Atölyeler Haberler İş Sürekliliği Yönetimi Atölyesi

Siber Tehditler ve İş Sürekliliği

Bilgi ve İletişim Teknolojileri yoğun iş yapış yöntemleri ve iş modelleri, tedbir alınması ve çözüm üretilmesi gereken birçok sorunu da beraberinde getirmektedir. Mal ve hizmet üretimini tehdit eden faktörlerin hem tipi hem de sayısı giderek atmaktadır. Daha verimli ve daha etkin bir üretim ortamı sunan teknolojik imkanların, teknoloji ve insan arasındaki etkileşimin yönetilmesi firmalar için son derece önemli hale gelmiştir click to read more.

Klasik manada iş sürekliliği, fiziksel tehditlerin (yangın, deprem, su baskını, terör olayları, sabotaj, enerji kesintisi, makine arızası vb.) bir olaya dönüşerek mal ve hizmet üretiminde kesinti olması durumunda yapılacakların planlanması olarak öngörülmekteydi. Firmalar tarafından bunlara yönelik hem önleyici tedbirler hem de düzeltici aksiyonlar etraflı bir şekilde çalışılmış olup, gerekli planlar oluşturulmuştur.

Oysaki günümüzde bunların çok daha ötesinde üretim kabiliyetini olumsuz etkileyerek iş kesintisine sebebiyet verecek en büyük tehdit alanı SİBER TEHDİTLER önümüzde durmakta ve her geçen gün çığ gibi büyümektedir.

Sektör ve ürün bağımsız firmalar, mal ve hizmet üretimini gerçekleştirebilmek için şu ana üretim kaynaklarına ihtiyaç duymaktadır:

  • Bina (alt yapı dâhil) ve çalışma ortamı,
  • Personel,
  • Makine ve teçhizat,
  • Bilgi varlıkları (dijital ve basılı ortamda),
  • Tedarikçi ve sağlanan girdi,
  • Bilgi ve iletişim teknolojileri (yazılım, donanım, veri/data ve ses hattı)

Bilgi ve iletişim teknolojileri başlı başına bir kaynak olmakla birlikte diğer tüm kaynakların etkili ve verimli çalışmasında önemli bir faktördür. Bununla birlikte siber ortamın yaşam alanı bulduğu coğrafyanın alt yapısını da oluşturmaktadır.

Siber ortam, mal ve hizmet üretimi için gerekli olan bilginin üretildiği, paylaşıldığı, ve saklandığı, bir birine ağlarla bağlanmış yazılım, donanım ve kullanıcıların birlikte oluşturduğu, fiziksel coğrafyası tüm dünyayı kapsayan bir ortamdır. Ortamın genişliği, bileşenlerin özelliklerinin çeşitliliği mal ve hizmet üretiminde kesintiye sebebiyet verecek tehditleri daha da fazlalaştırmaktadır.  Bu tehditler mal ve hizmet gerçekleştirme kaynaklarının üretim kabiliyetlerini olumsuz etkileyerek işlevselliğini kısmen veya tamamen yok edebilmektedir.

Bu tehditlere örnek olarak şunlar verilebilir: Bilgisayar virüsleri, kurtçuk, truva atı, tavşanlar, mantık bombaları, bukalemun, klavye izleme, bilgi toplayan casus yazılımlar, sistem dışı gönderilen ticari tanıtımlar, mikro çipler, istem dışı alınan e-postalar, servis dışı bırakma saldırıları, kaynak kod istismarı,  veri aldatmacası, yemleme, web sayfası yönlendirme, gizli dinleme, hackleme vb.  [Siber Savaş, Gökhan Bayraktar].

Mevcut bir iş sürekliliği sisteminin iyileştirilmesi veya yeni baştan bir iş sürekliliği sisteminin inşa edilmesi için aşağıda yer alan adımların izlenerek bir iş sürekliliği planı oluşturulması önerilir:

  1. Adım: Mal ve hizmet üretimi için gerekli varlıkların tespit edilmesi,
  2. Adım: Bu varlıkların bilgi ve iletişim teknolojileri bağımlılıklarının belirlenmesi
  3. Adım: Siber ortam bileşenlerinden doğabilecek tehditlerin ve risklerin belirlenmesi, değerlendirilmesi, mantısal ve fiziksel güvenlik tedbirlerinin alınması. Tedbirlere örnek olarak şunlar verilebilir; antivirüs yazılımı, güvenlik duvarı, network erişim yetki kontrolleri, açıklık tarayıcı yazılımlar, kullanıcı ve şifre yönetimi, sanal özel ağ, kripto cihazlar, tuzak sistemler vb. [Siber Savaş, Gökhan Bayraktar].
  4. Adım: Olay izleme, ikaz ve iletişim alt yapısının kurulması,
  5. Adım: Olası olay tiplerine göre, olay müdahale ekiplerinin ve iletişim akışının oluşturulması,
  6. Adım: Olası olay tiplerine göre, öngörülebildiği ve deneyimlendiği ölçüde acil durum aksiyonlarının ve olay müdahale planlarının oluşturulması
  7. Adım: Kriz yönetimi ve paydaş iletişimi yapısının kurulması,
  8. Adım: Oluşturulan iş sürekliliği yapısı ve planlarının, stratejik, taktiksel ve operasyonel seviyedeki ekip üyelerine bir eğitim programı çerçevesinde anlatılması
  9. Adım: Oluşturulan iş sürekliliği yapısı ve planlarının bir test programı çerçevesinde test edilmesi
  10. Adım: Tüm çalışmaların belirli dönemlerde ve aşağıda yer alab durumlarda tekrar gözden geçirilerek sistemin güncellenerek geliştirilmesi:
    • Organizasyon değişikliği
    • Süreç ve iş akışı değişikliği
    • Teknoloji (BT sistemleri, makine araç, gereç ve donanım) değişikliği
    • Personel değişikliği
    • Çalışma ortamı değişikliği
    • Coğrafi yer değişikliği
    • Yeni mal ve hizmet tasarımı ve mevcut mal ve hizmetlerin geliştirilmesi
    • Yasa, mevzuat ve standart değişikliği
    • Strateji değişikliği
    • Dış bağımlılık (tedarikçi ve partner) değişikliği
    • Yaşanan gerçek olaylar (siber saldırı, sabotaj, sistem kesintisi, veri ve ses hattı kesintisi, makine arızası vb.)

Tehdit ve risklere karşı hazır, esnek ve çevik bir iş yönetim sistemi kurmanız dileğiyle…

Not: Okuma önerileri;

  • Siber güvenlik ve siber savaş, P.W.Sınger ve Allan Frıedman.
  • Siber Savaş, Gökhan Bayraktar.
  • Siber Savaş, Rıchard A. Clarke ve Robert K.Knake
  • İş Sürekliliği Yönetim Sistemi, Özgüven Saymaz.

Yazar Hakkında

Özgüven Saymaz

Yorumla