Dosya İŞ SÜREKLİLİĞİ: Günümüz Kurumlarının Yeni Can Simi 03 ARALIK 2012 / 14:17

Nereden başlamalı?

İş operasyonlarının sürekliliği işletmelerin başarılı olması, marka değerini ve potansiyel geliri koruması için büyük önem taşıyor. Bunu karşılamak için kurumların proaktif davranıp, planlanmamış olaylara karşı hazırlıklı olmaları ve bu olaylara yanıt verebilme esnekliğine sahip olmaları gerekiyor. Kurumlarda felaket senaryolarının yanı sıra, olağan günlük operasyonların düzenlenmesinde de büyük önem taşıyan iş sürekliliği yönetim sisteminin oluşturulması, sadece olağanüstü haller ve durumlarda değil günlük süreçlerin iyileştirilmesine de katkı sağlıyor. Gerek kesinti gerek felaket durumları olsun; iş sürekliliği kavramı aslında şirketlerin kritik iş birimlerinin ve fonksiyonlarının sürekliliğini sağlayan bir kavram olarak görülüyor.
Bu nedenle kurumların iş sürekliliği stratejileri ve atacakları adımlar da doğru bir iş sürekliliği yapısının oluşturulması açısından önem taşıyor. İnnova Teknoloji Çözümleri Direktörü Mehmethan Şişik’e göre de kurumların kritik veri ve iş süreçlerini bunlara ilişkin teknolojik, operasyonel, mali, hukuki ve benzeri risklerini ve bu risklerin işlerine etkilerini uygun araç ve metotlarla ölçmeleri, önceliklendirmeleri, gerçekçi ve uygulanabilir stratejiler ile iş sürekliliği planları geliştirmeleri ve test etmeleri gerekiyor. İş sürekliliği planlarının yaşayan dokümanlar olduğunu ifade eden Şişik, “İşletmedeki her değişiklikle beraber güncellenmeleri gerekli. Bunun için de işletmenin etkin bir değişim yönetimi sürecine sahip olması çok önemli” diye konuştu.
İş sürekliliği için kullanılabilecek birçok uluslararası standart var
Organizasyonunuzda iş sürekliliği ile ilgili bir çalışma yoksa başlatmak, varsa iyileştirmek için kullanabilecek birçok uluslararası kabul görmüş standart ve çerçeve bulunuyor.

