GDPR - Avrupa Birliği Genel Veri Koruma Tüzüğü

AB Genel Veri Koruma Tüzüğü

Avrupa Birliği yeni güvenlik düzenlemesi GDPR (General Data Protection Regulation -- Genel Veri Koruma Tüzüğü) 25 Mayıs 2018 tarihinde yürürlüğe koydu. Servis sağlayıcı şirketler kendilerini duruma uyduruyorlar. Yeni politikaları posta kutularımızı e-posta mesajlarıyla bombarduman ederek ve web sitelerine her erişimimizde araya girerek onayımızı istiyorlar.

Tüzüğün çevirisi Kişisel Verilerin Korunması Platformu web sitesinde yer alıyor.

Avrupa kişisel verilerin korunması açısından diğer ülkelerden daha duyarlı. Nazilerin nüfus sayımı verilerini yahudi ve diğer azınlıkları saptamakta kullandıkları hala akıllarda (Bilim ve Gelecek Dergisi Temmuz 2018).

GDPR, bireylere kişisel veriler üzerinde daha fazla denetim sağlıyor ve buna uymayan şirketlere caydırıcı cezalar getiriyor.

Kişisel verinin "tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgi" olarak tanımlandığı GDPR, yedi temel ilke üzerine oturuyor:

1. Hukuka uygunluk, adalet ve şeffaflık
2. Amacın sınırlandırılması (Veri toplayan kuruluş, açıkladığı amacına sadık kalmalıdır. Veri işleme süreci içinde farklı bir amaç ortaya çıkmışsa, kuruluş yeniden bireyin onayını almalıdır)
3. Verilerin en az seviyeye indirilmesi (Kuruluşlar, verdikleri hizmetin işleyişi için gerekli olmayan bir veriyi bireylerden paylaşmalarını istememelidirler. Alınan hizmete karşılık kişisel verilerin açıklanması talep edilmemelidir. "Kişisel verinizi paylaşmadığınız için size hizmet vermeyeceğiz" denilemez)
4. Doğruluk (Bireylere haklarındaki yanlışlıkları düzeltme hakkı verilmelidir)
5. Saklama süresinin sınırlandırılması (Bir gün belki gerekir diye veri sonsuza kadar depo edilmemelidir)
6. Bütünlük ve gizlilik (güvenlik)
7. Hesap verilebilirlik

Bireylere sağladığı genişletilmiş haklar şunlar:

• Bilgilendirilme hakkı
• Erişim hakkı
• Düzeltme hakkı
• Silme hakkı
• İşletme faaliyetini kısıtlama hakkı
• Veri taşınabilirliği hakkı
• Otomatik işlemlere ilişkin haklar

Akıcı klavyesiyle bu bilgileri veren İzlem Gözükeleş daha sonra GDPR konusundaki BBC sınavını geçebileceğinizi belirtiyor.

Birçok şirket şimdiden GDPR’ı bir veri standardı olarak kabul etmekle kalmayıp, AB dışında yaşayan kullanıcılar için de GDPR’ın uygulanması kararı aldı. Apple, önümüzdeki birkaç ay için GDPR’ı tüm müşterileri için sunacağını bildirirken, Facebook da GDPR korumasını AB dışındaki bazı kullanıcılar için sunulacağı açıklamasında bulundu (Webmaster Portalı)

Kurumsal Öğrenme, Unutma, Yeniden Öğrenme ve Bireysel Öğrenmeden Farkları

Summary

This article defines organizational learning, summarizes differences from individual learning and affecting factors of organizational learning. After discussing knowledge management tools of organizations related with learning, evaluates learning performances of NGO's in United Nations.

Kurumsal Öğrenme Nedir?

Kurumu tanımlayarak başlayalım. "Kurum", "organizasyon" veya "örgüt" demekle ticari kuruluşları kastederek başlayacağız. Daha sonra sivil toplum kuruluşlarını (STK) da ele alacağımız bir bölüm olacak. Kamu kuruluşları başka bir yazının konusu olabilir.

Kurumlar faaliyetlerini sürdürürken çevre koşulları nedeniyle zorluklarla karşılaşırlar. Bu zorluklar karşısında yönetim kademesini oluşturan, kurumu temsil eden bireyler bir anlayış geliştirip kurumun yapısını değiştiriyorlarsa bu kurumsal öğrenme olarak tanımlanır. Anlayış geliştirmeyi bilgi düzeyindeki değişim olarak düşünebiliriz.

Yapısal değişimler, çevresel koşulların oluştuğu dönemde gözlenemeyebilir. Daha sonraki dönemlerde yer alan yapısal dönüşümlerin hangi çevresel koşullar sonucunda oluştuğunu belirleyebilmek zor olabilir. Bu nedenle konu hakkında kafa yoranlar, genellikle iki etmenin herhangi bir kombinasyonunun varlığını, hatta birinin varlığını kurumsal öğrenme olarak görmek için yeterli sayarlar (1).

Neyin kurumsal öğrenme olduğu konusunda görüş ayrılıkları olsa da, araştırmacıların üzerinde anlaştıkları nokta, kurumsal öğrenme becerisinin, kurumların uzun dönem var olma ve büyüme konusunda en önemli performans kriteri olduğudur.

Öğrenme kavramı içinde kurumların yanlış bildikleri yönetim politikalarını "unutma"larını ve "yeniden öğrenmelerini birlikte gözden geçireceğiz. Bireysel öğrenme gibi kurumsal öğrenmede de bu kavramlara "learn", "unlearn" ve "relearn" deniyor.

Bu yöntemleri uygulayabilen kuruluşlara "öğrenen kurumlar" deniyor. Öğrenen kurumlar, çevrelerini yorumlayarak bir anlayış geliştirebiliyorlar ve en elverişli stratejiyi oluşturabiliyorlar. Wallace tarafından ifade edildiği gibi "Stratejik yönetim, en çok öğrenen kurumlarda işe yarar." (2)

Kurumsal Öğrenmenin Bireysel Öğrenmeden Farkları Nelerdir?

Kurumsal öğrenme bireyler üzerinden yürütülse de ikisi arasında bir ayırım yapmak gereklidir. Kurumsal öğrenme, kurumdaki her bireyin öğrenmesinin toplamı gibi düşünülmemelidir. Kurumlar, öğrendikleriyle yalnızca mensuplarını değil, geçmiş ve gelecekteki kuralları ve politikaları aracılığıyla zaman içinde başka bireyleri de etkilerler. Kurumların ortaklıkları, bilişsel sistemleri ve bellekleri mensupları tarafından oluşturulmakla birlikte bireyler gelir, geçer, liderlikler değişir, fakat kurumların bellekleri zaman içinde belirgin davranış kalıpları, zihin haritaları, standartları ve değerleri muhafaza eder.

Bireysel öğrenme konusunda Alvin Toffler tarafından ifade edilen özdeyiş yaygın kabul görmüştür. "21. yüzyılın cahilleri, okuma ve yazmayı bilmeyenler değil, öğrenme, yanlışları unutma ve yeniden öğrenmeyi beceremeyenlerdir." (3)

Bireysel öğrenme kuramı tekrarlı konuşmalar ve motor becerileri geliştirme üzerine kuruludur ve eğitimciler tarafından incelenir. Kurumsal öğrenme ise tekil ve tekrarlı olmayan karakteristiğe sahiptir ve işletme yönetimi uzmanları tarafından incelenir.

Aradaki ilişki Peter M. Senge tarafından çok iyi ifade edilmiştir. "Bireysel öğrenme, kurumsal öğrenmeyi güvence altına almaz, ama onsuz da kurumsal öğrenme olmaz." (4)

Kurumsal Öğrenmeyi Etkileyen Faktörler

Kurum kültürü, strateji, kurumsal yapı ve çevresel etmenler kurumsal öğrenme olasılığını artıran faktörler arasında sayılabilir.

Kurum kültürü, paylaşılan inançlar, ideolojiler ve kurum politikalarını etkileyen davranış kalıplarıdır. Bu davranış kalıpları kısa dönemli politikaları etkilediği gibi uzun dönemli değişimin yönünü de belirler.

kurumun stratejik duruşu öğrenme kapasitesini belirler. Strateji, hedefleri, amaçları ve bunlara ulaşmak için gerekli aksiyonları belirler. Yani strateji alınacak kararlara bir çerçeve oluşturarak öğrenmeyi etkiler.

Kurum yapısı öğrenmenin hem nedeni, hem de sonucu olabilecek şekilde düşünülmelidir. Merkezi organizasyon, geçmiş davranış kalıplarını tekrarlamayı özendirir ve öğrenme dolayısıyla politika değişiklikleri konusunda direnç oluşturur. Merkezi olmayan organizasyon yapısı inanç ve davranış değişikliğinin yerleşmesine olanak sağlar. Kurumsal öğrenme sonucunda organizasyon yapısı öğrenmeyi daha da destekleyici olması için merkezi olmayacak şekilde yeniden yapılandırılabilir.

Kurumsal öğrenme hem istikrar hem de değişikliğe açık olmayı gerektirir. İç veya dış çevreleri çok karmaşık ve değişken olan kurumları yönetmek zorlaşır. Aşırı yüklenme denen bu durum dolayısıyla çevre algısı doğru oluşmaz ve öğrenme gerçekleşmez (5). Dinamizmin hiç olmadığı tam istikrar durumunda, davranış kalıplarının çevre koşulları tarafından yadsınmadığı ortamlarda değişim için bir motivasyon oluşması da çok zordur. Öğrenme ve değişimin gerçekleşmesi için bir miktar gerginlik gereklidir. Geçmiş başarıların sürmeyebileceği endişesi değişimin ve kurumsal öğrenmenin tetikleyici ögesidir.

Kurumsal Bilgi Yönetimi

İnsanlar tarih boyunca bilginin elde edilmesi, saklanması, iletilmesi ve tekrar tekrar kullanılabilmesi için çalışmalar yapmışlardır. Bu çalışmalar "Bilgi Yönetimi" başlığı altında incelenir. Konuyu daha önceki bir yazımda (6) ele aldığım için burada yalnızca kurumsal öğrenme ile ilgili noktalara değineceğim.

