İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ

İş Sürekliliği Nedir

İş sürekliliği, Kuruluşun olaylara karşılık verme ve bunun planlamasını yapma konusunda stratejik ve taktiksel becerisi ve iş kesintileri için önceden tanımlanmış kabul edilebilir seviyede iş uygulamalarına devam etme becerisi olarak tanımlanır.

İş sürekliliği işler yolunda giderken, genelde organizasyonların üzerinde çok fazla durmadıkları bir konudur. Ancak geriye dönülüp bakıldığında, bir değer elde etmek adına verilen emeklerin, uğraşların, çabaların, önceden öngöremediğimiz nedenlerden ötürü çoğu zaman bir çırpıda son bulduğu, geriye keşkelerin sıkça söylendiği anları bize yaşattığı görülmektedir.

İş sürekliliği kavramının, esasında iş kesintisi kavramından yola çıkarak daha kolay anlaşılabilir hale getirebiliriz. İş kesintisi,  “Bir Kuruluşun hedeflerine göre beklenen ürün ya da hizmet gerçekleştirme uygulamalarında planlanmayan ve olumsuz yönde sapmaya neden olan tahmin edilen veya edilemeyen deprem, sel, yangın, iş krizleri, kasırga her türlü olay” olarak tanımlanır. Bu tür iş kesintileri çoğu zaman kuruluşların altından kalkamayacağı ticari kayıplarla, saygınlık kaybıyla veya imaj kaybıyla sonuçlanmaktadır. Türkiye Bankalar Birliği risk çalışma grubunun, 2002 yılında Bankacılar Dergisinde yayınladığı, A.B.D de yapılan bir araştırmaya göre; olağanüstü bir olay yaşamış kurumların her beş tanesinden ikisinin(%40) faaliyetlerini sürdüremediği, sürdürebilenlerden her üç tanesinden birinin(%33) iki yıl sonra faaliyetlerini durdurduğu belirtilmiştir.

Görüldüğü gibi olağanüstü bir durum ve felaketle karşılaşan kurumlar ciddi mali kayıplar yanında, itibar, müşteri pazar kaybı, sorunları ile yüz yüze kalabilmektedirler. O nedenle beklenmeyen bir duruma karşı hazırlıklı olmak ve organize şekilde bir plan ,program dahilinde kurumun bütününe yayılmış bir kültürle hareket etmek, kuruluşların bu tür durumlarda esneklik ve hayata geri dönüşü için son derece önem taşımaktadır.

 İş Sürekliliği Yaklaşımının Ortaya Çıkışı

Dünyada iş sürekliliğinin önemi ve uygulamaları, 2000’li yıllara yaklaşıldığında görülmeye başlanmıştır. Dünya bu dönemde bilgisayar yazılım ve donanımlarda kullanılan iki rakamlı yıl bilgisinin tüm bilgisayar yazılım ve donanımlarında yaratacağı etkiyi konuşmaya başlamıştır.

Bu dönemde üreteciler bir önlem olarak, sorun yaratabileceği düşünülen tüm yazılım ve donanımları gözden geçirerek sorun yaratabileceği düşünülen yazılım ve donanımları değiştirilmişlerdir. Ancak bu gözden geçirmeler yeterlimiydi, acaba daha başka ne gibi sorunlar ortaya çıkabilirdi veya ortaya çıksa bile ne yapılabilirdi, işte bu gibi düşünceler ışığında kuruluşlar Acil Durum Planlarınıgeliştirmeye başlamışlardır.

Ve ilk defa İş sürekliliği kavramları bu dokümanlarda sıklıkla geçmeye başlamıştır. Bu konuda yazılan ilk resmi planın ABD Genel Muhasebe Ofisinin yayınladığı Year 2000 Computing Crisis: Business Continuity and Contingency Planning adlı plan olduğu görülmektedir. Ve bu uygulama bu özelliği ile tüm dünyada örnek alınan ve kuruluşlara yol gösteren rehber doküman olma özelliğini kazanmıştır.

Daha sonra başta Dünya Bankası olmak üzere tüm ulusal ve uluslararası örgütler bu konuda uyarılar yapmışlardır. Bu konuda çözüm yolları önermişlerdir. Türkiye’de Devlet kurumlarındaki çalışmalarda Devlet Planlama Teşkilatı bu konuda öncü rol üstlenmiş ve bu planların oluşturulmasını sağlamışlardır. Tüm bu nedenlerdendir ki dünya bu kriz durumunun üstesinden gelebilmiştir.

Yakın tarihte dünyada yaşanan deprem, sel, t-sunami, terorist saldırılar, radyo aktif sızıntılar, d-dos saldırıları , wiki leaks belgeleri vb. bir çok olay İş sürekliliği  gerçeğini herkesin gündemine taşımıştır.  Kurumlar bu gibi senaryolara hazırlıklı olabilmesi için, sahip oldukları öz varlıkların farkında ve bilincinde olmaları gerekli önlemleri almalarının ne derece önemli olduğu açıktır.

Genelde kurumlar bilançolarında varlık kalemlerini yalnızca fiziki olanlardan göstermekte ve her nasılsa fiziki olmayanların mali değerlerini çok fazla dikkate almamaktadırlar. Oysaki kurumların birçoğu fiziki varlıklarının yanında çok ciddi bir şekilde entellektüel sermayeye de sahiptir. Bu entelektüel sermaye, kurumların iş yapma şekillerini yansıtan tasarımları, süreçleri, metodolojileri, müşteri bilgileri ve bilişim teknolojileri ortamlarında var olan ve saklanan verileri olarak çok farklı değerler olarak karşımıza çıkabilir.

Ve bu gün görüyoruz ki günümüz dünyasında iş yapma şekillerinin büyük bir bölümünü bilgi teknolojilerine  bağımlı halde yürütülmektedir ve bilgiye hızlı ulaşım ve veri işleme olanakları önemli bir değer olarak karşımızdadır. O nedenle gerek bilgi sistemlerinin sürekliliği gerekse öz varlık kalemlerine ait değerlerin sürekliliğinin sağlanması kurumlar açısından üzerinde kurumun en üst yönetimi nazarında dikkate alınması gerekli bir husus olarak değerini korumalıdır.

