12 Mayıs 2017 Cuma

ISO 27001 SİSTEM KURULUMU AŞAMASINDA KARŞILAŞILAN ZORLUKLAR VE DİKKAT EDİLMESİ GEREKEN HUSUSLAR

ISO 27001 Bilgi Güvenliği Yönetim Sistemi son yıllarda kurumlar tarafından oldukça talep gören bir standart haline geldi. Bu talebin altında yasal gereklilikler, müşteri talepleri ve kurumun stratejik hedefleri gibi çeşitli nedenler yatabilmekte. Ancak standarda uygunluğun başarısında motivasyon ne olursa olsun bu sistemin uygulanması ve işletiminde üst yönetim desteği en büyük payı almaktadır. Standart son revizyonunda dahi yönetim desteğini ifade edebilmek için “Liderlik” maddesi ortaya çıkmıştır. “Yönetime rağmen” yönetim sistemi kurmak ve işletmek sistemin ömrünün kısa olmasına neden olacaktır.

Yönetim desteği ifadesi her zaman maddi destek olarak algılanmamalıdır. Kurum bütçesine göre maddi destek ve kaynağın önemi yadsınamaz ve olmazsa olmazdır ancak yönetimin kurum çalışanları için motivasyon sağlayıcı davranışlar sergilemesi de başarı için oldukça önemlidir. Proje başında yönetimin kurum çalışanlarından projeye destek göstermelerini isteyen bilgilendirme mesajı paylaşması, sorumluluk ataması, bazı toplantı ve eğitimlere katılım gösterip projenin önemini ifade etmesi gibi hususlar çalışanlarda bu sistemin uygulanması konusunda motivasyon sağlamaktadır. Belgelendirme amacı taşıyan kurumlar da bu ve benzeri durumları kayıt altına alarak liderlik maddesi için kanıt oluşturmalıdırlar. Aynı zamanda yönetime düzenli olarak raporlama yapılması, yönetimin sistemin içinde tutularak güncel bilgilere sahip olmasını sağlayacaktır.

Kurumlar yatırım kararlarını belirlerken bütçe planlamasına bilgi güvenliği ile ilgili konuları da dâhil etmesi önemli olacaktır.

Yönetimden beklenen destek sağlanmazsa çalışanlar üzerlerine düşen görevleri sahiplenmeyip sorumluluklarını gerçekleştiremeyebilirler. Bu da yönetim sisteminin etkin şekilde işletilmesine engel olabilecek sonuçlar doğurabilmektedir.

Yönetim sisteminin içerisinde yapılması veya dikkat edilmesi gereken bir diğer husus; rol ve sorumlulukların doğru ve tam olarak belirlenmesidir. Bu rol ve sorumluluklar gerek proje yöneticileri gerekse de son kullanıcılar açısından doğru belirlenmelidir. Tanımlanmış olan rol ve sorumlulukların yerine getirilmemesi başarıyı büyük ölçüde etkileyecektir. Bu noktada tanımlanmış olan sorumlulukların yerine getirilmemesi ve yerine getirmemenin doğuracağı sonuçlar için tanımlı bir süreç oluşturulması ile eskalasyon yapısının işletilerek takip edilmesi, gereken işlerin zamanında yapılması konusunda fayda sağlayacaktır.


  
ISO 27001 Bilgi Güvenliği Yönetim Sistemi risk temelli bir yönetim sistemidir. Kurum için uygulanabilir bir risk metodolojisinin oluşturulması kurumdaki herkes tarafından anlaşılıp sürdürülebilirliğinin sağlanması adına büyük önem taşımaktadır.

Risk değerlendirmeleri sonucu risk işleme kararlarına bağlı olarak aksiyon planlarında belirlenmiş olan aksiyonların zamanında yapılması ve takip edilmesi, aynı zamanda bu aksiyonlar için kaynak ayrılması risk yönetiminin başarısını sağlayacaktır. Risk değerlendirme sonrasında alınacak risk işleme kararları için yönetim risk kabul kriterleri doğrultusunda kabul edilebilir risk seviyesine karar vermelidir. Bu seviyenin gelecek dönemlerde giderek düşürülmesi de sistemin daha iyi seviyelere gelmesi açısından önemli olacaktır.