Kurumlar tarihsel deneyimlerini, geçmişte öğrendiklerini, davranışlarını yönlendiren rutin süreçleri içine kodlarlar, kurum dokusu içine yerleştirirler. Kurumlar açısından bilginin "kapalı" (örtük, İngilizce karşılığı tacit) ve "açık" (İngilizce karşılığı explicit) biçimlerini ayırmak gereklidir. Kapalı bilgi insan zihninde yer alan bilgidir. Başlangıçta tüm bilgiler kapalıdır denir. Bunların kurumlar tarafından kullanılabilmesi için uzun ve emek-yoğun bir dizi süreç sonunda açık duruma getirilmeleri gereklidir. Açık bilgiler sözcükler, cümleler, dokümanlar, yapılandırılmış veriler gibi açık formlardan oluşur. Bireylerin zihinlerindeki kapalı bilgiler kurumların kullanabileceği bilgiler değildir. Buna "Kurum, ne bildiğini bilmez." denir. Zamanla bazı bilgiler uzun süren iyileştirme faaliyetleri ve kurulumları aracılığıyla iş süreçlerinin, iş ilişkilerinin içine gömülür (7).

Kurumsal bilgi yönetim sistemleri öğrenilmiş dersler veri tabanları, veri ambarları ve dizinlerden oluşurlar. Açık bilgi durumuna getirilmiş çeşitli düzeylerdeki bu bilgiler, bilişim ortamlarında yer alırlar. Kurumsal paydaşların ve alan uzmanlarının kullanımına açık tutulurlar.

Bilgi düzeylerini "ne" bilgisi, "nasıl" bilgisi ve "neden" bilgisi gibi isimlerle düzeylere ayırmak ta mümkündür.

Hangi durumda ne tür bir davranış sergileneceğini gösteren bilgi düzeyi "ne" bilgisidir. Farklı gereksinimlerde farklı ürünleri sunmak üzere eğitilmiş bir satış elemanının bilgisi "ne" bilgisine örnek oluşturur. Gereksinim ve çözüm arasında doğrusal bir ilişkinin olmadığı, "ne" bilgisinin yeterli olmadığı durumlarda bir sonraki düzey olan "nasıl" bilgi düzeyi gerekli olur. Örneğin tıbbi bir tanı için test sonuçlarını sıradan bir insanın görmesi yeterli değildir. Profesyonel bir eğitim almış, kuramları bilen bir uzman hekim gereklidir. En yüksek düzey olan bilgi düzeyine "nasıl" bilgisi denir. Bu düzeye erişebilmek için bireyin önce sayılan niteliklerin yanı sıra alan uzmanlığında uzun bir deneyimi olması da gereklidir.

Sivil Toplum Kuruluşlarında Kurumsal Öğrenme

Kurumsal öğrenmeyi uzun vadede rekabetçi kalmak ve var olma mücadelesini sürdürebilme olarak tanımladığımıza göre kurumların yaşı ve büyüme özellikleri, öğrenen bir kurum olup olmadıklarını gösterir diyebiliriz. Benim okuduğum makalelerdeki kuramcıların bu konuda pek olumlu bir tablo çizmediklerini söyleyebilirim. Yani kurumsal öğrenmeyi gözlemlemek çok yaygın bir oluşum değil.

Peki STK'ların durumu nasıl acaba diye düşündüm ve bu konuda da bir inceleme yaptım. Okuduğum bir makalede Birleşmiş Milletler yardım kuruluşlarının performanslarının çok düşük olduğu, tel tel döküldükleri, veri toplamak ve değerlendirmek için herhangi bir sistemlerinin olmadığı, her seferinde baştan başladıkları, aynı hataları tekrarladıkları, her proje sonunda sonu gelmeyen değerlendirmeler yaptıkları ve sonuçların çöpe gittiğini ve gerekçelerini yazmışlar (8):

Bir kere STK'larda öğrenmemenin bir yaptırımı yok. Ticari kuruluşlarda karlılık gibi bir temel çizgi var. Sonra Birleşmiş Milletler yardım kuruluşları gibi STK'lar riskli ortamlarda, farklı bir çerçevede çalışıyorlar. Ticari kuruluşların pazarları böyle yerler değil. STK'lar politik ekonomi denen, mal ve hizmet üretimi ve ticareti değil farklı işler yapıyorlar ve rolleri de farklı.

Ayrıca sağlıklı enformasyon yönetimi oluşturamadıkları için, önceki performansları karşılaştırabilecek bir başlangıç yok, belirgin hedefler tanımlanamıyor, aşağıdan yukarıya etkin bir raporlama oluşturulamıyor.

Bu konuda çok detaylı sonuçlar yayınlamışlar. Ben problemlerden çok başarılara odaklanıyorlarmış ve alıştırmalar ile egzersizleri öğrenmek için bir fırsat olarak değil, prosedürel bir zorunluluk olarak görüyorlarmış deyip bitireyim.

Sonuç

Ticari kuruluşlarda kurumsal öğrenme, bireysel öğrenmeden farklı olduğu yönler ve kurumsal öğrenmenin araçları konusuna giriş yaptım. BM yardım kuruluşları özelinde STK'ların öğrenme becerileri hakkındaki görüşlere değindim.

Kurumsal öğrenmenin stratejik yönetimin önemli bir ögesi olduğunu, kuruluşun uzun dönemde varlığını sürdürmesi için çok önemli olduğunu, bu konuda bir çok akademisyenin görüş birliği içinde olduğunu belirtmiştim. Üzerinde anlaşamadıkları nokta hangi yapısal değişiklik "öğrenme", hangi yapısal değişiklik "uyum". Ölçüm burada araştırmacılar arasında bir anlayış farkı doğuruyor. Kurumsal öğrenme bir rota tutturup bir doğrultuda ilerlemekse, uyum daha çok dalgalar tarafından sürüklenen bir nesne gibi nitelendirilebilir.

Yönetim yapısının kurumsal öğrenme için hem neden hem sonuç olabileceğini belirtmiştim. Son vermeden önce biraz açayım. Yukarıdan aşağı yönetim, hiyerarşik yönetim kurumsal öğrenmeye engel olabilir. Farklı ekipler arasındaki işbirliğini kısıtlayabilir. Kurumsal politikalar öğrenmeyi değil, yönetici bireylerin, dolayısıyla ekiplerin konumlarını güçlendirmeye öncelik verebilir. Bu farklı ekipler arasındaki işbirliğini kısıtlayabilir. Gerçeğe en yakın olan saha elemanları hiyerarşinin altında yer aldıkları için görüşlerine itibar edilmeyebilir.

Peki yenilikçi ve özerk ögeler taşıyan daha az hiyerarşik nitelikleri olan yönetim modelleri için her zaman kurumsal öğrenmeyi destekler diyebilir miyiz? Bu konuda da soru işaretleri olabilir. İş bölümü daha zor gerçekleştirilebilir.

Önümüzdeki dönemde bu çelişkili görünen değerlendirmeler sürecek gibi görünüyor.

Referanslar

(1) Organizational Learning Fiol, Lyles, 1985
(2) Wallace, T. 1995 : Strategic Planning in Conflict Emergency Work. Does it have anything to offer? University of Birmingham, Development Administration Group
(3) Alvin Toffler, Powershift: Knowledge, Wealth, and Power at the Edge of the 21st Century "The illiterate of the 21st Century are not those who cannot read and write but those who cannot learn, unlearn and relearn."
(4) Beşinci Disiplin (Öğrenen Organizasyon Sanatı ve Uygulaması) Peter M. Senge
(5) Hedberg, B. (1981) How organizations learn and unlearn? Handbook of organizational design, Oxford University Press, 1981
(7) Knowledge Management and Organizational Learning, William R. King
(8) Organisational and Institutional Learning in the Humanitarian Sector, Opening the Dialog, Brabant, 1997

Kurumsal İtibar ve Yönetimi

Summary

Article explains reputation as part of identity, corporate reputation and management of reputation. After defining perception and associating it with perception, it defines and describes components of reputation management.

İtibar kimliğin önemli bir bileşenidir. Saygınlık olarak ta ifade edebileceğimiz itibar, bir birey ya da bir kuruluşun başkaları tarafından değerlendirilmesidir. Kimliğin diğer bileşenleri genellikle birey ya da organizasyon tarafından belirlenirken, itibarda algı boyutu önem kazanır. 

Kurumsal itibar de bir kuruluşun, geçmişteki davranışlarının paydaşları olan bireyler, gruplar ya da kamuoyu tarafından geleceğe yapılan projeksiyonudur. Bu davranışların oluşturduğu algılar bütünü kuruluşun gelecekteki genel görüntüsünü meydana getirir. Algı boyutunun öneminden dolayı itibar yönetimi algı yönetimi olarak ta nitelendirilir. En azından birbirlerini tamamladıkları kabul edilir.

İtibar yönetimi iki nedenden dolayı önem kazanmaktadır. Birincisi kuruluşların ürün ve hizmetlerinin küreselleşme ile birbirlerine yaklaşmasıdır. Rekabetin önemli unsurlarından olan farklılaşma itibar yönetimi ile sağlanabilmektedir. Diğer bir neden de kuruluşların defter değeri ile piyasa değerleri arasındaki farkın günümüzde giderek açılmasıdır. Bu soyut değerin ölçülebilmesi ve yönetilebilmesini açıklamaya yönelik çalışmalar artmakta ve soyut değerler içindeki en önemli kalemin kurumsal itibar olduğu gözlenmektedir.

İtibar yönetiminin kuruluşun herhangi bir bölümüne devredilmeyeceği kabul edilir. Tüm fonksiyonları bu hedefe yöneltmek gerekir. Bu nedenle itibar yönetimi doğrudan üst yönetim tarafından koordine edilir.

 İtibar yönetimi 1990'lı yıllarda Fortune dergisinin yıllık araştırması ile gündeme geldi. Temel kriterleri yönetim kalitesi, ürün kalitesi, yenilikçilik, finansal performans, nitelikli çalışanları çekme ve tutma, sosyal sorumluluk ve etkili kaynak kullanımıdır.

1999 yılından başlayarak Capital Dergisi Türkiye'nin en beğenilen şirketleri araştırmasını başlattı. Fortune Dergisinin kriterlerine uluslararası pazara entegrasyon, iletişim ve halkla ilişkiler, çalışana sunulan sosyal haklar, ücret politikaları, eğitim olanakları ile rekabette etik davranma ve yeni ürün geliştirme gibi kriterler ekledi.

İtibar yönetimi ile ilgili Türkiye'deki ilk kampanyanın Turkcell tarafından başlatılan "Baba beni okula gönder" kampanyası olduğu söylenebilir.

Yüksek itibar, ürün ve hizmetlere rakiplere oranla daha yüksek fiyat belirleme olanağı sağlar. Daha kolay yatırımcı ve daha fazla sermaye edinme, böylece finansal kredibilitesini daha kolay yükseltme olanağı sağlar. Nitelikli insan kaynağı ve iş ortaklarını mıknatıs gibi çeker ve elde tutar.