Örneğin, ISO 22301 (Toplumsal Güvenlik - İş Sürekliliği Yönetim Sistemi), NFPA 1600 (Felaket/acil durum yönetimi ve iş sürekliliği programları standardı), DRII Profesyonel Uygulamalar, BCI İyi Uygulamalar Kılavuzu, ISO/IEC 27031(İş sürekliliği için bilgi ve iletişim teknolojileri hazırlık kılavuzu), BS 25777, BSI PD 25666 (Süreklilik ve acil durum programları için tatbikat ve test kılavuzu) standartları uluslararası kaynakların başında geliyor. Sektör temsilcileri tarafından ulusal bilgi güvenliği kapısında (http://bilgiguvenligi.gov.tr/) yayınlanmış İş Sürekliliği Yönetim Sistemi Kurulum Rehberi ve iş sürekliliği makaleleri iyi birer başlangıç noktası olarak görülüyor.
Öncelik iş sürekliliği planlarını oluşturmak olmalı
İş sürekliliği sistemleri kullanacak şirketlere öncelikle iş sürekliliği planlarını oluşturmaları gerektiğini belirten KoçSistem Veri Depolama ve Yedekleme Birim Yöneticisi Serhat Erürker, sözlerini şöyle sürdürdü: ”Bu çerçevede hizmetin devamlılığını sağlamak için hangi uygulamaların gerekli olduğunun ve hangi verilere sürekli erişimin gerektiğini iş birimleri ve bilgi işlem departmanları tarafından belirlenmelidir. Çalışmalar sırasında uygulamalar belirlenir ve topoloji çıkarılarak teknoloji bağımlılıkları ortaya konur. Ardından yapılması gereken, hizmet devamlılığını kesintiye uğratabilecek olası senaryolar ve bu senaryolara karşı hangi yöntemin uygulanabileceğinin netleştirilmesidir. Unutulmaması gereken en önemli nokta, tüm altyapının oluşturulmasının ardından, devreye alınması sırasında tüm işlemlerin detaylı olarak dokümantasyonunun yapılmasıdır. Bu dokümantasyon ile hangi koşullar gerçekleştiğinde felaket kurtarma adımlarının atılacağı, kişiye bağımsız bir kurum standardı haline getirilir. Ayrıca bu gibi yapıların her an çalışabilir olması, tartışmasız bir zorunluluk olduğundan senaryoların ve sistemlerin periyodik testlerinin yapılması, olası bir afet durumunda sistemlerin sorunsuz bir şekilde ayağa kalkabilmesi açısından son derece önemlidir. ”Microsoft Türkiye Uygulama Platformu Ürün Yöneticisi Gökben Utkun’a göre de iş sürekliliği kurumlara sundukları servis ve hizmetlerin aksamadan devam etmesi açısından oldukça önemli. Kurumların pazar ve müşteri kaybı, marka imajının zedelenmesi ve mali zarar gibi büyük riskler yaşamamaları için iş sürekliliği planlarına sahip olması gerektiğini belirten Utkun, “İş sürekliliği planının doğru yapılandırmaları gerekmekte. Kendileri için kritik olan tüm riskleri uygun araç ve metotlarla ölçmeli, gerçekçi ve uygulanabilir stratejiler ile iş sürekliliği planlarını geliştirmeli ve bunları sürekli test etmelidir. İş sürekliliği sadece felaket anlarında değil kurumlarda günlük süreçlerin iyileştirilmesine de katkı sağlar” yorumunda bulundu.
Tüm departmanlardan ilgililerin görevli olduğu bir çalışma grubu kurarak, kendi iş sürekliliği planlarını yapmalılar
Teknotel Genel Müdür Yardımcısı Duru Komaz’ın kurumlara iş sürekliliği konusundaki önerileri ise şöyle; “İş sürekliliği sistemleri kullanacak şirket ve kurumlara ‘Business Continuity Management Standard BS 25999-22007’ dokümanını temin edip, incelemelerini, tüm departmanlardan ilgililerin görevli olduğu bir çalışma grubu kurarak, kendi iş sürekliliği planlarını kendi ihtiyaçlarını göz önünde bulundurarak, fakat benchmark çalışmalarından da faydalanarak, gerçekçi bir şekilde kurgulamalarını öneririm. Her şirketin lokasyonu, büyüklüğü, pazardaki konumu, stratejisi vb. çeşitli kriterler risk faktörlerini belirler ve iş sürekliliği planı mutlaka çok boyutlu bir risk analizine dayanmalıdır.”

İş sürekliliği yönetiminde başarılı olmanın olmazsa olmazları, öncelikle üst yönetim desteği

Fatih-KoçBSI Eğitmeni Fatih Koç’a göre de iş sürekliliği yönetiminde başarılı olmanın olmazsa olmazları, öncelikle üst yönetim desteği. İş sürekliliği yönetiminin şirketin stratejik iş planının parçası olması gereğine dikkat çeken Koç, şu değerlendirmelerde bulundu: “Organizasyon genelinde iş sürekliliği koordinasyonu sağlanmalı. İş sürekliği yönetiminin temeli süreç temelli iş etki analizi ve risk değerlendirmesine dayanır. Organizasyon için uygun yöntemler kullanılarak iş sürekliliği riskleri belirlenmeli uygun önlemler seçilip etkin şekilde uygulanmalı. Kesinti halinde organizasyonun ne seviyede etkileneceği iş etki analizinde belirlenmeli ve kurtarma hedefleri ortaya çıkarılmalıdır. Elde edilen risk değerlendirmesi ve iş etki analizi sonuçlarına dayanan iş sürekliliği stratejileri ve iş sürekliliği planları oluşturulmalıdır. Elbette felakete hazırlık için yeterli seviyede bilgi teknolojileri altyapısı kurulmalı ve gerekli bütçe sağlanmalıdır. Organizasyonun tamamına yaygınlaştırmanın sağlanması için uygun seviyelerde eğitim ve farkındalık faaliyetleri yürütülmeli, gerçek felakete hazırlığın karnesi olan periyodik tatbikatlarla planların testleri gerçekleştirilmelidir. İş sürekliliğinin de devamlılığını sağlamak için sürekli iyileştirme ve gerekli güncellemelerin sağlanması gereklidir. En sık karşılaşılan hata bu çalışmaların bir proje bakış açısı ile yönetilmesidir.”

