Bilgi Güvenliği ve İş Sürekliliği

Ransomware Sonrası 72 Saat: İş Sürekliliği Planınız Gerçekten Çalışıyor mu?

2024 yılında küresel ransomware saldırısı sayısı bir önceki yıla göre %67 arttı. IBM'in Cost of a Data Breach Report 2024 verilerine göre, bir veri ihlalinin ortalama ömrü 277 gün; yani tehdit aktörü sistemlerinizde dokuz ay boyunca görünmeden dolaşabiliyor. Peki yönetim kurulu toplantısında "BCP'miz hazır" dediğinizde, bu ifade gerçekten ne anlama geliyor?

Siber Saldırı ve İş Sürekliliği Planlaması

Plan Kağıt Üzerinde Kalınca: Teorik BCP'nin Bedeli

İş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) birbirine karıştırılan iki kavram. DRP, sistemlerinizi yeniden ayağa kaldırmaya odaklanır. BCP ise operasyonun durmamasını hedefler. Çoğu kurumda ikisi de var; ama ikisi de test edilmemiş. Gartner'ın 2024 araştırması, şirketlerin sadece %23'ünün BCP'lerini yılda bir kez bile senaryo bazlı test ettiğini gösteriyor.

Sahada sık karşılaştığımız tablo: Felaket kurtarma ortamı üç yıl önce kurulmuş, ama son yama 18 ay önce atılmış. Yedekleme altyapısı çalışıyor; ama yedekten dönüş süresi (RTO) hiçbir zaman ölçülmemiş. Yönetim kurulu "24 saatte döneriz" diyor; operasyon ekibi gerçekte 72 saat gerektiğini biliyor. Bu 48 saatlik fark, bir üretim tesisinde milyonlarca dolarlık sipariş kaybı anlamına geliyor.

Ransomware'e Karşı BCP'nin Üç Zayıf Halkası

1. Yedekleme Stratejisinin Gerçekliği

Yedekleriniz ransomware'den korunaklı mı? Air-gapped yedekleme, immutable storage, 3-2-1 kuralı — bunlar teknik terim değil, hayatta kalma koşulu. Ancak kurumların %40'ından fazlası yedekleme döngüsünü test etmeden "güvende olduğunu" varsayıyor. Verizon DBIR 2024 raporuna göre, başarılı ransomware saldırılarının %82'si yedekleme altyapısını da hedef alıyor.

Felaket Kurtarma ve Yedekleme Altyapısı

2. İletişim Zincirinin Kırılganlığı

Saldırı anında kim kimi arıyor? Kriz yönetim ekibinin iletişim bilgileri son güncellenme ne zaman? Sahada tekrarlayan bir yanılgı var: BCP dokümanında yazan "kriz komitesi", gerçek kriz anında ulaşılamayan kişilerden oluşuyor. COVID-19 döneminde evden çalışma alışkanlığı, acil durum iletişim listelerini değiştirdi; ama çoğu kurum bu listeyi güncellemedi.

3. Tedarikçi Bağımlılığı ve Zincir Etkisi

Sizin BCP'niz mükemmel olabilir; ama kritik tedarikçinizin BCP'si yoksa? 2023'teki MOVEit Transfer saldırısı, 620'den fazla kurumu etkiledi. Tek bir yazılım tedarikçisinin zafiyeti, binlerce kurumun iş sürekliliğini tehlikeye attı. Tedarik zinciri güvenliği artık BCP'nin ayrılmaz bir parçası.

ISO 22301 ve Gerçek Dünya Arasındaki Mesafe

ISO 22301 sertifikası, iş sürekliliği yönetim sistemi için uluslararası bir çerçeve sunar. Ancak sertifika almak ile sistemi çalıştırmak arasında derin bir uçurum var. Sertifika denetimleri genellikle doküman odaklıdır; sahada ise insan davranışları, teknoloji uyumsuzlukları ve öngörülemeyen senaryolar devreye girer.

Bu konuda tekrarlayan bir yanılgı var: "ISO 22301 sertifikamız var, dolayısıyla hazırız." Sertifika, sisteminizin tasarlandığını gösterir; ama test edilmediğini, senaryoların güncellenmediğini ve personelin eğitilmediğini görmez. McKinsey'in 2024 araştırması, sertifikalı kurumların bile %55'inin gerçek bir felaket senaryosunda planlarının yetersiz kaldığını ortaya koyuyor.

