Bu yıl Ocak ayında Siber Güvenlik Başkanlığı kuruldu. Üç gün önce yayınlanan Cumhurbaşkanlığı kararnamesiyle de kurumun kadro sayılarında ve görevlerinde yeni düzenleme yapıldı.

Türkiyede kurulan her yeni kurum, devletin cesametini büyütüyor, kullandığı mali kaynakların hacmini arttırıyor ve mevcut bürokratik hantallığının üzerine yeni bir yük daha bindiriyor. Siber güvenlik gibi hayati bir ihtiyaca cevap vermek üzere, gecikmiş olarak kurulan yeni Başkanlığın da bu olumsuz gidişat içinde pozitif bir örnek teşkil edebileceğine dair ümit verici bir emare bulunmuyor.

E-devlet dönüşümünün hayata geçirilmesi, dijital yönetişim alanlarının düzenlenmesi ve siber güvenliğin sağlanması gibi, doğrudan bilgi toplumu ve dijital çağın ihtiyaçlarına cevap vermesi beklenen bir kurumun; örgütlenme modeli, karar alma süreçleri ve insan kaynağı yapısının, bilgi çağının gereklerine, ağ temelli yönetişim anlayışına ve uzmanlık odaklı çağdaş kamu yönetimi ilkelerine uygun olması gerekirdi.

Oysa yeni kurum; örgütlenme biçimi, üstlendiği fonksiyonlar ve işleyiş mantığı itibariyle, büyük ölçüde geçtiğimiz yüzyılın modern yönetim anlayışını yansıtan merkeziyetçi, çok kademeli hiyerarşiye dayalı prototip bürokratik yapının karakteristik özelliklerini taşıyor.

Personel toplamı 204 olarak belirlenen başkanlıkta kadro dağılımı ve sayıları şöyle:
Başkan (1), Başkan Yardımcısı (3), Genel Müdür (6), Daire Başkanı (22), Strateji Geliştirme Daire Başkanı (1), Dış İlişkiler Daire Başkanı (1), Şube Müdürü (14), I. Hukuk Müşaviri (1), Hukuk Müşaviri (3), Avukat (15), Mali Hizmetler Uzmanı (5), Mali Hizmetler Uzman Yardımcısı (5), Mühendis (6), Mütercim (3), Tekniker (9), Teknisyen (7), Bilgisayar İşletmeni (35), Sekreter (15), Özel Kalem Müdürü (1), Basın ve Halkla İlişkiler Müşaviri (1), Koruma ve Güvenlik Görevlisi (15), Şoför (15), Hizmetli (20).

Başkan, başkan yardımcıları, genel müdür, daire başkanları, şube müdürleri olarak yukarıdan aşağı sıralanan hiyerarşik yönetim katmanları; kurumun örgütlenme yapısının, Türk yönetim kültürünün kamu bürokratlarına aşıladığı “hiyararşik otorite zinciri üzerinde olabildiğince yüksek bir pozisyon edinerek otorite kullanma ve aşağıya hükmetme” arzusuna cevap vermek üzere tasarlandığı mesajını veriyor.

Dijital hizmetler, bilgi teknolojileri ve siber güvenlik gibi yüksek teknik birikim, ileri uzmanlık ve disiplinlerarası yetkinlik gerektiren bir hizmet alanında; bu kadar çok kademeli ve fazla sayıda yönetici pozisyonlarına ne ihtiyaç var? Bu kurum, ülke çapına yayılmış yüz binlerce personeli bulunan, sahada doğrudan hizmet sunan klasik bir hizmet bakanlığı mı? Başkanın altında konumlanan bu kadar çok sayıda başkan yardımcısı, genel müdür, daire başkanı ve şube müdürü; tam olarak neyi, kimi ve hangi süreçleri yönetecek?

Kuruma verilen görevler; “ulusal siber güvenlik stratejisinin oluşturulması, dijital devlet ve kamu bilişim altyapılarına ilişkin normatif çerçevelerin belirlenmesi, veri yönetişimi, bilgi güvenliği, yapay zekâ ve ileri dijital teknolojiler alanlarında ilke, kural ve standart geliştirilmesi” olarak belirlenmiş.

