Planlayın
Banka gereksinimlerini karşılamak üzere bir dış firmadan yazılım geliştirme hizmeti alınması ile paket uygulama alınması durumları birbirinden farklıdır. Yazılım geliştirme hizmeti alınması durumunda, sınırlı kapsam ve bankaya özgü ve bankanın özel gereksinimleri ifade edilirken, bankanın iç süreçlerinin paydaşı olması nedeniyle, bu kapsamı sağlayan tedarikçinin iş dışı kalması durumları için kaynak kodlarına sahip olması veya doğrudan (veya dolaylı olarak) gerektiğinde erişiminin olabilmesi düşünülebilir. Bu durum çıkış planları veya iş sürekliliği planları dahilinde dikkate alınması gerekli bir husustur.
Ancak bahsettiğimiz üzere bankaya özel yazılım geliştirme hizmeti ile, birçok kullanıcı için geliştirilen yazılım ürünleri ve paket programlar için durum farklıdır.
Next4biz’i doğru konumlamak gerekirse:
- Next4biz CRM ve BPM fonksiyonları sunan bir yazılım ürünü, bir paket programdır.
- Sadece bir kurum için, sadece finans sektörü için değil, sadece ülkemiz için değil tüm dünyada kullanılmak üzere geliştirilmiş ve geliştirilmektedir.
- 100’e yakın mühendis ve iş geliştirme uzmanının 16 yıl boyunca geliştirdiği bir sistemdir. İçinde CRM ve BPM’e dair, yüzlerce fonksiyon ve özellik sunmaktadır.
- Her kıtada, onlarca dilde, yüzbinlerce kullanıcı tarafından kullanılmaktadır.
- Her yıl tüm modülleri düşünüldüğünde 10’un üzerinde yeni versiyon, yüzlerce yeni özellik çıkarılmakta, ürün sürekli gelişmeye devam etmektedir.
- Next4biz bir finansal uygulama değildir, bankalar için birincil öncelikli sistemler arasında yer almamaktadır.
- OnPrem lisanslamada kurum sistemlerine kurulup çalıştırılmaktadır. Dolayısı ile uygulama ve veritabanı bankanın kontrolündedir. Next4biz paket programını geliştiren firma olarak bankanın müşteri verisi içermeyen, sadece sınırlı verinin olduğu test sistemlerine ve sadece destek amacı ile erişebilmemiz sadece bankanın talep ve izni ile mümkündür. Bunun dışında banka sistemlerine erişmemiz söz konusu değildir.
- Next4biz paket programı sürekli güncellenmekte, yenilenmekte ve işlevselliğini sadece kod değil, veri tabanı bileşenleri, uygulama kütüphanesi, arayüz birimleri, entegrasyon ara birimleri ile bütünsel mimaride gerçekleştirmektedir. Bu yapının sadece kaynak kod olarak ele alınması mümkün değildir. Bu yapının banka kullanım özellikleri açısından ifade ettiği değer kaynak kodlarına indirgenemeyecek kadar geniş ve çeşitli unsurların bir araya gelmesi ile oluşturulmuştur. Next4biz’in iş sürekliliği konusunda politikaları ve öneri uygulamaları web sitesinde dokümante edilmiştir, buradaki linkten erişebilirsiniz.
- ISO 22301 iş sürekliliği yönetim sertifikasına buradaki bağlantıdan ulaşılabilir.
Yazılım Ürünleri İçin Gerçekçi Sürdürülebilirlik Planlaması
1. Yazılım ürünleri ve paket programlar için kaynak kodlar fikri mülkiyet haklarının korunması için kritik öneme sahiptir. Yazılım ürünü geliştiren firmaların en önemli değerleridir. Ürün geliştiren global firmaların hiçbiri (SAP, Oracle, Next4biz, Microsoft vb…) kaynak kodlarını paylaşmazlar.
2. Yeni nesil siber güvenlik önerileri arasında kaynak kodlarının eser sahibi ve geliştiren kurum dışına çıkarılmaması kod güvenliği açısından aranan tedbirler arasında sayılmaktadır. Bağımsız saklama kuruluşlarına kaynak kodlarının aktarımı da yine önerilen siber güvenlik stratejisine aykırı bir durum oluşturmaktadır.
3. Bağımsız saklama kuruluşlarına kaynak kodlarının aktarılması, bağımsız saklama kuruluşunun olası güvenlik açıkları ve risklerinden dolayı telafisi imkansız zararların oluşması riskini doğurmaktadır. Bağımsız saklama kuruluşlarının faaliyetlerinden dolayı ortaya çıkabilecek risklerin telafisi için hiçbir mekanizmaya ve ekonomik güce de sahip olmadıkları gerçeği, siber güvenlik endüstri standardı olarak dünyada kabul gören, kodların fikri haklarına sahip olan kuruluştan dışarıya aktarılmaması ilkesini desteklemektedir.
