Page 49 - bilgem-teknoloji-dergisi-6
P. 49
Ali DİNÇKAN, Ömer Deniz DEMİREL Bilişim Güvenliği Sistemleri: İş Sürekliliği Yönetim Sisteminde Sıkça Yapılan Yanlışlar ve Önemli Başarı Etkenleri
Giriş kayıplarını engellemek, kurum itibarını Ülkemizde ise, 2005 yılında e-Dönüşüm 3. İş sürekliliği planlaması yapan kamu kurumlarında, iş Bu çalışmayı sadece bir ürün veya hizmet olarak görmek,
korumak ve pazar payı kayıplarını Türkiye Projesi kapsamında, TÜBİTAK- kesintileri durumunda uygulanacak detaylı kurtarma ve geri olağanüstü bir durumda iş süreçlerinin tekrar çalışır hale
İş sürekliliği, kurumun önemli azaltmak için, iş sürekliliği ile UEKAE’ye kamu kurumlarının acil durum döndürme prosedürleri olduğu görülmektedir. Bu prosedürlere getirilmesi için yeterli değildir. İş sürekliliği, süreçlerin
süreçlerinin belirlenmesi, bu süreçlerin ilgilenmektedir. İşletmeler, genellikle iki yönetimi konusundaki durumu ve sahip olan kamu kurumlarının oranı %16’dır. devamlılığı ve devamlılığın sağlanamadığı durumda, ön görülen
sürekliliği için çalışmaların nedenden dolayı iş sürekliliğine önem gereksinimleri belirleyerek, çözüm kesinti ile çalıştırılmasını kapsamaktadır. Süreçlerin çalışabilmek
gerçekleştirilmesi, sürekliliğin vermektedir. Bunlardan ilki, kurumun bu önerilerini hazırlaması görevi verilmiştir. 4. İş sürekliliği planlaması kapsamında, acil durumlarda için bilgi teknolojilerine gereksinimi olabileceği gibi, aynı
sağlanamadığı durumlarda, kabul çalışmayı yasal yükümlülüklerini yerine Bu çalışma kapsamında, 37 kamu kurumu nasıl hareket edileceğinin tanımlanması gereklidir. Kamu zamanda süreci işleten son kullanıcıya ve dokümantasyona da
edilebilir kesinti süreleri içerisinde tekrar getirmek için yapması, diğeri ise hizmet ile birlikte çalışılarak durum kurumlarının %19’unun, acil durum prosedürü olduğu gereksinimi vardır.
çalışır hale getirilmesi için, kesintisi nedeni ile zarara uğramasıdır. değerlendirmesi yapılmıştır. Araştırmanın anlaşılmaktadır.
gerçekleştirilecek tüm çalışmalara verilen Bir iş sürecinin önemi, genellikle sürecin sonucuna göre, kamu kurumlarının sadece 5. Anket değerlendirmesi sonucunda, kamu kurumlarının 2. Başlangıcı ve Sonu Belirli Olan Bir Proje Olarak
genel isimdir. çalışamaz duruma gelmesi ile %11’inin iş sürekliliği planını işlettiği %11’inde, kurum çapında bilinen bir acil durum operasyon Düşünülmesi
anlaşılmaktadır. Bu nedenle yapılan işin görülmüştür. [4]
İşletmenin iş süreçlerinin ne kadar merkezi (kriz masası) olduğu anlaşılmaktadır. İSYS kurulumu, yeterli bilgi birikimi olduğu durumda,
kesintiye dayanabildiği ve süreçleri bu süre önemini önceden bilerek iş sürekliliği Araştırmanın diğer bulguları aşağıdaki 6. İş sürekliliği planlaması yapmış olan kamu kurumlarının, işletmenin kendi kaynakları ile yapabileceği bir çalışmadır.
