İş sürekliliği konusundaki hatalı yaklaşımları 4 ana başlık altında toplamak mümkündür.
1.İş sürekliliğinin bir ürün, teknoloji veya servis olarak görülmesi
İş sürekliliği, sadece verilerin başka bir çalışma alanına çevrim içi aktarılması veya kritik sunucuların devamlı olarak çalışmasını sağlamak üzere kümeleme (cluster), RAID, yedekli güç kaynağı, yedekli ağ hatları kullanmak olduğu düşünülmemelidir. İş sürekliliği kurum süreçlerinden hareketle süreçlerin devamlılık ihtiyaçlarının ortaya koyulması ve bunun sağlanması için gereken çalışmaların yapılmasıdır. Bu çalışmalar sırasında elbette teknoloji, insan gücü ve mali kaynaklar kullanılacaktır. Bu çalışmayı sadece bir ürün veya servis olarak görmek olağan üstü bir durumda iş süreçlerinin tekrar çalışır hale getirilmesi için yeterli değildir. İş sürekliliği, süreçlerin devamlılığı ve devamlılığın sağlanamadığı durumda ön görülen kesinti ile çalıştırılmasını kapsamaktadır. Süreçlerin çalışabilmek için bilgi teknolojilerine ihtiyacı olabileceği gibi aynı zamanda süreci işleten son kullanıcıya ve dokümantasyona da ihtiyacı vardır.
2.Başlangıcı ve sonu belirli olan bir proje olarak düşünülmesi
İSYS kurulumu yeterli bilgi birikimi olduğu durumda işletmenin kendi kaynakları ile yapabileceği bir çalışmadır. Birçok işletmede söz konusu bilgi birikiminin olmaması nedeni ile bu konuda dış kaynak kullanımı yoluna gidilmektedir. Bu çalışmalar genellikle bir proje olarak değerlendirildiği için İSYS’ye de proje gözüyle bakma yanlışı söz konusudur. İSYS’ye bir proje olarak yaklaşmak başlangıcı ve sonu belirli olan bir iş olarak ele almak anlamına gelmektedir. İş sürekliliği yönetim sisteminin kurulması ve çalışır hale getirilmesi bir proje olarak ele alabilmesine rağmen İSYS’nin kendisi bir proje değildir. İSYS çalışır hale geldikten sonra yönetim sistemin yaşatılabilmesi için yapılması gereken çalışmalar vardır. Bu çalışmalar BS25999-1 standardının iş sürekliliği program yönetimi başlığı altında detaylı olarak tanımlanmıştır. Söz konusu çalışmalar gerçekleştirilirken işletmenin yönetim sisteminin işletilebilmesi ve sürekli geliştirilebilmesi için gerekli bilgi birikimini edinmesi gereklidir.
3.Sadece dokümantasyondan oluştuğu varsayımı
Bir diğer yanlış yaklaşım ise iş sürekliliğine sadece dokümantasyondan oluştuğu varsayımı ile yaklaşmaktır. Dokümantasyon, iş sürekliliğinin vazgeçilemez bir parçası olmasına rağmen yapılması gereken tüm işleri dokümantasyon olarak ele almak, çalışmanın teknolojik ve organizasyon boyutlarını gözden kaçırmaya, dolayısıyla iş sürekliliğinden beklenen faydanın sağlanamamasına neden olacaktır. Teknolojik altyapının ihtiyaçların üzerinde olması durumunda dahi tatbikatların yapılması, eğitimlerin verilmesi ve periyodik gözden geçirmeler vb. yapılması gereken çalışmalar vardır.
4.İş sürekliliği sorumluluğunun BT bölümü olduğunun düşünülmesi
İş sürekliliğinin sağlanmasında bilgi teknolojilerinin rolünün yüksek olmasından dolayı çalışmaların BT bölümü tarafından yapılması ve sorumluluğunun da BT bölümünde olması gerektiği inanışı yaygındır. İstatistikler iş sürekliliği çalışmalarına BT bölümünün katılımının diğer birimlerden fazla olduğunu göstermektedir. Öbür yandan iş sürekliliğinin sorumluluğunun çok yüksek oranda üst yönetim, yönetim kurulu veya iş sürekliliği komitesinde olduğu görünmektedir. İş süreçlerinin devam ettirilebilmesi veya olağan üstü bir durumda tekrar çalışır hale getirilmesi, personelin alternatif çalışma ortamına naklinden, sunucuların hazırlanmasına, yeni cihaz satın alımına kadar birçok faaliyeti içermektedir. Bu sebeple iş sürekliliği kurum içinde mümkün olduğu kadar üst seviye yönetim tarafından temsil edilmeli ve tüm çalışma grupları ile birlikte çalışarak iş sürekliliğini sağlayacak bir ekip kurulmalıdır.
