1. İş Sürekliliği Planı Sürecinde BIA Analizini Atlamak
İlk olarak yapılan en büyük hata, planı doğrudan masa başında, kulaktan dolma bilgilerle yazmaktır. Çünkü her departmanın ve her bilişim altyapısının kriz anındaki kritiklik seviyesi aynı değildir. Başarılı bir iş sürekliliği planı oluşturmak istiyorsanız, kesinlikle öncelikle İş Etki Analizi (BIA) yapmalısınız.
Şirketler genellikle şu iki kritik kavramı matematiksel olarak hesaplamayı unutur:
- RTO (Kurtarma Süresi Hedefi): Bir sürecin kesintiye uğradıktan sonra, şirkete kalıcı bir finansal zarar vermeden önce maksimum ne kadar süre kapalı kalabileceğini gösterir.
- RPO (Kurtarma Noktası Hedefi): Bir kriz anında sistemlerinizin maksimum ne kadarlık veri kaybını kaldırabileceğini ifade eder.
Sonuç olarak, bu iki veriyi departman bazlı olarak netleştirmeden hazırlayacağınız planlar, gerçek bir felaket anında operasyonun durmasını engelleyemez.
2. Planı Sadece BT Departmanının Sorumluluğu Sanmak
İkinci olarak, kurumsal şirketlerde iş sürekliliği denildiğinde akla ilk olarak bilgi işlem (BT) departmanı gelir. Bu durum, planlama aşamasında yapılan en yaygın ve en tehlikeli hatalardan biridir. İş sürekliliği sadece sunucuların yedeklenmesinden veya siber güvenliğin sağlanmasından ibaret değildir.
Gerçek bir iş sürekliliği planı şirketteki tüm kritik departmanları kapsamalıdır:
- İnsan Kaynakları (İK): Kriz anında personelin güvenliğinin sağlanması ve alternatif çalışma lokasyonlarının organize edilmesi.
- Finans ve Muhasebe: Bankacılık sistemleri çöktüğünde veya nakit akışı durduğunda acil ödemelerin nasıl yürütüleceği.
- Lojistik ve Tedarik Zinciri: Ana tedarikçinin batması veya depoların su basması durumunda alternatif rotaların belirlenmesi.
3. İş Sürekliliği Planı İletişim Stratejisini Yanlış Kurgulamak
Üçüncü olarak, kriz anlarında panik dalgasını büyüten en temel unsur iletişim eksikliğidir. Birçok şirket, felaket anında kurumsal e-posta sunucularının veya şirket içi telefon hatlarının da çökebileceğini hesaba katmaz. Özellikle siber fidye yazılımı (Ransomware) saldırılarında tüm şirket ağı kilitlendiği için, normal iletişim kanalları tamamen devre dışı kalır.
Bu nedenle plan hazırlarken şu iletişim hatalarından kaçınmalısınız:
- Kriz yönetim komitesi üyelerinin alternatif (şirket ağından bağımsız) iletişim kanallarını (Signal, uydu telefonu veya kapalı devre telsiz gibi) plana eklememek.
- Müşterilere, iş ortaklarına ve basına yapılacak açıklamaların şablonlarını önceden hazırlamamak.
- Olayı ilk fark eden personelin acil durum kodunu kime ve nasıl ileteceğini senaryolaştırmamak.
4. Planları Güncellememek ve Canlı Simülasyon Yapmamak
Dördüncü olarak, hazırlanan dökümanların sunucularda veya arşiv klasörlerinde tozlanmaya bırakılması planın ölmesi demektir. Şirketlerin altyapısı, kullandığı yazılımlar ve personel kadrosu sürekli değişir. Bu yüzden güncellenmeyen bir iş sürekliliği planı sadece eski sistemleri korumaya çalışır ve tamamen etkisiz kalır.
Ayrıca planları canlı olarak test etmemek de büyük bir risktir. ISO 22301 denetimlerinden başarıyla geçmek ve sistemi diri tutmak için şu iki testi düzenli yapmalısınız:
- Masaüstü Tatbikatları: Yılda en az iki kez tüm yöneticileri toplayarak hayali kriz senaryoları üzerinden rolleri gözden geçirmek.
- Canlı Failover Testleri: Belirli dönemlerde (operasyonun hafif olduğu saatlerde) ana sistemleri kapatarak yedek sistemlerin devreye girme hızını ve doğruluğunu ölçmek.
Sıkça Sorulan Sorular (FAQ)
İş sürekliliği planı ne sıklıkla güncellenmelidir?
Şirketin bilişim altyapısında, kritik personellerinde veya çalışma lokasyonlarında büyük bir değişiklik olduğunda anında; bunun dışındaki durumlarda ise yılda en az bir kez düzenli olarak gözden geçirilip güncellenmelidir.
Bu planların hazırlanması ISO 22301 belgesi için zorunlu mu?
Evet, ISO 22301 İş Sürekliliği Yönetim Sistemi belgesini almak veya mevcut sertifikayı korumak isteyen tüm kurumlar için bu planların hazırlanması ve test edilmesi standardın yasal olarak zorunlu kıldığı bir maddedir.
Küçük işletmelerin (KOBİ) bu planı hazırlarken yaptığı en büyük hata nedir?
Küçük işletmeler genellikle “bize bir şey olmaz” mantığıyla hareket eder ve bütçe ayırmaktan kaçınır. Çünkü büyük holdinglere kıyasla nakit akışı kesintilerine karşı çok daha hassastırlar. KOBİ’lerin yaptığı en büyük hata, yedekleme ve alternatif çalışma modellerini tamamen ihmal etmektir.
👉 ilgili sayfaları inceleyebilirsiniz:
ISO22301 İş Sürekliliği Yönetim Sistemi
Kurumunuzun kriz, afet veya siber kesinti anlarında bile durmaksızın çalışmasını sağlayacak ISO 22301 İş Sürekliliği Yönetim Sistemi danışmanlık hizmetimiz hakkında detaylı bilgi almak veya firmanıza özel teklif talep etmek için bizimle hemen iletişime geçebilirsiniz.
🔗 +90 533 370 01 43 | info@iso27001danismanlik.com
