Page 50 - bilgem-teknoloji-dergisi-6
P. 50
Ali DİNÇKAN, Ömer Deniz DEMİREL Bilişim Güvenliği Sistemleri: İş Sürekliliği Yönetim Sisteminde Sıkça Yapılan Yanlışlar ve Önemli Başarı Etkenleri
görünmektedir. İş süreçlerinin devam sağlanması, tatbikat sonuçlarının en fazla kabul edilebilir kesinti süreleri 6. Yeterli Bilgi Teknolojileri Altyapısı 8. Periyodik Tatbikatlar
ettirilebilmesi veya olağan üstü bir incelenmesi, bazı bilgilendirme notlarının (MTPoD) belirlenmektedir. Bu çalışma
durumda tekrar çalışır hale getirilmesi, veya çalışma sonuçlarının bizzat yönetim sırasında risk analizi de kullanılarak,
personelin alternatif çalışma ortamına tarafından bildirilmesi, konunun öneminin süreçlerde kesintiye neden olabilecek
naklinden, sunucuların hazırlanmasına ve anlaşılması açısından yararlı olacaktır. Üst riskler belirlenmektedir. İş süreçlerinin
yeni cihaz satın alımına kadar birçok yönetim desteği, ayrıca gerekli iş gücünün öneminin ve süreçlerde kesintiye neden
çalışmayı içermektedir. Bu nedenle iş ve gereksinim duyulan bütçenin ayrılması olabilecek olayların belirlenmesi,
sürekliliği, kurum içinde mümkün olduğu gibi konular içinde oldukça önemlidir. uygulanacak karşı önlemlerin seçilmesi
kadar üst seviye yönetim tarafından temsil için son derece önemlidir. İş etki analizi
edilmeli ve tüm çalışma grupları ile birlikte 2. Stratejik İş Planın Parçası Olma kurulmuştur. İş sürekliliği yönetim ve risk analizi çalışmasının doğru Günümüzün iş gereklilikleri nedeniyle,
çalışarak, iş sürekliliğini sağlayacak bir sisteminin kurum içinde yaşayabilmesi için yapılması, iş sürekliliğinin başarıya birçok iş sürecinin BT bağımlılığı yüksektir.
ekip kurulmalıdır. gerekli personel gücünün ve eş güdümün ulaşmasında, üst yönetim desteği kadar Bilgi teknolojileri altyapısının süreklilik
sağlanması iş sürekliliğinin olağanüstü önemli bir başarı nedenidir. ihtiyaçlarına uygun olması, süreklilik
İş Sürekliliği Önemli Başarı durumlarda beklenen yararı sağlaması için ihtiyaçlarının karşılanması için büyük Olağanüstü durumlara her an hazır
Etkenleri önemli adımlardan birisidir. İş sürekliliği 5. Yeterli Bütçe Ayrılması öneme sahiptir. Sunucuların, haberleşme olabilmek için, senaryolar üretilmeli ve
tatbikatı yapılmalıdır. Tatbikatlar
çalışmaları kapsamında en üst yönetimden hatlarının ve enerji altyapısının yedekli
Bu bölümde, İSYS’nin başarıya son kullanıcıya kadar düşen görevler vardır. yapıda çalışması, BT’nin sürekli hizmet sonucunda, kurulmuş olan yönetim
ulaşabilmesi için önem verilmesi gereken Bu detayda bir kurum kültürü verebilmesi için gereklidir. Bunlara ek sisteminin eksikliklerini belirlemek
başarı etkenleri açıklanmıştır. Bu oluşturulmadıkça sürecin işletilmesi zordur. olarak, ana merkezde bulunan verinin mümkündür. İş sürekliliği planının ve ilgili
maddelerden bir veya birkaçında sorun kurtarma merkezine gönderilmesi diğer dokümanların, çalışma kapsamında
olması durumunda iş sürekliliği 4. Risk Analizi ve İş Etki Analizi gereklidir. Bu işlemleri gerçekleştirecek görev alan personelin bilgi seviyesinin ve
İş sürekliliği, kurumun stratejik hedefleri
teknolojik altyapının eksiklikleri bu şekilde
çalışmalarından beklenen yararın için önemli bir çalışmadır. Kurumun altyapıya sahip olmadan, olağanüstü bir belirlenebilir. Tatbikatlar,
sağlanamaması söz konusudur. İş sürekliliği, iş etki analizi ismi verilen durumda kabul edilebilir kesinti sürelerini
işlevini devam ettirmesi veya yasal çalışmanın çıktıları üzerine inşa edildiği dokümantasyonun gözden geçirilmesi,
1. Üst Yönetim Desteği yükümlülüklerini yerine getirebilmesi için, için, en önemli başarı etkenlerinden biridir. sağlamak oldukça güçtür. planın bir parçasının test edilmesi veya
her zaman güncel ve ihtiyaca yanıt verebilir İş etki analizinin doğru yapılması, İSYS’nin 7. Dokümantasyon planın tamamının test edilmesi gibi farklı
durumda olmalıdır. İş sürekliliğinin sağlam temeller üzerine oturmasını İSYS’nin, hem kurulumu hem de daha türlere sahiptir. Her bir tatbikat türü için,
stratejik iş hedeflerine uygun olarak sağlayacaktır. Bu sebeple kurumun ilgili sonra işletimi sırasında bir takım giderleri senelik olarak tatbikat planlarının
geliştirilmediği veya stratejik hedeflerde bölümlerinden yetkin kişilerin, vardır. Kurulması sırasında danışmanlık, hazırlanması ve tatbikatların yapılması,
gerçekleştirilen değişikliklere uygun olarak çalışmalarda yer alması gereklidir. İş etki eğitim ve benzeri hizmetlerin satın kurumun olası bir acil durum senaryosu
gerekli çalışmaların yapılmadığı durumda, analizi / risk analizi takımında yer alacak alınması, işletme içinde gerekli insan için hazır olmasını sağlamaktadır.
