Bilgi Güvenliği ve İş Sürekliliği

Ransomware Sonrası 72 Saat: İş Sürekliliği Planınız Gerçekten Çalışıyor mu?

21.04.2026

2024 yılında küresel ransomware saldırısı sayısı bir önceki yıla göre %67 arttı. IBM'in Cost of a Data Breach Report 2024 verilerine göre, bir veri ihlalinin ortalama ömrü 277 gün; yani tehdit aktörü sistemlerinizde dokuz ay boyunca görünmeden dolaşabiliyor. Peki yönetim kurulu toplantısında "BCP'miz hazır" dediğinizde, bu ifade gerçekten ne anlama geliyor?

Siber Saldırı ve İş Sürekliliği Planlaması

Plan Kağıt Üzerinde Kalınca: Teorik BCP'nin Bedeli

İş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) birbirine karıştırılan iki kavram. DRP, sistemlerinizi yeniden ayağa kaldırmaya odaklanır. BCP ise operasyonun durmamasını hedefler. Çoğu kurumda ikisi de var; ama ikisi de test edilmemiş. Gartner'ın 2024 araştırması, şirketlerin sadece %23'ünün BCP'lerini yılda bir kez bile senaryo bazlı test ettiğini gösteriyor.

Sahada sık karşılaştığımız tablo: Felaket kurtarma ortamı üç yıl önce kurulmuş, ama son yama 18 ay önce atılmış. Yedekleme altyapısı çalışıyor; ama yedekten dönüş süresi (RTO) hiçbir zaman ölçülmemiş. Yönetim kurulu "24 saatte döneriz" diyor; operasyon ekibi gerçekte 72 saat gerektiğini biliyor. Bu 48 saatlik fark, bir üretim tesisinde milyonlarca dolarlık sipariş kaybı anlamına geliyor.

Ransomware'e Karşı BCP'nin Üç Zayıf Halkası

1. Yedekleme Stratejisinin Gerçekliği

Yedekleriniz ransomware'den korunaklı mı? Air-gapped yedekleme, immutable storage, 3-2-1 kuralı — bunlar teknik terim değil, hayatta kalma koşulu. Ancak kurumların %40'ından fazlası yedekleme döngüsünü test etmeden "güvende olduğunu" varsayıyor. Verizon DBIR 2024 raporuna göre, başarılı ransomware saldırılarının %82'si yedekleme altyapısını da hedef alıyor.

Felaket Kurtarma ve Yedekleme Altyapısı

2. İletişim Zincirinin Kırılganlığı

Saldırı anında kim kimi arıyor? Kriz yönetim ekibinin iletişim bilgileri son güncellenme ne zaman? Sahada tekrarlayan bir yanılgı var: BCP dokümanında yazan "kriz komitesi", gerçek kriz anında ulaşılamayan kişilerden oluşuyor. COVID-19 döneminde evden çalışma alışkanlığı, acil durum iletişim listelerini değiştirdi; ama çoğu kurum bu listeyi güncellemedi.

3. Tedarikçi Bağımlılığı ve Zincir Etkisi

Sizin BCP'niz mükemmel olabilir; ama kritik tedarikçinizin BCP'si yoksa? 2023'teki MOVEit Transfer saldırısı, 620'den fazla kurumu etkiledi. Tek bir yazılım tedarikçisinin zafiyeti, binlerce kurumun iş sürekliliğini tehlikeye attı. Tedarik zinciri güvenliği artık BCP'nin ayrılmaz bir parçası.

ISO 22301 ve Gerçek Dünya Arasındaki Mesafe

ISO 22301 sertifikası, iş sürekliliği yönetim sistemi için uluslararası bir çerçeve sunar. Ancak sertifika almak ile sistemi çalıştırmak arasında derin bir uçurum var. Sertifika denetimleri genellikle doküman odaklıdır; sahada ise insan davranışları, teknoloji uyumsuzlukları ve öngörülemeyen senaryolar devreye girer.

Bu konuda tekrarlayan bir yanılgı var: "ISO 22301 sertifikamız var, dolayısıyla hazırız." Sertifika, sisteminizin tasarlandığını gösterir; ama test edilmediğini, senaryoların güncellenmediğini ve personelin eğitilmediğini görmez. McKinsey'in 2024 araştırması, sertifikalı kurumların bile %55'inin gerçek bir felaket senaryosunda planlarının yetersiz kaldığını ortaya koyuyor.

