Doğal ve yapay afetler, gerçek dünyada kusursuz felaket kurtarma zorluklarının önemini ortaya çıkarıyor. Kapsamlı bir iş sürekliliği planına sahip olmamak sadece IT’yi etkilemiyor, şirketinizin hayatta kalması da risk altında.
Şirketler bir felaket anından nadiren tetikte olur. Bir miktar hazırlık süresi olsa dahi birden fazla şey bazen yolunda gitmeyebilir. Her bir vaka beklenmedik zamanlarda ortaya çıkar ve genelde birbirinden farklı vakalardır. İşte tam bu noktada iş sürekliliği planının devreye girmesi gerekiyor. Organizasyonunuza en iyi başarı şansını vermek için güncel, test edilmiş bir iş planını tüm personelin ellerine teslim edebilmelisiniz. Bir planınızın olmaması; sadece şirketinizin bir felaketten kurtulmasının daha uzun zaman alması anlamına gelmiyor aynı zamanda işinizi temelli kaybetme riski de oluşturuyor.
İş sürekliliği ve felaket kurtarma planları arasındaki fark
İş sürekliliği (Business Continuity – BC) ister yangın, sel, salgın hastalıktan ister İnternet üzerinden gelen bir saldırıdan kaynaklanıyor olsun, bu tür bir karışıklık durumda iş fonksiyonlarının korunması ya da hızlıca geri getirilmesini ifade ediyor. Bir BC planı, bu tür felaketlerle karşı karşıya gelindiğinde organizasyonun uygulaması gereken prosedür ve talimatları ortaya koyuyor.
Birçok kişi felaket kurtarma (Disaster Recovery – DR) planının iş sürekliliği planıyla aynı olduğunu düşünüyor ancak DR planı temelde bir kriz sonrasında IT altyapı ve operasyonlarının geri getirilmesi üzerine odaklanıyor. Aslında BC planı tüm organizasyonun sürekliliğine baktığı için DR eksiksiz bir iş sürekliliği planının bir parçası konumunda. Bir felaketin ardından firmanızın para kazanmayı sürdürmesi için, İK, imalat, satış ve destek fonksiyonlarını ayağa kaldırmak için bir yolunuz var mı ?
Söz gelimi müşteri hizmetleri temsilcilerinizi barındıran bina bir yangın dolayısıyla yanıp kül olduysa, bu temsilcilerin müşteri çağrılarına nasıl bakacaklarını biliyor musunuz? Geçici olarak evlerinde veya alternatif bir lokasyondan mı çalışacaklar? SunGard gibi firmalar felaket kurtarma merkezleri içinde masa, telefon ve bilgisayar içeren kabinler satıyor. Bu merkezlerde sunucu ve cihaz tabanlı DR hizmetleri de sağlanıyor.
İş etki analizi (Business Impact Analysis – BIA) BC planının bir diğer parçasıdır. BIA iş fonksiyonlarının ani kaybının etkisini belirler. Bu türden bir analiz aynı zamanda iş sürekliliği planının içindeki çekirdek olmayan aktiviteleri dış kaynağa aktarıp aktarmamanız gerektiğini değerlendirmenize yardımcı olur. Ancak bu da kendi riskleriyle gelebilir. BIA esasen tüm organizasyonunuzun süreçlerine bakmanıza ve hangilerinin önemli olduğunu belirlemenize yardımcı olur.
İş sürekliliği planlaması neden önemli?
İster küçük bir firma ister büyük bir organizasyon işletiyor olun, rekabetinizi korumaya çabalarsınız. Bir yandan müşteri tabanınızı artırmak bir yandan mevcut müşterileri korumak hayati derecede önemlidir. Ve bunları gerçekleştirme becerilerinizi de kötü bir dönemim hemen ardından test etmekten daha iyi bir yol yoktur.
IT’yi kurtarma çoğu firma için kritik olduğundan, çok sayıda felaket kurtarma çözümleri mevcuttur. Bu çözümleri uygulamak için IT’ye güvenebilirsiniz. Fakat diğer iş fonksiyonlarının kalanı ne olacak? İşletmenizin geleceği çalışanlarınıza ve süreçlerinize bağlı. Herhangi bir hadiseyi en iyi şekilde idare edebilmek firmanızın itibarına ve pazardaki değerine olumlu bir etki bırakabilir. Aynı zamanda müşteri memnuniyetini de arttırabilir.
Öncelikle bir iş sürekliliği planı oluşturun
Eğer organizasyonunuz mevcut bir BC planına sahip değilse, iş süreçlerinizi değerlendirerek, hangi alanların zayıf olduğunu ve eğer o süreçler belirli bir zaman çalışmadığı potansiyel kayıpları belirleyerek başlayın. Bu esasen BIA’in özüdür.
Ardından bir plan geliştirin. Online olarak var olan ücretsiz şablonların istediğiniz kadarını kullanabilirsiniz veya sizinkine benzer bir organizasyon tarafından yayınlanmış gerçek bir plan bulun ve gerektiği gibi değiştirin.
Bir iş sürekliliği planını oluşturmada altı genel adım vardır:
1. Planın kapsamını belirleyin.
2. Anahtar iş alanlarını belirleyin.
3. Kritik fonksiyonları belirleyin.
4. Farklı iş alanı ve fonksiyonları arasındaki bağımlılıkları belirleyin.
5. Her bir kritik fonksiyon için kabul edilebilir çalışmazlık süresini belirleyin.
6. Operasyonları idare etmek için bir plan oluşturun.
Yaygın bir iş sürekliliği planlama aracı; gereç ve ekipmanları, veri yedekleri ve yedekleme alanlarının konumlarını, planın nerede kullanılabildiği ve kimin sahip olması gerektiğini, acil durumda müdahale edecek kişilerin, anahtar personel ve yedekleme alanı sağlayıcılarının irtibat numaralarını içeren bir kontrol listesidir.