4. Ayrıca belirtmek gerekirse; Next4biz gibi dünyanın her kıtasında, onlarca dilde ve onbinlerce kullanıcı tarafından kullanılan, kapsamlı bir ürün olan paket programların kaynak kodlarına sahip olmak, banka açısından sürdürülebilirliği sağlamaya katkıyı sağlamayacaktır. Milyonlarca satır kod, binlerce tablodan oluşan bir sistemin, farklı ekiplerce anlaşılması, geriye mühendislik ile müdahale edilebilir hale gelmesi, aylar hatta yıllar alacaktır. Kurum isterlerine özel geliştirilmemiş, genel amaçlı bir paket programın (ürünün) kaynak kodları banka iş sürekliliği açısından gerekli olmadığı gibi doğru ve sağlıklı bir yöntem de değildir.
5. Next4biz yazılım ürünü bir paket program olarak Banka sistemlerinde çalıştırılmak üzere alınarak kullanıldığında, kaynak kodlarına ihtiyaç olmaksızın mevcut sürümü ile Next4biz firmasının dahli olmadan Bankanın hiçbir iş sürekliliği kesintisi riski olmaksızın kullanım imkânı mevcuttur. Nex4biz’i geliştiren ve bankaya sunan firma olarak bizimbankanın test ortamları dışında, ürünün çalıştığı ortama müdahalesi dahi söz konusu değildir. Next4biz’in bakım, destek veya güncelleme hizmetlerinin kesilmesi halinde dahi bu durumun, bankanın kendi sistemleri üzerinde koşan yazılımın işlerliğini veya iş sürekliliğini olumsuz etkilemesi söz konusu değildir.
6. Yazılım ürünleri söz konusu olduğunda, risk planlarında üründen çıkış planları doğrultusunda alternatif çözüme sahip olunması gerekir. Next4biz ürünü onprem lisanslamada zaten kurum sistemlerinde yüklü ve çalışır durumdadır. Dolayısı ile bankanın başka bir ürüne geçmeyi arzu etmesi veya gereklilikten dolayı karar vermesi halinde geçiş planı çerçevesinde ve geçiş sürecinde çalışır kalmaya devam edecektir. Firma olarak Next4biz veya bir başka iş ortağının gerektiğinde geçiş sürecine desteği her zaman sağlanabilir.
7. Onprem lisanslamada, bankanın kendi verileri ve müşteri veri tabanı ve işleyişe dair tuttuğu her türlü veri, bankanın sistemlerinde, serverlarında ve bankanın kontrolündedir. Dolayısı ile başka bir ürüne geçiş kararı olması halinde bankanın herhangi bir veri kaybı söz konusu olmayacaktır.
8. Bankacılık müşteri hizmetleri yönetimi ve iş süreçlerinde kullanılan yazılım ürünü Next4biz’in üzerinde işlenen Banka ve müşterilerine ait verilerin kritikliği açısından düşünüldüğünde, yüksek derecede kritik veriler işlense dahi Next4biz ürünü sadece Banka içi bilgi sistemleri ortamında tüm verileri işlediği ve dışarıya veri aktarımına ihtiyaç duymadığı için bilgi güvenliği açısından içerdiği risk, diğer topolojilere göre çok daha düşüktür. Bankaya veya müşterilerine ait veriler banka güvencesinde kalmakta ve veri sahipliği ve sorumluluğu banka tarafından sağlanmaktadır.
9. Next4biz’in bankalara sunduğu yerinde kurulum (on premise) ticari modelinde; alınan yazılım ürünü, veri sorumlusu bankanın kendi ortamında çalışıyor olması nedeni ile, veri güvenliği banka bilgi sistemleri tarafından sağlanmaktadır.
10. Ürünlerimizin her yıl düzenli olarak güvenlik test süreci işletilmektedir. Atıl durumda duran kodlara ilişkin hiç bir zaman dinamik kod güvenliğinden bahsedilemeyeceği gibi, paket programların iş mantığında bu güvence ancak dinamik testler ile (statik kod güvenlik testlerinin yanında) tamamlayıcı olabilecektir.
11. Dışarıdan tedarik edilen yazılım bir paket uygulama (ürün) veya bir yazılım servisi ise bu noktada ilk aranması gereken; yazılımı geliştiren ve piyasaya süren kurumun iş sürekliliği konusundaki disipliner yaklaşımının doğrulanmasıdır. ISO 22301 sertifikası bu konuda en önemli bir kalite belgesidir. Kurumumuz bu sertifikaya, diğer güvenlik ve kalite sertifikaları ile birlikte sahiptir.
İş Sürekliliği Açısından Banka Tarafından Alınması Tavsiye Edilen Önlemler
1.Bu noktada ilgili mevzuata uyum için, Bankanın yazılım geliştirme desteği kesildiğinde dahi, ürünü bir başka ürüne geçene dek çalışır tutacağına dair taahhüt ve desteği, üretici veya iş ortaklarından sağlamalıdır. Üründen çıkış planlarının önceden hazır edilmesi gerekmektedir. İş sürekliliği anlamında, gerektiğinde bir başka ürüne geçiş için planların, yukarıda bahsedilen analizlerde yer alan hizmetler kapsamında hazır bulundurulması beklenmektedir.