Risk değerlendirme ve işleme karalarının sonucunda oluşturulması gereken sistemin daha iyi bir noktaya gelmesini sağlayacak bilgi güvenliği amaçlarının sadece bilgi teknolojilerini ilgilendiren amaçlar olmaması, her departman ile ilgili olabilecek amaçların da belirlenmesi bilgi güvenliğinin sadece bilgi teknolojileri departmanına özel bir uygulama olduğu düşüncesinin ortadan kaldırılmasını sağlayacaktır. Bilgi güvenliği amaçlarının ölçülebilir ve gerçekleştirilebilir amaçlar olarak seçilmesi sisteme faydalı olacaktır.

Bilgi güvenliği yönetim sisteminin uygulanması ve işletilmesi konusunda proje yöneticileri ile birlikte her çalışan için görev ve sorumlulukların belirlenmesi standart tarafından istenmektedir. Bunun sağlanabilmesi için ihtiyaç olan yetkinliklerin doğru belirlenerek iyi analiz edilmesi gerekmektedir. Eğitim takvimlerinin oluşturularak yetkinliklerin arttırılması sağlanmalıdır. Ancak alınan eğitimlerin veya diğer yetkinlik tanımlarının istenilen seviyeye gelip gelmediğinin kontrolü birçok firmada göz ardı edilmektedir. Gerçekleştirilmiş olan işlemlerin ihtiyacı ve beklentiyi karşılayıp karşılamadığının ilgili ve yetkili kişilerce değerlendirmesinin yapılması gerekir.

Son kullanıcıların dikkat etmesi gereken konular ile sorumluluklarının anlatıldığı farkındalık eğitimlerinin ilgili taraf analizi sırasında ortaya çıkmış olan kapsam dâhilindeki her çalışan ile birlikte kapsam dışında kalan çalışanlara da verilmesi oldukça önemlidir. Farkındalık eğitimlerinin hedef kitlesi belirlenirken kurumların genellikle gözden kaçırdığı stajyerler ve kurum içindeki ve dışındaki taşeronların da eğitimlere dâhil edilmesi gerekmektedir.

Farkındalık eğitimleri sadece sınıf eğitimi olarak değerlendirilmemelidir. Kişilere atanacak online eğitimler, verilecek broşürler, düzenlenecek etkinlikler, ödül sistemleri gibi çözümler ile farklı şekillerde farkındalık sağlanabilir. Farkındalık çalışmaları sonrasında bu çalışmaların etkinliğinin değerlendirilmesi unutulmamalıdır. Bu değerlendirme sınav olarak yapılabileceği gibi karşılıklı mülakatlar ile de yapılabilir. Önemli olan çalışanların bir konu ile ilgili aynı ve doğru fikre sahip olmasının sağlanmasıdır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı diğer ISO standartlarından farklı olarak 2 bölümden oluşmaktadır. Standart ana maddelerine ek olarak hazırlanmış olan EK-A kontrol maddeleri belirlenmiş kapsam ile ilgili olan kontrollerin seçilerek ilgisiz olanların hariç bırakılmasını mümkün kılmaktadır. Örneğin kurum içinde BGYS kapsamı dahilinde yazılım geliştirme yapılmıyorsa yazılım geliştirme ile ilgili kontrol maddeleri hariç bırakılabilir.

Yönetim sisteminin başında kurum ile ilgili olabilecek tüm tarafların doğru analiz edilmesi gerekmektedir. Bu analize hem kurum içi hem de kurum dışındaki tüm tarafların dâhil edilmesi önemlidir. Müşteriler, tedarikçiler, devlet ve düzenleyici kuruluşlar, çalışanlar, paydaşlar, iş ortakları vb. ilgili tüm tarafların BGYS açısından ihtiyaç ve beklentilerinin doğru analizi yönetim sisteminin kapsamının doğru belirlenmesine ve işletilmesine fayda sağlayacaktır.

