1. V. ULUSAL LOJİSTİK ve TEDARİK ZİNCİRİ KONGRESİ
26-28 Mayıs 2016, MERSİN
LOJİSTİK OPERASYONLARINDA BİLGİ GÜVENLİĞİ
UYGULAMALARI ÜZERİNE BİR ÇALIŞMA
Mahir SALLAN1
, Rıza Haluk KUL2
, Ediz ŞAYKOL3
, Kazım SARI4
1
Beykent Üniversitesi, Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Programı,
mahirsallan@gmail.com
2
İstanbul Gelişim Üniversitesi, Uygulamalı Bilimler Yüksek Okulu, Uçak Gövde Motor Bakım Bölümü,
rhk@gelisim.edu.tr
3
Beykent Üniversitesi, Mühendislik–Mimarlık Fakültesi, Bilgisayar Mühendisliği Bölümü,
ediz.saykol@beykent.edu.tr
4
Beykent Üniversitesi, Mühendislik–Mimarlık Fakültesi, Endüstri Mühendisliği Bölümü,
kazims@beykent.edu.tr
ÖZET
Lojistik alanında faaliyet gösteren firmalarda, bilişim sistemlerinin doğru tasarlanıp uygulanması ve bu sistemlerin bilgi
güvenliği yönetim sistemine uyumu konusunda geçerliliği kanıtlanmış bir yöntem bulunmamaktadır. Bu çalışmada ise lojistik
operasyonlarında Türkiye çapında faaliyet gösteren bir firmanın bilgi güvenliği yönetim sistemi uygulamaları üzerine bir
deneyim aktarılmıştır. Firmanın bilgi güvenliğinde ürettiği dokümanlar, bilgi güvenliğinin uygulanması için hangi
dokümantasyonların gerektiğini betimleyen belgeleri sunmuştur. Bu kapsamda ilk işlem, “Bilgi teknolojileri anketi” ve
“İncelenecek ve İstenecek belgelerdir”. Bu konuda sistem içinde standartlara ve işleyişe uygun bir düzenleme
gerçekleştirilmiştir. Denetim sürecinde kullanılması gereken üçüncü dosya da “iş süreçleri kontrol listesi” dir. Bu dosyada
ise müşterilere sistemle alakalı sorulan sorular bulunmaktadır. Bu sorularla sistemin nasıl korunduğu, nasıl ilerlediği gibi
konulara cevap aranmaktadır. “İncelenecek ve istenecek belgeler”, “bilgi teknolojileri anketi” ve “iş süreçleri kontrol
listesi” de ayrıca tasarlanmış ve işletilmiştir. Uygulama sonucu elde edilenler deneyimler de ayrıca çalışma metninde
sunulmuştur.
Anahtar Sözcükler: Bilgi Güvenliği, Lojistik, Lojistik Bilişim Sistemleri
ABSTRACT
A STUDY ON INFORMATION SECURITY APPLICATIONS IN LOGISTICS OPERATIONS
There is no proven method that has been agreed for a compliance about correct design and implementation about the
information systems and their information security in logistics sector companies. In this study, experiences and lessons
learned about the information security for a logistics company that operates overall Turkey will be transferred. The
documents created in the scope of information security management includes the documents describes which forms and
documents are needed for information security. In this scope, the preferential tasks are "information technology survey" and
"requested and reviewed documents". For that purpose an arrangement for the systems that is proper to standards and
operations. The third file during the audit process is "business processes checklist". In this checklist, there are questions
prepared to be asked to the customers about the system. In these questions, it is aimed to find answers for the questions such
as; how the system is protected, and progressed. During the study; "information technology survey", "requested and
reviewed documents" and "business processes checklist" forms are designed and executed. The results and experiences with
the application are also presented in this paper.
Keywords: Information Security, Logistics, Logistic Information Systems
1. GİRİŞ
Ürün, hizmet, bilgi ve sermayenin üretiminden tüketildiği noktaya kadar olan etkin, sürdürülebilir ve verimli
akışları, lojistik yönetiminin planlama, uygulama ve kontrol süreçlerini kapsamaktadır. Lojistik yönetiminde
temel amaç, sipariş, üretim, depolama ve fiziksel dağıtım imkânlarını birlikte ele alarak toplam faydanın en
yüksek olduğu politikaları belirmeyebilmektedir. Lojistik firmaları, operasyonel gereksinimleri için farklı
amaçlara göre geliştirilmiş bazı yazılım araçlarından faydalanarak, tümleşik bir lojistik bilgi sistemi kullanırlar.