27 Ekim 2009 Salı
26 Ekim 2009 Pazartesi
İş Sürekliliği Kritik Başarı Faktörleri
Üst Yönetim Desteği
İş sürekliliği çalışmaları için en yüksek seviyede yönetim onayı ve desteğinin alınması şarttır. Gerçekleştirilen çalışmalar ile ilgili yönetim onayı alınması, çalışmaların kurum çapında kolay kabul edilmesini sağlayacaktır. BS 25999 standardı üst yönetimin iş sürekliliği sürecine katılımının İSYS’nin doğru olarak anlaşılması, desteklenmesi ve organizasyon kültürüne adaptasyonu için anahtar bir adım olduğunu belirtmektedir. Üst yönetim desteği sadece politika ve benzeri dokümantasyonun onaylanması biçiminde olmamalıdır. Çalışmaların gözden geçirildiği toplantılara katılmak, tatbikat sonuçlarını incelemek, bazı bilgilendirme notlarının veya çalışma sonuçlarının bizzat yönetim tarafından bildirilmesi konunun öneminin anlaşılması açısından faydalı olacaktır. Üst yönetim desteği ayrıca gerekli iş gücünün ayrılması, ihtiyaç duyulan bütçenin tahsis edilmesi gibi konular içinde oldukça önemlidir.
Stratejik İş Planın Parçası Olma
İş sürekliliği kurumun stratejik hedefleri için önemli bir çalışmadır. Kurumun işlevini devam ettirmesi veya yasal yükümlülüklerini yerine getirebilmesi için her zaman güncel ve ihtiyaca yanıt verebilir durumda olmalıdır. İş sürekliliğinin stratejik iş hedeflerine uygun olarak geliştirilmediği veya stratejik hedeflerde gerçekleştirilen değişikliklere uygun olarak gerekli çalışmaların yapılmadığı durumda iş süreçlerinde kesintiler yaşanması kaçınılmazdır. Örnek olarak bir yıl sonrasında satışlarını %30 arttırmayı hedefleyen bir firma düşünelim. Bu hedefi gerçekleştirmek için bilgi teknolojileri altyapısında da gerekli değişiklikler yapılacaktır. Bu değişiklikler sırasında iş sürekliliği planın ve ilgili dokümantasyonun, ayrıca felaketten kurtarma merkezinin bu hedefe uygun olarak değiştirilmesi gereklidir.
İş Sürekliliği Koordinasyonu
İş sürekliliği çalışmaları bir grubun veya bir kişinin tek başına yerine getirebileceği bir faaliyet değildir. Kurumun birçok bölümünün içinde bulunduğu ve kişilerin farklı görevler aldığı bir çalışmadır. Son kullanıcının dahi bilmesi ve yapması gereken işler vardır. Bazı kurumlarda iş sürekliliğinin yönetimi için ayrı gruplar kurulmuştur. İş sürekliliği yönetim sisteminin kurum içinde yaşayabilmesi için gerekli personel gücünün ve koordinasyonun sağlanması iş sürekliliğinin olağan üstü durumlarda beklenen faydayı sağlaması için kritik adımlardan birisidir. İş sürekliliği çalışmaları kapsamında en üst yönetimden son kullanıcıya kadar düşen görevler vardır. Bu detayda bir kurum kültürü oluşturulmadıkça sürecin işletilmesi zordur.
