Kurumsal Uygulama Envanteri Nasıl Çıkarılır?
- Ayşe Kızılay
- 7 gün önce
- 2 dakikada okunur
Dijital sistemler büyüdükçe bir kurumun sahip olduğu uygulamalar, entegrasyonlar ve veri paylaşım noktaları da çoğalır. Ancak çoğu kurum, hangi uygulamaların aktif olduğunu, kimlerin eriştiğini ve hangi verilerle çalıştığını net olarak bilemez. Bu da güvenlik açıklarına, uyumsuzluklara ve verimsizliğe neden olur. Bu yazıda, kurumsal uygulama envanterinin neden önemli olduğunu, nasıl çıkarılacağını ve nelere dikkat edilmesi gerektiğini anlatıyorum.
1. Uygulama Envanteri Nedir?
Uygulama envanteri, kurumun sahip olduğu tüm dijital uygulamaların ve yazılım hizmetlerinin detaylı bir listesidir.Bu liste varlık yönetiminin yazılım bacağını oluşturur ve ISO 27001 – A.5.9 ve A.8.1 kontrolleriyle doğrudan ilişkilidir.
2. Uygulama Envanteri Hangi Başlıklarda Tutulmalı?
Aşağıdaki başlıklar kurum yöneticileri tarafından artırılabilir. Çok daha fazla detay çıkarılabilir ve envanter tutulabilir. Aşağıda önemli olduğunu düşündüğüm başlıkları ekledim.
Başlık | Açıklama | Örnek |
Uygulama Adı | Kullanılan sistemin tam adı | SAP S/4HANA |
Uygulamanın Yeri | Uygulamanın nerede kurulu olduğu | On-premise ya da Cloud gibi. |
Cloud ise yurt içi mi? Hangi servis sağlayıcı ve hangi bölgede? | Hangi cloud servis sağlayıcı olduğu ve hangi bölgede bulunduğu? | Yurtdışı, AWS - Almanya gibi. |
Yurtdışı cloud servis sağlayıcı ise standart sözleşme var mı? | Yurtdışı veri aktarımı için KVKK standart sözleşme yapılmış mı? | Evet/Hayır |
Sahip Birim | Hangi departman/rol sorumlu | Finans Departmanı |
Kullanıcı Grubu | Kimler kullanıyor (rol bazlı) | Finans Uzmanı, BT İş Analisti vb. |
Erişim Yöntemi | Web / Masaüstü / Mobil / VPN vs. | Web erişimi, VPN üzerinden |
Entegre Sistemler | Diğer sistemlerle veri bağlantısı | SAP BW, CRM Sistemi |
Veri Türü | Kişisel veri? Finansal veri? | Müşteri Finansal Verisi |
Kritiklik Derecesi | Operasyonel önemi | Yüksek |
Yedekleme Durumu | Yedekleniyor mu, nerede? | Günlük yedekleme, offsite veri merkezi |
Üretici ve Lisans Durumu | Açık kaynak / tescilli / SaaS | SAP SE, Lisanslı |
Güvenlik Kontrolleri | MFA, loglama, patch durumu | MFA etkin, veri şifreleme mevcut, düzenli yama uygulaması |
Risk Notu | BT ya da bilgi güvenliği değerlendirmesi | Düşük Risk |
Destek Alınan Firma | Uygulama için dış kaynak desteği alınan firma | X Danışmanlık |
Firma ile sözleşme var mı? | Alınan hizmet için sözleşme, Gizlilik ve varsa KVKK sözleşmeleri | Evet/Hayır |
Firma İletişim Bilgisi | Firmada doğrudan iletişime geçilecek kişi iletişim bilgisi | 5************* |
3. Uygulama Envanteri Nasıl Çıkarılır?
1. Uygulama kaynaklarını belirleyin: kullanıcılar, sunucular, e-posta, ağ taramaları gibi.
2. Otomatik tarama araçları (örneğin: Lansweeper, GLPI, SCCM) kullanın.
3. İnsan kaynaklı bilgi: departman görüşmeleri, uygulama sahipleriyle anket yapın.
4. Verileri şablona dökün, kategorilere ayırın.
5. ISO 27001 uyumlu olacak şekilde dokümante edin.
6. Süreklilik için sorumluluk ve takip mekanizması oluşturun.
4. Dikkat Edilmesi Gerekenler
- “Gölge IT” uygulamaları (BT’nin haberi olmadan kullanılan yazılımlar)
- Yetkisiz entegrasyonlar
- Kişisel veri işlenen uygulamaların KVKK riski
- SaaS sistemlerinde şifre/erişim karmaşası
- Envanterin versiyonlanması ve yılda en az 1 kez güncellenmesi
Sonuç
Uygulama envanteri yalnızca BT’nin işi değildir fakat BT yönetiminde olmalıdır. Amaç kurumun dijital haritasının çizilmesidir.
Güvenlik zafiyetlerini kapatmak, kaynak kullanımını optimize etmek ve denetimlere hazır olmak için her kurumun bu envanteri çıkarması şarttır. Ne kadar çok uygulama varsa, o kadar çok kapı açıktır. Hangisinin açık olduğunu ancak envanterle takip edebilirsiniz.
Comments