İtibar yönetiminde mesafe alan kuruluşlar çalışan sadakati ve verimliliğini yükseltmenin yanı sıra, zor zamanlarda paydaşları tarafından daha fazla hoşgörüye mazhar olurlar. Bu hoşgörü rakiplerinden gelecek tehditlere karşı zaman kazandırır. Günümüzde en önemli rekabet unsuru artık zamandır ve kuruluşa büyük avantajlar sağlar.

İtibar yönetiminin bileşenleri yönetim kalitesi, finansal performans, ürün ve hizmet kalitesi, müşteri odaklılık, duygusal çekim, sosyal sorumluluk, etik davranış ve şeffalıktır.

İtibar yönetiminin başlangıç noktası vizyoner ve güçlü bir liderliktir. Vizyon, somut bir gerçektir ve gerçekleşmesi görülebilecek kadar yakın, yeni bir oluşumun hayranlığını uyandıracak kadar uzak olmalıdır. Yüksek itibarı hedefleyen kuruluşların finansal geçmişleri iyi olmalıdır. Büyüme beklentisi içinde olmaları gereklidir. Beğenilen kuruluşlar olmak için çalışırken doğruluktan ayrılmamalı, inandırıcı ve rakiplerine karşı dürüst olmalıdırlar.

Yönetimin en önemli aktivitesi çalışanları kurum hakkında iyi duygulara sahip kılmak olmalıdır. Kurumsal kültür, itibar yönetiminin ön koşuludur. Kurumsal kültürün çalışanlara benimsetilmediği durumlarda gerçekleşmez. Çalışanlar kuruluşa karşı takdir, saygı ve aidiyet duymalıdırlar. Üst yöneticileri model olarak almalıdırlar. Büyük anlaşmalar öncesi güven duymalı ve desteklemelidirler. Üst yöneticiler çalışanları ve yatırımcıları etkilediklerini bilerek kuruluşun değerlerini yansıtmalıdırlar.

Üst yönetimin liderliğinde ve çalışanların gayretleriyle kuruluşun üçüncü kişi ve kuruluşlarla ilişkilerini yürütenler için standartlar oluşturulur. İtibar yönetiminin temel araçları iş hedefleri, algı hedefleri, iletişim kanalları, başarı kriterleri ve kriz yönetim planlarıdır.

İtibar kavramı, halkla ilişkiler, marka ve kalite kavramlarıyla karıştırılabilmektedir. Bu kavramlar itibar yönetiminin bileşenleridirler ve onunla özdeşleşmemelidirler.

İtibar yönetiminin önemli bir varlık koşulu da kamuoyu önünde görünürlülük gerektirmesidir. Bilinmeyen bir kuruluşun itibarı söz konusu olmaz.

Uzun süreli tutarlı davranışlarla kazanılan itibar, iyi yönetilmezse çok kısa zamanda yitirilebilir. Solomon Brothers CEO'su ünlü yatırımcı Warren Buffet itibar yönetiminin önemini yöneticilerine seslenirken şöyle ifade etmiştir: Eğer yanlış kararlar yüzünden para kaybedersek bunu anlayışla karşılayabilirim. Ama itibarımızı kaybedersek bu konuda merhametsiz olurum.

Referans:

1. Perakende Sektöründe İtibar Yönetimi - Murat Çakırkaya

2. Turizm İşletmelerinde İtibar Yönetimi - Erkan Akgöz, Başak Solmaz

Ödeme Sistemlerinde Güvenlik ve PCI DSS ile PA DSS Standartları

Summary

Payment Card Industry Security Standards Council (PCI SSC), an open, global forum for the development of PCI security standards, published new PCI Data Security Standard (DSS) and Payment Application DSS. This article summarizes organizational structure of PCI SSC, life cycle processing and high level overview of standards.

Ödeme Kartları Endüstrisi (Payment Card Industry, PCI) Güvenlik Standartları Konseyi (Security Standards Council) PCI standartının yeni sürümünü yayınladı. Ödeme kartları endüstrisi, banka kartları, kredi kartları ve sanal kartlarla işlemler yapan kuruluşların oluşturduğu sektörü ifade eder. Visa, Master Card, American Express başta olmak üzere 2006 yılına kadar kendi özgün güvenlik sistemlerini kullanıyorlardı. 2006 yılında ortak güvenlik standartları oluşturmak üzere bağımsız bir konsey oluşturdular. Bu konsey PCI DSS (Data Security Standards) standartları yayınlamaya başladı.

Konsey, PCI DSS standartı ile uyumlu olan kuruluşları web sitesinde yayınlıyor. Ürün, hizmet ve kuruluşların bu standarta uyumluluğunu onaylayan yetkili güvenlik eksper firmalar (Qualified Security Assessor, QSA) belirliyorlar. QSA firmalar da web sitesinde yayınlanıyor. Değerlendirme ve belgelendirme her yıl yenileniyor.

PCI DSS standardı üç yıl için belirleniyor. Önceki standart bir yıl daha geçerliliğini koruyor. İkinci yıl geri beslemeler alınıyor ve gözden geçiriliyor. Üçüncü yıl bunların ışığında PCI DSS standardı yeni sürümü hazırlanıyor. 2014 yılbaşından itibaren üçüncü sürüm geçerli oldu. İkinci sürümün geçerliliği 2014 yılı sonuna kadar uzatıldı.

PCI DSS yanında bir de PA DSS standardı var. Bu standart ödeme uygulamasının (Payment Application) uyumluluk özelliklerini tanımlıyor. PA DSS standardına uyumlu olmak, PCI DSS standardına otomatik uyumluluğu öngörmüyor.

PCI DSS gereksinimleri güvenlik sistemleri (Örneğin güvenlik duvarı), sanallaştırma bileşenleri, ağ bileşenleri, sunucu sistemleri ve uygulamaların niteliklerini belirliyor. Kart bilgilerinin dolaştığı ağ yapısının kısıtlanması (segmentation) PCI DSS için bir ön koşul değil ama sertifikasyon kapsamını, maliyetini ve riskleri azaltan önemli bir unsur. Kablosuz ağları da önemli bir risk unsuru olarak gören konsey, kablosuz iletişimin kritik bilgilerin taşınması için uygun olmadığını belirtiyor.

PCI DSS standardı 6 başlık altında 12 gereksinim tanımlıyor. Ana başlıklar: 

1. Güvenli bir ağ ve güvenli sistemler kur, 
2. Kart bilgilerini koru, 
3. Güvenlik açıklarını yönetecek bir program oluştur,
4.  Güçlü erişim denetimi önlemleri oluştur, 
5. Ağları düzenli olarak izle ve test et, 
6. Bilgi güvenliği politikası oluştur.

Gereksinimler: 

1. Kart bilgilerini korumak için bir güvenlik duvarı yapısı oluştur, 
2. Sistemlerin kurulum şifrelerini ve güvenlik parametrelerini kullanma, değiştir, 
3. Depolanmış kart bilgilerini koru, 
4. Genel ve kamuya açık ağlarda gönderilen kart sahibi bilgilerini şifrele, 
5. Tüm sistemleri kötü amaçlı yazılımlara karşı koru ve anti-virus yazılım veya programlarını düzenli olarak güncelleştir, 
6. Güvenli sistemler ve yazılımlar geliştir ve sürdür, 
7. Kart sahibi bilgilerine erişimi, bilmesi gerekenlerle kısıtla, 
8. Sistem bileşenlerine erişimi belirle ve sağla, 
9. Kart sahibi bilgilerine fiziksel erişimi kısıtla, 
10. Ağ kaynaklarına ve kart sahibi bilgilerine tüm erişimi izle ve denetle,
11. Güvenlik sistemleri ve süreçlerini düzenli olarak test et, 
12. Tüm personeli kapsayacak bilgi güvenliği politikaları oluştur ve uygula

Artık ödeme sistemleri zincirindeki tüm aktörlerin uyumluluğunun aranacağı bir döneme giriliyor. Yalnız ödeme hizmet sağlayıcı değil, iş yerlerinin, bankaların ve bulundurma hizmet sağlayıcılarının PCI DSS uyumlu olması gerekiyor.

İlginç bir örnek olarak 2009 yılından itibaren Nevada eyaleti standardı eyalet yasası haline getirmiş. Eyaletteki tüm ticari kuruluşlar güncel PCI DSS standardına uyumlulukla mükellef kılınmış. Bunun karşılığında da müşteri şikayetleri karşısında sorumlu tutulmuyorlarmış. Daha sonra başka eyaletler de standardı kısmen veya tümüyle yasal çerçevelerine oturtmuşlar.

Önümüzdeki dönemde PCI DSS ve PA DSS standartlarının tüm sektörlerde kapsamlarının genişlemesini, daha kapsayıcı (siz kısıtlayıcı olarak okuyun) olmalarını, bilişim güvenliği ve kurumsal yönetişim, risk ve uyumluluk (Enterprise Governance, Risk and Compliance - EGRC) disiplinleri ile daha bütünleşik olmalarını bekliyoruz.

MS Project ve Risk Yönetimi

Summary

MS Project is reviewed as a tool for project risk management. After defining time and cost management functions of MS Project, highlights of project risk management are revisited. Finally risk management capabilities of MS Project are examined.

MS Project, proje yönetiminin planlama, yürütme, izleme ve denetim süreçlerine yardımcı bir programdır. Programın etkin kullanımı için proje yönetimi metodolojileri konusunda bilgi sahibi olmak gereklidir. Proje aktiviteleri, aktiviteler arası öncül/artçıl ilişkileri, aktivite sürelerini, aktivitelere atanan insan, ekipman ve malzemelerden oluşan kaynakları ve bunların maliyetlerini işleyerek projenin zamanında ve bütçesi içinde bitirilmesi için proje yönetim ekibine yardımcı olur.

Microsoft Şirketinde çalışan arkadaşlarımızın hepsi karşı çıksa da bize MS Office ürünlerinden biri gibi görünür. MS Office medyası içinden çıkanları vardır, diğer ofis ürünlerinin Akıcı arayüz (Fluent interface) denen arayüzünü ve arkaplan (backstage) denen dosya sekmesini paylaşır.

Diğer ofis ürünlerinde olduğu gibi MS Project dosyalarını açan, işleyen ve saklayan özgür yazılım (Açık kaynak kodlu yazılım) alternatifleri ve proje planı dosyasını online olarak açan, işleyen ve saklayan bulut (Cloud) bilişim siteleri gibi seçenekler de vardır.

