Three Line of Defense
Freud’un Yapısal Kişilik Kuramı üzerinden, Kurumsal Risk Yönetimi (ERM) olarak da bilinen ve şirketlerin iş süreci genelinde risk yönetimi yetenekleri oluşturmak için kullandıkları “Üçlü Savunma Hattı” (3LD) sürecini öğrenmek, değerlendirmek ve içselleştirmeye hazır mısınız?
Freud, kişilik kuramında 3 bölümden oluşan bir yapıdan bahşeder. Bunlar ID, EGO ve SuperEgo dur. Bilişim sistemlerinde de biz 3 lü savunma hattından bahsederiz. Bu iki kavram öyle birbirine benziyor ve eşleniyor ki, aklımızdan çıkmayacak yapıda özümseyeceğimiz bir örneklem oluşturmaktadır.
ID; insanın yalın halidir diyebilirim. Freud a göre ID; her istediğini ilkel bir yaklaşım ile sorgulamaksızın yapmanın tanımıdır. İnsanın sorgulamaksızın yaptığı arzu, istek ve eylemleri bu kavramda tanımlanır. Bizde ise 1.line of defense dediğimiz iş birimi ve it ekipleri bu kavrama denk gelmektedir. 1LD işin olmasını ister. It ekiplerinin ilk önceliği üzerlerindeki işleri tamamlamak ve sürekliliği sağlayarak servis vermektir. Elbette bu noktada bazı kontrol, gereklilik ve kurallar atlatabilir. Self control dediğimiz kavram ortadan kalkar ve hatalı işlemler gerçekleşebilir. Örneğin, bir uygulamanın çalışmasında admin yetkisi verilmesi, çalışan bir sisteme patch geçilmeyip çalışır bırakılması tamamen bu sebeptendir. Burada önemli olan işi yapmaktır ve diğer tüm gereksinimler göz ardı edilebilir.
EGO; ID nin yapmak istediklerini kontrol eden ve doğru/yanlış kavramı ile gerekli kontrol ve kural setlerini belirleyendir. İşte Bilgi Güvenliği ve Kontrol fonksiyonları buradadır. Yapılacak işlere yönelik kural setlerini koyan, uygun yapı, adım, akış, kural setlerini tanımlayan fonksiyonlar 2.line of defense içerisindedir. Güvenlik ve kontrol fonksiyonları genel kural ve tanımlarını doğru, kesin ve eksiksiz yapmalı ki, 1line daki ekipler işlerini doğru yapabilsin.
ID ve EGO birlikte senkron çalışmalıdır ki, yapılacak işlemlerin yasal süreçlere, iyi pratiklere ve şirket stratejisine uygun bir akışta ilerlemesi sağlanabilsin. Eğer ID, EGO nun söylediklerini dinlemeyip çalışmalarını buna uygun işletmez ise çalışmalarda ciddi zafiyet ve eksiklikler oluşacaktır.
SUPEREGO; Freud a göre tam bir denetim fonksiyonudur. ID ile EGO nun iletişimi, birlikte çalışması üzerine gerekli kontrolleri sağlayarak denetim akışını sağlar. Değerlendirmeleri ile uygun ve hatalı noktaları ortaya çıkartır ve ID ile EGO arasındaki süreçlere bütünsel bakış sağlar. İşte bu bizdeki denetim fonksiyonudur. Denetim departmanlarımız temel olarak IT ve Güvenlik/kontrol birimlerine yönelik yaptığı incelemeler ile süreç, teknoloji ve insan odaklı analizler ile değerlendirmeleri sağlar. Özetle, yaptığımız iş insan yaşamının iş hayatındaki karşılığıdır. Nasıl insan beyni kendi içinde 3 ayrı yapıda işliyor ise iş hayatında işlettiğimiz organizasyonel yapılar bizim yaşamımızın yansımasıdır. Bireysel olarak içsel olarak yaşadığımız yaşamsal fonksiyonlarımız iş hayatında yapısal olarak oluşturulmuş ve doğru işletilmesi durumunda başarıyı getirecektir.
Leave a Reply