Yönetim Kurulunun Sorması Gereken 5 Soru

1. Son BCP testinin sonuçları, yönetim kurulu gündemine taşındı mı yoksa BT departmanında mı kaldı?
2. RTO ve RPO değerlerimiz gerçekten ölçüldü mü, yoksa hedef mi olarak mı yazıldı?
3. Kritik tedarikçilerimizin BCP ve siber güvenlik durumunu düzenli olarak değerlendiriyor muyuz?
4. Yedekleme altyapımızın ransomware'ye karşı dayanıklılığı ne zaman son test edildi?
5. Felaket anında alternatif operasyon merkezimiz veya uzaktan çalışma altyapımız ne kadar sürede devreye alınabiliyor?

Test Etmeden Plan Olmaz: Tabletop ve Fonksiyonel Tatbikat

Tabletop exercise, yönetim kurulu seviyesinde kriz senaryolarını tartışmak için en etkili yöntemdir. Ancak tek başına yeterli değildir. Fonksiyonel tatbikatlar — yani gerçek sistemleri kısmen veya tamamen devre dışı bırakarak yapılan testler — planın pratik geçerliliğini ortaya çıkarır. Ponemon Enstitüsü'nün 2023 verilerine göre, düzenli tatbikat yapan kurumların felaket sonrası ortalama kurtarma maliyeti, tatbikat yapmayanlara göre %35 daha düşük.

Kurumları incelerken tekrarlayan birkaç yapısal sorunla karşılaşıyoruz: BCP dokümanı 200 sayfa ama hiç kimse okumamış. Kriz komitesi üyeleri rollerini bilmiyor. Yedekleme testi son başarısız olmuş ama bu bilgi üst yönetime iletilmemiş. Bu sorunlar teknik değil, yönetişimseldir.

İş sürekliliği planınızın güncel durum analizi, ransomware senaryolarına özel tatbikat tasarımı ve ISO 22301 entegrasyon değerlendirmesi için danışmanlık hizmetlerimizden yararlanabilirsiniz.

Paylaş   
İlginizi Çekebilir
  • ISO 27001:2013 Standart Maddeleri ve Yapısı

    ISO/IEC 27001 BGYS Standardının son versiyonu 01 Ekim 2013 tarihinde yayınlanmıştır. ISO27001:2013 versiyonu; farklı sektör ve büyüklükteki firmaların gelişen bilgi güvenliği ve siber güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde düzenlenmiştir. ISO/IEC 27... Devamı

  • ISO 27001 BGYS'de İnsan Kaynaklarının Rolü

    Tüm yönetim sistemlerinde olduğu gibi, ISO27001 tabanlı bir Bilgi Güvenliği Yönetim Sisteminde de İnsan Kaynakları birimlerine önemli görevler düşüyor. Öyle ya, hangi sistem olursa olsun, ne kadar iyi kurgulanmış olursa olsun, sistemleri çalıştıranlar insanlar değil mi? ISO27001, bilgi ... Devamı

  • Veri İhlali Sonrası 72 Saat: KVKK Bildirim Yükümlülüğünde Yapılan 5 Kritik Hata

    KVKK'nın 12. maddesi, kişisel veri güvenliğini tehdit eden bir ihlal yaşandığında veri sorumlusuna 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yükümlülüğü getiriyor. Kâğıt üzerinde net görünen bu gereklilik, pratikte çoğu kurumun hazırsız yakalandığı bir sürecin tetikleyicisine dönüşüy... Devamı

  • Kriz Yönetiminde Kesintisizlik: ISO 22301 İş Sürekliliği Stratejileri

    Her kurum, faaliyetlerini ciddi şekilde aksatabilecek beklenmedik olaylarla (doğal afetler, siber saldırılar, tedarik zinciri kesintileri veya teknik arızalar) karşılaşma riski taşır. ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS), bir organizasyonun bu tür yıkıcı olaylar karşısında hazırlıklı olma... Devamı

  • ISO 27001:2022 Revizyonu: Yeni Kontroller ve Geçiş Sürecinin Yönetimi

    ISO/IEC 27001:2022, Ekim 2022'de yayımlanmasıyla birlikte bilgi güvenliği yönetim sistemleri alanında on yılı aşkın süredir süregelen standardın en kapsamlı güncellemesini temsil etmektedir. 2013 versiyonundan bu yana yaşanan teknolojik dönüşüm, bulut bilişimin yaygınlaşması, tedarik zinciri saldırı... Devamı

    • Kategoriler
    Bilgi Güvenliği ve İş Sürekliliği Çevre ve Enerji Yönetimi İş Sağlığı Güvenliği Yönetimi Kalite Yönetimi Kurumsal Olgunluk ve Performans Sürdürülebilirlik ve ESG Sosyal Sorumluluk ve Uygunluk Tedarik Zinciri Yönetimi Yönetişim, Etik ve Uyum
    İhtiyaçlarınız için en doğru adrestesiniz. Tüm sorularınızın yanıtları ve en uygun çözümler bir mesaj uzağınızda !
    Bize Ulaşın