Yönetim kurulu salonunda bir finans direktörü, elindeki tablet bilgisayar ekranını çeviriyor: “BT departmanımız zaten var, neden ayrıca bir iş sürekliliği planına ihtiyacımız olsun?” Bu soru, Türkiye’deki orta ve üst düzey yönetici arasında oldukça yaygın. Çünkü birçok kurumda bilgi güvenliği (BGYS) ve iş sürekliliği yönetimi (ISYS) farklı birimlerde, farklı bütçelerle ve farklı sorumluluk sahiplerinde yürüyor.
Kağıt Üzerindeki Sistem mi, Yoksa Çalışan Bir Mekanizma mı?
ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası bir çerçevedir. ISO 22301 ise iş sürekliliği yönetim sistemi (ISYS) içindir. İkisi de aynı amaca hizmet eder: kurumsal riskleri azaltmak. Ancak Türkiye’deki uygulama pratiğinde, bu iki sistem genellikle birbirinden habersız kuruluyor.
Sahada sık karşılaştığımız tablo: BGYS sertifikası alınmış, ama felaket anında BT ekibi “yedekleme çalışıyor mu?” diye soruyor. ISYS ekibi ise “hangi veriyi öncelikli döndüreceğiz?” bilmiyor. Bu kopukluk, 2021’deki KVKK veri ihlali gibi bir olayda değil, sürekli bir organizasyonel zafiyet olarak karşımıza çıkıyor.
ISO 27001, bilginin gizliliği, bütünlüğü ve erişilebilirliğini korur. Tehdit envanteri, risk değerlendirme, kontrol mekanizmaları gibi teknik konuları ele alır. ISO 22301 ise operasyonel kesintiyi önlemeye, kriz yönetimini kurmaya ve kritik süreçlerin alternatif yollarla sürdürülebilirliğini garanti altına almaya odaklanır. Birindeki tehdit aktörü dışarıda (hacker, rakip, casus); diğerindeki ise doğa olayları, tedarikçi zinciri kırılması, personel eksikliği gibi içsel faktörler.
Entegrasyon Değil, Koordinasyon Eksikliği
Asıl sorun, bu iki standardı aynı çatı altında entegre etmek değil. Çünkü zaten farklı amaçlara hizmet ediyorlar. Sorun, bu iki standardı aynı yönetim şeması içinde koordine etmemek. Örneğin bir SGBS denetimi sırasında iş sürekliliği planı hiç sorgulanmıyor. Çünkü denetçi bilgi güvenliği uzmanı; ISYS denetçisi ise (varsa) operasyon uzmanı. Bu iki ekibin bir araya geldiği tek bir senaryo: kriz anı.
McKinsey’in 2023 araştırması, kurumların %60’ınının siber olay sonrası ilk 24 saatte koordinasyon eksikliğinden dolayı finansal kayıp yaşadığını ortaya koyuyor. Bu kayıp, sadece doğrudan zarar değil; aynı zamanda müşteri güvenini, marka itibarını ve tedarikçi ilişkilerini etkileyen dolaylı maliyetleri de beraberinde getiriyor.
Yönetim Kurulunun Sorması Gereken 4 Soru
1. Son BGYS denetimimizde, ISYS planlarımızın ne kadarınınının gerçekten test edildiğini gördük mü?
2. Kriz anında BT ekibi ile operasyon arasındaki iletişim protokolümüz nedir ve kimlerden oluşuyor?
3. Kritik veri kurtarma sıralamamızı (RPO/RTO) bilgi güvenliği risk değerlendirmesiyle aynı mı düzeyde mi tutuyoruz?
4. Tedarikçi zincirimizdeki tek kaynak bağımlılık, iş sürekliliği planımızda nasıl yansıtıyoruz?
5. Yılda kaç kez tabletop exercise ve fonksiyonel tatbikat yapıyoruz ve sonuçlar yönetim kuruluna mı sunuluyor?
Neden Ayrı Değil, Birlikte Daha İyi?
Türkiye’deki büyük ölçekli kurumlarda, bilgi güvenliği ve iş sürekliliği genellikle aynı CEO’ya bağlı risk komitesi altında toplanır. Ama pratikte bu komite, BGYS ve ISYS’i tek bir çatı altında ele almaz. Çünkü her birinin kendi dili, kendi metriği, kendi denetimi vardır. ISO 27001/22301 entegrasyon değerlendirmesi ve birlikte yönetim şeması tasarımı için danışmanlık hizmetlerimizden yararlanabilirsiniz.