2. Bankaların iş sürekliliği ve yönetimi açısından dikkat etmeleri gereken husus: ilgili tedarik sözleşmelerini belirli bir süre önceden bitecek ve yenilenecek şekilde düzenlemeleri ve kullandıkları yazılım ürünleri yerine ikame yazılımlar yerleştirmeye yetecek zamanı tanıyacak ve çıkış planlarını hazır edecek şekilde iş planlarını düzenlemeleri olacaktır.
3. Alınan hizmetin yerinde bir hizmet olması, finansal veri içerip içermediği gibi hususlar açısından değerlendirilmesi bankaların hizmetin kritikliği açısından yapacakları değerlendirmelere ışık tutacaktır.
4. Risk değerlendirmelerinde ön planda tutulması gereken bakış açısı operasyonel süreklilik olmalıdır.
Bankacılık Bilgi Sistemleri Yönetmeliğinin 22. Maddesi kapsamında Next4biz yazılımının ürün paketi olarak Bankalarca kullanımı nasıl değerlendirilmelidir?
6.fıkranın belirleyici unsuru olan “alınan hizmetin kritikliği ve riskliliği” kriterlerini ayrı ayrı değerlendirmek gerekecektir.
Hizmetin kritikliği kendi içinde iki açıdan düşünülmelidir: Hizmetin iş sürekliliği açısından kritikliği ve hizmet üzerinden işlenen verilerin kritikliği açılarından incelenmelidir.
Bankaların dışarıdan yazılım ürünü tedarik etmeleri halinde ilgili tedarikçilerin kendi kaynak kodlarını güvenli bir ortamda saklıyor olmaları gerekmektedir.
Destek Hizmetleri Yönetmeliği’nde yer alan, sözleşmelerde “çıkış planları” kapsamının olması ve ilgili Bankacılık Yönetmeliğinde Md.29 Dış Hizmet alımı içinse;
- Ek taahhütnamelerin düzenlenmesi,
- Sorumlu kişi belirlenmesi,
- Yurt içi mi yoksa, yurt dışı yerleşik kurum kriterinin satın alma kriterleri içinde yer alması hususları belirtilmiş durumdadır.
Özetle;
1. Global ürünlerin kaynak kodları alınamamaktadır. Global pazarda müşterilere sunulan ticari ürünlerin kaynak kodlarının, üretici firmalar tarafından güvenli bir şekilde saklanması esastır.
2. Özel yazılım geliştirme projeleri için, gerektiğinde kullanılacak şekilde kodları alabilmek sürdürülebilirlik için anlamlı olabilir. Yazılım ürünleri ve paket programların kaynak kodları alınabilse dahi, banka ekiplerinin müdahale edilebilir hale gelmesi aylar, yıllar alacak bir süre gerektirir. Dolayısı ile yazılım ürün ve paket programlarının kaynak kodlarının alınmasının sürdürlebilirlik açısından faydası olmayacaktır.
3. Global ürünlerin kaynak kodlarının, ticari açıdan yüksek değeri olması ve kurumsal müşterilere verilen güvenlik taahhütleri nedeni ile üçüncü parti bir yere – güvenli olduğu iddia edilse dahi – kopyasının taşınması pratikte uygulanabilir değildir.
4. Yazılım ürünleri, ilgili tedarikçinin faaliyetini durdurması halinde dahi banka içerisinde çalışmaya devam ederler, iş sürekliliği açısından bir kesinti söz konusu değildir.
5. Yazılım ürünlerinin ana üreticileri yeni geliştirmeler sunmasa da mevcut ürünün bakım ve desteği aynı üretici veya onun iş ortakları tarafından sağlanabilmektedir.
6. Yerinde kurulum (on-premise) modelde kullanılan yazılım ürünleri, bankanın kendi bilgi sistemleri içerisinde yer almakta olup, herhangi bir dış ortama veri aktarılmamaktadır. Üretilen veya işlenen tüm verinin sahipliği ve sorumluluğu bankadadır.
7. Hizmet alınan üretici / tedarikçi firmalar için, banka iş sürekliliği gereksinimlerinin karşılandığının denetimleri yapılması gerekmektedir. Tedarikçinin ISO 22301 İş Sürekliliği sertifikasyonuna sahip olması ve standardın uygulamaları önemli bir göstergedir.
- İş sürekliliği konusunda politikaları web sitesinde dokümante edilmiştir, buradaki linkten erişebilirsiniz.
- ISO 22301 iş sürekliliği yönetim sertifikasına buradaki bağlantıdan ulaşılabilir.
8. Banka iş sürekliliği planları içerisinde ürün çıkış planlarının tanımlanması gerekmektedir. Planlar içerisinde alternatif ürün belirleme / geliştirme, veri aktarımı vb. adımlar iş sürekliliğini aksatmayacak şekilde tanımlanmalıdır.