İş sürekliliği konusunda öncelikle hedeflerin iyi belirlenmesi gerekiyor

ovgu güneriKurumların faaliyetlerinin sürekliliğini etkileyecek en büyük riskin kullanılan bilgi ve iletişim teknolojilerinde yaşanacak uzun süreli kesintiler olduğunu belirterek sözlerine başlayan Anadolu Bilişim Strateji ve Pazarlama Müdürü Övgü Güneri, bu riskler arasında deprem, sel gibi ülkemizde de sıklıkla yaşadığımız doğal afetler olduğu gibi iş sürekliliğini etkileyecek diğer faktörler arasında kritik iş uygulamalarının üzerinde koştuğu sistemlerde uzun süreli teknik arızalarının da yer aldığına dikkat çekti. Güneri sözlerini şöyle sürdürdü: “Bu sebeple iş sürekliliğini düşünürken tüm faktörleri ve etkilerini göz önüne almak gerekmektedir. İş sürekliliği konusunda öncelikle hedeflerin iyi belirlenmesi gerekiyor. Bunun için kesintilerden etkilenecek kritik iş süreçlerini, iş etki analizi yoluyla doğru şekilde analiz etmek, bunlarla ilgili operasyonel riskleri belirlemek, acil durum senaryolarını düşünmek ve bunlara karşı gerekli aksiyon planlarını oluşturarak doğru iş sürekliliği stratejisini kurmak gerekiyor. En değerli varlık olan veriler burada en önemli kritik unsur oluyor. Verilerin yönetileceği, depolanacağı ve kurulan sistemlerin kesintisiz çalışacağı veri merkezinin altyapısından havalandırmasına kadar birçok nokta planlamalı ve dikkate alınmalıdır. Bu tip uygulamalar zaman ve maliyet açısından masraflı olduğu için kurumlar veri merkezi hizmetlerini kendi bünyelerinde barındırmak yerine profesyonel hizmet veren veri merkezlerinden dışkaynak modeliyle yararlandığında maliyetli ve uzun süren işletme süreçlerinden kurtulabiliyorlar.”

İş sürekliliği yönetiminin durağan olmadığı ve sürekli yaşayan bir süreç olduğu unutulmamalı

senol-Vatanseverİş sürekliliği sağlama görevinin Türkiye’de genelde tersine bir yaklaşım eğilimi olsa da- sadece BT sorumluluğuna bırakılabildiğini ancak konunun bu keyfiyette olmadığını belirten Eczacıbaşı Bilişim Satış Yöneticisi Şenol Vatansever, bu sürecin tüm iş birimlerinin aktif olarak dahil olması, üst yönetimin sahiplenmesi ve desteklemesi gereken bir süreç olduğunu vurguladı. Vatansever, sözlerini şöyle sürdürdü: “İş sürekliliği sistemlerini kullanacak şirketlere ve kurumlara önerimiz iş gereksinimleri çerçevesinde politika ve prosedürlerini belirlemeleridir. Olağanüstü bir durum ya da felaketle karşılaşıldığında organizasyonun teknolojik altyapısını işler hale getirmesi, hizmetlerini ve ürünleri sağlamaya devam etmesi kritik öneme sahiptir. Burada sistemlerdeki kaybın ne kadarının kabul edilebildiğinin (Recovery Point Objective - RPO) ve sistemlerin ne kadar zamanda ayağa kaldırılabileceğinin (Recovery Time Objective - RTO) kararı verilmelidir. Teknolojik olarak her türlü altyapı tasarlanabilir durumda ve ihtiyaçlara göre maliyetler değişmekte. İş sürekliliği yönetiminin durağan olmadığı ve sürekli yaşayan bir süreç olduğu unutulmamalı. Bu sebeple planlama aşamasındaki senaryolar düzenli olarak test edilmeli ve risk yönetimi yapılarak potansiyel kayıplar gözden geçirilmelidir. Gerektiğinde planda güncellemeler yapılmalı ve tepki vermedeki esneklik geliştirilmelidir.Olağanüstü durum riski gözardı edilebilecek bir risk değildir. Kesinti sebebiyle maruz kalabileceğiniz gelir kaybı riskinin ötesinde bir anda itibarınızı ve markanızın değerini dibe indirebileceğini unutmamanız gerekir.”

