2024 yılında küresel ransomware saldırısı sayısı bir önceki yıla göre %67 arttı. IBM'in Cost of a Data Breach Report 2024 verilerine göre, bir veri ihlalinin ortalama ömrü 277 gün; yani tehdit aktörü sistemlerinizde dokuz ay boyunca görünmeden dolaşabiliyor. Peki yönetim kurulu toplantısında "BCP'miz hazır" dediğinizde, bu ifade gerçekten ne anlama geliyor?
Plan Kağıt Üzerinde Kalınca: Teorik BCP'nin Bedeli
İş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) birbirine karıştırılan iki kavram. DRP, sistemlerinizi yeniden ayağa kaldırmaya odaklanır. BCP ise operasyonun durmamasını hedefler. Çoğu kurumda ikisi de var; ama ikisi de test edilmemiş. Gartner'ın 2024 araştırması, şirketlerin sadece %23'ünün BCP'lerini yılda bir kez bile senaryo bazlı test ettiğini gösteriyor.
Sahada sık karşılaştığımız tablo: Felaket kurtarma ortamı üç yıl önce kurulmuş, ama son yama 18 ay önce atılmış. Yedekleme altyapısı çalışıyor; ama yedekten dönüş süresi (RTO) hiçbir zaman ölçülmemiş. Yönetim kurulu "24 saatte döneriz" diyor; operasyon ekibi gerçekte 72 saat gerektiğini biliyor. Bu 48 saatlik fark, bir üretim tesisinde milyonlarca dolarlık sipariş kaybı anlamına geliyor.
Ransomware'e Karşı BCP'nin Üç Zayıf Halkası
1. Yedekleme Stratejisinin Gerçekliği
Yedekleriniz ransomware'den korunaklı mı? Air-gapped yedekleme, immutable storage, 3-2-1 kuralı — bunlar teknik terim değil, hayatta kalma koşulu. Ancak kurumların %40'ından fazlası yedekleme döngüsünü test etmeden "güvende olduğunu" varsayıyor. Verizon DBIR 2024 raporuna göre, başarılı ransomware saldırılarının %82'si yedekleme altyapısını da hedef alıyor.
2. İletişim Zincirinin Kırılganlığı
Saldırı anında kim kimi arıyor? Kriz yönetim ekibinin iletişim bilgileri son güncellenme ne zaman? Sahada tekrarlayan bir yanılgı var: BCP dokümanında yazan "kriz komitesi", gerçek kriz anında ulaşılamayan kişilerden oluşuyor. COVID-19 döneminde evden çalışma alışkanlığı, acil durum iletişim listelerini değiştirdi; ama çoğu kurum bu listeyi güncellemedi.
3. Tedarikçi Bağımlılığı ve Zincir Etkisi
Sizin BCP'niz mükemmel olabilir; ama kritik tedarikçinizin BCP'si yoksa? 2023'teki MOVEit Transfer saldırısı, 620'den fazla kurumu etkiledi. Tek bir yazılım tedarikçisinin zafiyeti, binlerce kurumun iş sürekliliğini tehlikeye attı. Tedarik zinciri güvenliği artık BCP'nin ayrılmaz bir parçası.
ISO 22301 ve Gerçek Dünya Arasındaki Mesafe
ISO 22301 sertifikası, iş sürekliliği yönetim sistemi için uluslararası bir çerçeve sunar. Ancak sertifika almak ile sistemi çalıştırmak arasında derin bir uçurum var. Sertifika denetimleri genellikle doküman odaklıdır; sahada ise insan davranışları, teknoloji uyumsuzlukları ve öngörülemeyen senaryolar devreye girer.
Bu konuda tekrarlayan bir yanılgı var: "ISO 22301 sertifikamız var, dolayısıyla hazırız." Sertifika, sisteminizin tasarlandığını gösterir; ama test edilmediğini, senaryoların güncellenmediğini ve personelin eğitilmediğini görmez. McKinsey'in 2024 araştırması, sertifikalı kurumların bile %55'inin gerçek bir felaket senaryosunda planlarının yetersiz kaldığını ortaya koyuyor.
Yönetim Kurulunun Sorması Gereken 5 Soru
1. Son BCP testinin sonuçları, yönetim kurulu gündemine taşındı mı yoksa BT departmanında mı kaldı?
2. RTO ve RPO değerlerimiz gerçekten ölçüldü mü, yoksa hedef mi olarak mı yazıldı?
3. Kritik tedarikçilerimizin BCP ve siber güvenlik durumunu düzenli olarak değerlendiriyor muyuz?
4. Yedekleme altyapımızın ransomware'ye karşı dayanıklılığı ne zaman son test edildi?
5. Felaket anında alternatif operasyon merkezimiz veya uzaktan çalışma altyapımız ne kadar sürede devreye alınabiliyor?
Test Etmeden Plan Olmaz: Tabletop ve Fonksiyonel Tatbikat
Tabletop exercise, yönetim kurulu seviyesinde kriz senaryolarını tartışmak için en etkili yöntemdir. Ancak tek başına yeterli değildir. Fonksiyonel tatbikatlar — yani gerçek sistemleri kısmen veya tamamen devre dışı bırakarak yapılan testler — planın pratik geçerliliğini ortaya çıkarır. Ponemon Enstitüsü'nün 2023 verilerine göre, düzenli tatbikat yapan kurumların felaket sonrası ortalama kurtarma maliyeti, tatbikat yapmayanlara göre %35 daha düşük.
Kurumları incelerken tekrarlayan birkaç yapısal sorunla karşılaşıyoruz: BCP dokümanı 200 sayfa ama hiç kimse okumamış. Kriz komitesi üyeleri rollerini bilmiyor. Yedekleme testi son başarısız olmuş ama bu bilgi üst yönetime iletilmemiş. Bu sorunlar teknik değil, yönetişimseldir.
İş sürekliliği planınızın güncel durum analizi, ransomware senaryolarına özel tatbikat tasarımı ve ISO 22301 entegrasyon değerlendirmesi için danışmanlık hizmetlerimizden yararlanabilirsiniz.