Mayın tarlasında, şirketler alarm durumunda
Depremler, tsunamiler, haklayıcıların saldırıları, şirketlerin en büyük serveti olan bilgilerinin çalınması… Tüm bunlar ve daha fazlası felaket yönetimini, hatta daha kapsamlı anlatımıyla ‘kriz yönetimini’ her şirkette gereklilik haline getiriyor. İlle de bir sorunla karşılaşmayı beklemeden bu yapıları kapsamlı olarak hazır tutmak, şirketin güvenliği ve güvenilirliği için anahtar niteliğinde. Ama bu yolda neler yapmalı, ne gibi önceliklerle hareket etmeli, en iyi ve en kötü uygulamalar neler? Yanıtlar Deloitte Türkiye Kurumsal Risk Hizmetleri Ortağı Cüneyt Kırlar’dan geliyor:
>>Felaket ve siyasi, finansal sıkıntıları içeren kriz yönetimi arasında ne gibi farklar, ne gibi benzerlikler var?
Cüneyt Kırlar: Siyasi ve finansal sıkıntılar kriz olarak adlandırılsa da, büyük ölçekte zamanı ve etkileri öngörülebilen olaylar. Felaketler ise, ister doğal ister insan kaynaklı olsun, daha çok beklenmedik anlarda gerçekleşir. Felaket kriz yönetimi, ayrıca içinde ‘olay yönetimi’ başlığı altında, felaket anında insan ve çevre sağlığını, insanların güvenliğini ve etkilenenlerin başka bir lokasyona aktarılması gibi maddeleri de içerir. Ancak ister felaket bazlı olsun, ister siyasal ve finansal sıkıntılar nedeniyle olsun, kriz yönetiminin temel adımları birbirine paralel. Bunlara genel olarak; komuta ve kontrol mekanizması, iletişim, karar verme süreçleri ve izleme/gözleme adımları diyebiliriz. Kriz yönetiminin bu her bir adımı için kurumun stratejisini ve hareket tarzlarını belirlemesi ve bunları düzenli tatbikatlar ile kurum kültürüne yerleştirmesi gerekir.
>> Şirketlerin bilgi varlıklarını felaketlerden, yani saldırılar, doğal afetler, şirket çalışanlarının müdahalesi gibi değişen ve gelişen risklerden koruma yöntemleri genel olarak neler?
Cüneyt Kırlar: Bir kurumun varlıklarını, süreklilik bakış açısıyla beş temel grupta toplayabiliriz: Binalar, teknoloji, ekipman, insan ve üçüncü partiler. Her bir varlık grubunun sürekliliği için kurumlar değişik yöntemler uygular. Örnek olarak; teknoloji varlıklarının korunması için fiziksel güvenlik kontrolleri, altyapının yedeklenmesi, yani veri yedeklemesinin ardından ikinci, hatta üçüncü sistem odasının kurulması gibi uygulamalar, iletişim yöntemlerinin farklılaştırılması sayılabilir. Ayrıca şirket çalışanlarının farkındalığını ve hazırlık seviyesini artırmak için düzenli eğitim ve tatbikat faaliyetlerinde bulunmak da önemli bir korunma yöntemi.
Korunma yöntemlerinin kabul edilmesi, siber saldırı veya doğal afet gibi, ilgili her bir tehdit için kurumun almış olduğu risk ve bu yöntemleri oluşturmak için karşılığında ödeyeceği bedelin kıyaslanması ile yapılır. Örneğin bir antivirüs yazılımının bedeli düşük olduğundan ve bir virüs saldırısının etkilerinin yüksek olması nedeniyle, neredeyse bütün kurumlar birer antivirüs yazılımı kullanmakta. Her bir kurumun riski kabul etme seviyesi, sektörüne ve regülasyona bağlı olarak da değişebiliyor. Buna da kurumun ‘risk iştahı’ denir. Risk iştahı düşük olan kurumlar, gerçekleşme olasılığı düşük bile olsa, birçok tehdide karşı kurumlarını korumak için koruma yöntemleri geliştirmek isterler.
İş sürekliliği alanında dünyaca kabul görmüş ‘en iyi uygulama’ diyebileceğimiz standart; BS25999. Gelecek yılın başında bu standardın birtakım değişiklerle ISO standardına da dönüşmesi beklenmekte. Bizim de geliştirdiğimiz, BS25999 ile uyumlu, tüm dünyadaki ofislerimizde kullanılan, pratiğe dönük ve birtakım araçlarla desteklenen bir metodolojimiz var. Bu metodolojiyle şirketlerin felaketlere ya da kesintilere en iyi şekilde hazırlanması için danışmanlık hizmetleri de sunuyoruz.