İş Sürekliliği Yönetimi

İş süreklilik yönetimi (BCM), “Bir kuruluşun üzerindeki potansiyel iş kesintilerinin etkilerini önceden fark edilirse olabilecek etkileri tespit eden ve ilgili tarafların çıkarlarını, saygınlığını, markasını ve değer yaratma faaliyetlerini koruyan, etkin yanıt verme becerisiyle kuruluşa tehditlere karşı esneklik kazandırmak için bir alt yapı sağlayan bütünsel bir yönetim ve idare prosesi” olarak tanımlanır.

Bu anlamda İş süreklilik yönetimi (BCM),  kuruluşların ana amaçlarını ve hedeflerini gerçekleştirmek için, iş kesintilerine karşı esneklik kabiliyetini artırıcı bir yönetim aracı olarak değerlendirilir. İş süreklilik yönetimi (BCM),   kuruluşlara bir kesintinin ardından belirlenmiş süre içinde anahtar ürün ve hizmetlerini belirlenmiş seviyelerde destekleyebilme kabiliyetinin oluşturulması için uygulamalı metotlar geliştirmenin gerekliliğini zorunlu kılar.

Gerek bu uygulamalı metotlar, gerek kuruluşun uygulamaları neticesinde ortaya çıkardığı esnek erken müdahale sistemleri İş kesintilerinin yönetiminde ispatlanabilir bir yeterlilik gerçekleştirir ve kuruluşun saygınlığını ve markasını korumada önemli bir görev üstlenir.

İş sürekliliğinin yönetimine ait yapı, prosesler, metotlar, kuruluşun çapı, yapısı ve sorumluluklarının yapısına göre değişebilir. Kuruluşlar kendi ölçeklerine, kapsamlarına ve karmaşıklıklarına bakılmaksızın gönüllülük esaslı olarak İş sürekliliğinin yönetimini uygulayabilir. Burada dikkat edilecek temel husus, temel prensiplerin  aynı kalması şartıyla, kuruluşların  tüm öz varlıklarının korunması  ve anahtar ürün hizmet gerçekleştirme süreçlerine uygun bir strateji ile desteklenmesidir.

İş Sürekliliği Yönetimi Ve Uygulama Stratejisi

İş sürekliliği stratejisi, Kuruluşun, bir felaket ya da diğer bir önemli olay ya da iş kesintisi ile karşılaşıldığında süreklilik ve kurtarmayı sağlayan yaklaşım olarak tanımlanır. Bu tanımdan anlaşılacağı üzere strateji, olası kesintinin etkilerini azaltmayı, minimize etmeyi ve ortadan kaldıracak bir yaklaşım olarak değerlendirilmektedir. Basit bir örnekle, elektrik kesintisine tahammülü olmayan bir bankanın bünyesinde bir jeneratör ve onunda bir yedeğini bulundurması onun süreklilik ve kurtarmayı sağlayan yaklaşımı olarak değerlendirilir.

Küçük ya da büyük ölçekli olsun bütün kuruluşların büyüme, hizmet sağlama ve diğer işlere geçme gibi amaç ve hedefleri olabilir. Bu amaç ve hedefler, genellikle kuruluşun kısa, orta ve uzun vadeli hedeflerinin başarılması için stratejik planlama ile gerçekleşir. Kuruluşun en üst seviyesindeki İş süreklilik yönetimi (BCM) anlayışı, bu amaç ve hedeflerin beklenmeyen kesintilerle tehlikeye atılmasının önüne geçecek bir yaklaşımdır.

Bir olayın sonuçları çeşitli ve çok geniş kapsamlı olabilir. Örneğin 17 Ağustos depreminin yurt genelinde yaşattığı bunalım, Japonyanın T-sunami fekaleti sonrasında yaşadığı panik ortamı gibi örnekleri çoğaltılabilir, küresel çapta bir etki yaratmıştır. Bu sonuçlar yaşamsal kayıpları, değer ya da gelir kayıpları ya da kuruluşun stratejilerinin, saygınlığının ve hatta ayakta kalmasının bağlı olduğu ürün ve servislerin gerçekleştirilmesinde yetersizlik gibi konuları içerebilir.

BCM de olay ve fekaletin sonuçlarından etkilenen tarafların stratejik öneminin farkında olunması gereklidir. Zira yaşanan bir kesintinin sonuçlarına göre yeni etki grupları ortaya çıkar ve hasarın nihai kapsamına direk etki edebilir. Örneğin, Türk Telekom alt yapısına yaşanan bir kesinti, her çevreden yurttaşlara etki eder ve olayın etkileri karşısında bir tepki geliştirirler. Dünya genelinde (Şekil 1 Kritik sistemler) Seviye 1, Seviye 2 ve Seviye 3 olmak üzere üç seviyede kendisini gösterir:

1. Seviye telekomünikasyon, enerji ve su kaynakları,

1.   Seviyede, bankacılık, finans, ulaşım ve kimya endüstrisi,

2.   Seviyede ise, savunma sanayi, posta nakliye, tarım, gıda, sağlık ve acil durum hizmetleri gelmektedir.

Tüm bu konular kuruluşun olay ve felaket durumuna yaklaşımı ile ilgilidir. Kuruluşlar stratejik öneme sahip kritik sistemler üzerinde herhangi bir kesintinin etkileri ile ilgili riskleri hesaba katmak ve bu risklerin etkilerini azaltacak önlemleri almak durumundadırlar.