Bunlar, insan veya süreç yönetiminden ziyade; normatif düzenleme kapasitesi, teknik analiz, risk temelli değerlendirme, veri odaklı politika üretimi, siber tehdit ve teknoloji trendlerinin izlenmesi, özgün veri hukuku/bilişim hukuku bilgisi, çok disiplinli ekip ve ağ temelli çalışma, yatay koordinasyon ve uzmanlık temelli kollektif akıl gerektiren faaliyetlerdir. Böylesine özgün, standart dışı ve yüksek uzmanlık gerektiren hizmetler; emir–komuta zincirine dayalı, katı ve çok kademeli bürokratik yönetim modeli altında hızlı, etkili ve rasyonel biçimde yürütülebilir mi?

Kurumun kadro tasarımı, sanki siber güvenlik ve bilişim hizmetleri alanını düzenlemeye yönelik çıktılar üretmek için değil; tepede konumlanan yönetici kademelerin hiyerarşik ihtiyaçlarını ve pozisyon beklentilerini karşılamaya, statülerini tahkim etmeye, görünürlüklerini arttırmaya ve “yöneticilik” pozisyonunu gösteriş ve güç sergileme sahnesine dönüştürmeye hizmet edecek şekilde kurgulanmış. Bu tespiti yapmamızı sağlayan en temel gösterge, kurumun kadro dağılımıdır. 204 kişilik bir yapıda; 15 sekreter, 15 koruma ve güvenlik görevlisi, 15 şoför ve 20 hizmetli olmak üzere toplam 65 kişilik yardımcı hizmetler ve destek personelinin, doğrudan ve neredeyse münhasıran yönetim kademelerine hizmet etmek üzere tahsis edilmiş olması, bu tercihin tesadüfi değil, bilinçli bir tasarım eseri olduğunu gösteriyor.

Mevcut kadro dağılımının oransal analizini yaptığımızda;
-Yönetim ve hiyerarşi kademelerinde 48 kişi (toplam personelin %23.5’i)
-İdari destek, yardımcı hizmet ve teknik destek kadrolarında 118 kişi (toplam personelin %58’i)
-Kurumun esas fonksiyonunu yürütecek çekirdek uzman ve teknik/mühendislik kadrolarında sadece 38 kişi (toplam personelin %18.6’sı) bulunduğunu görüyoruz.

Yani kurumun, neredeyse;
-4’de 1’i yönetici,
-5’te 3’ü destek ve hizmet elemanı,
-5’te 1’den daha azı “akıl ve uzmanlık”elemanı olarak öngörülmüş.

Ortaya çıkan tablo, kurumun fiziki mekân kurgusunun da bu zihniyete göre şekilleneceğine; bina katlarının yaklaşık dörtte üçünün yöneticilere ve onların hizmet çevresine, yalnızca dörtte birinin ise kurumun asli görevleri olan siber güvenlik, bilişim politikaları ve dijital düzenleyicilik faaliyetlerine tahsis edileceğine işaret ediyor.

Bir diğer nokta, personelin %18.5’ini oluşturan 38 kişilik “uzmanlık ve teknik görev çekirdeğinde” mühendis ve bilişim uzmanlarının sadece 6 kişiden ibaret olması…Geriye kalan 32 kişinin 19’u hukuk müşaviri ve avukatlardan; 10’u mali hizmet uzmanlarından; 3’ü ise mütercimlerden oluşuyor.

Bu, bütünüyle klasik 20’inci yüzyıl yönetim zihniyetini yansıtan bir tablo…“Hukukçu ağırlıklı çekirdek uzmanlık kadrosu,” “siber güvenlik sisteminin regülasyonu” işleviyle oldukça uyumsuz ve orantısız bir dağılım.
Bu, bize kurumun hizmet çıktılarının “yönetmelik” ve “tebliğ” gibi statik mevzuat düzenlemeleri formatında algılandığını; kurumun “teknik düzenleyici” değil, “belge–prosedür–rapor uyumunu denetleyen idari bir birim” olacağı sonucunu çağrıştırıyor. Teknik-uzman çekirdeği zayıf, destek hizmet ve hiyerarşi ağırlıklı bir siber düzenleyici kurumun; kısa sürede “güvenliği denetleyen” değil, “belgeyi denetleyen” bir yapıya evrilmesi beklenen bir sonuçtur. Bu da ister istemez, “güvenlik kapasitesi” yerine, “uyum bürokrasisi” üretecektir.

