Ali DİNÇKAN, Ömer Deniz DEMİREL  Bilişim Güvenliği Sistemleri: İş Sürekliliği Yönetim Sisteminde Sıkça Yapılan Yanlışlar ve Önemli Başarı Etkenleri

 görünmektedir. İş süreçlerinin devam  sağlanması, tatbikat sonuçlarının  en fazla kabul edilebilir kesinti süreleri  6. Yeterli Bilgi Teknolojileri Altyapısı  8. Periyodik Tatbikatlar
 ettirilebilmesi veya olağan üstü bir  incelenmesi, bazı bilgilendirme notlarının  (MTPoD) belirlenmektedir. Bu çalışma
 durumda tekrar çalışır hale getirilmesi,  veya çalışma sonuçlarının bizzat yönetim  sırasında risk analizi de kullanılarak,
 personelin alternatif çalışma ortamına  tarafından bildirilmesi, konunun öneminin  süreçlerde kesintiye neden olabilecek
 naklinden, sunucuların hazırlanmasına ve  anlaşılması açısından yararlı olacaktır. Üst  riskler belirlenmektedir. İş süreçlerinin
 yeni cihaz satın alımına kadar birçok  yönetim desteği, ayrıca gerekli iş gücünün  öneminin ve süreçlerde kesintiye neden
 çalışmayı içermektedir. Bu nedenle iş  ve gereksinim duyulan bütçenin ayrılması  olabilecek olayların belirlenmesi,
 sürekliliği, kurum içinde mümkün olduğu  gibi konular içinde oldukça önemlidir.  uygulanacak karşı önlemlerin seçilmesi
 kadar üst seviye yönetim tarafından temsil  için son derece önemlidir. İş etki analizi
 edilmeli ve tüm çalışma grupları ile birlikte  2. Stratejik İş Planın Parçası Olma  kurulmuştur. İş sürekliliği yönetim  ve risk analizi çalışmasının doğru  Günümüzün iş gereklilikleri nedeniyle,
 çalışarak, iş sürekliliğini sağlayacak bir  sisteminin kurum içinde yaşayabilmesi için  yapılması, iş sürekliliğinin başarıya  birçok iş sürecinin BT bağımlılığı yüksektir.
 ekip kurulmalıdır.  gerekli personel gücünün ve eş güdümün  ulaşmasında, üst yönetim desteği kadar  Bilgi teknolojileri altyapısının süreklilik
 sağlanması iş sürekliliğinin olağanüstü  önemli bir başarı nedenidir.  ihtiyaçlarına uygun olması, süreklilik
 İş Sürekliliği Önemli Başarı  durumlarda beklenen yararı sağlaması için  ihtiyaçlarının karşılanması için büyük  Olağanüstü durumlara her an hazır
 Etkenleri  önemli adımlardan birisidir. İş sürekliliği  5. Yeterli Bütçe Ayrılması  öneme sahiptir. Sunucuların, haberleşme  olabilmek için, senaryolar üretilmeli ve
                                                                                       tatbikatı yapılmalıdır. Tatbikatlar
 çalışmaları kapsamında en üst yönetimden       hatlarının ve enerji altyapısının yedekli
 Bu bölümde, İSYS’nin başarıya  son kullanıcıya kadar düşen görevler vardır.  yapıda çalışması, BT’nin sürekli hizmet  sonucunda, kurulmuş olan yönetim
 ulaşabilmesi için önem verilmesi gereken  Bu detayda bir kurum kültürü  verebilmesi için gereklidir. Bunlara ek  sisteminin eksikliklerini belirlemek
 başarı etkenleri açıklanmıştır. Bu  oluşturulmadıkça sürecin işletilmesi zordur.  olarak, ana merkezde bulunan verinin  mümkündür. İş sürekliliği planının ve ilgili
 maddelerden bir veya birkaçında sorun          kurtarma merkezine gönderilmesi        diğer dokümanların, çalışma kapsamında
 olması durumunda iş sürekliliği  4. Risk Analizi ve İş Etki Analizi  gereklidir. Bu işlemleri gerçekleştirecek  görev alan personelin bilgi seviyesinin ve
 İş sürekliliği, kurumun stratejik hedefleri
                                                                                       teknolojik altyapının eksiklikleri bu şekilde
 çalışmalarından beklenen yararın  için önemli bir çalışmadır. Kurumun  altyapıya sahip olmadan, olağanüstü bir  belirlenebilir. Tatbikatlar,
 sağlanamaması söz konusudur.  İş sürekliliği, iş etki analizi ismi verilen  durumda kabul edilebilir kesinti sürelerini
 işlevini devam ettirmesi veya yasal  çalışmanın çıktıları üzerine inşa edildiği       dokümantasyonun gözden geçirilmesi,
 1. Üst Yönetim Desteği  yükümlülüklerini yerine getirebilmesi için,  için, en önemli başarı etkenlerinden biridir.  sağlamak oldukça güçtür.  planın bir parçasının test edilmesi veya
 her zaman güncel ve ihtiyaca yanıt verebilir  İş etki analizinin doğru yapılması, İSYS’nin  7. Dokümantasyon  planın tamamının test edilmesi gibi farklı
 durumda olmalıdır. İş sürekliliğinin  sağlam temeller üzerine oturmasını  İSYS’nin, hem kurulumu hem de daha  türlere sahiptir. Her bir tatbikat türü için,
 stratejik iş hedeflerine uygun olarak  sağlayacaktır. Bu sebeple kurumun ilgili  sonra işletimi sırasında bir takım giderleri  senelik olarak tatbikat planlarının
 geliştirilmediği veya stratejik hedeflerde  bölümlerinden yetkin kişilerin,  vardır. Kurulması sırasında danışmanlık,  hazırlanması ve tatbikatların yapılması,
 gerçekleştirilen değişikliklere uygun olarak  çalışmalarda yer alması gereklidir.  İş etki  eğitim ve benzeri hizmetlerin satın  kurumun olası bir acil durum senaryosu
 gerekli çalışmaların yapılmadığı durumda,  analizi / risk analizi takımında yer alacak  alınması, işletme içinde gerekli insan  için hazır olmasını sağlamaktadır.
