Is Surekliligi Yonetiminin Kotu Uygulanmasi/BCM`in Kotu Yonetilmesinin Sonuc ve Nedenleri
Bir kurulusun is akisinin kesintilerini en aza indirgemek ve insan, surec, tesis ve teknoloji kesintilerini plansiz durumda esnek operasyonlar ile isin surekliligini saglayan yonetim surecine is surekliligi denir. Bu acidan is surekliligide kendi icerisinde bir risk olarak tanimlanabilir. Business Continuity Management(BCM) icerisinde planlanacak olan stratejiler, Incident & Crisis Management Plan (ICMP), Disaster Recovery Plan (DRP) ve Business Resumption Plan (BRP) olarak isimlendirilirler.
Yakin zamanda dunya genelinde yapilan arastirmalar goz onune alindiginda dunyadaki buyuk olcekli sirketlerin yarisinin Is Surekliligi Planlari var. Is surekliligi Plani bulunan sirketlerin masa basinda yapilanlari yani tatbikati yapilmayip, planlarin kagit ustunde kalanlarinida bu orandan cikartirsak su anda dunyadaki global sirketlerin sadece 4`te 1`i nin is surekliligi planlarinin tatbikat ve politikalar ile desteklenip gercek bir kesinti durumuna karsi hazirlikli oldugu soylenebilir.
Kotu hazirlanmis, tatbikati yapilmamis yada eksik kalmis BCP(Business Continuity Planning)`lerin nedenleri oncelik sirasina gore soyle siralanmaktadir;
1) Ust yonetimin desteginde eksiklik ve zaman duyarli sureclerin tamamlanmamasi.
2) Planlari destekleyici teknoloji, finans, operasyon ve kalifiye eleman eksikligi.
3) Riskleri anlamak ve bu surec icerisinde riskleri ortadan kaldirmak veya etkilerini azaltmak icin gerekli yatirimlarin yapilmamasi.
4) Surec ve teknolojiler icin yanlis alinmis stratejik kararlar.
5) Yöneticiler, hissedarlar, müşteriler, iş ortakları, analistler, duzenleyiciler ve çalışanların beklentileri karsilama noktasindaki bilincsizlikten kaynaklanan yetersizlikleri.
Kurumlarda risklerin yonetilmesi ve stratejilerin uygulanmasi icin afet durumlarinin ornek teskil edilip gosterilmesi her zaman uygun method olmus ve ilgi cekmistir. Afet veya olagan ustu durumlar sonrasi is sureclerinin devam edememesi durumunda maddi gelir kaybi, veri kaybi, veri bozulmalari, hisse dususleri ve marka deger kaybi olmasina ragmen halen daha bircok kurumda BCM hic uygulanmamakta yada kotu uygulanmaktadir. Idarenin onay vermemesi veya yeterli butceyi onaylamamasi sonucunda BCM planlari kagit ustunde kalir, bu durumda herhangi bir felaket durumuyla dogan surec kesintilerinde ortaya cikan tablonun ismi “BT Basarisizliklari, Hissedarlari Dogrudan Etkiler” olacaktir.
Is surekliligi yonetimi, kayip kesintilerinin ve buyuk yikici olaylarin etkilerini en aza indirgemek, is kesintilerini en kisa surede durdurup isin surekliligine devam etmesi icin olusturulmus politika ve uygulamalarin genel adidir. BCP cok saglam yaratilmis; is etki analizi, risk analizi ve kurtarma planlarina dayandirilmis olmasi gerekir ve projeyi destekleyen ve takip eden bir ust yonetim destegi olmasi gerekir. Proje gelistirilirken kritik is uygulamalarina ve risk boyutlarina gore bir siniflandirma yapilmalidir. Risk boyutu yuksek verileri ve kritik is uygulamalarini tasiyan sistemlerin onceligi ilk sirada olmalidir. Geleneksel teknik DRP methodlari tolerans gosterilebilen kesinti sureleri icerisinde bilginin erisebilirliligini her zaman saglayamaz. Bunun en buyuk nedenlerinden biri kompleks ve buyuk sistemlerin en ihtiyac duydugu seyin “insan” olmasi ve cogu ayarlamalarin manuel olarak yapilandirilmasidir. Bu nedenle sistemin tekrar ayaga kaldirilmasi otomatize araclarla bir yere kadar mumkundur.
Ust Yonetim Icin BCM Acisindan 10 Farkindalik Sorusu
1) BCM stratejimiz olay odakli mi yoksa risk odakli mi?
2) Sirketin sahip oldugu bilginin durumu acisindan organizasyondaki basarimiz ne kadar kritik?
3) Organizasyon stratejimiz is surekliligi acisindan ne kadar basarili?
4) Ortaklar ve sirket sahipleri icin planlanmamis ve tolerans gosterebilecekleri kesinti suresi ne kadar?
5) Sirketimizin risk yonetim programi; insana mi, surece mi, tesise mi yoksa teknolojiye mi hitap ediyor?
6) Sirtekimizin guncel BCM stratejileri tek noktada olusan hatalari ortadan kaldirir mi?
7) Sirketimizin guncel risk yonetim programi kritik alt yapi icin gercek zamanli hizmet takibi ve raporlamayi ongorebilen bir destek verebiliyor mu?
8) Sirketimizin ortak deger zinciri karsisinda var olan bilginin degerini en iyi sekilde nasil kullaniriz?
9) BCM plan ve politikalarimizin yeterli oldugunu dusundugumuz zaman bagimsiz ve guven veren bir sistemimiz olacak mi?
10) Sirketimizin BCM yeterliligi konusunda ic ve dis denetcilerin gorusu nedir?
Is surekliligi ile ilgili yapilan bir arastirmada 1 yil icinde firmalarda olusan afet veya olagan ustu durumlar sonrasinda yasanan kesinti surelerinin %99.5`i 43.8 saat`lik bir kesinti cikartiyor karsimiza. Baska bir sekilde anlatmak gerekirse 1 yil icerisinde afet vb. durumlar karsisinda BT hizmetlerinin kesintiye ugradi 200 firmadan 199`u 2 gun hizmet veremiyor. Bunun bir gsm operatoru oldugunu dusunun, “a” operatorunu kullanan kisiler iki gun boyunca kimseyi arayamiyor, sms atamiyor, mobil internet kullanamiyor veya bir bankanin basina geldigini dusunelim, 2 gun boyunca havale, eft yapamiyorsunuz, internet bankaciligi kullanamiyorsunuz. 2 gunluk kesinti sonrasi ortaya cikan mali zarar, hisse zarari ve marka-prestij zararini dusunelim.
Simdide BCM yeterliligi yuksek olan, planlari, politikalari olan, tatbikatlari yapilmis bir firma dusunelim. Yani gerekli alt yapi, surec ve teknoloji icin butce onayi vermis ve ust yonetim destegi olan bir firmadan bahsedelim. O zaman kayip gunler degil bir kac saat hatta dakikalar ile ifade edilecektir.
Is dunyasinda basari kritik bir faktordur. Su anda icerisinde bulundugumuz kuresel ekonomiyi bilginin surekliligi olusturmaktadir. Is dunyasinin liderleri icin gosterge performanstir. Performans ise bilginin kullanilabilirligi, surekliligi, olceklenebilir teknoloji alt yapisi ve konsolide kontrol sistemleri ile olculur.
Batuhan TOSUN
CEO at uitsec LLC, Founder and General Manager
President at ISSA Turkey Chapter