Bu sistemde bilginin kararlılığı, bütünlüğü ve uygun akışı, gerek kurumsal süreçlerde gerekse bilgi güvenliği
açısından önemlidir (Basar vd, 2011), (Clemons ve Aron, 2002), (Chandra ve Tumanyan, 2005).
2. V. ULUSAL LOJİSTİK ve TEDARİK ZİNCİRİ KONGRESİ
26-28 Mayıs 2016, MERSİN
Şekil 1: Lojistik Bilgi Sistemi Paydaşları (Kaynak: http://www.beykoz.edu.tr/tr/content/lojistik-nedir)
Lojistik Bilişim Sisteminde, Şekil 1’de verildiği gibi lojistik operasyon süreçlerinin tümü için firmaların iç
ve/veya dış diğer sistemleri ile bütünleşik bir şekilde çalışabilen, doğru ve eksiksiz bilgi akışının sağlandığı ve
bu bilgi akışının sağlıklı yürütülebilmesi oldukça önemlidir. Nitekim bu önem, tedarik zincirinde gözlenen bilgi
bozulmalarını ifade eden “kamçı etkisi” ile beraber daha da artmıştır (Lee vd., 2004). Günümüzde, lojistik
firmalarının müşterilerinin artan isteklerini karşılamak ve gerçek zamanlı olarak tedarik zincirini yönetebilmek
için ciddi bilişim yatırımları yapmak zorundadırlar. Şöyle ki, (Fawcet vd., 2008) tarafından yapılan deneysel bir
çalışma, teknoloji ve bilişim sistemlerinin başarılı bir tedarik zinciri yönetimi için hayati öneme sahip olduğunu
ortaya çıkarmıştır. Benzer bulgular (Subramani, 2004) tarafından 131 tedarikçi firma arasında yapılan çalışmada
da elde edilmiştir.
Lojistik firmalarının müşterileri ile uzun soluklu işbirlikleri arttıkça Türkiye’deki lojistik sektörünün bilişim
altyapısı ise güçlenmektedir. Bilişim sistemlerindeki bu gelişim, diğer birçok sektöre göre değerlendirildiğinde,
lojistik sektöründe çok daha yoğun olduğu görülmektedir. Esasında, lojistik yönetimi alanında günümüzde
gözlenen hızlı ilerlemeler, büyük oranda bilişim ve haberleşme sistemlerindeki gelişme ve yaygınlaşma ile
mümkün olabilmiştir. Tedarik zincirinde işbirliği stratejilerinin geliştirilmesi, envanter kayıt hatalarının
giderilmesi ve tedarik zinciri üzerindeki görünürlüğün arttırılması ancak bilişim sistemleri ile mümkün
olabilmektedir (Sari, 2015; Delen vd., 2009). Bu bulgulara paralel olarak, günümüzde, malların hareketlerinin
planlanmasında, evrakların hazırlanmasında, sevkiyat, teslimat, mal ve bedellerin tahsili, iade mallar gibi
lojistikle ilgili bütün lojistik süreçlerde bilişim sistemlerinin kullanımının yaygınlaştığı görülmektedir. Bu
nedenle, bilişim sistemlerinin lojistik stratejik planlama olarak kullanımı hayati rol oynamaktadır. Ürünlerin
doğru zamanda, doğru yerde, doğru bilgi ile sunulması, nitelikli bilgi transferi sağlayan bilişim teknolojileri
sayesinde mümkün olabilmektedir. Lojistik süreçlerde taşıma operasyonlarından, siparişin alınmasına, sevkiyat
bilgilerine, teslimat yerleri, dönüş yükü gibi filo yönetiminin temelini oluşturan bilişim sistemlerine dayalı alt
yapısına kadar tüm süreçler, bilişim sistemleri ile yönetilmektedir. Tüm bu süreçlerin sağlıklı bir şekilde
yürütülebilmesi için ise bilişim sistemlerindeki bilgi güvenliğinin sağlanması, yönetilmesi ve uygulanabilmesi
son derece önem kazanmaktadır (Basar vd, 2011).
