlanmış uygulamaları kullanmış veya kendi özel yazılımlarını geliştirmişlerdir.Bu birinci nesil çözümler, dört temel nedenle yetersiz kalmıştır (bkz.şekil 1).
Bunlardan ilki, bu çözümlerin pahalı olması ve oldukça yüklü bir gizli toplam sahiplik maliyeti (TCO) oluşturmasıdır.Yazılımın başlangıç lisansı maliyeti karşılanabilir gözükse bile, yazılımın kullanılması için satın alınması gereken donanım, uygulama ve sürekli bakım masraflarıyla birlikte bu çözümlerin toplam sahiplik maliyetleri bir anda çok yüksek rakamlara ulaşabilir.
İkincisi, bu birinci nesil donanım ve yazılım çözümlerinin esnek olmayışı ve karmaşık yükseltme senaryoları gerektiriyor olmasıdır.Bir politikanın güncellenmesi veya değiştirilmesi gerektiğinde, kesinti süresi veya gecikme nedeniyle güvenlik ve uyum riskleri ortaya çıkar.Ayrıca, güvenlik yazılımının yanı sıra donanımın ve işletim sisteminin de düzenli olarak yükseltilmesinin veya güncellenmesinin gerekmesi, bütçelenmemiş yönetim ve özel geliştirme maliyetlerinin ortaya çıkmasına ve ayrıca kuruluş için istenmeyen risklerin oluşmasına neden olur.
Üçüncü yetersizlik nedeni ise, bu çözümlerin yerleşik ölçeklendirme özelliğinin olmaması ve bu nedenle kuruluş büyüdükçe plansız olarak ve hatta iş hacmindeki dalgalanmalar için bile ek kaynaklara ihtiyaç duyulmasıdır.

Şekil 1: Elektronik iletişim verilerinin güvenliğini, belirli amaçlar için özel olarak hazırlanmış uygulamalar veya şirket içi yazılımlar ile sağlamaya çalışmak oldukça pahalı bir yöntemdir.Entegre olmayan yapısı nedeniyle birden çok çözüme ihtiyaç duyar ve yönetilmesi ve bir güvenlik duvarı ile desteklenmesi zordur.

Ölçeklendirme özelliğinin olmaması aynı zamanda çok masraflı ve risklidir.Bu durum, ileti hacimleri yükseldiğinde verimi olumsuz bir biçimde etkileyebilir ve çözümün yetersizliği, bilgi akışında tıkanmaya neden olabilir.
Son olarak; bu çözümlerin birbirleriyle entegre olmayan ayrık yapılara sahip olmaları nedeniyle oluşan tutarsızlıklar, çakışan yapılandırmalar ve politikalar, mevzuata uyum sorunlarına yol açar.Tek bir komut ve kontrol arayüzünün veya bir yönetim konsolunun olmaması, problemi daha da karmaşık hale getirir ve bu nedenle bu birinci nesil çözümler, çözmeye çalıştıkları sorunlara kendileri de yenilerini katar.
Kısa süre önce, Hizmet olarak yazılım (SaaS) çözümleri sunularak, pahalı, şirket içi yazılım ve donanım uygulamaları ile kullanılması zor olan ve esnek olmayan çözümlere karşı bir alternatif oluşturulmuştur.Yazılım işlevselliğini geleneksel şirket içi yaklaşım yerine bir hizmet biçiminde sunan SaaS, tüm önemli işletme yazılımları içinde oldukça popüler bir alternatif haline gelmiştir.Gerçek şu ki sektörel analiz şirketi Gartner Group, SaaS yaklaşımının 2011 yılına kadar geleneksel kurulu yazılım uygulamalarının iki katı kadar büyümesini beklemektedir1.
Ancak elektronik iletişim için SaaS modelinde geliştirilmiş güvenlik ve uyum çözümlerinin hepsi aynı değildir ve BT kuruluşları, isteğe bağlı çözüm sağlayıcılarını değerlendirmek ve kendi işletme gerekliliklerine uygun çözümü belirleyebilmek için bir dizi somut kritere ihtiyaç duyar.
Bu makale, BT kuruluşunun şirketin karına en iyi şekilde katkıda bulunabilmesini sağlamak için, isteğe bağlı geliştirilen bir iletişim güvenliği ve uyumu çözümünde CIO’ların dikkat etmesi gereken beş anahtar noktayı açıklar.