Risk Analizi ve İş Etki Analizi
İş sürekliliği, iş etki analizi ismi verilen çalışmanın çıktıları üzerine inşa edildiği için en kritik başarı faktörlerinden biridir. İş etki analizinin doğru yapılması İSYS’nin sağlam temeller üzerine oturmasını sağlayacaktır. Bu sebeple kurumun ilgili bölümlerinden faaliyetlere hakim kişilerin çalışmalarda yer alması gereklidir. İş etki analizi / risk analizi takımında yer alacak personelin üst yönetim tarafından seçilmesi yönetimin konuya verdiği önemin anlaşılması açısından son derece önemlidir. Bu çalışma sonunda kurum süreçlerinin kritikliği, süreçler için hedeflenen kurtarma süreleri (RTO) ve maksimum kabul edilebilir kesinti süreleri (MTPoD) belirlenmektedir. Bu çalışma sırasında ayrıca risk analizi kullanılarak süreçlerde kesintiye neden olabilecek riskler belirlenmektedir. İş süreçlerinin öneminin ve süreçlerde kesintiye neden olabilecek olayların belirlenmesi uygulanacak karşı önlemlerin seçilmesi için son derece kritiktir. İş etki analizi ve risk analizi çalışmasının doğru yapılması iş sürekliliğinin başarıya ulaşmasında üst yönetim desteği kadar önemli bir başarı faktörüdür.
Yeterli Bütçe Ayrılması
İSYS’nin hem kurulumu hem de daha sonra işletimi sırasında bir takım giderleri vardır. Kurulması sırasında danışmanlık, eğitim ve benzeri hizmetlerin satın alınması, işletme içinde gerekli insan kaynağının sağlanması bu giderlere örnektir. Yönetim sisteminin kurulumu sonrasında ise gerçekleştirilecek tatbikatlar, periyodik gözden geçirmeler, kurum içi bilgilendirme faaliyetleri, süreçlerdeki değişikliklerden sonra hazırlanacak dokümanlar ve benzeri çalışmalar vardır. Ayrıca iş etki analizi ve risk analizi çalışmalarının sonunda uygulanacak kontrollere karar verilmektedir. Kontrollerin yerine getirilmesi için yapılacak çalışmaların bazılarının maliyeti çok düşük olabileceği gibi gerektiğinde felaketten kurtarma merkezi kurulumu gibi yüksek maliyetli çalışmaların yapılması da gerekebilir. Bu sebeple iş etki analizinde belirlenen kabul edilebilir kesinti sürelerinin sağlanması için gerekli bütçenin ayrılması veya planlanması oldukça önemlidir.
Yeterli Bilgi Teknolojileri Altyapısı
Günümüzün iş gereklilikleri nedeni ile birçok iş sürecinin BT bağımlılığı yüksektir. Bilgi teknolojileri altyapısının süreklilik ihtiyaçlarına uygun olması süreklilik ihtiyaçlarının karşılanması için büyük öneme sahiptir. Sunucuların, haberleşme hatlarının, enerji altyapısının yedekli yapıda çalışması BT’nin sürekli hizmet verebilmesi için gereklidir. Bunlara ek olarak ana merkezde bulunan verinin felaketten kurtarma merkezine gönderilmesi gereklidir. Bu işlemleri gerçekleştirecek altyapıya sahip olmadan olağan üstü bir durumda kabul edilebilir kesinti sürelerini sağlamak oldukça güçtür.
Dokümantasyon
Her yönetim sisteminde olduğu gibi İSYS içinde dokümantasyon çok önemlidir. İş sürekliliği planın, olağan üstü durum yönetim planın ve bu planlarla ilgili diğer talimat ve prosedürlerin hazır ve güncel olması gereklidir. Dokümanların hazır olması yanında ilgili kişilere dağıtımı da yapılmalıdır. Dokümantasyonun hazırlanması aşamasında sadelik ve kolay uygulanabilirlik çok önemlidir.
Periyodik tatbikatlar
Olağanüstü durumlara her an hazır olabilmek için senaryolar üretilmeli ve tatbikatı yapılmalıdır. Tatbikatlar sonucunda kurulmuş olan yönetim sisteminin eksikliklerini tespit etmek mümkündür. İş sürekliliği planının ve ilgili diğer dokümanların, çalışma kapsamında görev alan personelin bilgi seviyesinin, teknolojik altyapının varsa eksiklikleri bu şekilde tespit edilebilir. Tatbikatlar, dokümantasyonun gözden geçirilmesi, planın bir parçasının test edilmesi veya planın tamamının test edilmesi gibi farklı türlere sahiptir. Her bir tatbikat türü için senelik olarak tatbikat planlarının hazırlanması ve tatbikatların yapılması kurumun olası bir acil durum senaryosu için hazır olmasını sağlamaktadır.