 iş süreçlerinde kesintiler yaşanması  personelin üst yönetim tarafından  kaynağının sağlanması bu giderlere  9. Eğitim ve Bilinçlendirme
 kaçınılmazdır. Örnek olarak bir yıl  seçilmesi, yönetimin konuya verdiği  örnektir. Yönetim sisteminin kurulumu
 sonrasında satışlarını %30 arttırmayı  önemin anlaşılması açısından son derece  sonrasında ise, gerçekleştirilecek
 hedefleyen bir firma düşünelim. Bu hedefi  önemlidir. Bu çalışma sonunda kurum  tatbikatlar, periyodik gözden geçirmeler,
 gerçekleştirmek için, bilgi teknolojileri  süreçlerinin kritikliği, süreçler için  kurum içi bilgilendirme faaliyetleri,
 altyapısında da gerekli değişiklikler  hedeflenen kurtarma süreleri (RTO) ve  süreçlerdeki değişikliklerden sonra
 İş sürekliliği çalışmaları için, en yüksek  yapılacaktır. Bu değişiklikler sırasında iş  hazırlanacak dokümanlar ve benzeri  Her yönetim sisteminde olduğu gibi İSYS
 seviyede yönetim onayı  ve desteğinin  sürekliliği planının, ilgili  çalışmalar vardır. Ayrıca iş etki analizi ve  içinde dokümantasyon çok önemlidir. İş
 alınması zorunludur. Gerçekleştirilen  dokümantasyonunun ve kurtarma  risk analizi çalışmalarının sonunda  sürekliliği planının, olağanüstü durum
 çalışmalar ile ilgili yönetim onayı alınması,  merkezinin bu hedefe uygun olarak  uygulanacak kontrollere karar  yönetim planının ve bu planlarla ilgili
 çalışmaların kurum çapında daha kolay  değiştirilmesi gereklidir.  verilmektedir. Kontrollerin yerine  diğer talimat ve prosedürlerin hazır ve
 kabul edilmesini sağlayacaktır. BS 25999  getirilmesi için yapılacak çalışmaların  güncel olması gereklidir. Dokümanların
 standardı, üst yönetimin iş sürekliliği  3. İş Sürekliliği Organizasyonu  bazılarının maliyeti çok düşük olabileceği  hazır olması yanında, ilgili kişilere dağıtımı
 sürecine katılımının İSYS’nin doğru olarak  İş sürekliliği çalışmaları, bir grubun veya  gibi gerektiğinde felaketten kurtarma  da yapılmalıdır. Dokümantasyonun
 anlaşılması, desteklenmesi ve organizasyon  bir kişinin tek başına yerine getirebileceği  merkezi kurulumu gibi yüksek maliyetli  hazırlanması aşamasında sadelik ve kolay
 kültürüne uyumu için anahtar bir adım  bir faaliyet değildir. Kurumun birçok  çalışmaların yapılması da gerekebilir. Bu  uygulanabilirlik çok önemlidir.  İş sürekliliği çalışmalarının benimsenmesi
 olduğunu belirtmektedir. Üst yönetim  bölümünün içinde bulunduğu ve kişilerin  sebeple iş etki analizinde belirlenen kabul  için, kurum çalışanlarına ve iş sürekliliği
 desteği, sadece politika ve benzeri  farklı görevler aldığı bir çalışmadır. Son  edilebilir kesinti sürelerinin sağlanması  organizasyonunda bulunan takımlara
 dokümantasyonun onaylanması biçiminde  kullanıcının dahi bilmesi ve yapması  için gerekli bütçenin ayrılması veya  eğitim verilmelidir. Kurum çapında
 olmamalıdır. Çalışmaların gözden  gereken işler vardır. Bazı kurumlarda iş  planlanması oldukça önemlidir.  benimsenmemiş ve gerekli eğitim
 geçirildiği toplantılara katılımın  sürekliliğinin yönetimi için ayrı gruplar         çalışmaları yapılmamış iş sürekliliği


 48  Sayı 06   Mayıs-Ağustos 2011  http://www.bilgem.tubitak.gov.tr/  49
 ·