iş süreçlerinde kesintiler yaşanması personelin üst yönetim tarafından kaynağının sağlanması bu giderlere 9. Eğitim ve Bilinçlendirme
kaçınılmazdır. Örnek olarak bir yıl seçilmesi, yönetimin konuya verdiği örnektir. Yönetim sisteminin kurulumu
sonrasında satışlarını %30 arttırmayı önemin anlaşılması açısından son derece sonrasında ise, gerçekleştirilecek
hedefleyen bir firma düşünelim. Bu hedefi önemlidir. Bu çalışma sonunda kurum tatbikatlar, periyodik gözden geçirmeler,
gerçekleştirmek için, bilgi teknolojileri süreçlerinin kritikliği, süreçler için kurum içi bilgilendirme faaliyetleri,
altyapısında da gerekli değişiklikler hedeflenen kurtarma süreleri (RTO) ve süreçlerdeki değişikliklerden sonra
İş sürekliliği çalışmaları için, en yüksek yapılacaktır. Bu değişiklikler sırasında iş hazırlanacak dokümanlar ve benzeri Her yönetim sisteminde olduğu gibi İSYS
seviyede yönetim onayı ve desteğinin sürekliliği planının, ilgili çalışmalar vardır. Ayrıca iş etki analizi ve içinde dokümantasyon çok önemlidir. İş
alınması zorunludur. Gerçekleştirilen dokümantasyonunun ve kurtarma risk analizi çalışmalarının sonunda sürekliliği planının, olağanüstü durum
çalışmalar ile ilgili yönetim onayı alınması, merkezinin bu hedefe uygun olarak uygulanacak kontrollere karar yönetim planının ve bu planlarla ilgili
çalışmaların kurum çapında daha kolay değiştirilmesi gereklidir. verilmektedir. Kontrollerin yerine diğer talimat ve prosedürlerin hazır ve
kabul edilmesini sağlayacaktır. BS 25999 getirilmesi için yapılacak çalışmaların güncel olması gereklidir. Dokümanların
standardı, üst yönetimin iş sürekliliği 3. İş Sürekliliği Organizasyonu bazılarının maliyeti çok düşük olabileceği hazır olması yanında, ilgili kişilere dağıtımı
sürecine katılımının İSYS’nin doğru olarak İş sürekliliği çalışmaları, bir grubun veya gibi gerektiğinde felaketten kurtarma da yapılmalıdır. Dokümantasyonun
anlaşılması, desteklenmesi ve organizasyon bir kişinin tek başına yerine getirebileceği merkezi kurulumu gibi yüksek maliyetli hazırlanması aşamasında sadelik ve kolay
kültürüne uyumu için anahtar bir adım bir faaliyet değildir. Kurumun birçok çalışmaların yapılması da gerekebilir. Bu uygulanabilirlik çok önemlidir. İş sürekliliği çalışmalarının benimsenmesi
olduğunu belirtmektedir. Üst yönetim bölümünün içinde bulunduğu ve kişilerin sebeple iş etki analizinde belirlenen kabul için, kurum çalışanlarına ve iş sürekliliği
desteği, sadece politika ve benzeri farklı görevler aldığı bir çalışmadır. Son edilebilir kesinti sürelerinin sağlanması organizasyonunda bulunan takımlara
dokümantasyonun onaylanması biçiminde kullanıcının dahi bilmesi ve yapması için gerekli bütçenin ayrılması veya eğitim verilmelidir. Kurum çapında
olmamalıdır. Çalışmaların gözden gereken işler vardır. Bazı kurumlarda iş planlanması oldukça önemlidir. benimsenmemiş ve gerekli eğitim
geçirildiği toplantılara katılımın sürekliliğinin yönetimi için ayrı gruplar çalışmaları yapılmamış iş sürekliliği
48 Sayı 06 Mayıs-Ağustos 2011 http://www.bilgem.tubitak.gov.tr/ 49
·