ISO/IEC 27001, Bilgi güvenliği yönetim sistemi (BGYS) gereksinimlerini tanımlayan tek denetlenebilir
uluslararası standarttır. Bu standart, işletmeler içerisinde bilgi güvenliğinin planlanması, uygulanması,
sürdürülebilirliğini sağlaması için, bilgi güvenliği yönetimi ile ilgili kuralların ve kontrol hedeflerinin
uygulanmasını içermektedir. Bu kuralları, uygulamaları ve kontrolleri oluşturan yöntemlerin bütünü ‘Bilgi
Güvenliği Yönetim Sistemi (BGYS) olarak tanımlanmaktadır. BGYS, kurumsal bilgilerin güvenli kalmasına
yönelik bir yaklaşım olmakla birlikte, olabilecek risklerin ve tehditlerin belirlenmesi, güvenlik politikalarının
oluşturulması, denetimlerin ve uygulamaların kontrolü, uygun yöntem ve süreçlerin geliştirilmesi, yönetimsel
yapıların kurulması ve yazılım/donanım fonksiyonlarının sağlanması gibi denetim eylemleri birbirini
tamamlayacak şekilde gerçekleşmektedir (Durkaya ve Topçu, 2015).
3. V. ULUSAL LOJİSTİK ve TEDARİK ZİNCİRİ KONGRESİ
26-28 Mayıs 2016, MERSİN
2. BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ
ISO/IEC 27001 standartlarına uygun bir BGYS kurulmasını sağlamaya yönelik bilgi ve deneyimlerin
aktarılması ve ISO/IEC 27001 bilgi güvenliği yönetim sistemi standartlarının tanıtılması, bu standartların lojistik
alanında kullanılması ve lojistik sistemlerindeki bilişim sistemlerine bilgi güvenliğinin uygulanmasını sağlamak
için öncelikle bilgi güvenliği yönetim sistemini anlamak gerekmektedir.
Bilgi güvenliği yönetim sistemi (BGYS), kurumsal bilgilerinin güvenli kalmasına yönelik bir yaklaşım olup,
olası risklerin ve tehditlerin belirlenmesi, güvenlik politikalarının oluşturulması, denetimlerin ve uygulamaların
kontrolü, uygun yöntemlerin geliştirilmesi, yönetimsel yapıları kurulması ve yazılım/donanım fonksiyonlarının
sağlanması gibi bir dizi denetim eyleminin birbirini tamamlayacak şekilde gerçekleşmektedir.
Küresel rekabet ortamında işletmelerin gerek hizmet çeşitliliğinin gerek kalitesinin artmasına bağlı olarak,
ölçeklerinde ve büyüklüklerinde de artışlar olmakta, işletmelerin sahip oldukları sahip oldukları bilgi
güvenliğinin sağlanması ve yönetilmesi konusunda standart bir yönetim yaklaşımının oluşturulmasına ihtiyaç
duyulmaktadır.
Kapsam belirleme aşamasında öncelikle BGYS’nin kurum içerisindeki geçerlik alanının tanımlanması
yapılmaktadır. Kapsam kurumun güvenlik gereksinimlerini, kurumun sahip olduğu müşteriler ve verdiği
hizmetler, ek olarak uyulması gereken yasal düzenlemelerin değerlendirilmesi ile belirlenmektedir.
Bu kapsamın temel olarak ele alınması sayesinde, gerekli olan yönetim sistemi değişiklikleri
değerlendirilebilir olacaktır. Kapsam belirlemede yasal gereksinimlerin karşılanması kritik bir bileşen olarak ele
alınmaktadır. Tüm süreçler ilgili düzenlemelerin gerekliliklerini yerine getirecek şekilde analiz edilerek kapsama
dahil olup olmayacağı belirlenmelidir. Kapsamı belirlemek için; İş ihtiyaçları ve karakteristiği, organizasyonel
karakteristik, lokasyon bilgisi, varlık bilgisi ve teknoloji bilgisi belirlenmelidir (Durkaya ve Topçu, 2015).
Uygulanabilirlik bildirgesi olan SOA (Statement of Applicability), ISO/IEC 27001 standardı içerisinde yer
alan kontrol hedeflerinin arasından kurum bünyesinde uygulanan kontrollerin seçilmesi ile oluşturulan kapsam
dahilinde yer almayan kontrollerin neden dahil edilmediğinin açıklandığı ve sertifikasyonu için oluşturulması
zorunludur.
SOA oluşturulurken kritik varlıklar ve risk değerlendirmeleri değerlendirilmeye alınmalıdır. Risk analizleri
göz önünde bulundurularak gerektiği durumda ek kontrollerin devreye alınması ve uygulanabilirlik bildirgesi’ne
eklenmesi gerekmektedir.
2.1. ISO/IEC 27001:2013
Test edilecek kontrol hedeflerinin tanımlandığı bölümdür. Bu kontrol hedefleri bilgi güvenliğine etki eden
fonksiyonel gereksinimleri ortaya koymakta ve on dört kısımdan oluşmaktadır.