Aslında, yabancı dile, teknik terminolojiye ve bilişim jargonuna hakim, çok yetkin uzmanlardan oluşması gereken kurumda; 6 mühendise karşılık, 3 mütercim olması da ayrı bir garabet. Bu, kuruma yabancı dil bilmeyen yöneticiler ve uzmanlar alınacağı anlamına mı geliyor? Yapay zekâ çeviri programlarının akıl almaz bir hız ve yaygınlıkta geliştiği bir çağda; böyle bir kurumda kadrolu mütercim ne iş yapacak?

Peki, diğer ülkelerde durum nasıl?

Türkiye’deki tablonun daha net anlaşılması bakımından üç örnek ülkede; Japonya Güney Kore ve Avustralya’da, siber güvenlik düzenleme kurumlarının yapı ve işleyişlerini ve kadro dağılımlarını inceleyelim:

Bu ülkelerin her birinin siber güvenlik kuruluşlarında çalışan ortalama 300 civarındaki personelin kadro dağılımı; yönetim kademelerindekiler %6-7; çekirdek teknik görev ve uzmanlık personeli %60-65; idari ve mali hizmetler personeli %15-20; yardımcı ve destek hizmetleri kadrolarındakiler ise %6-7 oranlarındadır.
Buralarda sekreter, koruma ve hizmetli kadrolarında çalışanların sayısı, sadece en üst yöneticiye bağlı olmak üzere bir kaç kişiyi geçmemektedir.

Bu ülkelerin kurumları; esas itibariyle strateji belirleme, politika geliştirme, standart oluşturma, koordinasyon ve gözetim işlevlerine odaklanan örgütlerdir. Kurumların sistem geliştirme ve işletme gibi icrai görevler ya hiç yoktur ya da açık biçimde ayrı ajanslara bırakılmıştır. Personel yapıları az kademeli, yassı, ağ temelli olup; toplam kadro içinde teknik uzmanlar ve mühendisler en büyük ağırlığı oluşturur. İdari, yardımcı ve protokol destek kadroları ise asgari düzeyde tutulur. Hiyerarşik kademe sayıları en fazla üç, yönetici sayıları sınırlı, karar alma süreçleri hızlıdır. Dolayısıyla bu ülkelerde oluşturulan örgüt modeli ile kurumun işlevi arasında yüksek bir yapısal uyum sağlanmakta; kurumlar, “yönetim ve temsil sergilemekten ziyade, somut teknik çıktı, regülasyon kalitesi ve kurumsal çıktı üretmektedir.

Kısaca, Türkiye’deki kurum, “yönetimin uzmanlığı yönettiği,” piramitten de öte, hantal ve şekilsiz bir “ziggurat modeli” iken; örnek ülkelerdeki modeller, “uzmanlığın yönetime yön verdiği” esnek ve dinamik yapılardır.

Siber Güvenlik Başkanlığı’nın örgütlenme ve işleyiş yapısı ve kadro dağılımı; mevcut haliyle siber güvenlik regülasyonunu ve denetimini, bilgi çağı normlarına uygun bir şekilde yürütecek bir kamu otoritesi olmaktan çok uzaktır.

Perşembenin gelişi, Çarşambadan bellidir. Kendi içinde yapısal ve fonksiyonel oransızlık ve çarpıklık taşıyan 204 kişilik kadro mevcudunun; bu mütevazı rakamla sınırlı kalmayacağını ve çok geçmeden kat be kat artarak muhtemelen binlere ulaşacağını şimdiden söyleyebiliriz.

Bu nedenle kurum, idari prestij ve hiyerarşik gösterinin mekâna yansıdığı bir yapı olmaktan çıkıp; uzmanlık esaslı, az kademeli, yatay ilişkilerle çalışan, kararlarını imza zincirleriyle değil teknik akıl ve veriye dayalı kolektif değerlendirmelerle alan, sonuç odaklı ve hesap verebilir bir yapıya dönüşmelidir.