Size, insan kaynakları (İK) alanında adı bilinmeden yaygın uygulama alanı bulan yabancı bir olgudan bahsedeceğim: “Principle of Least Privilege”. Kısaltması: PoLP.
Literatür
“Principle of Least Privilege” kavramı, bilişim literatüründe geçiyor. Anlamı, “erişimde bulunan özneye, kendisine atanmış olan görevlerini gerçekleştirmesine yetecek en düşük seviyede erişim hakkı verilmesi” demek. Bilgisayar güvenliğinde bu ilke önemli ve olası sızma girişimlerinde mahrem alanı korumak amacıyla düşünülmüş. Yani bu ilke, tanınan gereksiz ayrıcalıkları ortadan kaldırarak bilgisayarın “saldırı yüzeyini” azaltmaya yardımcı oluyor.1
PoLP ve İK
Çok popüler bir İK kavramı: “Principle Of Least Privilege (POLP)”. Anlamı: “Çalışana normal işlevini yürütecek asgari yetkiyi vermek”.
Hasan Baltalar (@HasanBaltalar)
13 Temmuz 2016
“Principle of Least Privilege” kavramı, diğer bir deyimle “mümkün olan en az yetki” demek. İK ile bağlantı da burada başlıyor.
Bildiğiniz gibi işyerlerinde çalışanlara bazı görevler verilir. Kurumsallaşmış olanlarda bunlar yazıya da dökülür. Bu görevler, çalışana bazı sorumluluklar yükler. Bu sorumlulukların yerine getirilmesi ise bazı yetkileri gerekli kılar.
Buraya kadar bir sorun yok. Sorun, yetkilerle sorumlulukların birbirine oranında başlıyor.
Yetki ve Sorumluluk Oranı
Normal şartlar altında, sorumlulukların yerine getirilebileceği yetkilerin birebir oranda tanımlanması gerekiyor. Pekiyi, bu oran değişirse ne olur?
Fazla yetkinin, kullanılmadığı durumda atıl kalacağı için verilmesinin de gereksiz olacağı kabul edilebilir. Ayrıca belirli bir sorumluluğu karşılamayan yetkinin, hiç gerekmeyen bir sorumluluğu sonradan getireceği de düşünülebilir.
Yetki suiistimaline girmiyorum, çünkü bu bir etik meselesidir ve normal oranda yetki için de söz konusu olabilir.
Gelelim yetki azlığına…
İşin bu kısmı, bu yazıya konu ettiğim PoLP kavramını karşımıza çıkarıyor. İş kültürünün vazgeçilmez bir öğesi haline gelen bu anlayışın bilişim sektörüne İK, dolayısıyla yönetim alanından sıçradığını düşünüyorum.
PoLP ilkesinin, bilişimde mantığımızın rahatlıkla kabul edebileceği bir uygulaması var. Çünkü yetkilerin tanımlandığı özne, bilgisayar yazılımı ve “least (en az)” kavramının net bir şekilde düzenlenmesi mümkün olabiliyor.
Ancak İK alanında, “en az” olarak geçen bu miktarın net bir tanımını yapmak çoğu zaman başarılamıyor. Bu durumda da kırpıla kırpıla kuşa döndürülen yetki tanımları, çok yerde sorumlulukları ifa edilemez duruma getiriyor.
Alınır mı, verilir mi?
Twitter’da yaptığım bir ankette %40 gibi bir orandaki katılımcının “yetki-metki istemiyorum” şeklinde oy kullanmasının altında işte bu neden yatıyor. Çünkü yetkisiz sorumluluk, insanları strese sokuyor ve tercih edilmiyor.
Bu arada, anketteki soru için kendi görüşümü de burada ifade edeyim. Yetki alınmaz ve gereği gibi verilmek zorundadır. Kurumsal işleyişte yetkinin, işi isteyen ve sorumluluğu da tanımlayan merci tarafından belirlenmesi zorunludur. Aksi halde yetkinin göreve göre tanımlanması değil, görevi yerine getiren kişinin kendi iş yapış tarzına göre tanımlaması ve “istediğinde” onu kopararak alması söz konusu olur.
Yorumlar
Konuk
Yorum 1 (05 Eyll 2016 15:24)
Yorumunuzla katkıda bulunun