İsteğe Bağlı İletişim Güvenliği ve Uyum Çözümü Nasıl Değerlendirilir?
BT kuruluşlarının, iletişim güvenliği ve uyumu için isteğe bağlı çözüm sağlayıcılarını değerlendirirken göz önünde bulundurmaları gereken beş temel alan söz konusudur.
1. Etkinlik
İletişim güvenliği ve uyum çözümlerinin yüksek etkinliğe sahip olması seçim sürecini etkileyen çok önemli bir faktördür.Kuruluşlar, ihtiyaçların değişmesi durumunda çözümün buna uygun biçimde geliştirilebileceğinden ve etkin iletişim güvenliği ve uyumluluğunu sağlamaya devam edeceklerinden emin olmalıdır.Potansiyel isteğe bağlı yazılım satıcılarının cevaplaması gereken önemli sorular şunlardır:
• Çözüm, tüm iletişim kanalları (örn.e-posta ve web) arasında güvenlik ve uyumu sağlayan platform tabanlı bir yaklaşımla mı kuruluyor?
• Çözüm, yeni hizmetlerin veya uygulamaların, hizmette kesinti olmadan hızlı ve kolayca eklenmesine olanak tanıyor mu?
• Satıcı çözümün yeni düzenlemelere ve yasal standartlara hemen uyum sağlaması için çözümde kolayca değişiklik yapabiliyor mu?
• Satıcı, değişken güvenlik tehditlerine hızlıca uyum sağlayabiliyor mu ve müşterinin risklere maruz kalmasını en aza indirecek şekilde koruma sağlıyor mu?
• Satıcının güvenilir ve yüksek kalitede SaaS sunduğunu gösteren bir geçmişi var mı?

2. Esneklik
İsteğe bağlı iletişim güvenliği ve uyum çözümü seçerken, bir çözüm kapsamının her ihtiyacı karşılayamayabileceğini unutmamak gerekir.Kuruluşlar, kendi özel gereksinimlerine uyan, kolay yönetilebilir olan ve teknik personelin katma değer sağlayan aktivitelere odaklamasına olanak tanıyarak, şirketin karına doğrudan katkıda bulunabilecek bir çözüm aramalıdır.Çözüm satıcısına şu sorular sorulmalıdır:
• E-posta ve web ortamında benzer politika tetikleyicileri veya ‘kurallar’ nasıl yönetiliyor?
• Aynı politika ayarları kullanılabilir mi yoksa her kural için benzersiz bir profil mi oluşturulmalı?
• Yeni bir güvenlik tehdidi veya yasal gereklilik nedeniyle yapılması gereken acil politika değişiklikleri ne kadar hızlı hayata geçirilebilir? Dakikalarca veya saatlerce beklemem gerekir mi?
• Kuruluş içindeki farklı departmanlar, kendilerine özgü güvenlik ve uyum gerekliliklerini ileti akışını bozmadan oluşturabilir mi?
• İleti izleme ve değerlendirme için var olan ayrıntı düzeyi nedir?

