Bir BT müdürü şöyle anlatmıştı: "Siber saldırı olduğunda iş sürekliliği planımızı açtık, ama yazıcı çalışmıyordu. Planı dijital ortamda sakladığımız için kriz anında okuyamadık." Bu hikaye gülünç görünebilir ama aslında iş sürekliliği planlamasının özündeki sorunu anlatıyor: Planlar gerçeklikten kopuk hazırlandığında, tam ihtiyaç duyulan anda işe yaramıyor.
İş sürekliliği planlaması bir belge üretme egzersizi değil, kuruluşun gerçek koşullarına dayanan canlı bir hazırlık sürecidir. Beş temel adımda bu süreci ele alalım.
1. Adım: Kapsamı ve Bağlamı Belirleyin
Her şeyi planlamaya çalışmak, hiçbir şeyi planlamamakla eşdeğer. İlk adım, hangi faaliyetlerin, süreçlerin, konumların ve paydaşların kapsama alınacağını netleştirmek.
Üst yönetimin bu adıma aktif katılımı şart. Kapsam kararları stratejik tercihler içeriyor — hangi hizmetlerin kesintisiz sürmesi gerektiği, hangi müşteri taahhütlerinin öncelikli olduğu gibi sorular yönetim kurulu seviyesinde yanıt bekliyor.
2. Adım: İş Etki Analizi Yapın
İş Etki Analizi (BIA), tüm planlamanın temelidir. Hangi süreçlerin ne kadar süre kesintiye uğrayabileceğini, kesintinin finansal, operasyonel ve itibarsal etkilerini ve bu süreçlere bağımlı kaynakları analiz eder.
BIA'nın çıktısı iki kritik parametre: RTO (ne kadar sürede toparlanacaksınız?) ve RPO (ne kadar veri kaybını tolere edebilirsiniz?). Bu parametreler belirlenmeden anlamlı bir sürekliliği stratejisi kurmak mümkün değil.
Dikkat: BIA gerçek veriye dayanmalı. "Tahmin ediyoruz ki" veya "genellikle böyle oluyor" değil, ölçülmüş, doğrulanmış veriler.
3. Adım: Stratejileri Geliştirin
BIA'nın ortaya koyduğu RTO ve RPO hedeflerine ulaşmak için hangi stratejileri izleyeceksiniz? Bu adımda somut kararlar verilir: Alternatif çalışma alanı mı kurulacak, bulut yedekleme mi yapılacak, kritik tedarikçiler için yedek alternatifler mi belirlenecek?
Stratejiler maliyet-etkinlik dengesinde değerlendirilmeli. Her şeyin yüzde yüz yedeği olmaz — ama kritik süreçler için maliyet ne olursa olsun yedekleme zorunlu.
4. Adım: Planları Belgeleyin ve Eğitin
İş Sürekliliği Planları (BCP) yazılı, erişilebilir ve anlaşılır olmalı. "IT departmanı halleder" veya "genel müdür ne derse" gibi belirsiz atıflar içermemeli. Her senaryoda kimin ne yapacağı, hangi sırayla, hangi kaynakları kullanarak — net biçimde tanımlanmalı.
Planın değeri, onu bilen kişilerin sayısıyla doğru orantılı. Sadece kriz yönetim ekibinin değil, tüm ilgili personelin planı bilmesi ve kendi rolünü kavramış olması gerekiyor.
5. Adım: Test Edin ve Sürekli İyileştirin
Test edilmemiş plan, plan değildir. Tatbikatlar acı gerçekleri ortaya çıkarır — ama bu gerçeklerin kriz anında değil, tatbikat sırasında ortaya çıkması gerekir.
Masaüstü egzersizlerden (masa başında senaryo tartışması) tam ölçekli operasyonel testlere kadar farklı test yöntemleri var. Yılda en az bir kez kapsamlı test yapılmalı; her testin ardından bulgular kayıt altına alınıp plan güncellenmeli.
Organizasyonunuz değiştikçe — yeni bir sistem devreye girdiğinde, ofis taşındığında, tedarikçi değiştiğinde — planın da güncellenmesi şart. Statik bir plan zamanla geçerliliğini kaybeder.
İş sürekliliği planlaması konusunda destek almak için danışmanlık hizmetlerimizi inceleyebilir ya da doğrudan bize ulaşabilirsiniz.