İş Sürekliliği ve Risk Yönetimi İlişkisi

İş Sürekliliği Yönetimi (BCM) uygulanmaları, işe yönelik risklerin ve bu risklerin sonuçlarını anlamak ve risklere karşı alınacak önlemlerin, tedbirlerin uygulanması yoluyla ancak bir değer ifade eder. Her olayın kuruluşun hedef ürün hizmetleri veya anahtar servisleri üzerinde ayrı ayrı etkileri olabilir. Kuruluşlar bu etkileri ancak kapsamlı bir iş etki analizi ve sonrasında yapılan risk yaklaşımı metodolojisiyle anlamlı hale getirebilir.

Risk, herhangi bir zarar, felaket, kötülük veya istenmeyen durumun ortaya çıkma olasılığı olarak tanımlanır. Risk varsa sürekliliği tehdit edecek durum söz konusudur. Tehdit istenmeyen bir olaya yol açacak potansiyel durumlar olarak tanımlanır. Tehdit ancak fiziksel veya entelektüel öz varlıkları üzerinde bir açıklık bulunduğu durumlarda işlevseldir. Diğer bir değişle bir risk varlıklar üzerindeki açıklıkların tehditler tarafından kullanıldığı durumlarda ortaya çıkar.

Risk yönetimi ise, kuruluşun gerçekleştirdiği anahtar ürün ve hizmetler etrafındaki risklerin yönetilmesini amaçlar. Ürün ve hizmet gerçekleştirme, çoğu tahmin edilmesi ya da analiz edilmesi zor, çok çeşitli olaylar tarafından kesintiye uğrayabilir.

O halde riskin yol açacağı kesintilerin önüne geçmek için mutlak suretle açıklıklar üzerinde yoğunlaşma gereğidir. Kuruluşlar işte bu açıklar vasıtasıyla ortaya gelebilecek olası durumun etkilerini, riskin transferi (paylaşma), riskin kabulü (katlanma), riskin azaltılması (iyileştirme) ve riskin bertarafı (kaçınma) seçeneklerinden birini veya bunların bir bileşimi ile istenen seviye getirebilir.

İş Sürekliliği Yönetimi (BCM) kuruluşun ayakta kalmasının bağlı olduğu bu ürün ve hizmetleri ve yükümlülüklerini yerine getirmeye devam etmek için nelerin gerekli olduğunu kesintinin etkisine odaklanarak tespit eder. Kuruluş çatısı altındaki kişileri, sahip olduğu arazileri, teknolojiyi, bilgiyi, tedarik zincirini, ilgili tarafları ve kuruluşun saygınlığını korumak için bir olay gerçekleşmeden önce neler yapılması gerektiğinin BCM yoluyla farkına varabilir.

Bu bilinçle, kuruluş bir kesinti olduğunda gerekli olabilecek yanıtlara dair gerçekçi bir bakış açısı yakalayabilir, böylece ürün veya hizmetlerini gerçekleştirmede beklenmeyen bir gecikme olmaksızın, herhangi bir sonucun yönetileceği konusunda güvenilir olabilir.

BS 25999 İş Sürekliliği Yönetim Sisteminin Faydaları Yararları

İş Sürekliliği Yönetimi (BCM) genel anlamda ürün ve hizmet üretiminin planlandığı şekilde sunulmasında,  devamlılık ve sürekliliğinde, işletmesel ihtiyatlılık açısından önemli bir bakış açısı kazandırmaktır. Bilindiği gibi, İşletmesel ihtiyatlılık , “İşletmenin karşılaşabileceği riskler göz önüne alınarak temkinli davranılmasını ön gören yönetim anlayışı olarak tanımlanır” . Örneğin, ileri bir sözleşme gereği yerine getirilmesi taahhüt edilen ürün, hizmet üretiminin yerine getirmeye kesin gözüyle bakmama, olası riskler göz önünde bulundurarak ve işletmeye belirli bir alanda hareket kabiliyeti sağlayacak şekilde hareket edilmelidir. Ve sürekliliği önleyecek duruma karşı, karşı strateji ile hareket etmek işletmesel ihtiyatlılığın bir gereğidir.

Yöneticiler,  kurum sahipleri kuruluşun kesintisiz faaliyet gösterme kabiliyetinin sürekliliğini sağlamakla sorumludurlar. Yöneticiler bu sorumlulukları çerçevesinde, kurumları adına daimi taahhütlerde bulunurlar ve hizmet gerçekleştirirler. Şüphesiz bu sorumluluk kendilerine, bir kamu hizmet veren devlet hastanesi veya merkez bankasında olduğu gibi devlet tarafından, veya müşteri istek ve beklentileri doğrultusunda özel olarak gönüllü olarak girişimde bulunulmuş özel teşebbüsler tarafından verilmiş olabilir. Her durumda yöneticilerden beklenen sürekliliğin sağlanması konusunda kendilerine verilen sorumlulukla hareket etmeleridir. Kimi durumlarda, kuruluşların BCM taahhüdünde bulunması, yasal ya da yönetmeliksel bir görev olarak kuruluşlara, Bankacılık Denetleme Ve Düzenleme Kurumu 14 Eylül 2007 Tarihli, Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğinde olduğu gibi yüklenebilir.

Bilindiği üzere, ölçeğine ve büyüklüğüne bakılmaksızın tüm kuruluşların (özellikle acil durum ya da gönüllülük hizmeti sağlayan) ahlaki ve sosyal  bir takım sorumlulukları vardır. Kimi durumlarda, tüm iş faaliyetleri teknolojik hatalar, sel baskını, tedarikçi hizmetlerindeki kesinti ya da terörizm kaynaklı bir takım kesintilere konu olabilir. Bu gibi durumlarda BCM bir yandan sağlık ve güvenliği korurken, diğer yandan uygulama kesintilerine erken müdahale gibi yeterli şekilde yanıt verme kabiliyetine yanıt vermeyi sağlar.

O nedenle BCM maliyetli bir planlama prosesi olarak algılanmamalı, kuruluşlara değer katan  tüm ilgili tarafların kazanacağı bir kazan kazan prosesi olarak düşünülmelidir. İyi bir BCM uygulaması ile işletme sahipleri, müşteriler, vatandaşlar, kamu düzeni, dünya düzeni kazanacaktır.