Yönetim sisteminin kapsamına karar verilirken ilgili taraf analizinde ortaya çıkan tedarikçiler iş ihtiyacına bağlı olarak hizmet sürekliliği açısından kritik olanlar için Hizmet Seviye Anlaşmaları (SLA), bilgi paylaşımı konusunda kritik tedarikçiler için Gizlilik Sözleşmeleri yada gizlilik maddeleri içeren Hizmet Sözleşmeleri yapılması gerekmektedir. Sözleşme yapılma ihtiyacı doğru belirlenmelidir. Örneğin kurum ofis sarf malzemeleri alımı yaptığı bir firma ile sözleşme imzalama ihtiyacı duymayabilir. Gizli bilgi paylaşımı yapılmamakta ve alternatif tedarikçiler bulunabildiği için kritik tedarikçi sınıfında olmayabilir. Ancak kurum içinde tedarikçiler tarafından sağlanan yemek, servis, temizlik gibi hizmetler için mutlaka gizlilik sözleşmeleri yada gizlilik maddeleri içeren hizmet sözleşmeleri yapılmalıdır.

Tedarikçi sözleşmelerinin yapılması her zaman kurumun inisiyatifinde olamayabilir. Tedarikçiler sözleşme koşullarından ötürü sözleşmenin düzenlenmesi taraftarı olmayabilirler.  Kurum bu noktada sözleşme şartlarını değiştirerek sözleşme yapılmasını teşvik edebilir. Ancak yine de sözleşmenin düzenlenmesi mümkün olamayabilir. Sözleşmelerde dikkat edilmesi gereken tedarikçi ile gizli bilgi paylaşımının yapılıp yapılmadığı, hizmet sürekliliği açısından kritikliği, alternatif tedarikçi mevcudiyeti gibi konulardır.

Tedarikçilerden alınan hizmetlere göre ihtiyaçlar doğrultusunda kriterler belirlenmeli ve periyodik olarak hizmet değerlendirmelerinin yapılması gerekmektedir.


Bilgi güvenliğinin sağlanabilmesi için uygulanacak olan teknik kontrollerin yürütülmesi için büyük yatırımların gerçekleştirilmesi standart tarafından şart koşulmamaktadır. Teknik kontrol uygulamaları hususunda birçok kurum için akla gelen ilk soru ciddi maddi kaynak yatırımının gerekli olup olmadığıdır. Bu konu tamamen üst yönetimin risk iştahına ve süreçlerin işletilebilmesi ve iyileştirilebilmesi için ihtiyaç duyulan hizmet ve kaynaklara bağlıdır. Standart hiçbir zaman bir ürün ya da hizmetin kullanımını zorunlu tutmamaktadır. Piyasa içerisinde ihtiyaç duyulan hizmetler için hem ücretli hem de ücretsiz uygulamalar ile farklı çözüm yolları bulunabilmektedir. Dikkat edilmesi gereken şey iş süreçlerinin yönetiminin etkin ve verimli olmasını sağlayacak çözümün bulunmasıdır. İhtiyaçların doğru belirlenerek karar verilmesi bu süreçte büyük önem taşımaktadır.

ISO 27001 Bilgi Güvenliği Yönetim Sistemi, standart gereklilikleri doğrultusunda “yaptığını yaz, yazdığını yap mantığı” ile işletilebilir. Yönetim sisteminin ilk kurulduğu dönemlerde dirençle karşılaşılabilmektedir. Gerçekleştirilecek olan aksiyonlar ve alınan kararlar çalışanların motivasyonunu etkileyebilmektedir. Bu noktada ihtiyaç doğru belirlenerek çalışanlara doğru aktarılmalıdır. Çok sıkı kontroller ile tasarlanan süreçler yönetim sisteminin başarısına engel olabilir. Bu şekilde yönetilen sistemler bir süre sonra işletilemez hale gelebilmektedir. 

2 Mayıs 2017 Salı

İş Etki Analizi Rehberi

İş Etki Analizi Nedir?

İş Sürekliliği Yönetiminin ne olduğu ve süreklilik ile sık karıştırılan bir terim olan “sürdürülebilirlik” kavramı ile ilişkilerini önceki yazılarımızda açıklamıştık. Bu yazımızda ise, iş sürekliliği yönetiminin temelini oluşturan İş Etki Analizi’ni ele almak istedik.

İş Etki Analizi’nde temel amacımız; olası bir felaket sonrasında yaşanan hizmet kesintisinin zaman içerisindeki etki dağılımını tespit ederek; hangi kurumsal süreçlerimizi, hangi kapsamda, hangi kritik kaynaklarla ve ne kadar süre içerisinde hayata geçirmemiz gerektiğini, dolayısıyla da hangi ürün ve hizmetlerimizi yeniden sunulabilir hale getirmemiz gerektiğini tespit etmektir.