Felaket kurtarma planının iş sürekliliği planınızın bir parçası olduğunu unutmayın. Bu yüzden DR planına sahip olduğunu veya aktif şekilde bir DR planı geliştirdiğinden emin olmak için IT departmanınızı kontrol edin.
Planınızı oluştururken organizasyonunuzda bir felaketten başarılı bir biçimde çıkmış personellerle görüşme yapmayı göz önünde bulundurun. İnsanlar genellikle ‘savaş hikayelerini’ günü kurtaran adım ve teknikleri (ya da zeki fikirleri) paylaşmayı sever. Onların fikirleri sizin güçlü bir iş sürekliliği planı hazırlamanızda oldukça değerli bir katkı sağlayabilir.
Sonra da iş sürekliliği planınızı test edin
Bir planın eksiksiz olup olmadığını ve hedeflenen amacı tam olarak karşılayıp karşılamayacağını katı bir biçimde test etmelisiniz. Çoğu organizasyon iş sürekliliği planını yılda iki ila dört kez test eder. Test takvimi organizasyonunuzun türüne, anahtar personelin dönüşümüne, iş süreçleri ve son testten bu yana gerçekleşen IT değişikliklerine göre değişir.
Yaygın testler içinde masa başı alıştırmaları, yapısal kontrol ve simülasyonları içerir. Test ekipleri genellikle kurtarma koordinatörü ve her fonksiyon biriminde üyelerin bir karışımından oluşur. Masa başı alıştırmaları genellikle bir konferans odasında gerçekleşir, ekip planı ortaya döker, boşlukları arar ve tüm iş birimlerinin burada temsil edilmesini temin eder. Yapısal bir kontrolde her ekip üyesi zayıf yanları tespit etmek üzere planın kendi bileşenini ayrıntılarıyla inceler. Ekip sıklıkla belirli bir felaket durumunu akılda tutarak ilerler. Bazı organizasyonlar yapısal kontrol içerisine felaket talimini de dahil eder. Olası zayıf noktalar düzeltilmeli ve güncellenmiş plan tüm ilgili personele dağıtılmalıdır. Aynı zamanda yılda en az bir kez eksiksiz bir acil durum tahliye provası gerçekleştirmek iyi bir fikirdir. Bu türden testler fiziksel kısıtlamalara sahip ekip üyelerini tahliye etmek için özel düzenlemelere ihtiyacınız olup olmadığını belirlemenize imkan sağlar.
Son olarak felaket kurtarma testleri çok kapsamlı olabilir ve her yıl gerçekleştirilmelidir. Bu test için gerçek bir felaketi simüle eden bir ortam yaratın; tüm ekipmanlar, gereçler ve ihtiyaç duyulacak personelle (iş ortakları ve tedarikçiler dahil) birlikte. Bir simülasyonun amacı vaka sırasında kritik iş fonksiyonlarını sürdürüp sürdüremeyeceğinizi belirlemektir.
İş sürekliliği planı testinin her aşamasında test ekibine bazı yeni çalışanları katın. “Taze gözler” ekip üyelerinin gözden kaçırmış olabileceği boşlukları veya bilgi hatalarını tespit edebilir.
Son olarak iş sürekliliği planınızı inceleyin ve geliştirin
Çabanın çoğu bir PC planı oluşturulması ve ilk testine harcanıyor. Bazı organizasyonlar iş bir kez tamamlandıktan sonra planı öylece bırakıyor ve daha kritik görevlere yöneliyor. Bu gerçekleştiğinde de planlar eskiyor ve ihtiyaç duyulduğunda hiç bir işe yaramıyor. Teknoloji gelişiyor, insanlar gelip gidiyor. Dolayısıyla yapılan planın da güncellenmesi gerekiyor. Planı incelemek ve değiştirilmesi gereken olası alanları tartışmak üzere anahtar personeli bir araya getirmeniz gerekiyor.
İncelemeden evvel plan içerisine katmak için çalışanlardan geri bildirim toplayın. Şubeler veya diğer uzak birimler dahil olmak üzere tüm departmanlardan veya iş birimlerinden planı incelemelerini isteyin. Eğer bir felaketle karşı karşıya kalma talihsizliğini yaşadınız ve planı devreye soktuysanız, öğrenilen dersleri de plana eklediğinizden emin olun.
İş sürekliliği planının farkındalığından nasıl emin olursunuz
Planınızın başarılı olmamasından emin olmanın bir yolu onun önemine ilgisiz bir tutum göstermektir. Her bir iş sürekliliği planı tepeden aşağı desteklenmelidir. Bu da plan oluşturulurken ve güncellenirken kıdemli yönetimin temsil edilmesi gerektiği anlamına geliyor; hiç kimse bu sorumluluğu astlara devredemez. Aynı zamanda kıdemli yönetimin yeterli inceleme ve testler için zaman ayırarak öncelik vermesi halinde planın taze ve uygulanabilir kalması muhtemeldir.
Ayrıca yönetim, kullanıcı farkındalığını teşvik etmek için çok önemlidir. Eğer çalışanların plandan haberi yoksa, onların nasıl uygun tepki vermesi beklenebilir ki? Her ne kadar plan dağıtımı ve eğitimi, iş birimi yöneticileri veya İK çalışanları tarafından yapılıyor olmasına rağmen, üst yönetimden birinin durumun önemini vurgulaması çok önemlidir. Bunun tüm çalışanlar üzerinde daha büyük bir etkisi olacaktır ki böylelikle planın daha fazla itibar görmesini sağlayacaktır.