Yönetişim ve Risk Yönetimi, Kimlik ve Erişim Yönetimi, Yama Yönetimi
Merkezi Olmama ve Yayılma Üniversite BT Programlarını Karmaşıklaştırıyor
Jennifer Lawinski’nin •
21 Ocak 2026
Yüksek öğrenim CIO’ları açıklığın ve yenilikçiliğin geliştiği benzersiz ortamlarda çalışıyor, ancak son zamanlarda elit kurumlarda yaşanan yüksek profilli ihlaller, sistemleri güvende tutma konusunda karşılaştıkları zorlukları gösteriyor.
Ayrıca bakınız: Yapay Zeka İçeriden Bir Tehdit Gibi Davrandığında ve Kimse İzlemiyorsa
Harvard ve Princeton da dahil olmak üzere birçok Ivy League üniversitesi, 2025’te yama yapılmamış kurumsal yazılımlar ve gelişmiş sosyal mühendislik kampanyaları yoluyla saldırılara maruz kaldı ve bu durum, ülkenin en zengin üniversitelerinin bile savunmasız olduğunu gösterdi.
EY’de siber güvenlik danışmanı olan Rob Belk, artan bu tehditlerle mücadele etmek için üniversite CIO’larının işletim modellerini, yönetişimlerini ve BT sahiplik yapılarını yeniden düşünmeleri gerektiğini söyledi.
Belk, “Bu muhtemelen yapay zeka kelimesini içermeyen en ilginç siber konudur” dedi. “Ve dramatik biçimde eksik rapor ediliyor.”
Bu değişim, değişen yükseköğretim ortamının kendisi tarafından desteklenmektedir. Geleneksel finansman kaynakları sürekli değişiyor ve bu durum zaten oldukça merkezi olmayan ekosistemlerde belirsizlik yaratıyor. Üniversite altyapısı, geleneksel işletme ekosistemlerinden çok bir şehre benziyor. Her üniversitede çeşitli okullar ve bölümler, araştırma enstitüleri, hastaneler, spor tesisleri, konutlar, kitapçılar ve hatta oteller bulunabilir. Nüfus, her yıl öğrenciler, öğretim üyeleri, personel, araştırmacılar ve misafirlerin gelip gitmesiyle sürekli değişmektedir.
Zorluk, bu grupların çoğunun kendi BT ortamlarını kontrol edebilmesi gerçeğiyle daha da artıyor.
Belk, “Birçok açıdan CIO, BT’nin bazen çoğunu bile kontrol edemiyor” dedi.
Üniversite CIO’ları için bu geniş ve farklı ağlar üzerindeki siber saldırılar daha hızlı ilerliyor. Belk, saldırganların “uzlaşma hızının” azaldığını ve zararı azaltmak için pencerelerin kısaltıldığını kaydetti. 2019’da kuruluşların bir izinsiz girişi tespit etmek ve kontrol altına almak için yaklaşık dokuz saati vardı. Bugün bu pencere yaklaşık 48 dakikaya sıkıştırıldı.
Belk, “Bu şaşırtıcı derecede hızlı” diyor.
Üniversite için bir diğer risk alanı da araştırma bilişimidir. Geçmişte, araştırma sistemleri bireysel okullar veya baş araştırmacılar tarafından hibe finansmanı kullanılarak satın alınmış, işletilmiş ve bakımı yapılmıştır ve birçok araştırmacı bu sistemleri kişisel varlıklar olarak görmektedir.
CIO’lar sıklıkla değişime karşı muhalefetle karşı karşıya kalıyor: “Bu benim sistemim. Bununla hiçbir ilginiz olmamalı çünkü bu benim araştırmam” dedi Belk.
Ancak üniversiteler araştırmayı daha net bir gelir akışı olarak gördükçe CIO’lar kurumsal bir sistem gibi güvence altına alınması gereken araştırma altyapısından giderek daha fazla sorumlu oluyor, dedi Belk.
“Araştırma işi değişecek” dedi. “Ve bunu yaptığında, daha çok bir kuruluş gibi çalışacak. Onu destekleyen güvenlik ve BT’nin bu gerçekliğe uyması gerekecek.”
Güvenliğin Yapı Taşlarına Odaklanmak
Belk, karmaşık yüksek öğrenim ortamında ilerlemek için CIO’ların temellere odaklanması gerektiğini söyledi.
“Temel konularda gerçekten harika olun” dedi. “Çevrelerini izleme ve erişimi kontrol etme temellerinden bazılarıyla hala mücadele eden birçok kuruluş görüyoruz. Bu da ele alınması gereken bir konu. Çünkü eğer temel konularda zorluk yaşıyorsanız, ilk etapta kendinizi açıkta bırakıyorsunuz.”
Siber temellerin, ortamınızda görünürlüğe sahip olmayı, tutarlı izleme ve yamalamayı ve sıkı erişim kontrolünü içerdiğini söyledi.
Belk, Mandiant’ın araştırmasına göre ihlallerin %33’ünün yazılım kusurlarından kaynaklandığını ve üniversitelerin internete bakan sistemlerinin özellikle savunmasız olduğunu söyledi. Tüm sistemlerin yamalanmasını sağlamanın, sistemleri ve verileri korumada “çok çok uzun bir yol kat edeceğini” söyledi.
Ancak son dönemdeki yüksek öğrenimli bilgisayar korsanlarının çoğu, yama yapılmamış sistemler aracılığıyla erişim sağlayamadı. Belk, kimlik ve erişim yönetiminin ve şifresiz sistemlere geçmenin öneminin altını çizen kritik sistemlere erişmek için telefon görüşmeleri yaptıklarını ve sosyal mühendislik kullandıklarını söyledi. Pek çok üniversite sisteminin birden fazla Active Directory ve parçalanmış IAM sistemini yönetmesi nedeniyle bu zorluk daha da artmaktadır.
Kimlik Yönetimi Zorlukları
Ortamları basitleştirmek ve modernleştirmek için, idari personelden başlayıp kurumsal düzeyde parolasız politikalar oluşturmaya kadar aşamalı bir yaklaşım izlenmesini öneriyor. Bir sonraki adım, yeni gelen sınıftan başlayarak öğrenci deneyimini değiştirmek, böylece yeni kimlik modellerinin zamanla varsayılan hale gelmesidir. Eski sistemlerle çalışan öğretim üyeleri ve araştırma personeli, şifresiz sistemlere geçiş yapacak son kişiler olacaktır.
“Bu arada, her ikisini de biliyorum,” dedi Belk, “Yüksek öğrenimde bunu söylemek yapmaktan daha kolaydır.”
Belk, yapay zekayı üniversite CIO’ları için, özellikle de personel sıkıntısı ve siber güvenlik konularında bir fırsat alanı olarak görüyor.
Üretken ve etkin yapay zeka teknolojileri, CIO’ların sözleşme, kaynak bulma, uyumluluk ve yasal inceleme gibi alanlardaki finansman kısıtlamalarından kaynaklanan personel eksikliklerini gidermesine yardımcı olabilir. “Daha az insanla iş bitmiyor” diyor. “Yapay zeka bu açığı kapatmanın bir yolu haline geliyor.”
Ayrıca CIO’lara kendi kurumlarında siber güvenlik çalışmaları yapan araştırmacılar ve öğretim üyeleriyle ortaklık kurmayı düşünmelerini tavsiye ediyor.
Belk, “Genellikle araştırmalarının neler yapabileceğini gösterme konusunda fazlasıyla istekliler ve bu onlara ve öğrencilerine gerçek dünyada yaptıklarını deneme fırsatı veriyor” dedi.