içerisinde tekrar çalışır hale getirmek için çalışmalarının başlatılması, maalesef sık gibidir; yaklaşık yarısının planın test, güncelleme ve eğitim çalışması Birçok işletmede, söz konusu bilgi birikiminin olmaması nedeni
neler yapılması gerektiği, iş sürekliliği karşılaşılan bir durum değildir. Kurumların yapmadığı tespit edilmiştir. Güncel olmayan, belirli aralıklarla ile, bu konuda dış kaynak kullanımı yoluna gidilmektedir. Bu
çalışmalarının temelini oluşturmaktadır. herhangi bir kesinti yaşamadan ve zarara 1. Kurumların %16’sında, kapsamında test edilmeyen ve eğitimi verilmeyen iş sürekliliği planlarının, çalışmalar genellikle bir proje olarak değerlendirildiği için,
İş Sürekliliği Yönetim Sistemi (İSYS) uğramadan bu çalışmaya başlamalarını bilgi sistemleri bulunan ve dokümante acil durumlarda istenilen yararı sağlaması mümkün değildir. İSYS’ye de proje gözüyle bakma yanlışı söz konusudur. İSYS’ye
gerekliliklerini anlatan BS25999-2:2007 sağlamak için, çok sayıda araştırma edilmiş bir iş sürekliliği planı olduğu tespit bir proje olarak yaklaşmak, başlangıcı ve sonu belirli olan bir
standardı, iş sürekliliğini: “İş süreçlerinin yapılmıştır. Bu araştırmalardan bir tanesi, edilmiştir. İş sürekliliği planı bulunan İş Sürekliliği Yönetim Sistemi Kurulumu iş olarak ele almak anlamına gelmektedir. İş sürekliliği yönetim
önceden tanımlanmış, kabul edilebilir bir çok önemli bir sonucu ortaya koymuştur. kurumların yaklaşık yarısı, planı yaşam sisteminin kurulması ve çalışır hale getirilmesi, bir proje olarak
düzeyde sürekliliğini/devamını sağlamak Gartner tarafından yapılmış olan bu döngüsü çerçevesinde işletmemektedir. İş sürekliliği yönetimi konusunda yayınlanan ilk standart, ele alınabilmesine rağmen, İSYS’nin kendisi bir proje değildir.
amacıyla, kuruluşun, olaylara ve iş araştırmada, felaket veya çok büyük Belirli bir yaşam döngüsü çerçevesinde 2006 yılında BS 25999-1:2006 “İş Sürekliliği Yönetimi İçin İSYS çalışır hale geldikten sonra, yönetim sisteminin
kesintilerine karşı planlama ve müdahale kesintiye neden olan bir olay yaşamış olan işletilmeyen iş sürekliliği planlarının, acil Uygulama Esasları” ismi ile, İngiliz Standartları Enstitüsü (BSI) yaşatılabilmesi için yapılması gereken çalışmalar vardır. Bu
etme konusundaki stratejik ve taktik firmaların yüzde 43’nün bir daha faaliyete durumlarda çalıştırılması mümkün tarafından yayınlanmıştır. 2007 yılında ise, bu standarda göre çalışmalar, BS25999-1 standardının iş sürekliliği program
kapasitesidir.” biçiminde tanımlamaktadır geçemediği, yüzde 29’unun ise iki yıl içinde değildir. İSYS kuran kurumların denetimi için, standardın ikinci parçası yönetimi başlığı altında ayrıntılı olarak tanımlanmıştır. Söz
[1]. Bu ifade ile kastedilen; iş süreçlerinin çalışmalarını noktalamak zorunda 2. Kurumların bazılarında, iş sürekliliği BS25999-2 yayınlanmıştır. Bildirinin amacı, iş sürekliliği konusu çalışmalar gerçekleştirilirken, işletmenin yönetim
zaman içerisinde kesintiye uğramasının kaldıkları açıklanmıştır [2]. 2006 yılında planlaması kapsamında yapılması gereken konusundaki hatalı yaklaşımları ve İSYS kurulumundaki önemli sisteminin işletilebilmesi ve sürekli geliştirilebilmesi için, gerekli
kaçınılmaz olduğu, kurumun bu duruma ABD’de ve Kanada’da bulunan 261 orta çalışmaların kısmi olarak yapıldığı, fakat başarı etkenlerini açıklamak olduğundan, İSYS kurulumu için bilgi birikimini edinmesi gereklidir.
hazırlıklı olması için kabul edebileceği ve büyük ölçekli kurum üzerinde yapılan bu işlemlerin iş sürekliliği planlamasına ayrıntılı bilgi verilmemektedir. Bu konuda ayrıntılı bilgi için, 3. Sadece Dokümantasyondan Oluştuğu Varsayımı
kesinti sürelerini belirlemesi ve bu süre bir araştırma sonucuna göre, kurumların döndürülmediği tespit edilmiştir. Bu ilgili BS 25999 standartlarına başvurulmalıdır. İSYS kurulumu
içerisinde süreci tekrar işler hale getirmek %52’si iş sürekliliği planına sahiptir. Bu anlamda kurumların %19’nun önemli iş konusunda kullanılabilecek bir diğer yardımcı kaynak: Ulusal Bir diğer yanlış yaklaşım ise, iş sürekliliğine sadece
için, yapılması gerekenleri planlayarak kurumlardan %26’sı, iş sürekliliği planını süreçlerini tanımladığı ve Bilgi Güvenliği Kapısında (www.bilgiguvenligi.gov.tr) yayınlanan dokümantasyondan oluştuğu varsayımı ile yaklaşmaktır.