Etkin bir İş Sürekliliği programının sağladığı faydaları aşağıdaki gibi özetleyebiliriz;

·         BCM ile herhangi bir uygulama kesintisinin etkileri proaktif olarak tespit edebilir ve erken müdahale edilebilir.

·         Olası kesintilerde kuruluşa olan etkiyi minimize edecek etkin stratejik karşılıklar hazır bulundurulur , ne yapılacağını sistematize eden planlar organizasyonları akılcı bir şekilde yönlendirir.

·         Sigorta edilemez risklerin yönetilme kabiliyetini sürekli hale getirir.

·         İş sürekliliğinin bir takım çalışması ile mümkün olabileceği konusunda tüm çalışanları iş birliğine sevk eder;

·         Tatbikat prosesi aracılığıyla güvenilir tepkileri kanıtlanır.

·         Kuruluşların saygınlıklarını, markalarını, itibarlarını korur.

·         Ürün ve hizmet gerçekleştirmenin sürekliliğinin sağlanması kabiliyetinin kanıtlanması ile rekabette avantaj sağlar.

·         Anahtar ürün ve hizmetler tespit edilir ve  bu anahtar ürün ve hizmetlerin süreklilikleri sağlanarak korunur;

·         Etkin tepkiler sağlamak için olay yönetim kabiliyeti olanaklı hale getirilir;

·         Kuruluşun kendisini ve ilişkide olduğu diğer kuruluşları, kamu kurumlarını, yerel yetkililerin tanınması ve uygun şekilde geliştirilmiş, dokümante edilmiş ve anlaşılmış bir acil durum hizmeti sağlanır;

·         Tedarikçilerin, müşterilerin, pay sahiplerinin, çalışanların gereksinimleri İş Etki analizleri ile anlaşılır ve gereksinimler risk değerlendirmesi yoluyla yerine getirilir;

·         Herhangi bir olay durumunda personelin aldığı yeterli destek ve iletişim sağlanır;

·         Kuruluşun tedarik zinciri güvenli hale getirilir;

·         Kuruluşun saygınlığı korunur;

·         Kuruluş yasal ve yönetmelik gereği yükümlülükleri ile uygunluğu korunur.

BS 25999 İş Sürekliliği Yönetim Sisteminde Hatalı Yaklaşımlar

İş sürekliliği konusundaki yanlış anlaşılan konuları 4 başlık altında toplamak mümkündür.

 i. İş sürekliliğinin bir ürün, teknoloji veya servis olarak görülmesi:  İş sürekliliği, sadece verilerin başka bir çalışma alanına çevrim içi aktarılması veya kritik sunucuların devamlı olarak çalışmasını sağlamak üzere kümeleme, RAID, yedekli güç kaynağı, yedekli ağ hatları kullanmaktan ibaret bir teknolojik yaklaşım olarak düşünülmemelidir. İş sürekliliği kurum süreçlerinden hareketle süreçlerin devamlılık ihtiyaçlarının ortaya koyulması ve bunun sağlanması için gereken çalışmaların yapılması olarak değerlendirilmelidir. İş sürekliliğinin yalnızca bir ürün, teknoloji veya servis olarak görülmemelidir. Zira bu çalışmalar esnasında gerek teknoloji gerek insan gücü gerekse de  mali kaynaklar entegre bir şekilde kullanılacaktır. Bu çalışmayı sadece bir ürün veya servis olarak görmek olağan üstü bir durumda iş süreçlerinin tekrar çalışır hale getirilmesi için tek başına yeterli değildir.

ii. Başlangıcı ve sonu belirli olan bir proje olarak düşünülmesi: İş sürekliliğine bir proje olarak yaklaşmak başlangıcı ve sonu belirli olan bir iş olarak ele almak anlamına gelmektedir. Oysaki İş sürekliliği yönetimi çalışır hale geldikten sonra bu yaklaşımın devam edebilmesi için yapılması gereken tatbikatlar, gözden geçirmeler, uyarlamalar, iç denetimler vb. gereklilikler vardır.  O nedenle İş Sürekliliği uygulamaları, sürekli kendini yenileyen iyileştirmelerle günün şartlarına uygun bir vaziyette kalmasını sağlayacak yaklaşımla ele alınmalıdır.

iii. Sadece dokümantasyondan oluştuğu varsayımı : Bir diğer yanlış yaklaşım iş sürekliliği uygulamalarına, sadece dokümantasyondan ibaret uygulamalar olarak yaklaşılmasıdır. Elbette iyi bir BCM dokümantasyonu iş sürekliliğinin vazgeçilemez bir parçasıdır ancak olmasına rağmen yapılması gereken tüm işleri dokümantasyon olarak ele almak, çalışmanın teknolojik ve organizasyon boyutlarını gözden kaçırmaya, dolayısıyla iş sürekliliğinden beklenen faydanın sağlanamamasına neden olacaktır. Teknolojik altyapının ihtiyaçların üzerinde olması durumunda dahi tatbikatların yapılması, eğitimlerin verilmesi ve periyodik gözden geçirmeler gibi yapılması gereken çalışmalar vardır.

 iv. İş sürekliliği sorumluluğunun BT bölümü olduğunun düşünülmesi: İş sürekliliğinin sağlanmasında bilgi teknolojilerinin rolünün yüksek olmasından dolayı çalışmaların BT bölümü tarafından yapılması ve sorumluluğunun da BT bölümünde olması gerektiği inanışı yaygındır. İstatistikler iş sürekliliği çalışmalarına BT bölümünün katılımının diğer birimlerden fazla olduğunu göstermektedir. Ancak bu demek değildir ki İş Sürekliliği uygulamalar ı BT bölümünden ibarettir. İş sürekliliği uygulamaları, kuruluşun tüm kademelerini, tüm servis ve hizmetlerini kapsayan holistik bir prosestir. İş süreçlerinin devam ettirilebilmesi veya olağan üstü bir durumda tekrar çalışır hale getirilmesi, personelin alternatif çalışma ortamına naklinden, sunucuların hazırlanmasına, yeni cihaz satın alımına kadar bir çok faaliyeti içermektedir. İş sürekliliğinin sorumluluğunun çok yüksek oranda organizasyonun en üst kademelerinde(tepe yönetim, üst yönetim, yönetim kurulunda) olduğu ve üst yönetimin üst düzeyde katılımı iş sürekliliğinin bir gerekliliğidir . Bu sebeple iş sürekliliği kurum içinde mümkün olduğu kadar üst seviye yönetim tarafından temsil edilmelidir.