Yönetim Kurulunun Sorması Gereken 5 Soru

1. Son BCP testinin sonuçları, yönetim kurulu gündemine taşındı mı yoksa BT departmanında mı kaldı?
2. RTO ve RPO değerlerimiz gerçekten ölçüldü mü, yoksa hedef mi olarak mı yazıldı?
3. Kritik tedarikçilerimizin BCP ve siber güvenlik durumunu düzenli olarak değerlendiriyor muyuz?
4. Yedekleme altyapımızın ransomware'ye karşı dayanıklılığı ne zaman son test edildi?
5. Felaket anında alternatif operasyon merkezimiz veya uzaktan çalışma altyapımız ne kadar sürede devreye alınabiliyor?

Test Etmeden Plan Olmaz: Tabletop ve Fonksiyonel Tatbikat

Tabletop exercise, yönetim kurulu seviyesinde kriz senaryolarını tartışmak için en etkili yöntemdir. Ancak tek başına yeterli değildir. Fonksiyonel tatbikatlar — yani gerçek sistemleri kısmen veya tamamen devre dışı bırakarak yapılan testler — planın pratik geçerliliğini ortaya çıkarır. Ponemon Enstitüsü'nün 2023 verilerine göre, düzenli tatbikat yapan kurumların felaket sonrası ortalama kurtarma maliyeti, tatbikat yapmayanlara göre %35 daha düşük.

Kurumları incelerken tekrarlayan birkaç yapısal sorunla karşılaşıyoruz: BCP dokümanı 200 sayfa ama hiç kimse okumamış. Kriz komitesi üyeleri rollerini bilmiyor. Yedekleme testi son başarısız olmuş ama bu bilgi üst yönetime iletilmemiş. Bu sorunlar teknik değil, yönetişimseldir.

İş sürekliliği planınızın güncel durum analizi, ransomware senaryolarına özel tatbikat tasarımı ve ISO 22301 entegrasyon değerlendirmesi için danışmanlık hizmetlerimizden yararlanabilirsiniz.

Paylaş   

İlginizi Çekebilir
  • ISO 27001 BGYS'de İnsan Kaynaklarının Rolü

    Tüm yönetim sistemlerinde olduğu gibi, ISO27001 tabanlı bir Bilgi Güvenliği Yönetim Sisteminde de İnsan Kaynakları birimlerine önemli görevler düşüyor. Öyle ya, hangi sistem olursa olsun, ne kadar iyi kurgulanmış olursa olsun, sistemleri çalıştıranlar insanlar değil mi? ISO27001, bilgi ... Devamı

  • ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemine Giriş

    2023 yılında küresel ölçekte veri ihlallerinin ortalama maliyeti 4,45 milyon dolara ulaştı. Türkiye'de ise KVKK'nın yürürlüğe girmesinden bu yana Kişisel Verileri Koruma Kurumu binlerce şirkete idari para cezası uyguladı. Siber tehditler artık "büyük şirketlerin sorunu" olmaktan çıktı — her ölçekten... Devamı

  • NIS2 Direktifi ve Siber Dayanıklılık: Operasyonel Uyum Rehberi

    Avrupa Birliği'nin Ağ ve Bilgi Sistemleri Güvenliği Direktifi'nin ikinci versiyonu olan NIS2, Ocak 2023'te yürürlüğe girmiş ve üye devletlerin Ekim 2024'e kadar ulusal mevzuatlarına aktarması gerekmiştir. 2016 tarihli NIS Direktifi'nin kapsamını ve gerekliliklerini önemli ölçüde genişleten bu düzenl... Devamı

  • ISO 27001 nedir?

    Veri ve Bilgi Kavramları Veri : Sayısal veya mantıksal bir değer (Harf,rakam,sembol) veya işlenmemiş ham bilgi. Bilgi : Verinin işlenerek anlam kazanmış hali olarak kısaca tanımlanabilir. Bilgi ve Transfer Ortamları Bilgi farklı şekillerde ve farklı ortamlarda bulunabilir. A... Devamı

  • Stratejik Siber Dayanıklılık ve ISO 27001 ile Yönetişim Vizyonu

    Modern iş dünyasında siber güvenlik, artık sadece teknik bir departmanın sorumluluğu olmaktan çıkıp yönetim kurullarının en kritik gündem maddesi haline gelmiştir. Dijitalleşen operasyonlar, veri odaklı karar alma süreçleri ve bulut tabanlı altyapılar, beraberinde daha karmaşık ve yıkıcı siber riskl... Devamı

  • Kategoriler
    İhtiyaçlarınız için en doğru adrestesiniz. Tüm sorularınızın yanıtları ve en uygun çözümler bir mesaj uzağınızda !