Eğitim ve bilinçlendirme
İş sürekliliği çalışmalarının benimsenmesi için kurum çalışanlarına ve iş sürekliliği organizasyonunda bulunan takımlara eğitim verilmelidir. Kurum çapında benimsenmemiş ve gerekli eğitim çalışmaları yapılmamış iş sürekliliği planlarının başarıya ulaşma olasılığı düşüktür. İş sürekliliği planı içerisinde eğitim konusunda izlenecek yöntemler (anket, sınıf eğitimi, sınav vb.) belirlenmeli ve plan içerisinde yer almalıdır. Eğitim faaliyetlerini yürütmek üzere bir takım kurulması ve gereken zamanlarda eğitim işlerini organize etmesi faydalı olacaktır. Kurum çapında yapılacak iş sürekliliği bilgilendirmesi senede bir defadan az olmamalıdır.
Plan bakım ve güncelleme
İSYS kurumun kritik süreçlerinin devamlılığını sağlamak üzere vardır. Bu nedenle kurumun süreçlerinde meydana gelen değişiklikler iş sürekliliği planını doğrudan etkilemektedir. Süreç değişikliklerinin plan güncellemesi gerektirdiği hiçbir zaman göz ardı edilmemelidir. Zaman içerisinde meydana gelen değişikliklerin iş sürekliliği planına aktarılması için periyodik gözden geçirmeler yapılmalı ve güncelleme ihtiyacı tespit edilmelidir. Tatbikat sonuçları genellikle plan güncellemesi gerektirmektedir. İş sürekliliği kapsamında yapılması gereken değişiklikler her zaman doküman değişiklikleri olmak zorunda değildir. Kurumun süreçlerinin kritiklik seviyesinin değişmesi nedeni ile hizmet veren sunucuların öncelikleri dolayısıyla da alınması gereken önlemler değişebilir. Bu nedenle bazı durumlarda yeni yatırım gereksinimi ortaya çıkabilir. Sistem değişikliği olması durumunda bütçe ve zaman planının hazırlanması gerekir.
İş sürekliliği çalışmaları için en yüksek seviyede yönetim onayı ve desteğinin alınması şarttır. Gerçekleştirilen çalışmalar ile ilgili yönetim onayı alınması, çalışmaların kurum çapında kolay kabul edilmesini sağlayacaktır. BS 25999 standardı üst yönetimin iş sürekliliği sürecine katılımının İSYS’nin doğru olarak anlaşılması, desteklenmesi ve organizasyon kültürüne adaptasyonu için anahtar bir adım olduğunu belirtmektedir. Üst yönetim desteği sadece politika ve benzeri dokümantasyonun onaylanması biçiminde olmamalıdır. Çalışmaların gözden geçirildiği toplantılara katılmak, tatbikat sonuçlarını incelemek, bazı bilgilendirme notlarının veya çalışma sonuçlarının bizzat yönetim tarafından bildirilmesi konunun öneminin anlaşılması açısından faydalı olacaktır. Üst yönetim desteği ayrıca gerekli iş gücünün ayrılması, ihtiyaç duyulan bütçenin tahsis edilmesi gibi konular içinde oldukça önemlidir.
Stratejik İş Planın Parçası Olma
İş sürekliliği kurumun stratejik hedefleri için önemli bir çalışmadır. Kurumun işlevini devam ettirmesi veya yasal yükümlülüklerini yerine getirebilmesi için her zaman güncel ve ihtiyaca yanıt verebilir durumda olmalıdır. İş sürekliliğinin stratejik iş hedeflerine uygun olarak geliştirilmediği veya stratejik hedeflerde gerçekleştirilen değişikliklere uygun olarak gerekli çalışmaların yapılmadığı durumda iş süreçlerinde kesintiler yaşanması kaçınılmazdır. Örnek olarak bir yıl sonrasında satışlarını %30 arttırmayı hedefleyen bir firma düşünelim. Bu hedefi gerçekleştirmek için bilgi teknolojileri altyapısında da gerekli değişiklikler yapılacaktır. Bu değişiklikler sırasında iş sürekliliği planın ve ilgili dokümantasyonun, ayrıca felaketten kurtarma merkezinin bu hedefe uygun olarak değiştirilmesi gereklidir.