BS 25999 İş Sürekliliği  Yönetim Sistemi Prensibleri 

BS 25999 İş Sürekliliği  Yönetim sistemi kurulurken altı prensib göz önünde bulunudrulur .ir. Bu prensipler, tüm ölçek ve sektörlerdeki kuruluşlar için benzer şekilde uygulanabilir (kamu, özel, kar amacı gütmeyen, eğitim, üretim vb.). İş Sürekliliği programının yapısı ve kapsamı her sektör ve uygulama için çeşitlilik gösterebilir ve her kuruluşun ihtiyacına göre ayrı ayrı şekillendirilebilir.

i.      BCM program yönetimi: Oluşturulan ve yürürlüğe konulan sistematik bir şekilde ortaya konulan iş süreklilik uygulamalarının tümüdür.

Program yönetimi yaşam döngüsünün merkezinde bulunmaktadır ve iş sürekliliği politikası ile belirlenmiş amaçların gerçekleştirilmesi sağlamak için yapılması gereken çalışmaları tanımlamaktadır. Üst yönetimin program yönetimine katılımı iş sürekliliği çalışmalarının etkinliği için çok önemlidir. Program yönetimi sorumlulukların atanması, BCM in kurulması ve iş sürekliliği ile ilgili devamlı olarak yapılması gereken işler olmak üzere üç parçadan oluşmaktadır.

ii.      Kuruluşun anlaşılması :“Kuruluşun anlaşılması” ile ilgili faaliyetler, kuruluşun ürün ve hizmetlerinin önceliklerine göre sıralanabilmesine ve bunları gerçekleştirmek için gerekli faaliyetlerin aciliyetine ilişkin bilgi sağlar. Bu uygulama, uygun BCM stratejilerinin seçilmesi için gereklilikleri belirler. Kuruluş uygulamada İş etki analizleri ile tanınır hale gelir. Kuruluşların yapısı, süreçleri, faaliyetleri anahtar hizmet ve servisler, kritik süreçlerini içeren tüm yapı bu aşamada ortaya çıkar.

iii.      İş süreklilik stratejisinin belirlenmesi: Bu aşama kuruluşun bütün olarak tanınmasının ardından kritik iş süreçlerine ilişkin risk değerlendirmelerinin yapılması ve değerlendirmeler sonucunda ortaya konan risk işleme diğer bir değişle İş süreklilik stratejisinin belirlenmesi gibi işlem adımlarını içerir.

Bu uygulama, her bir ürün ya da hizmet için uygun bir tepkinin seçilmesini sağlar. Böylece, kuruluş bir kesinti boyunca ya da bu kesintiyi takiben bu ürün ve hizmetlerin gerçekleştirilmesinde kuruluşun esneklik ve ölçüm seçenekleri hesaba katılarak, kabul edilebilir bir operasyon düzeyinde ve kabul edilebilir bir zaman çerçevesinde faaliyetlerini değerlendirilir.

iv.      BCM tepkisinin geliştirilmesi ve uygulanması: Bu aşama belirlenen strateji çerçevesinde, atılacak adımların belirlendiği aşamadır. BCM tepkilerinin geliştirilmesi ve uygulanması, bir olay sırasında ya da sonrasında, yönetimin atması gereken adımları ,olay yönetiminin uygulamalarını, operasyonların devamlılığını iş süreklilik ve iş kurtarma planlarının yapısını içerir.

v.      BCM tatbikatı, uygulanması ve BCM anlaşmalarının gözden geçirilmesi: Bu aşama,kuruluşun, strateji ve planların yeterli, güncel ve uygun olduğunun kanıtlanması ve iyileştirme fırsatların tespit için BCM  tatbikatlarının, uygulamalarının, gözden geçirilme faaliyetlerinin ve denetimlerinin yapısını içerir.

vi.      Kuruluş kültürüne BCM nin sokulması: Kuruluş kültürüne BCM nin sokulması BCM nin kuruluşun temel değerlerinin bir parçası haline gelmesine ve kuruluşun kesintilerle baş etme kabiliyeti konusunda tüm personelin takım halinde çalışmasına olanak tanır.

 

 BS 25999 İş Süreklilik Yönetimde Dikkat Edilmesi Gerekli Hususlar

BS 25999 İş sürekliliği yönetimi  en üst kademede yöneticilerden en alt seviyede personele ve bilişim teknolojisi destek hizmetlerine varıncaya kadar her seviyede iş birliği gerektiren bir yapıdır. Bu yapı içerisindeki bileşenler bir birleriyle koordineli bir şekilde yönetildiği takdirde tek ses halinde iş süreklilik uygulamaları istenen amaca yönelik başarı sağlayacaktır.

 

En Üst Düzeyde Katılım:  İş sürekliliği çalışmaları için en yüksek seviyede yönetimin katılımı ve desteği  . Yapılan işler ile ilgili yönetim onayı alınması çalışmaların kurum çapında kolay kabul edilmesini ve kolay yaygınlaşmasını sağlamaktadır. İş Sürekliliği yönetiminde, üst yönetimin iş sürekliliği sürecine katılımının doğru olarak anlaşılması, desteklenmesi ve organizasyon kültürüne adaptasyonu için anahtar bir bileşendir.