Temel olarak projeyi oluşturan aktiviteleri ve süreleri detaylı olarak programa girdi olarak belirlersiniz. Birbirleriyle ilişkilerini kurarak hangi sırada gerçekleştirileceklerini yazarsınız. Hangi malzeme ve ekipman kullanılarak, kimler tarafından tamamlanacağını ortaya koyarsınız. Kaynakların projeye maliyetlerini birim fiyatlar, peşin ya da aktivite tamamlandıktan sonra ödenecek şekilde hakedişler (Accrual) olarak belirlersiniz. İş kırılım yapısı (Work breakdown structure) oluşturursunuz. Projenin başlangıç veya bitiş zamanı temel alacağınızı söylersiniz. Size buna uygun bir zaman çizelgesi (Schedule) ve nakit akış tablosu (time phased budget) hazırlar (1).

Planlama aşamasında bu işleri yaptıktan sonra MS Project temel görüntüsü oluşur. Ekranın sol tarafında her satırında bir görev veya aktivitenin bilgilerinin olduğu, her sütunda ise aktivite adı, süresi, diğer aktivitelerle ilişkiler, başlangıç ve bitiş tarihlerinin olduğu bir hesap tablosu, ekranın sağ tarafında da Gantt diyagramı dediğimiz aktivitelerin takvim üzerinde yatay grafik görüntüleri yer alır.

Planlama belli bir detayda gerçekleştirildikten sonra ve projenin yürütülmeye başlamasından önce projenin temel çizgisi (Baseline) saklanır. Proje bu temel çizgiye göre yürütülmeye başlanır. Proje yürütülmeye başladıktan sonra izleme ve kontrol süreçlerine geçilir. Görevler ve aktivitelerin tamamlanma düzeyleri temel çizgiden sapmadan sürüyorsa proje belli zamanlarda saklanır (Update project seçeneği). Uzun süren projelerde periyodik olarak veya önemli değişiklikler sonrasında yeni temel çizgiler oluşturulabilir ve saklanabilir.

Eğer görevler ve aktiviteler temel çizgiden farklı olarak ilerliyorsa bu ilerlemeler ya yüzde olarak ya da tamsayı olarak işaretlenir. İstenen sıklıkta kazanılmış değer (Earned value) analizi gerçekleştirilerek işlerin hangi ölçüde gerçekleştirildiği, bütçenin nasıl harcandığı incelenir. Projenin performansı ve temel çizgiden sapma (variance) raporlanır.

Biraz da risk yönetimine değinelim. Böylece MS Project programından ne bekleyeceğimizi de formüle etmiş oluruz. Risk yönetimi, proje yönetiminin önemli bilgi alanlarından biridir.

Burada önemli derken diğer bilgi alanlarının daha az önemli olduğunu söylemiyorum. Proje sponsorlarının - dolayısıyla proje yöneticilerinin - gündemine kalite yönetimi, insan kaynakları yönetimi ve tedarik yönetimi gibi bilgi alanlarından çok sonra girdiğini belirtmek istiyorum. "Ben, uzun süredir risk yönetimi yapılan projelerde yer aldım" diyenleri duyar gibi oluyorum. Size söyleyeceğim o dönemlerde hazırlanan risk listelerine, olasılık ve etki matrislerine bir daha bakın. Ben baktıkça çok eğleniyorum.

Konuyu dağıtmayayım. Risk yönetimi süreçleri şunlardır (2):

1. Risk yönetiminin planlanması
2. Risklerin tanımlanması
3. Niteliksel risk analizi yapılması
4. Niceliksel risk analizi yapılması
5. Risk yanıtlarının planlanması
6. Risk izleme ve denetimi

Bu süreçleri gerçekleştirirken başta olasılık ve etki matrisi, modelleme teknikleri, varyans analizi, simülasyon, karar ağacı başta olmak üzere çeşitli araç ve teknikler kullanılır. MS Project içinde bu araç ve teknikler tanımlanmış değildir. Fakat çeşitli risk yönetimi yazılımlarına arayüz sağlamaktadır. Aslında önceki sürümlerinde var olan PERT (Program Evaluation and Review Technique) analizi eklentisi MS Project 2010 sürümünde kaldırılmış (3).

Elinizde yalnızca MS Project varsa kaynak seviyelendirme (Resource leveling) yapıp ağ diyagramı (Network diagram) oluşturduktan sonra kritik yol (Critical path) analizi yaparsınız. Kritik yol üzerindeki aktiviteleri ve kaynaklari "Tracking Gantt" seçeneğiyle detaylı olarak inceleyip riskli durumları yönetmeyi düşünebilirsiniz.

Son vermeden iki özellikten söz etmeden geçmeyelim. MS Project maliyetlerle ilgili olarak ihtiyat akçesi (reserve) tutmaya olanak sağlar. Son olarak zaman çizelgesi içinde aktif olamayan görevler (inactive tasks) tanımlamanıza olanak verir. Bunları izleme ve denetimin ayrıca yaptığınız riskler gerçekleştiğinde aktifleştirebilirsiniz.

Notlar

(1) Illinois Institute of Technology, CS 587 Software Project Management

(2) A Guide to the Project Management Body of Knowledge (PMBOK® Guide), Fifth Edition

(3) International Journal of Risk and Contingency Management, April-June 2012, Sayfa 54

Hizmet Operasyonu

Summary

Service Operation focuses on the precise execution and delivery of all processes and services to delivery business value for customers and users in a consistent, reliable and repeatable manner. After defining Service Operations, processes, activities, functions and technologies are explained briefly.

Hizmet Operasyonu

Üzerinde anlaşma sağlanan bir seviyede hizmet vermek ve yönetmek için gerekli olan etkinliklerin ve süreçlerin koordinasyonu ve gerçekleştirilmesidir. Hizmetlerin desteklenmesi için gerekli teknolojilerin yönetilmesi de hizmet operasyonu içinde ele alınır.

Hizmet yaşam döngüsünün temel bir evresidir. Süreçlerin tasarımları çok iyi olabilir. Ama günlük operasyonlarının yürütülmesi, denetimi ve yönetimindeki aksaklıklar değer sağlama amacına ulaşmasını engelleyecektir. Süreçlerin veri toplama, performans değerlendirme ve izleme çalışmalarındaki aksaklıklar hizmet iyileştirmelerini olanaksız kılacaktır.

Hizmet operasyonu, müşterinin hedeflerini gerçekleştirmesine yardımcı olmalıdır. Bu operasyon maliyet ve kalite arasında iyileştirme yaparak gerçekleştirilir. Bileşenlerinin etkili koordinasyonu da operasyonun önemli bir parçasıdır.

Birbirleriyle çelişen dört konuda denge oluşturulması hizmet operasyonu açısından hayati önemdedir.

1. Var olan süreçlerin "devamlılığı" ve bu süreçlerde "değişikliklere tepkiler" arasındaki çatışmayı yöneterek bir denge oluşturulur.
2. Hizmet operasyonu, bir yandan BT altyapısının "istikrarlı" ve kullanılabilir olmasını sağlar, diğer yandan gereksinimlerin zaman içinde değişeceğini öngörerek "değişiklikleri" olağan bir çalışma olarak benimser.
3. "Maliyet" ve "kalite" arasında bir denge oluşturmak önemlidir. Hizmetlerin kalitesi sürekli iyileştirilirken, maliyetlerin düşürülmesi, en azından artırılmaması gözetilir.
4. "Reaktif" davranış dışsal bir uyarı olmadan herhangi bir davranış göstermemek ve beklemektir, "proaktif" davranış ise aksaklıklara yol açılmaması için koruyucu önlemler almaktır. Proaktif davranış olumlu bir yaklaşımdır. Organizasyonun değişen koşullar karşısında daha hazırlıklı olmasını sağlar. Aşırı proaktif yaklaşım ise yüksek bir maliyet kaynağı olabilir ve personelin eğitim çabalarının ötesine geçerse kafa karışıklığı yaratabilir.

Hizmet operasyonu personelinin yaşam döngüsünün diğer bileşenlerine katılması önemlidir. Böylece operasyonel özelliklerin hizmet stratejisi, hizmet tasarımı ve hizmet geçişi evrelerinde daha iyi anlaşılması sağlanır.

Hizmet Operasyonu Süreçleri

1. Durum yönetimi (Event management): Performansı düzenli olarak izlemek için BT altyapısında oluşan bütün durumlar incelenir. Öngörülmeyen oluşumları inceler, gerekirse başka süreçlere yönlendirir.
2. Olay yönetimi (Incident): Arızaların hızlıca giderilmesi ve verilen hizmetler üzerinde olumsuz etki bırakmamasına yoğunlaşır.
3. Problem yönetimi: Olayların altında yatan kök nedenleri belirlemek ve çözümler oluşturmak için gerekenleri gerçekleştirir.
4. Talep yönetimi: Kullanıcılardan gelen hizmet taleplerini alır ve yerine getirilmelerini sağlar. Hizmet ve bilgi almaları için kullanıcılarla hizmet sağlayıcılar arasında köprü görevi görür.
5. Erişim yönetimi: Kullanıcıları ve yetkileri düzenler. Kullanıcılar yetkilendirildikleri hizmetlere erişebilirler. Yetkilendirilmedikleri hizmetlere erişimleri engellenir.

Hizmet operasyonu aktiviteleri

1. İzleme ve kontrol: Sürekli olarak izleme, raporlama ve önlem alma döngüsüdür. Hizmetlerin desteklenmesi ve iyileştirilmesi açısından önemlidir.
2. BT operasyonları: BT altyapısını yönetmek için gerekli günlük aktivitelerdir.
3. Hizmetlerin gerçekleştirilmesi için kullanılan ana bilgisayar yönetimi, sunucu yönetimi, ağ yönetimi, veri tabanı yönetimi, dizin hizmetleri yönetimi ve ara katman yönetimi gibi teknolojilerin kullanımlarına ilişkin aktivitelerdir.
4. Tesis yönetimi ve veri merkezi yönetimi: Cihazların yer aldığı bilgi işlem merkezlerinin fiziksel yönetimidir. Bina yönetimi, makine parkı yönetimi, güç yönetimi, ısıtma/soğutma, iş güvenliği, fiziksel erişim denetimi, gönderme ve teslim alma aktiviteleridir.