Genellikle iş etki analizi ile ilgili; nereden başlanacağı, ne kadar detaya inileceği veya kapsamının nasıl belirleneceği konuları soru işaretleri oluşturmaktadır. Takip ettiğimiz kaynaklar ve tecrübelerimize dayanarak nasıl bir yol izlenebileceği ve nelere dikkat edilmesi gerektiğine dair yorumlarımızı ilerleyen satırlarda inceleyebilirsiniz.

İş Etki Analizi’ni aşamalara bölerek incelemek daha düzenli ilerlememizi sağlayacaktır.


Öncelikle bir ön analiz ile, çalışmanın kapsamı netleştirilmelidir;


İş sürekliliği yönetimi çalışmalarının kapsamının belirlenmesi, iş etki analizinin de kapsamı için belirleyici olacaktır. Bir kurumun kaç tip müşterisinin olduğu ve kaç çeşit hizmet alanı olduğu tanımlandıktan sonra; hangi tip müşterilere sunulan hangi tür hizmetler için bu yapının kurulacağı kararlaştırılmalıdır. Burada dikkat edilmesi gereken bir nokta ise, kurumun varlığını sürdürmesi için sunması gereken ana iş alanlarının ve yasal olarak sorumlu olduğu hizmetlerin mutlaka kapsam dahilinde olduğundan emin olunması gerektiğidir.
Ayrıca, gerçekleştirilecek iş etki analizi, tanımlanan iş sürekliliği yönetimi kapsamının tümünü içermelidir.

Stratejik iş etki analizi ise, tahminlerin yapıldığı ve kurumsal kararların alındığı kritik bir aşamadır;


Kapsam kararı alındıktan sonra, öncelikle söz konusu ürün ve hizmetlerin önceliklendirilmesi yapılabilir. Özellikle karmaşık yapıya sahip ve ürün/hizmet portföyü geniş kurumlar için bu önceliklendirmenin yapılması önerilmektedir. Aksi durumda ilerleyen aşamalarda analiz, kontrol edilemeyecek kadar geniş bir kapsama ulaşabilir. Daha somut olarak açıklamak gerekirse; kurum ön analiz aşamasında belirlediği müşteri grubuna sunduğu tüm ürün ve hizmetleri tek tek değerlendirmelidir. Bu değerlendirme aşamasında; olası bir kesinti sonrasında zaman içinde artarak devam edecek finansal kayıplar, müşteri kayıpları, itibari etkileri ve yasal gereksinimler gibi tahminler göz önünde bulundurularak; belirlenen ürün/hizmetler ön değerlendirmeye alınır ve kesintinin zaman içindeki dağılımı ortaya konularak zaman kritik hizmetler belirlenir.

Bu noktada bir de “zaman kritik” kavramını açıklamak faydalı olacaktır.

İş Sürekliliği Yönetimi’nde en önemli kavramlarımızdan biri “zaman”dır ve olası bir felaket sonucu; öncelikli olarak (aciliyetle) sunulması gereken ürün ve hizmetlere yönelik çalışmalar bir sistem kapsamında ele alınır. Bu “zaman kritik” ürün ve hizmetler her zaman kurumun en çok gelir getiren veya en çok müşterisine sahip hizmetlerine tekabül etmeyebilir.

Bu aşamada beklenen çıktılar;

  • Hangi ürün ve hizmetlerin “zaman kritik” olduğu,
  • Bu ürün ve hizmetler için bir kesinti sonucunda “maksimum kabul edilebilir kesinti süresi”nin (maximum acceptable outage-MAO veya maximum tolerable period of disruption-MTPD) ne olduğu, 
  • Zaman kritik ürün ve hizmetler için bir kesinti sonucunda “hedeflenen kurtarma süresi”nin (recovery time objective-RTO) ne olduğu,
  • Bir felaket sonrasında bu ürün ve hizmetlerin en azından hangi seviyede (yaşanan bir TV yayını kesintisi sonucu, içeriği HD yerine SD de olsa sunabilmek; bir şebekede ses hizmetinin LTE yerine 2G şebekesinden sunulması vb..) sunulması gerektiği (minimum business continuity objective-MBCO).