Stratejik İş Planın Parçası Olma: İş süreklilik yönetimi, kurumun stratejik hedeflerine ulaşmada göz önünde tutulan önemli bir bileşendir. Kuruluşların stratejik planlarında yer alan hedeflere ulaşmada, olası hedeften sapmalara yol açabilecek kesintiler üst yönetim tarafından göz önünde bulundurulduğu takdirde daha gerçekçi hedefler belirlenebilmektedir. Stratejik plan veya hedefler, kurumun işlevini devam ettirmesi veya yasal yükümlülüklerini yerine getirebilmesi için her zaman güncel ve ihtiyaca yanıt verebilir durumda olmalıdır. İş sürekliliğinin stratejik iş hedeflerine uygun olarak geliştirilmediği veya stratejik hedeflerde gerçekleştirilen değişikliklere uygun olarak gerekli çalışmaların yapılmadığı durumda iş süreçlerinde kesintiler yaşanması söz konusudur.  Stratejik İş Planın Parçası Olarak kurumlar, hedeflerinden sapmalara yol açacak iş kesintileri, iş kesintileri hallerinde gerekli güncellemeleri yapmalıdırlar.

ix.      Takım çalışması: İş sürekliliği çalışmaları bir grubun veya bir kişinin tek başına yerine getirebileceği bir faaliyet değildir. Kurumun birçok bölümünün içinde bulunduğu ve kişilerin farklı görevler aldığı bir çalışmadır. Son kullanıcının dahi bilmesi ve yapması gereken işler vardır. Bazı kurumlarda iş sürekliliğinin yönetimi için ayrı gruplar kurulmuştur. İş sürekliliği yönetim sisteminin kurum içinde yaşayabilmesi için gerekli personel gücünün ve koordinasyonun sağlanması iş sürekliliğinin olağan üstü durumlarda beklenen faydayı sağlaması için anahtar bileşenlerden birisidir.

x.           İş Etki Analizi ve Risk değerlendirme: İş etki analiz, İş fonksiyonlarının ve iş kesintisinin, bu iş fonksiyonları üzerinde yaratacağı etkinin analiz edilmesi prosesi olarak tanımlanır. İş sürekliliği, bu iş etki analizi ismi verilen değerlendirmelerin üzerine inşa edilen bir idare prosesidir. İş etki analizinde, kurumun tüm süreç,servis ve faaliyetlerinin analiz edilmesi ve değerlendirilmesi  gereklidir. Bu çalışma sonunda kurum süreçlerinin kritikliği, süreçler için kabul edilebilir kesinti süreleri (Recovery Time Objective ,Recovery Point Objective) ve maksimum kabul edilebilir kesinti süreleri (Maksimum Tolerable Periot Time) belirlenmektedir. Bu çalışma sırasında ayrıca bir risk değerlendirme metodolojisi uygulanarak, süreçlerde kesintiye neden olabilecek riskler ortaya çıkarılmaktadır. İş süreçlerinin öneminin ve süreçlerde kesintiye neden olabilecek olayların belirlenmesi uygulanacak karşı önlemlerin seçilmesi için son derece kritiktir. Bu sebeple iş etki analizi, iş sürekliliğinin başarıya ulaşmasında üst yönetim desteği kadar önemli bir başarı faktörüdür.

xi.           Finansal Yeterlikler: İş etki analizi çalışması sonucunda uygulanacak kontrollere karar verilmektedir. Bu kararlar genellikle iş sürekliliği stratejileri olarak adlandırılmaktadır. Kontrollerin yerine getirilmesi için yapılacak çalışmaların bazılarının maliyeti çok düşük olabileceği gibi gerektiğinde felaketten kurtarma merkezi kurulumu gibi yüksek maliyetli çalışmaların yapılması da gerekebilir. Bu sebeple iş etki analizinde belirlenen kabul edilebilir kesinti sürelerinin sağlanması için gerekli bütçenin ayrılması veya planlanması oldukça önemlidir.

xii.      Kaynak ihtiyacı ve Altyapı Gereklilikleri: Birçok iş sürecinin BT bağımlılığı yüksektir. Bilgi teknolojileri altyapısının süreklilik ihtiyaçlarına uygun olması süreklilik ihtiyaçlarının karşılanması için büyük öneme sahiptir. Sunucuların, haberleşme hatlarının, enerji altyapısının yedekli yapıda çalışması BT‟nin sürekli hizmet verebilmesi için gereklidir. Bunlara ek olarak ana merkezde bulunan verinin felaketten kurtarma merkezine gönderilmesi gereklidir. Bu işlemleri gerçekleştirecek altyapıya sahip olmadan olağan üstü bir durumda kabul edilebilir kesinti sürelerini sağlamak oldukça güçtür.

xiii.           Dokümantasyon:  Organizasyon durumunun, görev tanımlarının, İş süreklilik yönetim kapsamının, İş sürekliliği planlarının, olağan üstü durum yönetim planının ve bu planlarla ilgili diğer talimat ve prosedürlerin hazır ve güncel olması gereklidir. Dokümanların hazır olması yanında kullanımı beklenen ilgili kişilere dağıtımı da yapılmalıdır. Dokümantasyon belirli periyotlarda ,değişiklik ihtiyaçları doğrultusunda güncellenmelidir.

xiv.      Periyodik tatbikatlar: Olağan üstü durumlara her an hazır olabilmek için senaryolar üretilmeli ve tatbikatı yapılmalıdır. Tatbikatlar sonucunda kurulmuş olan yönetim sisteminin eksikliklerini tespit etmek mümkündür. İş sürekliliği planının ve ilgili diğer dokümanların, çalışma kapsamında görev alan personelin bilgi seviyesinin, teknolojik altyapının varsa eksiklikleri bu şekilde tespit edilebilir. Tatbikatlar, dokümantasyonun gözden geçirilmesi, planın bir parçasının test edilmesi veya planın tamamının test edilmesi gibi farklı türlere sahiptir. Her bir tatbikat türü için senelik olarak tatbikat planlarının hazırlanması ve tatbikatların yapılması kurumun olası bir acil durum senaryosu için hazır olmasını sağlamaktadır.