BANKACILIK VE TELEKOM FARKI
>>Türk şirketlerinin bu konudaki bilincini, çalışmalarını, bu konuda profesyonel destek alma ilgisini nasıl değerlendiriyorsunuz?
Cüneyt Kırlar: Ülkemizde regülasyonlara tabii finans ve telekom gibi sektörlerde iş sürekliliği yönetimi konusunda geçmiş dönemlere kıyasla önemli çalışmalar yapıldığını gözlemliyoruz. Özellikle BDDK tarafından 1 Haziran 2010’da yayınlanan ve 1 Mayıs 2012’ye kadar uyum süreci tanınan düzenlemelerle finans sektörü bu konuda gündemin üst sıralarında yerini aldı. BDDK; iş sürekliliğinin belirlenen kapsamlı metodoloji çerçevesinde planlanmasını ve uygulanmasını bankalardan talep ediyor. Bu düzenlemelerle yönetim kurullarına önemli sorumluluklar yükleniyor ve iş sürekliliği yapısının banka içerisinde oluşturulması isteniyor. Ayrıca yabancı ortaklığı bulunan ve özellikle yurtdışındaki bazı regülasyonlara tabii kurumlarda iş sürekliliği konusuna hassasiyet gösterildiğini de görüyoruz. Ama bunun dışında, ülkemizdeki pek çok şirketin bu alanda hazırlıksız olduğunu söyleyebiliriz. Genellikle gerekli yatırımların ve hazırlıkların, yaşanan kötü tecrübeler sonrasında yapıldığını üzülerek görüyoruz.
>>Yanlış bir bakış açısı mı var yani?
Cüneyt Kırlar: Bu konuda temelde yapılan en büyük hata, bunun bir BT projesi ya da BT sürekliliği olarak görülmesi. Ciddi yatırımlarla tüm BT altyapısının bir yedeğini oluşturabilirsiniz. Peki BT sistemleriniz felaket anında kullanıma hazır olsa bile, onları kullanacak insan, süreç, lokasyon konusunda gerekli hazırlıklar yapılmadıysa, BT sistemlerinin çalışır durumda olmasının kime faydası olacak? İş sürekliğinin bütünsel olarak ele alınması bu yüzden başarıdaki temel faktörlerden birisi.
Kurumsal şirketler iş sürekliliğinin kendi kurumsallıklarına katkı sağlayacağını da bilerek, daha metodolojik yaklaşımla bu konuyu ele almak için biz ve bizim gibi şirketlerden bu alanda danışmanlık alıyorlar.
İŞ KÜLTÜRÜNE BÜTÜNLEŞTİRME ŞART
Felaket yönetimi uygulamaları kurumsal yönetimi, şirket içi uygulamaları ve BT yönetim yapısını hangi açılardan değiştiriyor?
Cüneyt Kırlar: Felaket ya da iş sürekliliği yönetimi, temelde kurumsal yönetim ve BT yönetim yapısından çok da farklı süreçleri içermiyor. Felaket yönetiminin kurumlara getirdiği en temel alışkanlık değişikliği; yönetim süreçlerinin felaket yönetimi bakış açısı ile tekrar ele alınması ile oluyor. Bu amaçla değişiklik yönetim kapsamında yapılan tüm değişiklikler, ‘felaket yönetimi etki analizi başlığı’ altında kurumun felaket hazırlığına etkisi göz önüne alınarak tekrar değerlendirilmekte. İş sürekliliğinde başarılı kurumlar da, iş sürekliliğini kurum kültürüne, iş yapış şekline bütünleştirenler oluyor.
>>Kriz yönetimi uygulamalarına, örneğin Ortadoğu’daki gelişmeler ve orada yerleşik bağlantıları olan küresel şirketler özelinde baktığımızda, ne gibi uygulamalar öne çıkıyor?
Cüneyt Kırlar: Ortadoğu’daki örneklerinde de gördüğümüz gibi, ülke bazlı krizlerde uluslararası şirketler kendi ülke yönetimleri ile sıkı bir işbirliği içinde olmak zorundalar. Bu hem kriz yönetim ekibine doğru ve zamanında bilgi akışını sağlayacak, hem de sorunlu bölgelerde bulunan personelinin, hükümetlerin yardımı ile tahliyesinde koordinasyona yardımcı olacaktır. Son dönemdeki gelişmelerde gördüğümüz uluslararası şirketlerin önemli bir bölümü ki buna Türk şirketleri de dahil, sorunlu bölgelerdeki yabancı personelini olayların özellikle ilk haftası içinde tahliye etmeye çalışmakta. Bunu da, şirketlerin personelini koruyamamasının tetikleyebileceği ve en sonunda itibarının derin bir şekilde zedelenmesine neden olabilecek birtakım olaylar zincirini en başından önlemeye çalışma gayreti olarak görebiliriz.