hazırlıklı olması gerektiğidir. kurum çapında yaygınlaştıramamış veya “İş Sürekliliği Yönetim Sistemi Kurulumu” isimli kılavuzdur. Dokümantasyon, iş sürekliliğinin vazgeçilemez bir parçası
güncelleyememiştir. Dolayısıyla kurumların önceliklendirdiği, %14’ünün ise Bu kılavuz, İSYS için kurulum adımlarını tanımlamakta ve olmasına rağmen, yapılması gereken tüm işleri dokümantasyon
İş Sürekliliğinin Önemi ve sadece %39’u planı uygun biçimde kesintilerin iş süreçleri üzerine olan açıklamaktadır. olarak ele almak, çalışmanın teknolojik ve organizasyon
Ülkemizdeki Durum işletmektedir [3]. etkilerini belirlediği görülmüştür. boyutlarını gözden kaçırmaya, dolayısıyla iş sürekliliğinden
İş Sürekliliğinde Yanlış Yaklaşımlar beklenen yararın sağlanamamasına neden olur. Teknolojik
Son yıllarda, bilgi güvenliği bilincinin 11%
artması ve finans sektörüne getirilen İş sürekliliği konusundaki hatalı yaklaşımları 4 ana başlık altyapının, gereksinimlerin üzerinde olması durumunda bile
tatbikatların yapılması, eğitimlerin verilmesi ve belirli aralıklarla
düzenlemeler ile birlikte, iş sürekliliğine altında toplamak mümkündür. gözden geçirmeler vb. yapılması gereken çalışmalar vardır.
verilen önemin arttığını görmekteyiz. Bu 1. İş Sürekliliğinin Bir Ürün, Teknoloji Veya Hizmet Olarak
gelişmelere paralel olarak, 2006 yılında Görülmesi 4. İş Sürekliliği Sorumluluğunun BT Bölümünde
İngiliz Standartları Enstitüsü’nün, 27% Olduğunun Düşünülmesi
BS25999 İş Sürekliliği Yönetim Sistemi İş sürekliliği, sadece verilerin başka bir çalışma alanına çevrim
(İSYS) standardını yayınlamış olması, iş 62% içi aktarılması veya önemli sunucuların devamlı olarak İş sürekliliğinin sağlanmasında, bilgi teknolojilerinin (BT)
sürekliliğinin dünya genellinde de çalışmasını sağlamak üzere kümeleme (cluster), diskleri hata rolünün yüksek olmasından dolayı, çalışmaların BT bölümü
öneminin arttığını göstermektedir. toleranslı hale getirme (RAID), yedekli güç kaynağını ve yedekli tarafından yapılması ve sorumluluğunun da BT bölümünde
A İş sürekliliği çalışması hiç yapmamış olan kurumların yüzdesi ağ hatlarını kullanmak olduğu düşünülmemelidir. İş sürekliliği olması gerektiği inanışı yaygındır. İstatistikler, iş sürekliliği
Günümüz işletmeleri, genellikle iş çalışmalarına BT bölümünün katılımının diğer birimlerden
süreçlerindeki kesintileri engellemek, B Kısmen iş sürekliliği çalışması yapmış olan kurumların yüzdesi kurum süreçlerinden hareketle, süreçlerin devamlılık daha fazla olduğunu göstermektedir. Öbür yandan iş
gereksinimlerinin ortaya konulması ve bunun sağlanması için
rekabet avantajı sağlamak, yasal C İş sürekliliği planını işleten kurumların yüzdesi gereken çalışmaların yapılmasıdır. Bu çalışmalar sırasında sürekliliğinin sorumluluğunun, çok yüksek oranda üst yönetim,
yükümlülüklerini yerine getirmek, müşteri yönetim kurulu veya iş sürekliliği kurulunda olduğu
Şekil 1. Kamu kurumları iş sürekliliği planlaması durum analizi, 2005 TÜBİTAK UEKAE. elbette, teknoloji, insan gücü ve mali kaynaklar kullanılacaktır.
46 Sayı 06 Mayıs-Ağustos 2011 http://www.bilgem.tubitak.gov.tr/ 47
·