xv.       Eğitim ve bilinçlendirme: İş sürekliliği çalışmalarının benimsenmesi için kurum çalışanlarına ve iş sürekliliği organizasyonunda bulunan takımlara yaygınlaştırma eğitimleri verilmelidir. Kurum çapında benimsenmemiş ve gerekli eğitim çalışmaları yapılmamış iş sürekliliği planlarının başarıya ulaşma olasılığı düşüktür. İş sürekliliği planı içerisinde eğitim konusunda izlenecek yöntemler belirlenmeli ve plan içerisinde yer almalıdır. Eğitim faaliyetlerini yürütmek üzere bir takım kurulması ve gereken zamanlarda eğitim işlerini organize etmesi faydalı olacaktır. Kurum çapında yapılacak iş sürekliliği bilgilendirmesi senede bir defadan az olmamalıdır.

xvi.           Plan bakım ve güncelleme: İş Sürekliliği , kurumun kritik süreçlerinin devamlılığını sağlamak üzere vardır. Bu nedenle kurumun süreçlerinde meydana gelen değişiklikler iş sürekliliği planını doğrudan etkilemektedir. Süreç değişikliklerinin plan güncellemesi gerektirdiği hiçbir zaman göz ardı edilmemelidir. Zaman içerisinde meydana gelen değişikliklerin iş sürekliliği planına aktarılması için periyodik gözden geçirmeler yapılmalı ve güncelleme ihtiyacı tespit edilmelidir. Tatbikat sonuçları genellikle plan güncellemesi gerektirmektedir. İş sürekliliği kapsamında yapılması gereken değişiklikler her zaman doküman değişiklikleri olmak zorunda değildir. Kurumun süreçlerinin kritiklik seviyesinin değişmesi nedeni ile hizmet veren sunucuların öncelikleri dolayısıyla da alınması gereken önlemler değişebilir. Bu nedenle bazı durumlarda yeni yatırım gereksinimi ortaya çıkabilir. Değişikliğin sistem değişikliği olması durumunda bütçe ve zaman planının hazırlanması gereklidir.

Kaynak: http://www.bilgiguvenligi.gov.tr/is-surekliligi/is-surekliligi-yonetiminde-hatali-yaklasimlar.html http://www.bilgiguvenligi.gov.tr/is-surekliligi/bs-25999-yasam-dongusunun-kalbi-is-surekliligi-program-yonetimi.html http://www.bilgiguvenligi.gov.tr/is-surekliligi/is-surekliligi-yonetim-sistemi-icin-kritik-basari-faktorleri-2.html

BS 25999 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ BELGESİ NEDİR

Teknolojik araç gereçlerin günümüz kurum, kuruluş, işletmelerinin ve organizasyonlarının üzerindeki etkisi her geçen gün daha da arttığı görülmektedir. Bu gün bizlere çoğu zaman sıradan hizmetlermiş gibi gelen internet, telefon, elektrik vb. de meydana gelen bir kesintide birçok işimizin yarım kaldığına şahit olmaktayız. Gerçek şu ki Bankalar, Telekomünikasyon kurumları, Merkez Bankası, Maliye Bakanlığı vb. kurum ve kuruluşlarının internet bağlantısının kesilmesi durumunun bir günde nelere yol açabileceğini hayal etmek bile çok güç durumdadır. Esasında işler yolunda giderken bu gibi senaryoları düşünmek pek çoğumuzun aklına gelmemektedir.

İş sürekliliği, organizasyonların anahtar ürün ve servislerinde kesinti meydana getirecek olaylara karşılık verme ve bunun planlamasını yapma konusunda stratejik ve taktiksel becerisi olarak tanımlanır. İş sürekliliği, organizasyonlara iş kesintileri için önceden tanımlanmış kabul edilebilir seviyede iş uygulamalarına devam etmesi konusunda yol gösterici uygulamalar sunar. Bu gün organizasyonlar tüm anahtar ürün ve servislerini kesintiye uğratacak riskleri hesaba katmakta ve bu kesintilerin önüne geçebilecek önlemler üzerinde hassasiyetle durmak durumunda kalmaktadırlar.

Bu gün organizasyonlar, süreklilik sağlamada yeni yeni teknolojik çözümler, süreçler ve uygulamalar geliştirmektedir. Ancak şüphesiz bir metot dahilinde, sistematik ve bütünsel olarak yapılan uygulamalar kesintinin taraflarını yeterince tatmin edebilmektedir. Bu gün dünya üzerinde standartlaştırmanın getirdiği avantajlardan faydalanmak adına geliştirilen BS 25999 İş sürekliliği yönetim sistemi (BCMS) gibi uygulamalar organizasyonlara büyük oranda yol gösterici olmaktadır.

BS 25999 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ SERTİFİKASINA GİRİŞ

Günümüz dünyasında, belirli bir ölçeğe ulaşmış kurumlar, anahtar ürün ve hizmetlerinde olası herhangi bir iş kesintisinde, süreçlerinin çalışamaz hale gelmesinden ötürü kurumlarına gelebilecek olası zararın farkındadırlar. Kimi durumlarda örneğin finans, bankacılık gibi sektörlerde devlet doğrudan yasal mevzuat eliyle iş süreklilik planları, acil durum planları gibi planların hazır bulundurulmasını isteyebilir durumdadır.  21. Yüzyıl dünyası, gerek  sanayisi, gerek teknolojik alt yapısı gerekse de fiziksel veya fiziksel olmayan unsurları ile birbirlerine bağlı durumdadırlar. Bir yerdeki iş kesintisi dolaylı yönden veya doğrudan diğer kurum ve organizasyonları zor durumda bırakabilmekte, belki de iş süreçlerininsonlanmasına yol açabilmektedir.  Çoğu zaman farkında olmadan, günlük hayatta, iş hayatında, sosyal hayatta İş kesintilerinin yol açtığı acı senaryolarla karşılaşmamız olası görünmektedir. Bu gerçeği ancak işimiz ile ilgili sorun yaşanıldığında veya kesintinin hayatı olumsuz etkilediğinde daha iyi anlamaktayız. Örneğin; internete bağlanılması gereken bir durumda olmayan bağlantı ile karşılaşıldığında, acil gönderilmesi gerekilen bir e-posta’yı. sistemde yaşanan bir sorundan dolayı gönderilmediğinde, son ödeme günü olan telefon, su veya elektrik fatura ödemesi gerçekleştirilemediğinde daha iyi anlaşılmaktadır.

