İş sürekliliği, kurumun kritik iş süreçlerinin devamlılığını sağlamak,
sağlanamadığı durumlarda ön görülen kesinti süreleri içerisinde yeniden çalışır
hale getirmek için gerçekleştirilen çalışmalara verilen isimdir. Kritik iş süreçlerinin her zaman çalışır
vaziyette bulunması arzu edilen durumdur. Fakat zaman içerisinde süre gelen
olaylar nedeni ile süreçlerin kesintiye uğraması kaçınılmazdır. İş süreçlerinde
kesintiye neden olaylar küçük ve kısa zamanda telafi edilebilir olaylar
olabileceği gibi, ciddi felaketler de olabilir. En uç örnek olarak ana çalışma
alanı tamamen kaybedilebilir. Nasıl bir olay yaşanırsa yaşansın kurumun en az
zarar ile çalışmalarına devam edebilmesi için kurumda iş sürekliliği yönetim
sistemi kurulmalıdır. Kurum içerisindeki iş sürekliliği çalışmalarının yönetildiği sisteme, iş sürekliliği yönetim sistemi ismi verilmektedir.
Bu yazıda, İş Sürekliliği Yönetim Sistemi kurulumu konusunda sıkça karşılaşılan hatalı
yaklaşımlar ele alınmıştır. Yapılan hatalar dört ana başlık altında
incelenmiştir.
1) İş sürekliliğinin bir ürün, teknoloji veya servis olarak görülmesi
İş sürekliliği, sadece verilerin başka bir çalışma alanına çevrim
içi aktarılması veya kritik sunucuların devamlı olarak çalışmasını
sağlamak üzere kümeleme (cluster), RAID, yedekli güç kaynağı, yedekli
ağ hatları kullanmak olduğu düşünülmemelidir. İş sürekliliği kurum
süreçlerinden hareketle süreçlerin devamlılık ihtiyaçlarının ortaya
koyulması ve bunun sağlanması için gereken çalışmaların yapılmasıdır.
Bu çalışmalar sırasında elbette teknoloji, insan gücü ve mali kaynaklar
kullanılacaktır. Bu çalışmayı sadece bir ürün veya servis olarak görmek
olağan üstü bir durumda iş süreçlerinin tekrar çalışır hale getirilmesi
için yeterli değildir. İş sürekliliği, kurumun kritik süreçlerinin
belirlenmesi, bu süreçlerin sürekliliği için gerekli çalışmaların
gerçekleştirilmesi, sürekliliğin sağlanamadığı durumlarda kabul
edilebilir kesinti süreleri içerisinde tekrar çalışır hale getirilmesi
için gerçekleştirilecek tüm çalışmalara verilen genel isimdir.
Süreçlerin çalışabilmek için bilgi teknolojilerine ihtiyacı olabileceği
gibi aynı zamanda süreci işleten son kullanıcıya, süreçleri tekrar çalıştıracak personele ve dokümantasyona da
ihtiyacı olduğu gözden kaçırılmamalıdır.
2) Başlangıcı ve sonu belirli olan bir proje olarak düşünülmesi
İş Sürekliliği Yönetim Sistemi (İSYS) kurulumu yeterli bilgi
birikimi olduğu durumda işletmenin kendi kaynakları ile yapabileceği
bir çalışmadır. Birçok işletmede söz konusu bilgi birikiminin olmaması
nedeni ile bu konuda dış kaynak kullanımı yoluna gidilmektedir. Bu
çalışmalar genellikle bir proje olarak değerlendirildiği için İSYS’ye
de proje gözüyle bakma yanlışı söz konusudur. İSYS’ye bir proje olarak
yaklaşmak, başlangıcı ve sonu belirli olan bir iş olarak ele almak
anlamına gelmektedir. İş sürekliliği yönetim sisteminin kurulması ve
çalışır hale getirilmesi bir proje olarak ele alabilmesine rağmen
İSYS’nin kendisi bir proje değildir. İSYS çalışır hale geldikten sonra
yönetim sistemin yaşatılabilmesi için yapılması gereken çalışmalar
vardır. Bu çalışmalar BS25999-1:2006 standardının iş sürekliliği program
yönetimi başlığı altında detaylı olarak tanımlanmıştır. Söz konusu
çalışmalar gerçekleştirilirken işletmenin yönetim sisteminin
işletilebilmesi ve sürekli geliştirilebilmesi için gerekli bilgi
birikimini edinmesi şarttır.
3) İş sürekliliği sorumluluğunun BT bölümü olduğunun düşünülmesi
İş sürekliliğinin sağlanmasında bilgi teknolojilerinin rolünün
yüksek olmasından dolayı çalışmaların BT bölümü tarafından yapılması ve
sorumluluğunun da BT bölümünde olması gerektiği inanışı yaygındır.
İstatistikler iş sürekliliği çalışmalarına BT bölümünün katılımının
diğer birimlerden fazla olduğunu göstermektedir. Öbür yandan iş
sürekliliği sorumluluğunun çok yüksek oranda üst yönetim, yönetim
kurulu veya iş sürekliliği komitesinde olduğu görünmektedir. İş
süreçlerinin devam ettirilebilmesi veya olağan üstü bir durumda tekrar
çalışır hale getirilmesi, personelin alternatif çalışma ortamına
naklinden, sunucuların hazırlanmasına, yeni cihaz satın alımına kadar
birçok faaliyeti içermektedir. Bu sebeple iş sürekliliği kurum içinde
mümkün olduğu kadar üst seviye yönetim tarafından temsil edilmeli ve
tüm çalışma grupları ile birlikte çalışarak iş sürekliliğini sağlayacak
bir iş sürekliliği organizasyonu kurulmalıdır.