• Bilgi güvenliği politikaları
• Bilgi güvenliği organizasyonu
• İnsan kaynakları güvenliği
• Varlık yönetimi
• Erişim kontrolleri
• Şifreleme
• Fiziksel ve çevresel güvenlik
• Operasyon güvenliği
• İletişim güvenliği
• Sistem edinme, uygulama ve sistem bakımı
• Tedarikçi ilişkileri
• Bilgi güvenliği olay yönetimi
• İş sürekliliği yönetimi
• Uyum
4. V. ULUSAL LOJİSTİK ve TEDARİK ZİNCİRİ KONGRESİ
26-28 Mayıs 2016, MERSİN
Verilen bu on dört madde bilgi güvenliğinin kontrol hedeflerinin ve rollerinin belirlenmesindeki temel
taşları ortaya koyar ve bilgi güvenliği yönetim sisteminin uygulanabilirliğini artırmaktadır (Durkaya ve Topçu,
2015).
3. BİLGİ GÜVENLİĞİNİN BİR LOJİSTİK FİRMASINA UYGULANMASI
Genel olarak bilgi güvenliğinin bir lojistik firmasına uygulanması için bazı dosyalar bulunmaktadır. Bu
dosyalar, firmaların nasıl bir yöntem uygulayacağı, hangi bilgilerin tedarik edileceği gibi bir takım örnekler ile
birlikte sunulmuştur.
3.1. “Bilgi Teknolojileri Anketi” ve “İncelenecek ve İstenecek Belgeler”
ISO 27001 ve COBIT bazında müşterilerden talep edilen dosyalardır. Buradaki kontrol noktalarına göre
istenilen bilgileri temin edip yeterli uyumlulukta olup olmadığına dair bir güvenilir bir rapor oluşturup yorumlar
ve öneriler halinde cevaplar verilir.
3.2.“İş Süreçleri Kontrol Listesi”
Denetim sürecinde kullanılması gereken üçüncü dosya da “iş süreçleri kontrol listesi” dir. Bu dosyada ise
müşterilere sistemle alakalı sorulan sorular bulunmaktadır. Bu sorularla sistemin nasıl korunduğu, nasıl ilerlediği
vs. gibi konulara cevap aranmaktadır.
Tablo 4.2.1 Bilgi güvenliği yönetimi açısından yetki sınırlandırmaları
“İncelenecek ve İstenecek Belgeler”, “Bilgi Teknolojileri Anketi” ve “İş Süreçleri Kontrol Listesi
dosyaları”; ISO 27001 ve COBIT bazında müşterilerden talep edilen dosyalardır. Buradaki kontrol noktalarına
göre istenilen bilgileri temin edip yeterli uyumlulukta olup olmadığına dair bir güvenilir rapor oluşturup
yorumlar ve öneriler halinde cevaplar verilir.
5. V. ULUSAL LOJİSTİK ve TEDARİK ZİNCİRİ KONGRESİ
26-28 Mayıs 2016, MERSİN
Tablo 4.2.2 Gönderici Bilgileri Detay İzleme
“İncelenecek ve İstenecek Belgeler”, “Bilgi Teknolojileri Anketi” ve “İş Süreçleri Kontrol Listesi
dosyaları”, Lojistik firmaları dahil olmak üzere her türlü firmaların bilgi güvenliği ihtiyacını ortaya çıkarmak
için kullanılabilir. Bir lojistik firmasında ise kendine uyguladığı bilgi güvenliği ile ilgili bir çalışma Tablo 4.2.1
de gösterilmiştir. Lojistik firmasında kullanılmak üzere taşıma irsaliyelerindeki gönderici bilgileri detay izleme,
alıcı bilgileri detay izleme, gelen kargo arama alıcı detay görme, gelen kargo gönderici bilgileri detay görme
ekranlarındaki yetki tanımlamalarının bilgi güvenliği yönetimine uygun olarak sınırlandırılması kapsamında bir
çalışmaya ihtiyaç duyulmuştur.
6. V. ULUSAL LOJİSTİK ve TEDARİK ZİNCİRİ KONGRESİ
26-28 Mayıs 2016, MERSİN
Gönderici bilgiler detay izleme formunda, taşıma irsaliyelerinde bulunan gönderici müşterilerin iletişim
bilgilerini görüntüleme yetkilerinin genel müdürlük, bölge müdürlük operasyon ve şube yetkilisine verilmesi ile
ilgili olarak lojistik firmasının bilgi güvenliği yönetimi kapsamında hazırlamış olduğu form Tablo 4.2.2 de
gösterilmektedir.