Hizmet operasyonu fonksiyonları

1. Hizmet masası: Kullanıcıların olay, hizmet ve erişim talepleriyle ilgili tek başvuru noktasıdır. Amacı hedeflenen hizmetleri en kısa zamanda gerçekleştirmektir.
2. Teknik yönetim: BT altyapısında uzmanlık sağlayan kişi, grup ve bölümlerin oluşturulması ve yönetimi hakkındaki fonksiyondur. İki rolü vardır. BT altyapısının yönetilmesiyle ilgili bilgi birikimi ile kaynakları sağlamak ve uzmanlıkların sorumlusu olmaktır.
3. BT operasyonları yönetimi: BT altyapısını, hizmet tasarımı sırasında tanımlanan performans standartlarına göre yönetimini gerçekleştirir. İki tür aktivitesi vardır. Rutin operasyonel görevlerin yerine getirilmesini sağlayan BT operasyonları denetimi ve fiziksel bilişim merkezlerinin yönetilmesi olan tesis yönetimidir.
4. Uygulama yönetimi: BT hizmetlerinin önemli bir bileşeni olan uygulamaların yaşam döngüleri içinde yönetilmesidir. Uygulama tasarımı, test edilmesi ve iyileştirilmesinde de önemli rol oynar. Bir uygulamayı organizasyon içinde geliştirmek veya dışarıdan sağlamak konusundaki kararı da uygulama yönetimi şekillendirir.

Hizmet operasyonunun sahip olması gereken teknolojiler

1. Web arayüzünde yer alan "sıkça sorulan sorular" gibi kendi kendine yardım
2. İş akışı ya da süreç yönetimi motoru
3. Bütünleşik bir konfigürasyon yönetim sistemi
4. Algılama, (discovery) yaygınlaştırma (deploy) ve lisanslama teknolojileri
5. Uzaktan kontrol
6. Tanı olanakları
7. Raporlama yetenekleri
8. Gösterge tabloları (dashboard)
9. Yönetim kademeleriyle entegrasyon

Hizmet operasyonu uygulama özellikleri

Değişiklikler (örneğin personel değişiklikleri) hizmet sunumunu olumsuz etkilemeyecek bir şekilde yönetilmelidir.

1. Büyük altyapı yenilemeleri, yeni prosedür kurulumları gibi durumlarda, kaynak kullanımı ve maliyetleri daha iyi kontrol altında tutabilmek için proje yönetimi süreçlerini kullanmak yararlıdır.
2. Değişikliklerde, arızalarda, projelerde, çevresel etkilerle ilgili olarak ve güvenlik süreçlerinde risk yönetimi süreçlerinin uygulanması önemlidir.
3. Personel hizmet tasarımı ve hizmet geçişi çalışmalarına erken evrelerde katılmalıdır. Yeni hizmetlerin hizmet operasyonu tarafından daha iyi desteklenmesi bu şekilde sağlanabilir.
4. Lisanslar, uygulamalar, kapasite kontrolleri, teknolojinin zamanlaması gibi hizmet yönetimi teknolojilerinin destek araçlarının uygulanması sırasında ve öncesinde iyi planlanması gereklidir.

Hizmet Operasyonu üstesinden gelinmesi gereken zorluklar

1. Tasarım ve geliştirme aşamalarında katılım eksikliği
2. Finansmanın gerekçelendirilmesi
3. Etkin olmayan hizmet geçişinden kalan sorunların yönetilmesi
4. Sanal ekiplerin kullanımı
5. Organizasyon içi ve dışı dengeler

Hizmet operasyonu kritik başarı faktörleri

1. Yönetim desteği
2. İş tanımları
3. Personeli elde tutma
4. Eğitim
5. Uygun araçlar
6. Testin geçerliliği
7. Ölçme ve raporlama

Hizmet operasyonu riskleri

1. Yetersiz finansman ve kaynaklar
2. Motivasyon kaybı
3. Önemli personel kaybı
4. Değişime direnç
5. Yönetim desteği eksikliği
6. Organizasyon içinde hizmet yönetimine kuşkuyla bakılması
7. Müşteri beklentilerinin değişmesi

Durum Yönetimi (event)

BT altyapısının yönetimi veya BT hizmetlerinin verilmesi için önemli her oluşuma durum denir. Durumun hizmetler üzerindeki etkisi değerlendirilir.

Durum yönetimi, günlük operasyonu sürdürmek, aykırı koşulları belirlemek ve üst kademelerine iletmek üzere BT altyapısında meydana gelen bütün oluşumları inceleyen bir süreçtir. Öngörülemeyen oluşumları üst kademelere otomatik olarak iletmek üzere yapılandırılabilir.

Durumların sınıflandırılması

1. Normal bir operasyonu gösteren durumlar: Örnek olarak bir kullanıcının bir uygulamayı kullanmak üzere sisteme giriş yapması.
2. Normal dışı bir operasyonu gösteren durumlar: Örnek olarak bir kullanıcının hatalı bir şifre ile giriş yapmaya çalışması, işten ayrılmış bir kişinin şifresi ile giriş yapılması, kişisel bilgisayar taramasının izin verilmemiş bir yazılımın kurulu olduğunu ortaya çıkarması.
3. olağan dışı ama hataya yol açmayabilecek bir uyarı veren durumlar. Örnek olarak bir sunucunun bellek kullanımının %90'ın üzerine çıkması.

Durum yönetimi aktiviteleri

1. Durumun belirlenmesi: Durumlar her zaman meydana gelirler. Hepsi saptanamaz veya kayıt altına alınmazlar. Hangi durumların gözlem altında tutulacağına karar vermek başlangıç noktasıdır.
2. Durum uyarısı: Konfigürasyon elemanları kendileri hakkındaki bilgileri iletecek şekilde tasarlanırlar. Bir yönetim aracı konfigürasyon elemanlarını sorgulayarak veri toplar (polling) veya konfigürasyon elemanı bazı durumlarda uyarı rapor eder.
3. Durumun saptanması: Durum uyarısı bir kez ortaya çıktıktan sonra aynı sistemde çalışan bir aracı (agent) tarafından merkezi bir yönetim aracına yönlendirilebilir.
4. Durumun süzülmesi (filtre edilmesi): Durumun bir yönetim aracına yönlendirilip yönlendirilmeyeceğine karar verilmesidir.
5. Durumların önem derecelerine göre sınıflandırılması: "Bilgilendirici", "uyarı" ve "olağan dışı" gibi üç temel kategori kullanılır. Organizasyona göre detaylandırılır.
6. Durumların ilişkilendirilmesi (correlation): Bir takım kriterler ve kontrol listeleri kullanılarak hangi önlemlerin alınacağı belirlenir.
7. Durumların tetikleyicileri: Tepki ve önlemleri başlatan mekanizmalara tetikleyici denir.
8. Tepki seçenekleri: Kayıt altına alma, otomatik tepki, uyarı, insan müdahalesi, değişiklik talebi, olay kaydı açma, problem kaydı ile ilişkilendirme gibi tepkilerin biri veya bir kaçı seçilebilir.
9. Önlemleri gözden geçirme: Tüm durumlar ve istisnalar, doğru ele alınıp alınmadıklarının belirlenmesi için gözden geçirilmelidirler.
10. Durumu kapatma: Gereken önlemleri alıncaya kadar durumlar açık kalabilir.

Durum yönetimi tetikleyicileri

1. Tasarım özellikleri
2. Operasyon seviyesi anlaşmalar (OLA, operation level agreements)
3. Standart operasyon prosedürleri
4. Konfigürasyon elemanı performans istisnaları
5. İzlenen bir iş sürecindeki istisna
6. Cihaz ya da sunucu statü değişikliği

Durum yönetimi girdi ve çıktıları

Girdi durum uyarısıdır.

Çıktılar durum kaydı, olay kaydı, problem kaydı, değişiklik talebi, otomatik tepki ile uyarı ve insan müdahalesidir.

Olay Yönetimi (incident)

Bir BT hizmetinde meydana gelen planlanmamış bir kesinti ya da BT hizmetinin kalitesinde azalmaya olay denir. Henüz hizmeti etkilememiş olsa da bir konfigürasyon elemanı arızası da bir olaydır.

Olaylar kullanıcılar tarafından telefonla, e-posta mesajıyla veya form doldurarak hizmet masasına bildirilebilir. Teknik personel tarafından bildirilen yazılım, donanım veya ağ arızaları olabilir. İzleme araçlarıyla otomatik olarak algılanıp rapor edilebilirler.

Olay Yönetimi Kavramları

1. Zaman çizelgeleri: Olay yönetiminin bütün aşamalarındaki süre planlamaları hizmet seviyesi anlaşmaları (SLA) ile uyumlu olmalıdır. operasyon seviyesi anlaşmalar (OLA) ve destek sözleşmeleri de (UC) bunlara uyumlu olmalıdır.
2. Olay modelleri: Standart olayları üzerinde anlaşma sağlanmış bir modelde belirtildiği gibi ele alarak önceden tanımlanmış adımlar atılır. Böylece doğru biçimde zamanında ele alınması sağlanmış olur.
3. Etki (impact): Olayın iş süreçleri üzerindeki etkisidir.
4. Aciliyet (urgency): İş süreçlerini olumsuz etki gösterinceye kadar geçecek süre.
5. Öncelik: Olayın etki ve aciliyetine uyumlu olarak atanacak önem derecesidir.
6. Büyük (major) olaylar: Fazla sayıda kullanıcıyı etkileyen, olumsuz etkisi, dolayısıyla önceliği yüksek olaylardır. Hizmetleri daha kısa zamanda normale döndürmeyi öngören özel prosedürler gerektirir. Büyük olayları "problem" ile karıştırmamak gerekir. Problem bir ya da daha fazla olayın altında yatan kök nedendir. Ayrı kavramlar olduğunu unutmamak gerekir.

Olay Yönetimi Aktiviteleri

1. Belirleme: Olay tesbit edilir ve rapor edilir.
2. Kayıt: Olay kaydı oluşturulur.
3. Sınıflandırma: Olay, tip, statü, etki, aciliyet, hizmet seviyesi anlaşması (SLA) özelliklerine göre sınıflandırılır.
4. Öncelik belirleme: Olayın destek organizasyonu ve destek personeli tarafından nasıl ele alınacağını belirlemek için uygun bir öncelik kodu belirlenir.
5. Tanılama: Olayın tüm karakteristiklerini anlamak için yapılır.
6. Üst kademeye iletme (escalation): Hizmet masası olayın yol açtığı hizmet kesintisini zamanında gideremediği zaman olayı ikinci seviye desteğe yönlendirir. Buna fonksiyonel eskalasyon denir. Hizmet kesintisi uzarsa BT yöneticileri bilgilendirilir. Buna hiyerarşik eskalasyon denir.
7. Araştırma ve tanı: Olayın bilinen çözümlere uyup uymadığı araştırılır, uymuyorsa tanılama sürdürülür.
8. Çözümleme ve kurtarma: Çözüm bulunduğunda hizmet normal durumuna döndürülür.
9. Olayın kapatılması: Hizmet masası, kullanıcının çözümden tatmin olduğu onayını aldıktan sonra olayın kapatılıp kapatılmayacağını kontrol eder.

