Birçok sektör için operasyonel süreçlerin duraklaması veya faaliyet gösteremez hale gelmesi ile ortaya çıkabilecek finansal kayıplar ürkütücü hale geldi. Şirketlerin iş süreçlerinde kullandığı teknolojilerin artmasıyla birlikte artık tek bir siber saldırı küçük bir şirketin faaliyetlerini sonlandırmasına neden olabilecek güçte. Bilişim güvenliği alanındaki dağıtım ve çözümleriyle pazarda lider konumda bulunan Komtera Teknoloji’nin Genel Müdür Yardımcısı Ziya Gökalp, şirketler için iş sürekliliğinin bilgi güvenliği ile mümkün olduğunu vurguluyor.
Telekom operatörü olarak faaliyet gösteren bir firmanın sistemlerinin durması, bir bankanın internet ve mobil bankacılık uygulamasının çalışmaması, otomasyon sistemleri kullanarak üretim yapan bir üreticinin üretim faaliyetlerinin duraksaması, E-devlet portallarının hizmet veremiyor olması finansal anlamda milyon dolarlık işlem kaybını ve beraberinde müşteri ve kullanıcı güveninin sarsılması ile doğacak finansal zararları beraberinde getiriyor. “Bu noktada uzun zamandır konuşulan olağanüstü durum eylem planları ve iş sürekliliği yönetimi, işletmelerin ve devletlerin yönetim stratejilerinin en önemli parçası olarak görülmektedir.” diyen Komtera Teknoloji Genel Müdür Yardımcısı Ziya Gökalp, şirketler için iş sürekliliğinin bilgi güvenliği ile mümkün olduğunu vurguluyor.
İş sürekliliği yönetimi, kritik sistemlerin yedeklenmesi ile birlikte üretimden finansa, hizmetlerden operasyonel faaliyetlere, insan kaynağından satın almaya kadar tüm fonksiyonların duraklaması ile ortaya çıkabilecek menfi sonuçları, bu sonuçları oluşturabilecek risklerin analiz edilerek ortadan kaldırılmasını hedefliyor. Bu açıdan bakıldığında işin devamını sağlamanın, tüm risk faktörlerini ve tehdit unsurlarını tespit edebilmek ve bunlara önlem alabilecek politikaları ve prosedürleri geliştirmek ile mümkün kılınabildiğini belirten Ziya Gökalp, “İş sürekliliği tıpkı bilgi güvenliğinde olduğu gibi bitmeyen, sürekli geliştirilmesi, gözden geçirilmesi ve denetlenmesi gereken bir süreçtir.” diyor.
İş Sürekliliği Şirketteki Herkesi İlgilendiriyor
Farklı senaryolar, çalışma durumları ve unsurların değerlendirilmesi ve gerçeğe uygun ayağa kaldırma, devam ettirme politikaları, bu politikaların test edilmesi ve denetlenmesi, işin sürekliliği anlamında yapılan yatırımları anlamlı kılacaktır. Analize başlamadan önce strateji ve planlama, hangi organizasyonun analiz ve planlama amacı ile iş birimlerine bölüneceğini belirler. Finans şirketleri finansal raporlama, çağrı merkezleri, internet tabanlı bankacılık sistemleri gibi operasyonel faaliyetlerini ayrı iş dalları olarak ele alıp değerlendirir ve denetler. Üretim yapan firmalarda ise her bir üretim tesisi veya üretim farklılıkları içeren üretim bandı, ayrı iş dalları olarak görülüp değerlendirilmeli ve planlanmalıdır.
“Dahili ve harici risk unsurlarını ve bu unsurlar ile doğabilecek sonuçları öngörmek, bunlara önlemler alabilmek, sürecin başarısı adına hiç şüphesiz işletmelerin yönetim düzeyinde değerlendirmesi ve her bölümün takım çalışması ile mümkün olabilir.” ifadelerinde bulunan Gökalp’e göre iş sürekliliği, organizasyonların tavanından tabanına kadar her kademeyi ilgilendiriyor ve bu nedenle çalışanları bilinçlendirmek ve sürece dahil etmek gerekiyor.
İngiliz Standardı Enstitüsü (BSI) tarafından geliştirilen ve daha sonra bir ISO standardına da dönüşen BS 25999 / ISO 22301 – İş Sürekliliği Yönetim Sistemi’nin uygulanması ve işletilmesi aşamasında, kurum faaliyetlerinde yaşanan aksamaların etkilerinin belirlenmesi ve risk değerlendirmesi ile kritik faaliyetlere karşı tehdit unsurlarının analiz edilmesinin sağlanması gerekiyor (ed: söz konusu standarda yönelik PECB’nin hazırladığı detaylı bilgi dokümanını şu adreste bulabilirsiniz). Bununla birlikte, risk azaltma seçeneklerinin belirlenmesi, risklerin hafifletilmesi, faaliyetlerin durması aşamasında geri alınması/ayağa kaldırılması, iş kesintilerine karşılık verebilme ve faaliyetlerin idaresi amaçlı süreçlerin belirlenmesi, planlama yapılarak süreçlerin dokümante edilmesi, tatbikat prosedürü ile kriz durumlarına tepki verebilmenin yaşatılması ve gözlemlenmesi, tüm planın periyodik olarak gözden geçirilmesi, sürecin verimliliğinin ve hedefine ulaştığının kontrol edilmesi gerekiyor.
Yöneticilerin Birlikte Çalışması Şart
İş sürekliliği yönetiminin, kurum ve kuruluşların yönetim fonksiyonu olarak doğru kişiler tarafından idare ettirilmesi kritik önem taşıyor. Bu bağlamda organizasyonların iş sürekliliği komitelerine sahip olmaları ihtiyacı kaçınılmaz. Yönetim gerekliliklerini yerine getirebilmek, politika ve prosedürleri oluşturabilmek, riskleri tespit edebilmek ve risk seviyelerini öngörebilmek, süreci idame ve idare ettirmek, tüm faktörleri anlamak ve tasarlamak bir yönetim komitesi ve bu komiteye bağlı takımlar ile mümkün kılınabilir. CIO ( Chief Information Officer), COO (Chief Operation Officer), CFO (Chief Finance Officer), CSO (Chief Security Officer) gibi pozisyonlarda yer alan kişilerden oluşacak bir komite ve bu komiteye bağlı takımlar sürecin geliştirilmesi ve hayata geçirilmesi ile sürekli kontrol edilmesi ve güncellenmesi anlamında birlikte çalışmanın ötesinde, üst yönetimin konuya hassasiyetini de gösterecektir.
“Kurum ve kuruluşlar için bilgi güvenliği ne kadar önemli ve stratejik ise aynı şekilde iş sürekliliği yönetimi de tüm organizasyonların varlıklarını devam ettirebilmesi adına kaçınılmazdır.” diyen Gökalp, bu bağlamda işin sürekliliği adına bilgi güvenliğinin kaçınılmaz olduğunu vurguluyor ve ekliyor: “Komtera Teknoloji tarafından sağlanan, konusunda pazar lideri bilgi güvenliği ve veri yedekleme çözümleri ile iş sürekliliği adına bilgi güvenliği konseptini uygulamak mümkün.”