İş Sürekliliği Planlaması ve Yönetimi

Her geçen gün daha da karmaşıklaşan iş dünyası, mevcut risklere yenilerini ekliyor. Maalesef kısa sürede büyük maddi ve prestij kayıplarına uğramak mümkün. Doğru yapılandırılmış iş sürekliliği uygulamalarıyla geleceğinizi tehdit eden riskleri avantaja çevirebilirsiniz.

İş sürekliliği, bir plan, bir ürün veya teknoloji değildir. Kritik iş ve süreçlerinizi etkileyebilecek olaylara karşı hazırlıklı olmak ve böyle bir durumda, süreci önceden planlandığı şekilde yönetebilmektir.

İş Sürekliliği, doğal afetlerden (yangından, selden vb.) veya siber suçluların kötü niyetli saldırılarından kaynaklandığı gibi, büyük bir aksaklık durumunda işletme işlevlerini hızla sürdürmeye devam etme anlamına gelir. Bir iş sürekliliği planı, kuruluşun bu tür felaketler karşısında takip etmesi gereken prosedürleri ve talimatları ana hatlarıyla belirtir. Ayrıca, iş süreçlerini, varlıkları, insan kaynaklarını ve daha fazlasını kapsar.

Birçok insan felaket kurtarma (Disaster Recovery) planının iş sürekliliği planıyla aynı olduğunu düşünür. Felaket kurtarma planı, temel olarak bir krizden sonra Bilgi Teknolojisi (BT) alt yapısını ve operasyonlarını restore etmeye odaklanır. Bu aslında iş sürekliliği planının sadece bir parçasıdır. Çünkü iş sürekliliği planı tüm organizasyonun sürekliliğiyle ilgilenir.

Bir felaketten hemen sonra şirket olarak faaliyetlerinize devam edebilmeniz için, İnsan Kaynakları, Üretim, Satış ve fonksiyonel olarak hazır ve çalışır durumda bir destek alma yolunuz var mı? Örneğin, müşteri hizmetleri temsilcilerinizi barındıran bina deprem tarafından yıkılırsa, bu durumda neler yapabileceğinizi biliyor musunuz? Geçici olarak evden mi yoksa başka bir yerden mi çalışacaklar? İş Sürekliliği Planı bu tür endişeleri ele almalıdır.

İş Sürekliliği Planlaması Neden Önemlidir?

Müşteri tabanınızı yükseltirken mevcut müşterileri elde tutmak çok önemlidir ve olumsuz bir olaydan hemen sonra yapabileceklerinizi daha iyi yönetmek, iş sürekliliği planıyla daha iyi organize edilir. Şirketinizin geleceği çalışanlarınıza ve süreçlerinize bağlıdır. Herhangi bir olayla başa çıkabilmek, şirketinizin itibarını ve pazar değerini olumlu yönde etkileyebilir ve müşteri güvenini arttırabilir.  

Gelişen teknolojik imkânlarla birlikte müşteri memnuniyeti ön plana çıkmaktadır. Bu kapsamda tüketici ve düzenleyici beklentilerinde bugün güvenlik için bir artış olduğu gerçeği yadsınamaz. Kuruluşlar, iş içindeki süreçleri ve bu süreçlerin kaybının zaman içindeki etkisini anlamalıdır. Bu kayıplar; finansal, yasal, itibar kayıpları olabilir.

İş sürekliliği planında, Recovery Time Object (RTO), kesintiye tahammül süresi ve Recovery Point Object (RPO), veri kaybına tahammül edilebilecek süre belirtilmelidir. İş sürekliliği planında amaç, faaliyetlerimizde herhangi bir kesinti meydana geldiğinde bunun ne kadarına tahammül edebileceğimiz ve ne kadar sürede sistemi ve süreçleri ayağa kaldırabileceğimizdir. Bu durum aslında bir iş etki analizidir.

İş sürekliliği yönetimi acil durum ve kriz yönetimini de içerir. Acil durum, kritik iş süreçlerinin kesintiye uğramasına neden olan beklenmedik olayın olmasıyla ortaya çıkan durumdur.

Acil durum oluştuğunda gerekli “iletişim” sisteminin kurulması ve gerekirse acil durumlar için “acil durum ekibi” oluşturulması gerekir.

Tatbikatlar

İş sürekliliği planlarının test edilmesi için düzenli olarak iş sürekliliği tatbikatları yapılmalıdır. Yapılan tatbikatların ardından tatbikatın başarılı olduğunu belgeleyen bir tutanak tutulur. Bu tutanakta tatbikatın tarihi, katılımcıları, senaryosu, tatbikatta kullanılan varlıklar (donanım, yazılım, vb.) ve tatbikatta yapılan uygulamalar ve değerlendirmeleri yer alır. İş sürekliliği tatbikatının tatbikata hazırlık, tatbikatın gerçekleştirilmesi ve tatbikatın değerlendirmesi olmak üzere 3 (üç) adımı vardır. İş sürekliliği planı tatbikat faaliyetlerinin özeti aşağıdaki şekilde verilmiştir.

İş Sürekliliği Planı Tatbikat Faaliyetlerinin Özeti

Gerekli hazırlıklar ve planlama yapılmadan iş sürekliliği tatbikatı yapmak, süreçlerde beklenmeyen kesintilere yol açabileceği gibi kurum imajını zedeleyen problemlere dahi yol açabilir. Bu sebeple tatbikat öncesi yeterli seviyede hazırlık yapılması tatbikattan elde edilmek istenen fayda için gereklidir.

Her tatbikatın icra edilmesinde bazı riskler vardır. Bu riskleri tatbikat öncesinde belirlemek ve olası problemlere karşı hazırlıklı olmak tatbikatın istenmeyen sonuçlarının önüne geçmek için son derece önemlidir. Aşağıda potansiyel tatbikat risklerini tespit etmek için örnekler verilmiştir.

 

  1. Tatbikatın kapsamı gerektiğinden büyük mü?
  2. Felaketten kurtarma merkezi tatbikat için yeterli teknik ortamı sağlıyor mu?
  3. Yedekleme donanımı ve yazılımı felaketten kurtarma merkezinde hazır mı?
  4. Felaketten kurtarma amacıyla kullanılacak donanımların yapılandırması daha önceden hazırlanmış ve uygunluğu test edilmiş mi?
  5. Yedekleme ortamlarının sağlandığı son zamanlarda kontrol edilmiş mi?
  6. Tatbikata katılacak personel ve takımlar durumdan haberdar mı?

 

SONUÇ

İş sürekliliği planlaması ile kurumların; mevcut durumlarını analiz ederek,

  • Olası felaketleri engelleyebilmesi
  • Felaketlere hızlı ve doğru karşılık vermesi
  • Varlıklarını ve nakit akışını koruması
  • Kesinti süresini en aza indirerek normal operasyonlara dönüşün sağlanması mümkün olacaktır.

 

Oğuz TAŞBOLAT

KalDer Üyesi

TÜRKTRUST Bilgi İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.

Kalite Sistemler Sorumlusu