Editör

Şenol VATANSEVER

 

 

Eylül 2019

 

Olağanüstü Durumda İş Sürekliliğinden Kim Sorumlu?

 

Bir organizasyonun müşterilerinin, sağlayıcılarının, düzenleyici otoritelerin vb. kritik sistemlere erişmesi gereken tüm partilerin kullanımına açık olması durumunu iş sürekliliği kavramı ile ifade edebiliriz. Olağanüstü durum ya da kabul edilemeyecek kadar uzun sürecek durum karşısında kritik fonksiyonların devam ettirilebilmesi için gerekli olan düzenlemelerin ve politikaların tanımlanması, dokümantasyonu ve uygulanması iş sürekliliği planlamasının ana unsurlarıdır. İş sürekliliği planlaması, planı yürütmek için personeli, rehberlik edecek süreçleri, personeli ve süreçleri etkin kullanabilmek için teknolojiyi gerektirir.

İş sürekliliği sağlama görevi -Türkiye’de genelde tersine bir yaklaşım eğilimi olsa da- sadece BT sorumluğuna bırakılabilecek keyfiyette değildir. Tüm iş birimlerinin aktif olarak dahil olması, üst yönetimin sahiplenmesi ve desteklemesi gereken bir süreçtir.

İş sürekliliği sistemlerini kullanacak şirketlere ve kurumlara önerimiz iş gereksinimleri çerçevesinde politika ve prosedürlerini belirlemeleridir. Olağanüstü bir durum ya da felaketle karşılaşıldığında organizasyonun teknolojik altyapısını işler hale getirmesi, hizmetlerini ve ürünleri sağlamaya devam etmesi kritik öneme sahiptir. Burada sistemlerdeki kaybın ne kadarının kabul edilebilir olduğunun (RPO) ve sistemlerin ne kadar zamanda ayağa kaldırılabileceğinin (RTO) kararı verilmelidir. Teknolojik olarak her türlü altyapı tasarlanabilir durumda ve ihtiyaçlara göre maliyetler değişmektedir.

İş sürekliliği yönetiminin durağan olmadığı ve sürekli yaşayan bir süreç olduğu unutulmamalıdır. Bu sebeple planlama aşamasındaki senaryolar düzenli olarak test edilmeli ve risk yönetimi yapılarak potansiyel kayıplar gözden geçirilmelidir. Gerektiğinde planda güncellemeler yapılmalı ve reaksiyon vermedeki esneklik geliştirilmelidir.

Olağanüstü durum riski göz ardı edilebilecek bir risk değildir. Kesinti sebebiyle maruz kalabileceğiniz gelir kaybı riskinin ötesinde bir anda itibarınızı ve markanızın değerini dibe indirebileceğini unutmamanız gerekir. Türkiye’nin doğal afetlerden deprem konusunda yakın geçmişte çok acı tecrübeleri olmuştur. Her gün farklı senaryoların tartışıldığı deprem gerçeği ile yüzleşerek önlemlerinizi almanız çok önemlidir. Belki sosyal medyada bir anda çığ gibi büyüyebilecek haksız bir söylenti bile sistemlerinizi siber korsanların saldırılarının hedefi haline getirebilir. Bunun yanı sıra yangın, sel, fırtına gibi doğal afetler, güç ve iletişim kesintisi, terörizm vb. risk faktörlerinin gerçekleşmesi durumunda işiniz kesintiye uğrayabilir.

Şirketlerin ve kurumların iş sürekliliği planlarına uygun teknolojik gereksinimlerinin belirlenmesi, hayata geçirilmesi ve sürdürülebilmesi noktasında tecrübe ve çözümlerin uygun maliyetli olması önemlidir. Artık bunları tamamlayıcı nitelikte olan bir diğer önemli unsur da Kişisel Verilerin Korunması Kanunu’na (KVKK) uyumlu veri merkezi çözümlerine sahip olmaktır (bkz. Kişisel Verileri Koruma Kurumu Başkanı Prof. Dr. Faruk Bilir’in röportajı). Aynı zamanda bir KVKK gönüllüsü olmam sebebiyle kafa karışıklığı yaratan birçok konuda hukuk, süreç ve çözüm ekiplerimizle -gerektiğinde Kişisel Verileri Koruma Kurumu’nun da görüşünü alarak- kamuoyunu aydınlatmaya çalışmayı kendimize bir görev olarak görüyoruz.