İş sürekliliğini sağlayacak uygulamalar, teknoloji, iş süreçleri, kurumlar, tedarikçiler, müşteriler, vatandaş, kamu kurumları vb. ilgili tarafların istek ve beklentileri doğrultusunda hızla değişmektedir. Bu değişim iş sürekliliği bileşenlerinin, sistematik olmayan ,gelişi güzel yöntemlerle yönetilmesini imkânsız hale getirmektedir.

Önceleri iş uygulamaların tek bir ön yönü olurken, bugün uygulamalar müşteriler, iş ortakları, kamu, banka vb. ara yüzleri de içerecek şekilde geliştirilmekte ve her bir ara yüzün ayrı ayrı sürekliliğin yönetilmesi gerekmektedir. Basit bir ödeme fonksiyonunu ele alınacak olunursa, bu fonksiyonu eskiden yalnız tahsilât yapan çalışanlar kullanırken, bugün aynı fonksiyon Internet üzerinden, telefon sistemi üzerinden aynı anda kullanılabilmektedir. Eskiden bir sunucu ve üzerindeki yazılımın doğru çalışması yeterliyken bugün Internet bağlantısı, güvenlik sistemleri, veritabanı sistemleri, uygulama sunucuları, telefon yazılımları ve daha pek çok bileşen aynı anda doğru ve kesintisiz çalışmak zorunda kalmaktadır. Bu da farklı uzmanlık alanlarının birbiri ile koordineli bir şekilde çalışmasını kaçınılmaz hale getirmiş durumdadır. Bu farklı uzmanlık alanlarındaki, farklı kesintilerle ,farklı etkilere yol açabilecek durumların ortaya çıkaracağı kontrol edilemez yapı, ancak sistematik bir yaklaşımla mümkün görünmektedir. İş Süreklilik Yönetimi program yönetimi, sürecinin planlanması, işletilmesi ve gelişme sürecinin yönetilmesi ancak sistematik bir yaklaşımla mümkün görünmektedir.

İş sürekliliği, kurumun kritik iş süreçlerinin devamlılığını sağlamak, sağlanamadığı durumlarda ön görülen kesinti süreleri içerisinde yeniden çalışır hale getirmek için gerçekleştirilen çalışmalara verilen isimdir. Kritik iş süreçlerinin her zaman çalışır vaziyette bulunması arzu edilen durumdur. Fakat zaman içerisinde süre gelen olaylar nedeni ile süreçlerin kesintiye uğraması kaçınılmazdır. İş süreçlerinde kesintiye neden olaylar küçük ve kısa zamanda telafi edilebilir olaylar olabileceği gibi, ciddi felaketler de olabilir. En uç örnek olarak ana çalışma alanı tamamen kaybedilebilir. Kurum içerisindeki iş sürekliliği aktivitelerinin yönetildiği sisteme, iş sürekliliği yönetim sistemi ismi verilmektedir. Nasıl bir olay yaşanırsa yaşansın kurumun en az zarar ile çalışmalarına devam edebilmesi için kurumda iş sürekliliği yönetim sistemi kurulmalıdır.

Bu çalışmada, iş sürekliliğinin çıkış noktasından, günümüzdeki uygulamalarına değinceye kadar bir çok noktada bir çok konuda bilgi vermek amaçlanmıştır.

Kaynak: http://www.isobelgesi.gen.tr/BS-25999-is-surekliligi-yonetim-sistemi-belgesi-nedir-nasil-alinir.htm

IT Governance Nedir?

IT Governance Nedir?

Bu kavramı pek çok kişi-kitap pek çok farklı şekilde tanımlamaktadır. Örneğin benim okuduğum yayında BT yönetişimi, direktörler ve üst yönetim sorumluluğunda takip edilen, BT’nin sürdürülebilirliğini, kurumsal organizasyonun hedeflerine ulaşmasını ve ufkunu genişletmesini sağlayan, belli bir düzeyde liderlik ve organizasyonel yapılanma gerektiren, kurumsal yönetişimin bir parçası olarak tanmlanmaktadır.

Yönetişimin temelinde paydaşlara değer üretmek yatar. Paydaşlar kelimesi şirket çalışanlarından, yatırımcılara kadar uzanan, kurum ile organik veya inorganik bağı olan herşeyi kapsamaktadır. Bu değeri üretmedeki temel kilometre taşları stratejiyi doğru belirlemek, riskleri doğru yönetmek, paydaşlara bir değer sunmak(maddi, teknolojik vs…), performansı doğru ölçüp gerekli aksiyonları almaktır.

BT yönetişiminde organizasyonel yapılanmaya bağlı olarak bir çok seviye bulunabilir. Genelde veri/ bilgi aşağıdan yukarıya doğru(bottom-up) bir yol izlerken, kararlar yukarıdan aşağı doğru(top-down) bir yol izler. Bu akışın doğru bir şekilde olması ve kurum stratejisine katkısının olabilmesi için üst yönetim tarafından belirlenen kurumsal stratejinin en alt seviyeye kadar nufüz etmesi gerekmektedir. Bunun yapılmadığı durumda aşağıdan yukarıya veri/bilgi akışı istenen bilgi seviyesinde olmayacaktır.

BT Yönetişiminde iş sırası bir strateji yöne belirlemek, IT için bu hedefe uygun hedefler belirlemek ve bunu doğru ve sürekli bir şekilde ölçmek olarak söylenebilir.