İş Sürekliliği Koordinasyonu
İş sürekliliği çalışmaları bir grubun veya bir kişinin tek başına yerine getirebileceği bir faaliyet değildir. Kurumun birçok bölümünün içinde bulunduğu ve kişilerin farklı görevler aldığı bir çalışmadır. Son kullanıcının dahi bilmesi ve yapması gereken işler vardır. Bazı kurumlarda iş sürekliliğinin yönetimi için ayrı gruplar kurulmuştur. İş sürekliliği yönetim sisteminin kurum içinde yaşayabilmesi için gerekli personel gücünün ve koordinasyonun sağlanması iş sürekliliğinin olağan üstü durumlarda beklenen faydayı sağlaması için kritik adımlardan birisidir. İş sürekliliği çalışmaları kapsamında en üst yönetimden son kullanıcıya kadar düşen görevler vardır. Bu detayda bir kurum kültürü oluşturulmadıkça sürecin işletilmesi zordur.
Risk Analizi ve İş Etki Analizi
İş sürekliliği, iş etki analizi ismi verilen çalışmanın çıktıları üzerine inşa edildiği için en kritik başarı faktörlerinden biridir. İş etki analizinin doğru yapılması İSYS’nin sağlam temeller üzerine oturmasını sağlayacaktır. Bu sebeple kurumun ilgili bölümlerinden faaliyetlere hakim kişilerin çalışmalarda yer alması gereklidir. İş etki analizi / risk analizi takımında yer alacak personelin üst yönetim tarafından seçilmesi yönetimin konuya verdiği önemin anlaşılması açısından son derece önemlidir. Bu çalışma sonunda kurum süreçlerinin kritikliği, süreçler için hedeflenen kurtarma süreleri (RTO) ve maksimum kabul edilebilir kesinti süreleri (MTPoD) belirlenmektedir. Bu çalışma sırasında ayrıca risk analizi kullanılarak süreçlerde kesintiye neden olabilecek riskler belirlenmektedir. İş süreçlerinin öneminin ve süreçlerde kesintiye neden olabilecek olayların belirlenmesi uygulanacak karşı önlemlerin seçilmesi için son derece kritiktir. İş etki analizi ve risk analizi çalışmasının doğru yapılması iş sürekliliğinin başarıya ulaşmasında üst yönetim desteği kadar önemli bir başarı faktörüdür.
Yeterli Bütçe Ayrılması
İSYS’nin hem kurulumu hem de daha sonra işletimi sırasında bir takım giderleri vardır. Kurulması sırasında danışmanlık, eğitim ve benzeri hizmetlerin satın alınması, işletme içinde gerekli insan kaynağının sağlanması bu giderlere örnektir. Yönetim sisteminin kurulumu sonrasında ise gerçekleştirilecek tatbikatlar, periyodik gözden geçirmeler, kurum içi bilgilendirme faaliyetleri, süreçlerdeki değişikliklerden sonra hazırlanacak dokümanlar ve benzeri çalışmalar vardır. Ayrıca iş etki analizi ve risk analizi çalışmalarının sonunda uygulanacak kontrollere karar verilmektedir. Kontrollerin yerine getirilmesi için yapılacak çalışmaların bazılarının maliyeti çok düşük olabileceği gibi gerektiğinde felaketten kurtarma merkezi kurulumu gibi yüksek maliyetli çalışmaların yapılması da gerekebilir. Bu sebeple iş etki analizinde belirlenen kabul edilebilir kesinti sürelerinin sağlanması için gerekli bütçenin ayrılması veya planlanması oldukça önemlidir.
Yeterli Bilgi Teknolojileri Altyapısı
Günümüzün iş gereklilikleri nedeni ile birçok iş sürecinin BT bağımlılığı yüksektir. Bilgi teknolojileri altyapısının süreklilik ihtiyaçlarına uygun olması süreklilik ihtiyaçlarının karşılanması için büyük öneme sahiptir. Sunucuların, haberleşme hatlarının, enerji altyapısının yedekli yapıda çalışması BT’nin sürekli hizmet verebilmesi için gereklidir. Bunlara ek olarak ana merkezde bulunan verinin felaketten kurtarma merkezine gönderilmesi gereklidir. Bu işlemleri gerçekleştirecek altyapıya sahip olmadan olağan üstü bir durumda kabul edilebilir kesinti sürelerini sağlamak oldukça güçtür.
