İçinde bulunduğumuz pandeminin etkisi tüm sektörlerde az ya da çok hissedildi. Yapılan incelemelerde, regülatif endüstrilerin pandemi öncesinde iş sürekliliği stratejilerinin bulunması ve bu bağlamda iş sürekliliği planları oluşturduğunu görüyoruz. İş sürekliliği planlarında yer alan salgın hastalık riski ve bu riskin gerçekleşmesi durumundaki eylem planlarıbu bağlamda şirketleri kurtardı diyebiliriz.
Bilgi güvenliği, iş sürekliliği gibi hassas konuların gerekliliğinin farkında olan sektörlerde (Savunma, İletişim, Bankacılık vb.) iş sürekliliği tarafında ciddi çalışmalar yapılmaktadır. Ancak diğer sektörlerde yer alan kuruluşlarda ise aynı hassasiyet maalesef görülmemektedir. Halbuki felaket öncesi alınacak önlemlerin maliyeti ile felaketin gerçekleşmesi sonrası maliyetler karşılaştırıldığında durum oldukça net. İstatistiklere göre 2020 yılında siber saldırılar sebebiyle ödenen fidye miktarı 406,3 milyon dolar ve bu rakam 2021 ilk 5. ayında 80 milyon dolara ulaşmış durumda.
“Bin nasihatten bir musibet yeğdir”
İş sürekliliğini etkileyen tek faktör “Corona” mı? Tabii ki değil. Fakat pandemi bize iş sürekliliğinin önemini hatırlattı ve dahası öğretti. Örneğin, her geçen gün yeni bir “Kripto Saldırısı” duyuyoruz ve işletmeler şifrelenen verilerini kurtarmak için yüksek meblağlarda fidyeler ödemek zorunda kalıyorlar.Covid-19 döneminde siber saldırıların (özellikle oltalama saldırıları) %600 oranında arttığı görülmektedir.Ülkemizin deprem bölgesinde olması, son yıllardaki iklim değişikliği nedeniyle yaşanan sel felaketleri gibi birçok çevresel faktör bile iş sürekliliğini düşünmemiz için yeterli.
Kriz Durumunda İş Sürekliliğini Sağlamak
Pandemide çalışanların işlerine evden devam etmesi bu işin en basit tarafı. Bir de üretim işletmelerini göz önüne getirin. İşletmelerin iş planından tutun da üretim planlama, maliyet muhasebesi, insan kaynakları yönetimi, satış ve pazarlama, sevkiyat gibi tüm alanlarında iş sürekliliğinin gereksinimlerini görüyoruz. Süreçlerin de birbirine bağlı yürütüldüğünü düşünürsek, ERP altyapısının işletiminde sürekliliği sağlayamadığınız durumda sevkiyat faaliyetlerinin mükemmel yürütülmesi de mümkün olmayacaktır.
Bu nedenle her kurum nasıl ki nakit akışını, bütçesini planlıyor aynı şekilde iş sürekliliğini planlaması da elzemdir. Hiçbir zaman gerçekleşmemesini temenni ederiz ancak; olası bir kriz-afet durumunda iş süreçlerimiz başta olmak üzere BT altyapılarının nasıl etkileneceğinin ve bu kriz-afet durumunda işlerin nasıl sürdürüleceğinin mutlaka planlanması gerekmektedir.
En basit haliyle ele alacak olursak, kuruluşlar iş süreçleri için şu üç temel soruyu sormalıdır:
- Hangi durumlarda iş sürecim kesintiye uğrar?
- Kesintiye sebep olan kriz durumu gerçekleşirse işin sürdürülebilirliği için ne yapmalıyım?
- Kriz sonrası normale dönüş için planım nedir?
Bu soruların yanıtları kuruluşları iş sürekliliği planına götürecektir. Aslına bakarsanız ISO 22301 İş Sürekliliği Yönetim Sistemi gibi uluslararası standartlar tam olarak da bu konuları ele almak üzere dokümante edilmiştir. Fakat kuruluşlar genellikle bu tarz standartları işlerine destek olacak bir bilgi birikimi, bir kılavuz ve yol gösterici olarak görmek yerine “külfet” olarak değerlendirdikleri için etkin bir şekilde faydalanamıyorlar.
“Lesson Learning”
Sistematik yaklaşımda yaşanan olumsuz olaylardan ders çıkartma öğretisi vardır. Bugün yaşanan Pandemi durumu keşke yaşanmamış olsaydı. Kontrolümüz dışında gelişen bu ve buna benzer durumlar bizler için ders çıkartmak için önemlidir. Bu yaşanan salgın olayından herkesin kendince çıkarabileceği bir ders mutlaka vardır. En basitinden insanların temizlik anlayışını sorgulamasına, temizlik alışkanlıklarının değişmesine sebep oldu diyebiliriz. Fakat sistem yöneten insanlar için de iş sürekliliği planları ve iş etki analizleri açısından çıkartılabilecek dersler olduğunu düşünüyorum.
Özetleyecek olursak, bugün kendinize “Sunucularım bir saldırı sonucu şifrelenirse, ne yaparım?” sorusunu sorarak ilk adımı atabilirsiniz.