Pek çok noktaya dikkat edilmesi gerek

Vural-KöyüstüVPROF-IT Genel Müdürü Vural Köyüstü de, iş sürekliliği noktasında öncelikle kurumlarda kullanılan altyapı ile uyumlu, kurulum/konfigürasyonu ve yönetimi kolay olan sistemlerin kullanılmasını önerdiklerini belirterek şöyle konuştu: “Herhangi bir felaket anında geri dönüşü hızlı ve kolay bir şekilde yapabilecek bir uygulama kullanmalarını tavsiye ederiz. Sanallaştırma teknolojilerinin de iş sürekliliği projelerinde kolaylık sağladığı aşikar durumdayken, sanal makinelerin geri dönüşünü ve geri döndüğü noktaları en kabul edilebilir seviyelerde tutmak gerekir. Bunun yanında geri dönüş senaryolarının belli aralıklarla test edilmesi gerekir ki, bunu ana sistemleri durdurmadan yapabilecek uygulamalar kullanmak tercih edilmelidir.”

“Şirketler iş sürekliliğine sadece bilgi işlem merkezinin kurtarılması olarak yaklaşmamalılar”

Ali-GündüzIBM Küresel İş Hizmetleri İş Sürekliliği ve Altyapı Hizmetleri Yöneticisi Ali Gündüz’e göre detaylı olarak planlanmış bir iş sürekliliği çözümü, kuruluşun türlü risklerden korunmasına yardımcı olurken yalnızca BT altyapısının kurtarılmasına değil, işin sürekli olarak yürümesine yardımcı olarak endüstri ve yasal mevzuatlara uyumluluk yönetimini de kolaylaştırıyor. Giderek birbiriyle daha fazla bağlantılı hale gelen dünyada, artan daha karmaşıklık ortamı ve zeka yüklü sistemlerin beraberinde çeşitlenen risk faktörlerini de getirdiğini belirten Gündüz, şu değerlendirmelerde bulundu: “Öte yandan rekabetçi ekonomide sadece birkaç saat boyunca çalışamamak bile şirketler için hem maddi, hem manevi son derece vahim sonuçlar doğurabiliyor. Bu sorunu ele alırken şirketler iş sürekliliğine sadece bilgi işlem merkezinin kurtarılması olarak yaklaşmamalılar. Ve iş sürekliliğinin sağlanması artık sadece BT departmanlarının çözmesi gereken bir konu olmaktan çıkarılmalıdır. İşletmeler çalıştıkları iş süreçleriyle paralel olarak o iş süreçlerinin kurtarılmasına yönelik bir planlama yapmalılar. Örneğin bölgesel ve yapısal (binaların) risklerden kaynaklanan birincil tesis kaybı beklentisine karşı önlemler, personel kaybı veya yokluğu için yedekleme gibi BT dışı konularda da işletmelerin planlama yapması gerekmekte. İş sürekliliğini sağlamak üzere; kurum ve şirketlerin risklerini değerlendirmeleri, kendilerine en uygun olacak şekilde hazırlanmış iş esnekliği stratejisi geliştirmeleri gerekiyor.”
ETİKETLER : Sayı:898