Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - İşin sürekliliği adına “Bilgi Güvenliği” !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

İşin sürekliliği adına “Bilgi Güvenliği” !

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: İşin sürekliliği adına “Bilgi Güvenliği” !
    Gönderim Zamanı: 10-06-2009 Saat 13:12

Mevcut denetim ve kontrol mekanizmaları ile işin ve işin gereği olan operasyonel faaliyetlerin olağanüstü olan veya olmayan durumlarda duraklaması veya faaliyet gösteremez hale gelmesi ile ortaya çıkabilecek finansal kayıplar her işletme için ürkütücü hale gelmiştir.

En yalın hali ile GSM operatörü olarak faaliyet gösteren bir firmanın sistemlerinin durması; finansal anlamda milyon dolarlık işlem kaybını ve beraberinde müşteri güveninin sarsılması ile doğacak müşteri kaybının finansal zararlarını beraberinde getirir. Üretim yapan bir organizasyonun faaliyetlerinin durmasının getireceği finansal kayıplar.. Finans sektöründe faaliyet gösteren bir bankanın internet bankacılığı uygulamasının durması/çalışmaması ile ortaya çıkacak işlem kayıpları, finansal götürüleri, müşteri memnuniyetsizliği ile yaşanacak sonuçlar.. Kamu kurumlarında faaliyetlerin durması, ABD’ de  9/11 de yaşanan plansızlık ve iş sürekliliği sorunları, eylem planlarının işlemeyişi ile ortaya çıkan sonuçları örnek gösterebilirim.

Bu noktada uzun zamandır konuşulan olağanüstü durum eylem planları ve iş sürekliliği yönetimi, işletmelerin ve devletlerin yönetim stratejilerinin en önemli parçası olarak görülmektedir.

İş sürekliliği yönetimi; kritik sistemlerin yedeklenmesinin ötesinde; üretimden finansa, hizmetlerden operasyonel faaliyetlere, insan kaynağıdan satınalmaya kadar tüm fonksiyonların duraklaması ile ortaya çıkabilecek menfi sonuçları, bu sonuçları oluşturabilecek risklerin analiz edilerek ortadan kaldırılmasını hedeflemektedir.

Bu açıdan bakıldığında işin devamını sağlamak, tüm risk faktörlerini ve tehdit unsurlarını tespit edebilmek ve bunlara önlem alabilecek politikaları ve prosedürleri geliştirmek ile mümkün kılınabilir. İş sürekliliği tıpkı Bilgi Güvenliğinde olduğu gibi bitmeyen, sürekli geliştirilmesi, gözden geçirilmesi ve denetlenmesi gereken bir süreçtir.

Farklı seneryolar, farklı çalışma durumları, farklı unsurların değerlendirilmesi ve gerçeğe uygun ayağa kaldırma, devam ettirme politikaları, bu politikaların test edilmesi ve denetlenmesi, işin sürekliliği anlamında yapılan yatırımları anlamlı kılacaktır. Analize başlamadan önce strateji ve planlama, hangi organizasyonun analiz ve planlama amacı ile iş birimlerine bölüneceğini belirler. Finans şirketleri finansal raporlama ve çağrı merkezinin operasyonel faaliyetlerini ayrı iş dalları olarak ele alarak, değerlendirir ve denetler. Üretim yapan firmalarda ise her bir üretim tesisi veya üretim farklılıkları içeren üretim bandı ayrı iş dalları olarak görülüp değerlendirilmeli ve planlanmalıdır.

Yukarı verdiğim örnekler doğrultusunda dahili ve harici risk unsurlarını ve bu unsurlar ile doğabilecek sonuçları öngörmek, bunlara önlemler alabilmek, sürecin başarısı adına hiç şüphesiz işletmelerin yönetim düzeyinde değerlendirmesi ve her bölümün takım çalışması ile mümkün olabilir. İş sürekliliği; organizasyonların tavanından tabanına kadar her kademeyi ilgilendirir. Bu noktada çalışanları bilinçlendirme ve sürece dahil etme kaçınılmazdır.

İngiliz Standardı Enstitüsü (BSI) tarafından geliştirilen BS 25999 – İş Sürekliliği Yönetim Sistemi; uygulama kurallarını ve spesifikasyonları iki ana aşamada düzenlemektedir.

İlki;  İş Sürekliliği Yönetim Sistemi’nin geliştirilmesi,

Diğeri; İş Sürekliliği Yönetim Sistemi’nin uygulanması ve işletilmesidir. BS 25999, her bir ana aşama dahilinde standardın uygulanması için başlıca faaliyetler belirtmektedir.