Olay yönetimi girdileri

1. Kullanıcının hizmet masasını araması
2. Kullanıcının olay kayıt formunu doldurması
3. Yönetim araçlarıyla otomatik olarak olay kayıt

Olay yönetimi çıktıları

1. Olay yönetimi raporları
2. Değişiklik talebi
3. Ayrıntılı incelemeler
4. Problem raporları
5. Hizmet seviyesi raporları
6. Talepler

Talep Gerçekleştirme (Request Fulfillment)

Talep ya da hizmet talebi, kullanıcıların BT hizmet yönetimine ilettikleri bilgi, istek, öneri, talepleri ifade eden genel bir kavramdır. Talep gerçekleştirme kullanıcılardan gelen hizmet taleplerini işleme koyar. Şifre değişikliği, yazılım kurulumu gibi standart istekler de olabilir. Düzenli olarak talep edilen ve az risk içeren böylesi taleplerin ayrı süreçler içinde ele alınmaları daha uygun olur.

Birçok hizmet talebi düzenli olarak tekrarlanır. Bu nedenle süreç akışı önceden tasarlanır. Bu tasarım sırasında talepler, ilgili bireyler, destek grupları, süre sınırlamaları, üst kademeye iletme koşulları detaylandırılır.

Talep Gerçekleştirme Aktiviteleri

1. Menüden Seçme: Kullanıcılar, hizmet taleplerini hizmet yönetim araçlarında tanımlanmış bağlantılar aracılığıyla verebilirler.
2. Finansal yetkilendirme: Hizmet taleplerinin finansal etkileri olabilir. Talebi ele almanın maliyeti başlangıçta belirlenmelidir. Standart talepleri ve sabit fiyatları hemen onaylatmak mümkün olabilir. Diğer durumlarda önce maliyet doğru tahmin edilmeli ve onaylatılmalıdır.
3. Gerçekleştirme: Fiili gerçekleştirme hizmet talebinin yapısına bağlıdır. Hizmet masası basit hizmet taleplerini ele alabilir. Diğer hizmet talepleri uzman gruplara veya tedarikçilere iletilir.
4. Kapatma: Hizmet talebi tamamlandığında, hizmet masası talebi kapatır.

Talep gerçekleştirme girdileri

1. Hizmet talepleri
2. Değişiklik talepleri
3. Hizmet portföyü
4. Güvenlik kuralları

Talep gerçekleştirme çıktısı

1. Gerçekleştirilen hizmet talebi

Problem Yönetimi

Problem bir ya da daha fazla olayın kök nedenidir.

Problem yönetiminin birinci amacı, problemleri ve olayları önlemek, olayların tekrarlanmasına engel olmaktır. Önlenemeyen olayların etkileri de en aza indirilir.

Geçici çözüm (workaround) çözümü henüz gerçekleşmemiş bir olay ya da problemin etkisini azaltma ya da ortadan kaldırma yoludur.

Kök nedeni belgelenen ve ayrıntılı olarak incelenen problem bilinen hata (known error) olarak nitelendirilir.

Daha hızlı tanı için bilinen hata veritabanı kullanılır.

Problemleri ele almak için problem modeli kullanılır. Problem modelinde atılacak adımlar, paydaşların sorumlulukları ve gerekli zaman çizelgeleri yer alır.

Problem yönetimi aktiviteleri

1. Reaktif problem yönetimi: Olayların nedenlerini inceler ve çözümler.
2. Proaktif problem yönetimi: Gelecekte ortaya çıkabilecek olayları ve problemleri belirlemek ve önlemek için kullanılır. Eğilimlerin ve zayıf halkaların belirlenmesini içerir. Hizmet operasyonu tarafından başlatılı ama sürekli hizmet iyileştirmesi tarafından yönlendirilir.

Problem Yönetimi Girdileri

1. Problem kayıtları
2. Olay kayıtları
3. Konfigürasyon yönetimi veritabanı
4. Altyapıda kullanılan ürünler hakkında tedarikçi ayrıntıları
5. Hizmet kataloğu
6. Hizmet seviyesi anlaşmaları
7. Kapasite kayıtları
8. Performans ölçümleri
9. Hizmet seviyesi anlaşmaları

Problem yönetimi çıktıları

1. Problem kayıtları
2. Bilinen hata veritabanı
3. Değişiklik talepleri
4. Kapanmış problem kayıtları
5. Yönetim bilgisi

Erişim Yönetimi (Access Management)

Yetkilendirilmiş kullanıcılara hizmetleri kullanma hakkı sağlar. Yetkilendirilmemiş kullanıcıların erişimini engeller. "Hakların Yönetimi" veya "Kimlik Yönetimi" adlarıyla da nitelendirilir.

Hizmet masasından hizmet talebiyle başlatılır.

Erişim Yönetimi Kavramları

1. Erişim: Kullanıcının kullanımına izin verilen hizmetlerin ya da verinin düzeyini ve kapsamını ifade eder.
2. Kimlik: Organizasyonun bireyler hakkındaki bilgisidir. Kimlik bireyin organizasyon içindeki statüsünü oluşturur.
3. Haklar (Ayrıcalıklar): Kullanıcının kullanımına izin verilen hizmetlerdir. Okuma, yazma, çalıştırma, değiştirme, silme, yaratma belli başlı hakları oluşturur.
4. Hizmet Grupları: Bireyler birden fazla hizmete erişirler. Her kullanıcı ve kullanıcı grubuna aynı anda kullanmalarına izin verilen tüm hizmetlere birden erişim hakkı vermek daha etkilidir.
5. Dizin Hizmetleri: erişim ve hakları yönetmek için kullanılan bir araç tipidir.

Erişim Yönetimi Aktiviteleri

1. Erişim talep etme: Erişimin sağlanması ya da kısıtlandırılması çeşitli mekanizmalarla karşılanabilir:
   1. İnsan kaynaklarının standart hizmet talepleri
   2. Değişiklik talebi
   3. Talep gerçekleştirme sistemi
   4. Önceden yetkilendirilmiş bir uygulama indirip çalıştırmak
2. Doğrulama: Erişim yönetimi her erişim talebini iki yönden değerlendirir
   1. Erişim talep eden kullanıcı gerçekten olduğunu söylediği kişi midir?
   2. Kullanıcının hizmeti kullanmak için bir gerekçesi var mıdır? Bu kararı erişim yönetimi vermez. Yalnızca hizmet stratejisi ve hizmet tasarımı tarafından tanımlanan politikaları ve kuralları uygular.
3. Yetkilendirmek: Onaylanmış kullanıcılara hizmetlere erişim haklarını sağlamak.
4. Kimlik statü değişimlerini izlemek: Kullanıcı rolleri zaman içinde değişebilir. İş tanımı değişikliği, terfi, işten ayrılma, emeklilik gibi değişiklikler hizmet kullanım gereksinimlerini değiştirir.
5. Erişimleri kaydetmek ve izlemek: Verilen hak ve yetkilerin olması gerektiği gibi kullanılıp kullanılmadığının denetlenmesi gerekir. Log kayıtlarının tutulması ve hizmet kullanımının raporlanması hizmet operasyonunun diğer süreçlerinde olduğu gibi yerine getirilmesi gereken bir aktivitedir.
6. Hakları iptal etmek ve sınırlamak: Hizmetlere erişim hakları vermek gibi bu yetkileri geri çekmekten de erişim yönetimi sorumludur. Kararı yine erişim yönetimi vermeyecektir.

Erişim Yönetimi girdileri

1. Değişiklik talebi
2. Hizmet talebi
3. İnsan kaynakları talebi
4. Bir hizmeti kullanmaya başlama yetkisini veren bir bölümün talebi

Erişim yönetimi çıktıları

1. Hizmet, kullanıcı, bölüm vb tarafından talep edilen erişim istekleri
2. Kullanıcı yetkilerinin kötüye kullanımını raporlama

İzleme ve kontrol

Hizmetlerin izleme ve kontrolü, sürekli bir ölçme, raporlama ve değerlendirme döngüsüne dayanır. Bu döngü, hizmetlerin tedarik edilmesi, desteklenmesi ve iyileştirilmesi için zorunludur. Aynı zamanda stratejinin belirlenmesi, hizmetlerin tasarlanması, test edilmesi ve hizmet iyileştirilmesi sağlanması için temeli oluşturur.

İzleme ve kontrol kavramları

1. İzleme: Zaman içinde ortaya çıkacak değişimi görebilmek için için hizmet kullanımı ve durumların göz altında tutulmasıdır.
2. Raporlama: İzlenen aktivitelerin çıktılarının derlenmesi, analizi ve dağıtımıdır.
3. Kontrol: Bir cihaz, sistem ya da hizmetin faydasının ya da davranışının yönetimidir. Denetimin üç koşulu vardır:
   1. Davranışın tanımlı bir standarda uyması gözlemlenir
   2. Davranışa neden olan koşulların tanımlanması, anlaşılması ve onaylanması gerekir.
   3. Davranış tanımlı ve onaylanmış olmalıdır.

İç ve dış izleme olmak üzere iki izleme seviyesi vardır. İç izleme, bir ekip ya da bölüm içinde var olan aktivitelere odaklanır. Örneğin hizmet masası yöneticisi telefona cevap vermek için kaç personele gereksinim olduğunu belirlemek için gelen çağrı sayılarını izleyebilir.

Dış izleme ve kontrol bu işlevin kendi alan uzmanlığının ötesindeki unsurları ve aktiviteleri de içine almasıdır. Örneğin sunucu yönetimi, sunucuların iş yüklerini de izleyebilir. Böylece uygulama yönetimi tarafından belirlenen hedeflerle uyumlu olarak çalışıp çalışmadıklarını gözlemler.