Dokümantasyon
Her yönetim sisteminde olduğu gibi İSYS içinde dokümantasyon çok önemlidir. İş sürekliliği planın, olağan üstü durum yönetim planın ve bu planlarla ilgili diğer talimat ve prosedürlerin hazır ve güncel olması gereklidir. Dokümanların hazır olması yanında ilgili kişilere dağıtımı da yapılmalıdır. Dokümantasyonun hazırlanması aşamasında sadelik ve kolay uygulanabilirlik çok önemlidir.
Periyodik tatbikatlar
Olağanüstü durumlara her an hazır olabilmek için senaryolar üretilmeli ve tatbikatı yapılmalıdır. Tatbikatlar sonucunda kurulmuş olan yönetim sisteminin eksikliklerini tespit etmek mümkündür. İş sürekliliği planının ve ilgili diğer dokümanların, çalışma kapsamında görev alan personelin bilgi seviyesinin, teknolojik altyapının varsa eksiklikleri bu şekilde tespit edilebilir. Tatbikatlar, dokümantasyonun gözden geçirilmesi, planın bir parçasının test edilmesi veya planın tamamının test edilmesi gibi farklı türlere sahiptir. Her bir tatbikat türü için senelik olarak tatbikat planlarının hazırlanması ve tatbikatların yapılması kurumun olası bir acil durum senaryosu için hazır olmasını sağlamaktadır.
Eğitim ve bilinçlendirme
İş sürekliliği çalışmalarının benimsenmesi için kurum çalışanlarına ve iş sürekliliği organizasyonunda bulunan takımlara eğitim verilmelidir. Kurum çapında benimsenmemiş ve gerekli eğitim çalışmaları yapılmamış iş sürekliliği planlarının başarıya ulaşma olasılığı düşüktür. İş sürekliliği planı içerisinde eğitim konusunda izlenecek yöntemler (anket, sınıf eğitimi, sınav vb.) belirlenmeli ve plan içerisinde yer almalıdır. Eğitim faaliyetlerini yürütmek üzere bir takım kurulması ve gereken zamanlarda eğitim işlerini organize etmesi faydalı olacaktır. Kurum çapında yapılacak iş sürekliliği bilgilendirmesi senede bir defadan az olmamalıdır.
Plan bakım ve güncelleme
İSYS kurumun kritik süreçlerinin devamlılığını sağlamak üzere vardır. Bu nedenle kurumun süreçlerinde meydana gelen değişiklikler iş sürekliliği planını doğrudan etkilemektedir. Süreç değişikliklerinin plan güncellemesi gerektirdiği hiçbir zaman göz ardı edilmemelidir. Zaman içerisinde meydana gelen değişikliklerin iş sürekliliği planına aktarılması için periyodik gözden geçirmeler yapılmalı ve güncelleme ihtiyacı tespit edilmelidir. Tatbikat sonuçları genellikle plan güncellemesi gerektirmektedir. İş sürekliliği kapsamında yapılması gereken değişiklikler her zaman doküman değişiklikleri olmak zorunda değildir. Kurumun süreçlerinin kritiklik seviyesinin değişmesi nedeni ile hizmet veren sunucuların öncelikleri dolayısıyla da alınması gereken önlemler değişebilir. Bu nedenle bazı durumlarda yeni yatırım gereksinimi ortaya çıkabilir. Sistem değişikliği olması durumunda bütçe ve zaman planının hazırlanması gerekir.
İş sürekliliği nedir?
İş sürekliliği, bir işletmenin kritik iş süreçlerinin kabul edilebilir kesinti süreleri çerçevesinde sürekliliğinin sağlanmasıdır. İşletmenin iş süreçlerinin ne kadar kesintiye tahammül edebildiği ve süreçleri bu sure içerisinde tekrar çalışır hale getirmek için neler yapılması gerektiği iş sürekliliği çalışmalarının temelini oluşturmaktadır.
Kaydol:
Yorumlar (Atom)