3. Kurulum ve Kullanım Kolaylığı
İletişim güvenliği ve uyum çözümlerinin en önemli özelliklerinden biri, kurulumunun ve kullanımının ne derece kolay olduğudur.Kurulumu ve kullanımı ne kadar zor ve karmaşıksa çözüm o kadar az güvenlidir ve kuruluşun geçerli olan yasal gerekliliklere uyumunu sağlayabilme olasılığı da bir o kadar düşüktür.Bir çözümde aranması gereken anahtar öğeler şunlardır:
• Çözümün hazır ve çalışır duruma gelmesi ne kadar sürüyor?
• Çözüm, kurulum ve dönemsel yapılandırma ayarlamaları için ne kadar müdahale gerektiriyor?
• Çözüm, elektronik iletişim işlemlerimi işlerken ne kadar müdahaleci davranıyor? Diske yazmayı gerektiriyor mu (gecikme ve güvenlik riski barındırır) veya daha seçkin başka bir ileti işleme sürecine mi sahip?
• Çalışanlar, self servis portallar aracılığıyla kendi filtrelerini ayarlama gibi tipik görevleri yerine getirebiliyor mu, yoksa bu görevler için yöneticiye mi başvurmaları gerekiyor?
• Çözümün, veri merkezimin kapladığı alana etkisi nedir?
• Bu çözümle çalışmak veya çözümü yönetmek için ek donanıma veya personele ihtiyaç duyulacak mı?

4. Düşük Toplam Sahiplik Maliyeti
Ne yazık ki bazı satıcıların sağladığı iletişim güvenliği ve uyum çözümlerinde, çözümün başlangıç maliyeti buzdağının sadece görünün kısmı olabiliyor.Kuruluşlar, titiz davranmalı ve hem başlangıç maliyetini hem de artması muhtemel arka uç maliyetlerini en düşük düzeyde tutan bir çözümü seçmelidir.Satıcı şu soruları cevaplayabilmelidir:
• Çözümün kurulması ne kadar sürüyor?
• Çözümün kurulması için hangi kaynaklara ihtiyaç var?
• Uygulama süreci satıcı tarafından mı yönetiliyor, yoksa müşterinin şirket içinde çalışacak uzmanlar mı işe alması gerekiyor?
• Çözüm için ek donanıma, yazılıma veya kaynaklara sermaye yatırımı yapılması gerekiyor mu?
• Çözümün başlangıç maliyeti nedir? Gizli maliyetler veya arka uç maliyetleri mevcut mu?
Çözümün, kuruluşa değer katması ne hızda gerçekleşiyor?
• İşletmenin büyümesi veya ihtiyaçların değişmesi durumlarında bu çözümü genişletmenin maliyeti ne derece tahmin edilebilir?

5. Ölçeklenebilirlik ve Güvenilirlik
Günümüzün hızla büyüyen iş ortamları için ölçeklenebilirlik ve güvenilirlik en önemli konudur.İletişim güvenliği ve uyum çözümü her zaman verimli olabilecek ve kuruluşa değer katmaya devam edecek şekilde ölçeklenebilmelidir.SaaS satıcısı seçerken değerlendirilmesi gereken anahtar kriterler şunlardır:
• Satıcı, işletmeniz büyüdükçe ölçekleyebilecek küresel operasyonlara sahip mi?
• Satıcı, tesislerini korumak için yeterli fiziksel güvenliğe sahip mi?
• Operasyonel ağın genel mimarisi nedir? Yedekli tek tesis mi yoksa küme tabanlı mı? Hangi nedenlerle bu mimari türü seçildi?
• Sistemlerin bütünlüğü nasıl korunuyor ve veri gizliliği nasıl sağlanıyor?
• Gelecekteki büyümeler için operasyon ağı nasıl ölçeklenecek? Bir büyüme stratejisi mevcut mu?
• Çözüm, ileti akışında ne tür gecikmeler ortaya çıkarıyor?
• Hata telafisi ve yedeklilik nasıl sağlanıyor?
Bu beş kriteri karşılayamayan isteğe bağlı iletişim güvenliği ve uyum çözümleri, hizmeti almaya niyetli olan kuruluşları hemen yollarından çevirir.Neden mi? Çünkü şirketin işlerini ve BT verimini geliştirmesine yardımcı olmadığı gibi gelirlere de olumlu etki etmez.