İzleme ve kontrol aktiviteleri

İzleme ve kontrol döngüsü modeli olarak uygulanır. Aşağıdakileri yönetmek için kullanılabilir:

1. Süreç ya da prosedürün bütün olarak etkinliği
2. Süreç ya da prosedürün içindeki aktivitelerin performansı
3. Bir aygıtın ya da bir dizi aygıtın performansı

İzleme ve kontrol farklı araçlar kullanılarak gerçekleştirilebilir:

1. Aktif izleme - pasif izleme
2. Reaktif izleme - proaktif izleme
3. Sürekli ölçüm - istisnai ölçüm
4. Performans - çıktılar

İzleme ve kontrol girdileri ve çıktıları

Her gösterge izlenebilir. Önceden amaçların belirlenmesi gereklidir. Bu nedenle açık bir neden yoksa izleme yapılmamalıdır. Başlangıç noktası hizmet seviyesi gereksinimlerdir. İzleme ve kontrol standartları hizmet tasarımında belirlenir.

BT Operasyonları

Hizmetlerin müşteriyle mutabık kalındığı gibi verilebilmesi için hizmet sağlayıcının teknik altyapıyı yönetmesi gerekecektir.

BT operasyonları kavramları

1. Operasyon köprüsü: Çeşitli olayları ve operasyonel aktiviteleri yöneten ve teknolojik bileşenlerin statüsü ve performansı hakkında rapor veren merkezi koordinasyon noktasıdır. Tüm önemli gözlem noktalarının minimum çabayla yönetileceği şekilde organize edilir. Konsol yönetimi, tanılama aktiviteleri, ilk seviye destek aktivitelerini birleştirir. Mesai saatleri dışında ve hafta tatillerinde de hizmet verir. Hizmet masası operasyon köprüsünün bir parçası olabilir.

BT operasyonu aktiviteleri

1. İş programlama (job scheduling): BT operasyonu kapsamında yapılan günlük bakım ve raporlama işleri vardır. Bunlar belli bir sıraya göre yerine getirilir.
2. Yedekleme ve geri yükleme: Detaylı bir iş sürekliliği planlamasının parçası olmalıdır. Yedekleme stratejisi aşağıdaki konulara açıklık getirmelidir:
   1. Hangi veriler, ne sıklıkta yedeklenmelidir?
   2. Geriye doğru kaç kuşak yedek tutulmalıdır?
   3. Depolama ve rotasyon lokasyonları
   4. Veri taşıma yöntemleri
   5. Geri yükleme testleri
   6. Planlanan kurtarma noktaları
   7. Planlanan kurtarma süresi
   8. Uzmanlıkların korunması için eğitimler
   9. Prosedürlerin belgelenmesi
   10. Kullanıcı ve müşterinin yapması gereken işlemler
   11. Geri yükleme prosedürleri
       1. Bozulan veri
       2. Kaybolan veri
       3. İş sürekliliği (felaket kurtarma)
       4. Adli soruşturma

BT operasyonu girdileri

• Hizmet tasarımı ve hizmet geçişi tanımları

BT operasyonu çıktıları

• Müşterilere verilen BT hizmetleri

Hizmet Masası

Telefon, internet üzerinden veya otomatik olarak BT altyapısı üzerinden gelen hizmet talepleriyle ilgilenen insanların oluşturduğu fonksiyonel bir birimdir.

BT hizmet kullanıcıları için tek bağlantı noktasıdır (Single point of contact, SPOC). Tüm gelen durumları, olayları, erişim taleplerini ve hizmet taleplerini kaydeder ve yönetir. Bu işler için yazılım araçları kullanılır.

Hizmet masası kavramları

Hizmet masasının temel amacı aksayan hizmet taleplerini hizmet seviyesi anlaşmalarında tanımlanan düzeye çıkarmaktır. Kullanıcıyı normal çalışma temposuna döndürmektir. Söz konusu durum bir teknik hata olabileceği gibi bir soruyu yanıtlamak veya bir hizmet talebini işleme almak olabilir.

Hizmet masası çeşitli özelliklere göre organize edilir:

1. Lokal hizmet masası: Destek verdiği kullanıcılarla aynı fiziksel mekanı paylaşan hizmet masasıdır.
2. Merkezi hizmet masası: Hizmet masası sayısı azaltılarak ölçek ekonomisinden yararlanılır. Destek için yerel kaynaklar gerektiğinde bunları hizmet masası yönlendirir.
3. Sanal hizmet masası: Ağ teknolojileri kullanılarak farklı coğrafi lokasyonlara dağıtılmış bileşenlerle merkezi hizmet masası izlenimi yaratılmasıdır.
4. Güneşi izleyen hizmet masası: Farklı kıtalarda bulunan hizmet masaları farklı zaman dilimlerinde hizmet vererek kesintisiz hizmet sağlarlar.
5. Uzmanlaşmış hizmet masası grupları: Belirli konulardaki hizmet talepleri o konuda uzmanlaşmış gruplara yönlendirilir.

Hizmet Masası Aktiviteleri

1. Tüm olay ve hizmet kayıtlarının detaylı kayıtlarını tutmak
2. Kategori ve önceliklendirme esaslarını ve kodlarını belirlemek
3. Birinci seviye inceleme ve tanı çalışması
4. Becerebildikleri olayları ve hizmet taleplerini çözümlemek
5. Belirlenmiş zaman diliminde çözümlenmemiş olan olayları ve hizmet taleplerini bir üst destek birimine iletmek
6. Kullanıcıları olay ve talepleri konularında bilgilendirmek
7. Çözümlenmiş olay ve talepleri kapatmak
8. Performans ölçütleri oluşturarak olgunluk, etkinlik, verimlilik göstergelerinin çeşitli zaman aralıklarında ölçülmesi
9. Kullanıcı memnuniyeti araştırmaları yapmak. Somut ölçütlerin yanı sıra soyut ölçütler kullanarak davranış biçimlerinin dostça olup olmadığı, profesyonel bir yaklaşım gösterilip gösterilmediği gibi performans çalışmaları yapmak
10. Konfigürasyon yönetimi veri tabanını güncelleştirmek

Hizmet masası girdileri

Olaylar ve hizmet talepleri

Hizmet masası çıktıları

1. Olay araştırmaları ve tanılar
2. Çözümlenen olaylar ve hizmet talepleri
3. Üst destek birimlerine iletilmiş olaylar
4. Kullanıcılara verilen bilgiler
5. Kapatılmış olay, talep ve çağrılar
6. Konfigürasyon yönetimi veri tabanı güncellemeleri

Hizmet Operasyonu

• Hizmet Yönetimi
• İyi uygulamalar

Ana başlıklar

1. Hizmet yönetimi içindeki yeri
2. Kavramlar ve ilkeler
3. Süreçler
4. Fonksiyonlar, aktiviteler ve prosedürler
5. Organizasyonel yönler
6. Araçlar ve teknoloji
7. Kurulum özellikleri
8. Kritik başarı faktörleri, zorluklar ve riskler

Operasyon Yönetimi

BT hizmet yönetimi yaşam döngüsünün günlük işler olarak nitelendirilen aktiviteler evresidir.

Hizmet operasyonu BT'nin fabrikası gibidir. Hem hizmet üretilir hem de hizmet üretimiyle ilgili altyapı ve teknoloji buradan yönetilir.

Süreçlerin planlama ve kurulumları iyi olsa bile günlük işler düzgün yönetilmiyorsa, izlenmiyorsa ve denetlenmiyorsa yararı olmaz, hizmet iyileştirmeleri mümkün olmaz. Bunun için veri toplanması, ölçütlere göre değerlendirilmesi ve performansın izlenmesi gereklidir.

Hizmet operasyonunun verimli olması için yalnızca donanım, yazılım ve ağ altyapısının olması yeterli değildir. Hazırlanmış süreçlerin ve destek araçlarının da operasyon ekiplerinin ellerinin altında olması gereklidir. Böylece hizmetleri verirken uçtan uca gözlemleyebilirler, hizmet kalitesini olumsuz etkileyecek tehditleri algılayabilirler.

Hizmet operasyonu ne bir organizasyon birimi ne de tek bir süreçtir. Çeşitli fonksiyonları, süreçleri ve aktiviteleriyle BT hizmet yönetiminin bir evresidir.

Amaç

Hizmet operasyonunun amacı kullanıcılara ve müşterilere taahhüt edilen seviyede hizmetlerin verilmesi süreçlerini ve aktivitelerini koordine etmek ve gerçekleştirmektir. Hizmetlerin verilmesi için gerekli altyapı ve teknolojinin yönetimi de hizmet operasyonunun sorumluluğundadır.

Kapsam

1. Hizmetler: Hizmetin bir parçasını oluşturan her aktivite hizmet operasyonunun kapsamına girer. Bu aktiviteyi gerçekleştren hizmet sağlayıcı, başka bir tedarikçi, kullanıcı veya müşteri olabilir.
2. Süreçler: Hizmet yönetimi yaşam döngüsü içinde yer alan birçok süreç hizmet operasyonu tarafından yürütülür ve yönetilir. Hizmet tasarımı ve hizmet geçişi gibi farklı evrelerde ortaya çıkan birçok süreç (değişiklik yönetimi, kapasite yönetimi gibi) hizmet operasyonu tarafından sürekli olarak kullanılır. Hizmet stratejisi gibi uzun dönemli planlama ve iyileştirme ile ilgili aktivitelere de önemli girdiler sağlar.
3. Teknoloji: Hizmetleri sunmak için mutlaka bir çeşit teknoloji kullanılır. Bu teknolojinin yönetilmesi ayrı bir konu olarak ele alınmaz. Hizmet operasyonu evresinin önemli bir kısmı altyapı ve teknolojilerin yönetilmesinine adanmıştır.
4. İnsanlar: Hizmetler, süreçler, teknolojiler insanlar hakkındadır. Organizasyonların hizmet ve ürün taleplerini tetikleyenler insanlardır. Bu hizmetlerin nasıl verilmesi gerektiğini belirleyenler yine insanlardır. Hizmetleri, süreçleri ve teknolojileri yönetenler hep insanlardır. Bunu göz önüne almamak başarısızlığı getirir.

Değer Sağlama

Hizmet yaşam döngüsünde her evrede değer yaratılır. Hizmet stratejisinde hizmet modellenir, hizmet tasarımında ve hizmet geçişinde hizmetin kalitesi ve fiyatı tasarlanır, öngörülür ve doğrulanır. Sürekli hizmet iyileştirmesinde iyileştirme ölçütleri belirlenir. Hizmet operasyonu bu planların, tasarımların ve iyileştirme hedeflerinin ölçüldüğü ve yürütüldüğü yerdir. Müşteri ve kullanıcı açısından değerin algılandığı evredir.