İş sürekliliği sorumluluğunun BT bölümünde olduğu düşüncesinin temelinde yatan bir diğer neden ise iş sürekliliği ile felaketten kurtarma kavramının karıştırılıyor olmasıdır. Felaketten kurtarma çalışmalarının kapsamında sadece BT sistem ve servislerinin kesinti durumunda ayağa kaldırılması yer almaktadır. İş sürekliliği kavramı ele alınacak olursak, tüm çalışmaların temelinde işletmenin iş süreçleri düşünülmektedir. Felaketten kurtarma merkezi kurulumu, felaketten kurtarma planı ve prosedürlerinin hazırlanması BT bölümünün sorumluluğundadır. Bu çalışmalar iş sürekliliği için gerçekleştirilmesi gereken tüm çalışmaları içermemektedir. Bu bakış açısı ile felaketten kurtarma çalışmaları iş sürekliliğinin bir alt parçası olarak ele alınmalıdır.
4) Sadece dokümantasyondan oluştuğu varsayımı
Bir diğer yanlış ise iş sürekliliğine sadece dokümantasyondan
oluştuğu varsayımı ile yaklaşmaktır. Dokümantasyon, iş sürekliliğinin
vazgeçilemez bir parçası olmasına rağmen yapılması gereken tüm işleri
dokümantasyon olarak ele almak, çalışmanın teknolojik ve organizasyon
boyutlarını gözden kaçırmaya, dolayısıyla iş sürekliliğinden beklenen
faydanın sağlanamamasına neden olacaktır. Teknolojik altyapının
ihtiyaçların üzerinde olması durumunda dahi tatbikatların yapılması,
eğitimlerin verilmesi ve çalışmaların periyodik olarak gözden geçirilmesi ve
benzeri bir çok çalışma vardır.
İş sürekliliği yönetim sisteminin temel bileşenleri olan teknolojik altyapı, dokümantasyon ve iş sürekliliği organizasyonu birbiri ile uyum içerisinde çalıştırılabilmelidir. İş etki analizi, risk analizi, iş sürekliliği tatbikatları, güncelleme ve bakım çalışmaları gibi bir çok faaliyet sözü edilen bileşenlerin uyum içinde çalıştırılabilmesi neticesinde etkili olacaktır.
Teknolojik altyapı: İş etki analizinde belirlenen hedeflenen kurtarma süresini sağlayan bir teknolojik altyapı gereklidir. Bu altyapı ana veri merkezi içinde sürekliliği sağlamalı, olağan üstü durumlarda iş sürekliliği merkezinde / felaketten kurtarma merkezinde hedeflenen sürelerde sistemlerin çalışabilmesine imkan sağlamalıdır.
Dokümantasyon: İş sürekliliği politikası, İş sürekliliği çerçevesi (framework), iş sürekliliği planları ve ilgili kurtarma planlarını içermelidir.
Dokümantasyon gereksinimleri ile ilgili daha ayrıntılı bilgi için
BS25999-1 standardının 6.5 umaralı bölümüne başvurulmalıdır.
Personel: İş sürekliliğinin hem olağan (barış), hem olağan üstü (savaş) durumları için gerekli faaliyetlerinin yürütülmesini sağlayacak bir iş sürekliliği organizasyonu kurulmalıdır.
Yararlanılan Kaynaklar
[1] BS 25999-1:2006 Code of practice for business continuity management
[2] BS 25999-2:2007 Business continuity management — Part 2:
Specification
önetim Sistemi (İSYS) kurulumu yeterli bilgi
birikimi olduğu durumda işletmenin kendi kaynakları ile yapabileceği
bir çalışmadır. Birçok işletmede söz konusu bilgi birikiminin olmaması
nedeni ile bu konuda dış kaynak kullanımı yoluna gidilmektedir. Bu
çalışmalar genellikle bir proje olarak değerlendirildiği için İSYS’ye
de proje gözüyle bakma yanlışı söz konusudur. İSYS’ye bir proje olarak
yaklaşmak, başlangıcı ve sonu belirli olan bir iş olarak ele almak
anlamına gelmektedir. İş sürekliliği yönetim sisteminin kurulması ve
çalışır hale getirilmesi bir proje olarak ele alabilmesine rağmen
İSYS’nin kendisi bir proje değildir. İSYS çalışır hale geldikten sonra
yönetim sistemin yaşatılabilmesi için yapılması gereken çalışmalar
vardır. Bu çalışmalar BS25999-1:2006 standardının iş sürekliliği program
yönetimi başlığı altında detaylı olarak tanımlanmıştır. Söz konusu
çalışmalar gerçekleştirilirken işletmenin yönetim sisteminin
işletilebilmesi ve sürekli geliştirilebilmesi için gerekli bilgi
birikimini edinmesi şarttır.
Bir diğer yanlış ise iş sürekliliğine sadece dokümantasyondan
oluştuğu varsayımı ile yaklaşmaktır. Dokümantasyon, iş sürekliliğinin
vazgeçilemez bir parçası olmasına rağmen yapılması gereken tüm işleri
dokümantasyon olarak ele almak, çalışmanın teknolojik ve organizasyon
boyutlarını gözden kaçırmaya, dolayısıyla iş sürekliliğinden beklenen
faydanın sağlanamamasına neden olacaktır. Teknolojik altyapının
ihtiyaçların üzerinde olması durumunda dahi tatbikatların yapılması,
eğitimlerin verilmesi ve çalışmaların periyodik olarak gözden geçirilmesi ve
benzeri bir çok çalışma vardır.
