Bir üretim firmasının BT müdürü, yönetim kuruluna bulut bilişim geçişini sunarken beklenmedik bir soruyla karşılaşıyor: ‘Verilerimiz nerede duruyor?’ Bu soruyu yanıtlayamayan BT müdürü, projeyi ertelemek zorunda kalıyor. Benzer sahneler son aylarda pek çok orta ölçekli Türk şirketinde yaşanıyor. Bulut bilişim kavramı artık yalnızca teknoloji dergilerinde değil, yönetim kurulu toplantılarında da gündemin üst sıralarına taşınıyor. Ancak bu geçişin teknik bir tercih olduğunu düşünen şirketler, asıl riski gözden kaçırıyor.
Bulut bilişim, şirketlerin kendi sunucu altyapısını kurmak yerine yazılım, depolama ve işlem kapasitesini internet üzerinden bir hizmet sağlayıcısından kiralamasını ifade ediyor. Maliyet avantajı açık: büyük sermaye harcaması yerine aylık veya yıllık abonelik modeli, bakım ve güncelleme yükünün sağlayıcıya devredilmesi. Ancak bu modelin cazip görünen yüzünün arkasında, yönetim kurulunun doğrudan sahiplenmesi gereken birkaç kritik risk katmanı bulunuyor. Bu riskleri teknik ekibe bırakmak, şirketin stratejik karar alma sürecini zayıflatan bir alışkanlık.
Birinci risk katmanı veri lokasyonudur. Bulut hizmet sağlayıcıları verilerinizi fiziksel olarak nerede saklıyor? Sunucular Türkiye’de mi, Avrupa’da mı, yoksa Amerika’da mı? Bu sorunun yanıtı yalnızca teknik bir detay değil; aynı zamanda hangi ülkenin hukuki düzenlemelerine tabi olduğunuzu belirliyor. Türkiye’deki bir üretim firmasının müşteri ve tedarikçi verilerinin yabancı bir veri merkezinde tutulması, veri erişim talepleri veya hukuki anlaşmazlık durumlarında ciddi komplikasyonlara yol açabilir. Sözleşme imzalanmadan önce bu soruların net yanıtlarının alınması, yönetim kurulunun sorumluluğunda.
İkinci risk katmanı tedarikçi bağımlılığıdır. Bir bulut sağlayıcısına geçtikten sonra verilerinizi, iş süreçlerinizi ve çalışanlarınızın alışkanlıklarını o platforma göre yeniden şekillendiriyorsunuz. Sağlayıcı fiyatlarını artırdığında, hizmet kalitesi düştüğünde veya şirket el değiştirdiğinde ne yapacaksınız? Alternatif bir sağlayıcıya geçmek ne kadar sürer, ne kadar maliyetlidir? Verilerinizi geri almanız teknik olarak mümkün mü ve bu süreç sözleşmede açıkça tanımlanmış mı? Bu sorular, bir BT uzmanının değil, yönetim kurulunun masasında yanıt bulması gereken stratejik sorulardır. Tedarikçi bağımlılığı riski, geleneksel yazılım lisanslama modellerinde de var olmakla birlikte, bulut modelinde çok daha derin bir operasyonel bağımlılık yaratıyor.
Üçüncü risk katmanı uyum ve denetim konularıdır. Türkiye’de faaliyet gösteren şirketler, Gelir İdaresi Başkanlığı’nın e-Beyanname gibi elektronik bildirimlere ilişkin gerekliliklerini karşılamak zorunda. Bunun yanı sıra sektöre göre farklı denetim ve belge saklama yükümlülükleri söz konusu. Muhasebe kayıtlarınız, stok hareketleriniz ve tedarik zinciri verileriniz bir bulut ortamında tutuluyorsa, bu verilere denetçilerin erişimi nasıl sağlanacak? Sağlayıcının sistem bakımı veya teknik arıza nedeniyle erişimi geçici olarak kestiği bir dönemde yasal bir bildirim yükümlülüğünüzü yerine getirmeniz gerekirse ne olacak? Bu senaryolar, sözleşme müzakeresi aşamasında açıkça ele alınmalı.
Yönetim kurulunun bu riskleri değerlendirmesi için teknik bilgiye ihtiyacı yok; doğru soruları sormaya ihtiyacı var. BT ekibinden veya danışmandan beklenmesi gereken, riskleri teknik dilden çıkarıp kurumsal karar diline çevirmesidir. Hangi veriler buluta taşınacak, hangisi şirket içinde kalacak? Hizmet kesintisi durumunda iş sürekliliği planı nedir? Sözleşme fesih koşulları ve veri iade prosedürü ne diyor? Bu soruların yanıtları bir sunum slaydında değil, imzalanacak sözleşmenin maddelerinde yer almalı.
Bulut bilişim geçişini değerlendiren bir KOBİ yöneticisi için karar kriteri şu olmalı: Eğer sağlayıcı bu soruları yanıtlamaktan kaçınıyorsa veya yanıtlar muğlaksa, o sağlayıcıyla ilerlememek gerekiyor. Maliyet avantajı gerçek ve cazip olabilir; ancak operasyonel bağımlılık ve veri güvenliği riskleri, bu avantajı kolayca silip süpürebilir. Yönetim kurulunun görevi teknolojiyi anlamak değil, riskleri sahiplenmek ve bu sahiplenmeyi sözleşme güvencelerine dönüştürmektir.