Çelişkili konular

• Bir hizmet tasarlandıktan ve denendikten sonra bütçe ve yatırım getirisi hedeflerine göre çalışması beklenir. Bir projenin maliyetini belirlemek çok kolaydır. Ama zaman geçtikçe yaşam döngüsünün erken aşamalarında yapılan tahminlerdeki isabet azalır. Hizmetin beş yıl sonraki maliyetini belirlemek ise çok zordur.
• Operasyonel evrede tasarım hatalarını ve öngörülememiş gereksinimleri karşılayacak parasal kaynak bulmak zorlaşır. Bazı sorunlar belli bir operasyon sürecinden sonra ortaya çıkar. Bunlar orijinal tekliflerin bir parçası olmadığı için ve organizasyonlarda bu konuda mekanizmalar olmadığı için operasyonel sorunlarmış gibi olay yönetimi ve problem yönetimine bırakılır.
• Hizmet operasyonlarının verimliliğini artıracak araçlar ve eğitim gereksinimleri için ek parasal kaynaklar bulmak zordur. Bunun iki nedeni vardır. Bu maliyetler ilgili hizmetlerle doğrudan bağlantılı değildir ve müşteride bu maliyetlerin hizmet üretiminin içine baştan katılması gerektiği beklentisi vardır.
• Hizmet operasyonel olduktan bir süre sonra bir referans temel çizgisi oluşturur. İyi kötü çalışan bir hizmet sürecini iyileştirme ve daha etkin yönetebilmek için yeni araçlar devreye alınması "bozuk olmayan süreci onarmak" olarak nitelendirilir. Bu çabalar ancak çok sorunlu hizmet süreçlerinde hoş görülür.

Hizmet operasyonu performans iyileştirmesi

1. Uzun dönem kademeli (incremental) iyileştirme: Tüm süreçler ve fonksiyonların performanslarını zaman içinde değerlendirerek sağlanır. Raporlar incelenerek iyileştirme gerekip gerekmediği, gerekiyorsa hizmet tasarımı ve hizmet geçişi kullanılarak nasıl en iyi bir şekilde yapılacağı kararlaştırılır. Yeni araçların kullanıma sokulması, süreç tasarımlarının değiştirilmesi ve altyapının yeniden yapılandırılması gibi örnekleyebileceğimiz bu tür iyileştirmeler sürekli hizmet iyileştirmeleri kapsamında ele alınırlar.
2. Kısa dönem sürekli iyileştirme: Temel süreç, fonksiyon ve teknoloji özelliklerini değiştirmeden günlük aktivitelerde yapılan küçük değişikliklerdir. Bunlar ince ayarlar yapılması, iş yükü dengeleme, personel yerleştirme ve eğitim gibi örneklerdir.

Giriş

Organizasyonlar dinamik bir çevrede faaliyet gösterirler. Hem müşteriler hem de hizmet sağlayıcıları kurumsal çıkarları doğrultusunda çevrelerini incelerler ve değişikliklere uyum gösterirler. Müşteriler daha kaliteli hizmeti daha ucuza almak için seçenekler oluştururken, hizmet sağlayıcıları da daha kaliteli hizmeti daha ucuza sağlamak için çaba gösterirler.

Dış kaynak kullanımının artmasıyla organizasyonlar içindeki hizmet sağlayıcı bölümler de baskı altına girmişlerdir. Bu baskılarla baş edebilmek için böylesi organizasyonlar kendilerini sektörel benzerleriyle kıyaslarlar. Yeteneklerindeki eksiklikleri tamamlarlar. Bunun bir yolu sektörel ve endüstriyel iyi uygulamaları adapte etmektir. Bu iyi uygulamalar standartlar ve metodolojilerdir. Bunlar sahipli veya genel kullanıma açık olabilir.

Genel kullanıma açık metodolojileri kullanmak daha avantajlıdır

• Sahipli metodolojiler başarılı olan organizasyonların kurumsal özelliklerini taşır, iyi belgelenmemiştir. Adapte edilebilmeleri kolay değildir.
• Sahipli metodolojiler bazı özgün iş gereksinimlerine yönelik olarak uyarlanmıştır. Özel amaçlıdırlar. Aynı özgün niteliklere sahip olmayan organizasyonlarda etkin olmazlar.
• Sahipli metodolojilerin maliyeti daha yüksektir. Yüksek satış ve lisanslama bedelleri olur.
• Açık metodolojiler farklı ortamlarda ve farklı organizasyonlarda kullanıldığı için uyumsuzluk oranları daha azdır.
  • ITIL, COBIT, CMMI, eSCM-SP (eSourcing Capability Model for Service Providers), PMBOK, PRINCE2, ISO 9000, ISO 20000, ISO 27001
• Açık metodolojilerin arkasında eğitim ve sertifikasyon olanakları ve daha geniş bir uzman topluluğu olduğu için iş piyasasından edinmek daha kolaydır.

İşlerin doğası gereği hizmet operasyonu süreçleri genellikle reaktiftir. Hizmet operasyonu sürekli olarak günlük işleri daha iyi ve daha ucuza yapmanın yollarını bulmak için çalışır. Bu da proaktif süreçler tarafından gerçekleştirilir.

Operasyonel aktiviteler

Teknoloji kullanımının hizmet hedefleri ve süreç hedeflerini karşılayacak şekilde olması için uygulanacak aktiviteler.

Süreç olarak nitelendirilirler.

Uzmanlaşmış teknik aktivitelerdir.

Teknoloji yönetimi aktivitelerini hizmet yönetimi aktivitelerinden ayırmak mümkün değildir. Teknolojiyi insanlar yönettiği için bunları insanlardan ayırmak ta mümkün değildir.

Teknolojiyi iyi görünmek için kullanmayız. Hizmet hedeflerimize ulaşmak için kullanırız.

Hizmet yaşam döngüsünün diğer evrelerinde anlatılan aktiviteler

1. Değişiklik Yönetimi -- Hizmet geçişi
   1. Değişiklik taleplerinin hazırlanması
   2. Değişiklik danışma kurulunda (CAB) yer almak
   3. Değişiklikleri uygulamak, kaldırmak
2. Konfigürasyon Yönetimi -- Hizmet geçişi
   1. Konfigürasyon elemanları ve konfigürasyon yönetimi veri tabanlarındaki çelişkileri bildirmek
3. Sürüm ve Yaygınlaştırma Yönetimi -- Hizmet geçişi
   1. Yeni sürümlerin yaygınlaştırılması
   2. Sürüm planlamasında yer almak
   3. Konfigürasyon elemanlarının DML (Definitive media lib) den alınıp, tekrar konması
4. Kapasite Yönetimi -- Hizmet stratejisi, tasarımı, geçişi
   1. İşe ilişkin kapasite yönetimi
   2. Hizmet kapasite yönetimi
   3. Kaynak kapasite yönetimi
5. Erişilebilirlik (availability) Yönetimi -- Hizmet tasarımı, hizmet geçişi
   1. Bakım aktivitelerinin gözden geçirilmesi
   2. Önemli problemlerin gözden geçirilmesi
   3. Hata analizleri
6. Bilgi Yönetimi -- Hizmet stratejisi, hizmet tasarımı, CSI
7. Finansal Yönetim -- Hizmet stratejisi
   1. Harcamalar ve bütçe gözden geçirmeleri
8. İş sürekliliği Yönetimi (Felaket kurtarma, olağanüstü durum) -- Hizmet stratejisi, tasarımı
   1. Risk değerlendirmesi
   2. Risk yönetimi süreçlerinin uygulanması
   3. Olağanüstü durum planlarının hazırlanması, test edilmesi, değiştirilmesi
   4. İş sürekliliği eğitimleri

Teknik yönetim

BT altyapısının teknik uzmanlığı ve genel yönetimi ile ilgili kişi, grup ve ekiplerin yönetimi fonksiyonudur. İkili rolü vardır:

1. BT hizmetlerini tasarlamak, test etmek, yönetmek ve iyileştirmek için gerekli bilginin belirlenmesi, sağlanması ve geliştirilmesinden oluşur.
2. BT hizmet yönetimi yaşam döngüsünü desteklemek için gerekli kaynakları sağlar.

Teknik yönetimin amaçları

1. Teknoloji topolojinin yüksek başarımlı, maliyet etkin kullanımı
2. Teknik altyapının iyi durumda sürdürülmesi (idame, maintain) için gerekli alan uzmanlığının yönetimi
3. Teknik sorunların hızlı tanılanması ve çözülmesi için gerekli alan uzmanlıklarının yönetimi

Teknik yönetim aktiviteleri

1. BT altyapısının yönetilmesi için gerekli bilgi ve uzmanlıkların belirlenmesi
2. Organizasyonda mevcut olan becerilerin belgelenmesi
3. Eğitim gereksinimlerinin belirlenmesi
4. Eğitim programlarının tasarımı ve uygulanması
5. Eksik uzmanlıkların dış kaynak kullanımı yoluyla sağlanması

Teknik yönetim organizasyonu ekip ya da bölümleri

1. Ana bilgisayar
2. Sunucu
3. Ağ
4. Veri tabanı
5. Masaüstü
6. Dizin hizmetleri
7. İnternet (web)
8. Mesajlaşma
9. IP telefonları

Uygulama Yönetimi

Uygulama yönetimi, uygulama ilişkisi, teknik yönetim, BT altyapısı ilişkisi gibi.

Uygulama geliştirme ile bire bir örtüşmez.

Uygulama yönetimi amaçları - teknik yönetim gibi

Uygulama yönetimi ilkeleri -- Geliştir veya satın al

Uygulama yönetimi yaşam döngüsü

1. Gereksinimler
2. Tasarım
3. Oluşturma, kurulum
4. Yaygınlaştırma
5. Operasyon
6. İyileştirme

Hizmet Operasyonu Roller ve Sorumluluklar

1. Hizmet masası
   1. Süpervizör (Amir)
   2. Analist
   3. Yetkili kullanıcı (super user)
2. Teknik yönetim
   1. Teknik analist
   2. Teknik mimar
3. BT operasyon yönetimi
   1. Vardiya amiri
   2. Operatör (işletmen)
4. Uygulama yönetimi
   1. Uygulama analisti
   2. Uygulama mimarı
5. Olay yönetimi
   1. Birinci seviye destek personeli
   2. İkinci seviye destek personeli
6. Durum yönetimi
7. Talep gerçekleştirme
8. Problem yönetimi
9. Erişim yönetimi