Bu uygulama ile bir lojistik firmasında özellikle yetkilendirme odaklı veri akışından örnekler sunularak,
tümleşik lojistik bilgi sisteminde tutarlı ve güvenli veri akışının önemi vurgulanmıştır. Ana veri akışı içinde Bilgi
Güvenliği stratejisi ve planlarına göre çok daha kapsamlı bir kurgu gerekliliği her ne kadar önemli olsa da bu
çalışma bu anlamda temel bir takım uygulamaların ne şekilde hayata geçirileceği üzerine fikir verme amaçlı
hazırlanmıştır.
4. SONUÇ
Lojistik firmalarının müşterileri ile uzun soluklu işbirlikleri arttıkça Türkiye’deki lojistik sektörünün bilişim
altyapısı ise güçlenmektedir. Bilişim sistemlerindeki bu gelişim, diğer birçok sektöre göre değerlendirildiğinde,
lojistik sektöründe çok daha yoğun olduğu görülmektedir. Lojistik süreçlerde taşıma operasyonlarından, siparişin
alınmasına, sevkiyat bilgilerine, teslimat yerleri, dönüş yükü gibi filo yönetiminin temelini oluşturan bilişim
sistemlerine dayalı alt yapısına kadar tüm süreçler, bilişim sistemleri ile yönetilmektedir. Tüm bu süreçlerin
sağlıklı bir şekilde yürütülebilmesi için ise bilişim sistemlerindeki bilgi güvenliğinin sağlanması, yönetilmesi ve
uygulanabilmesi son derece önem kazanmaktadır.
ISO/IEC 27001, Bilgi güvenliği yönetim sistemi (BGYS) gereksinimlerini tanımlayan tek denetlenebilir
uluslararası standarttır. Bu standart, işletmeler içerisinde bilgi güvenliğinin planlanması, uygulanması,
sürdürülebilirliğini sağlaması için, bilgi güvenliği yönetimi ile ilgili kuralların ve kontrol hedeflerinin
uygulanmasını içermektedir. Bu çalışmada, bir lojistik firmasının operasyonel süreçlerinde hayati önem taşıyan
verilerinin bilgi güvenliği üzerine bir uygulama sunulmuştur. Basitçe veri erişim arayüzlerindeki
yetkilendirmeler üzerinden ilgili formlar ve ekran görüntüleri verilmiştir.
5. KAYNAKÇA
Basar, A., Özsamli, N., Akçay, A. E., Kahvecioglu, G., Ertek, G. (2011). A taxonomy of supply chain innovations. African
Journal of Business Management, Vol. 5(30), 11968.
Chandra, C., Tumanyan, A. (2005). Supply chain system taxonomy: A framework and methodology. Human Systems
Management, Vol. 24(4), pp. 245-258.
Clemons, E. K., Aron, R. A. V. I. (2002). Online distribution: A taxonomy of channel structures, determinants of outcome,
and determinants of strategy. In Proc. of the 35th Hawaii Int. Conf. Syst. Sci.
http://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=994169, pp. 2330 - 2339
Delen, D., Hardgrave, B. C., Sharda, R. (2007). RFID for better supply-chain management through enhanced information
visibility. Production and Operations Management, Vol. 16(5), pp. 613-624.
Durkaya, T., Topçu S.,(2015), ISO 27001 Bilgi Güvenliği Yönetim Sistemi Dokümanı, KPMG.,İstanbul
https://www.kpmg.com/TR/tr/hizmetlerimiz/Advisory/risk-consulting/it-advisory/Documents/Article-TR-ISO-27001-Bilgi-
Guvenligi-Yonetimi.pdf, erişim tarihi 30.08.2015
Fawcett, S. E., Magnan, G. M., McCarter, M. W. (2008). Benefits, barriers, and bridges to effective supply chain
management. Supply Chain Management: An International Journal, Vol. 13(1), pp. 35-48.
Lee, H. L., Padmanabhan, V., Whang, S. (2004). Information distortion in a supply chain: The bullwhip effect. Management
science, Vol. 50 (12_supp), pp. 1875-1886.
Sari, K. (2015). Investigating the value of reducing errors in inventory information from a supply chain perspective.
Kybernetes, Vol. 44 (2), pp. 176-185.
Subramani, M. (2004). How do suppliers benefit from information technology use in supply chain relationships?. MIS
Quarterly, Vol. 28 (1), pp. 45-73.