Stratejik analiz ardından gerçekleştirilecek haritalama ve zaman kritik aktivite belirleme çalışması, operasyonel analiz aşaması;


Belirlenen zaman kritik ürün ve hizmetlerden hangilerinin operasyonel analiz aşamasına taşınacağı da yine kurumsal bir karar olacaktır. Tümü için teknik analiz aşaması başlatılabileceği gibi; yalnızca kurumsal risk iştahına bağlı olarak belirlenebilecek “kritiklik eşiği”ni aşan ürün ve hizmetler için de bu aşamaya geçilebilir. Bu nokta, kurum yapısının karmaşıklığına göre kararlaştırılabilmektedir. Teknik analizde öncelikli amaç; hangi ürün ve hizmetlerin, hangi kurumsal süreçlerin desteği ile sunulduğunun tespiti ve dolayısıyla, kurumun zaman kritik aktivitelerinin ne olacağının tespit edilmesidir. Kritik aktivitelerin tespitinde ise, kurumsal süreçler ile ürün/hizmetlerin haritalandırılması ve ürün/hizmetlerin zamana bağlı kritiklik seviyelerinin doğru orantılı olarak ilgili aktivitelere aktarılması gerekmektedir. Dikkat edilmesi gereken önemli bir husus; bu kurumsal süreçlerin birbirlerine veya dış taraflarca gerçekleştirilen süreçlere olan bağımlılıklarını da göz önünde bulundurmaktır.

Göz önüne alınması gereken bir konu da; ürün ve hizmetleri sunmak için yürütülen kurumsal süreçlerin yalnızca departmanlarca, kişiler tarafından değil; altyapılar üzerinden otomatize bir şekilde de sürdürülüyor olabileceğidir.

Bu aşamada beklenen çıktılar; ürün ve hizmetlerin RTO, MAO, MBCO gibi değerlerinin; uygun bir şekilde kurumsal süreçlere de yansıtılabilmesi ve bu kurumsal süreçleri sürdürebilmek ve felaket sonrası kurtarabilmek için ihtiyaç duyulacak minimum kaynak gereksinimi ile dış taraflar veya diğer süreçlerce yürütülen bağımlı faaliyetlerin tespitidir.

Risk değerlendirmelerin yapılması, planların hazırlanması, tatbikatların gerçekleştirilmesi, olay yönetimi yapılarının kurulması ve diğer tüm iş sürekliliği faaliyetleri, İş Etki Sonuçları'na uygun olarak sürdürülmelidir.

İş Etki Analizi'nde Dikkat Edilmesi Gereken Noktalar!


  • İş etki analizi kurumsal bir çalışma olmalıdır ve bu süreçte üst yönetimin katkısı ve kurum adına kapsayıcı kararlara varılması önemlidir.
  • Analiz metodunun tekrar edilebilir ve tutarlı olması en önemli noktadır.
  • Analize konu olacak verilerin objektif ve geçerli olması, varılacak sonuçların doğruluğunu ciddi derecede etkileyebilecektir. Bu nedenle mutlaka danışılan kişilerin “işinin uzmanı” olması önemlidir.
  • “Bu analiz sonucunda belirlenecek “zaman kritik” aktiviteler, aynı zamanda kurumun en önemli aktiviteleridir” şeklinde bir yargı oluşmaması için, analizi koordine edecek tarafların her an açıklayıcı ve yönlendirici olması önemlidir.
  • İlk çalışma sonucunda tam ve eksiksiz sonuçlara varılması çoğu zaman mümkün olmamaktadır. Bu sürecin sürekli gözden geçirilmesi ve tecrübeler sonucu yapılacak müdahalelerle zaman içinde olgunlaşması beklenmektedir.
  • Bir felaket sonucunda ortaya çıkacak ve zaman içinde artarak sürecek etkiler tahmin edilen etkilerdir. Tecrübeler ile desteklenmelidir ancak özellikle katastrofik seviyelerdeki etkilere daha önce ulaşılmamış olması muhtemel olacağı için, bu etkilerin tahminlerden ibaret olduğu unutulmamalıdır.


Yazımızı oluştururken ve çalışmalarımızı yürütürken her daim başvurduğumuz kaynaklarımızı da aşağıda paylaşmaktayız. Soru, görüş ve katkılarınızı yorum olarak iletmeniz bizi memnun eder.


Faydalı kaynaklar;
A Practical Approach to Business Impact Analysis – Ian Charters  
Good Practice Guidelines – BCI
ISO 22301
ISO 22313