Buna göre İş Sürekliliği Yönetim Sistemi’nin geliştirilmesi için;

Program gerekliliklerinin ortaya konulması, tedarikçi ve dış kaynaklı iş ortaklarının bu anlamdaki yetilerinin ölçülmesi, İş Sürekliliği Yönetim politikasının oluşturularak çalışanlara sorumlulukların atanması-başlıca faaliyetlerin belirlenmesi ve zaman çizelgelerinin oluşturulması, Kaynakların tedariki faaliyeti ile; bütçe, insan kaynağı ve uygulama araçları ile İş Sürekliliği Yönetim Sistemi’nin etkili işletilebilmesi için kaynak gereksiminin belirlenmesi, Eğitim ve Yetkinlik ile; süreç içindeki personel eğitimi ve organizasyonun tamamında bilinçlendirme ve yetkinlik artırımı, Dökümantasyon ile; süreç içindeki faaliyetlerin kayıt altına alınması sağlanmalıdır.

İş Sürekliliği Yönetim Sistemi’nin uygulanması ve işletilmesi aşamasında ise;

İş etki analizi ile; kritik kurum faaliyetlerinde yaşanan aksamaların etkilerinin belirlenmesi, Risk değerlendirmesi ile kritik faaliyetlere karşı tehdit unsurlarının analizi, Risk azaltma seçenekleri ile; risklerin hafifletilmesi, İş sürekliliği seçenekleri ile; faaliyetlerin durması aşamasında geri alınması/ayağa kaldırılması, Tepki faaliyetleri ile; iş kesintilerine karşılık verebilme ve faaliyetlerin idaresi amaçlı süreçleri belirleme, Planlama ile; süreçlerin dökümante edilmesi, Tatbikat ile; kriz durumlarına tepki verebilmenin yaşatılması ve gözlemlenmesi, Plan gözden geçirme ile; planların düzenlenerek gözden geçirilmesi, Güncelleme ve gözden geçirme başlığı ile; sürecin verimliliğinin ve hedefine ulaştığının kontrol edilmesi sağlanmalıdır.

İş Sürekliliği Yönetimi; Kurum ve kuruluşların yönetim fonksiyonu olarak doğru kişiler tarafından idare ettirilmelidir. Bu bağlamda organizasyonların İş Sürekliliği komitelerine sahip olmaları kaçınılmazdır. Yönetim gerekliliklerini yerine getirebilmek, politika ve prosedürleri oluşturabilmek, riskleri tespit edebilmek ve risk seviyelerini öngörebilmek, süreci idame ve idare ettirmek, tüm faktörleri anlamak ve tasarlamak bir yönetim komitesi ve bu komiteye bağlı takımlar ile mümkün kılınabilir. CIO ( Chief Information Officer), COO (Chief Operation Officer), CFO (Chief Finance Officer), CSO (Chief Security Office) gibi pozisyonlarda yer alan kişilerden oluşacak bir komite ve bu komiteye bağlı takımlar sürecin geliştirilmesi ve hayata geçirilmesi ile sürekli kontrol edilmesi ve güncellenmesi anlamında birlikte çalışmanın ötesinde, üst yönetimin konuya hassasiyetini de gösterecektir.

Son yıllarda İş Sürekliliği Yönetiminin daha ciddi ele alınarak organizasyonlarda faaliyete geçirilmesi ile; konu hakkında daha fazla bilgi birikimine sahip kişinin istihdam edilmesini ve istihdam konusunda tercih edilmesini gündeme getirmiştir. Buna verilebilecek en iyi örnek; İş sürekliliği yönetimi konusunda açılan yüksek lisans programları ile çeşitli ülkelerde faaliyet gösteren enstitülerin verdiği kurslar ve sundukları yaz kampları imkanlarıdır.

The American Institute for Business Continuity, 9/11 ardından konu hakkında yaz kampları düzenlemeye başlamıştır.

BCI (The Business Continuity Institute), konu hakkında eğitimler vermekle birlikte bu konuda çalışan veya çalışmak isteyen kişiler için sertifikasyon programları düzenlemektedir.

BCI’nın 85 den fazla ülkede 4000 üyesi bulunmaktadır.

BSI (British Standards Institution) BS 25999 standardını geliştirmiş, iş sürekliliği yönetimi ve standardı konusunda kurum ve kuruluşlara danışmanlık hizmetleri verdiği gibi, profesyoneller için, “İş Sürekliliği Yönetim Sistemi” konusunda; Farkındalık, Uygulama ve İç Tetkikçi, Tetkikçi ve Baş Tetkikçi kursları düzenlemektedir.

Amerika’da Boston University, “Master of Science in Management- Specialization in Business Continuity and Emergency Management” başlığı ile yüksek lisans programı sunmaktadır.

Benzer şekilde bir akademik programı; Norwich University, “Master of Science in Business Continuity Management” başlığı ile uygulamaktadır.

Kurum ve kuruluşlar için “Bilgi Güvenliği” ne kadar önemli ve stratejik ise aynı şekilde “İş Sürekliliği Yönetimi” de tüm organizasyonların varlıklarını devam ettirebilmesi adına kaçınılmazdır. Bu bağlamda işin sürekliliği adına “Bilgi Güvenliği” nin kaçınılmaz olduğunu da ifade edebilirim.

Saygılar..
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.141 Saniyede Yüklendi.