Bankacılık Sektöründe BT Riskleri ve BT İş Sürekliliği
Günümüzde hızla gelişen bankacılık işlemleri bize tüm imkanları sunarken, bu hizmetin sürekliliğinin sağlanması da bankalar için en önemli unsurlardan biri haline gelmiştir. Dijitalleşen dünyada kesintiye tahammül neredeyse hiç yoktur, dakikalar hatta saniyelerin bile önemi büyüktür. Bu yüzden finansın kalbi olan bankalarda, etkin ve sürdürebilir bir iş sürekliliği yönetimi tesis edilmelidir.
İş sürekliliği, banka faaliyetlerinin devamlılığını sağlamak, sağlanamadığı durumlarda, belirlenen süreler içerisinde kesintiye uğrayan hizmetlerin yeniden çalışabilir olmasının sağlanmasıdır ve bir yönetim sistemi çerçevesinde ele alınmalıdır. Aşağıdaki adımlar bu sürecin temel maddeleridir.
· İş Etki Analizleri
· Servis Kritiklikleri ve RTO/RPO Değerleri
· BT Risk Analizleri
· Plan Test ve Güncelleme Faaliyetleri
· Gerçekleşen Kesinti ve Bulguların Sürekli İzlenmesi
İş Etki Analizleri, kurumun tüm süreçleri değerlendirilerek, kritik hizmetlerin belirlenmesi, önceliklendirilmesi ve devamlılığının sağlanmasına yönelik yapılan analiz çalışmasıdır. Bu çalışmada süreç sahipleri sorumlu oldukları süreçlerin risklilik seviyelerini tüm unsurlarıyla en az yıllık olarak değerlendirmelidir. Analiz çalışmaları sonucunda kurumun hizmet öncelikleri, olası kesinti anında alternatif çalışma metotları ve olağanüstü durum merkezi gereksinimleri belirlenir.
Kabul Edilebilir Kesinti Süresi (RTO — Recovery Time Objective) ve Kabul Edilebilir Veri Kaybı (RPO — Recovery Point Objective) değerleri de her bir süreç için belirlenir. Süreci yöneten kritik personel ve kesinti anında süreci yürütmek üzere olağanüstü durum merkezi gereksinimleri yine iş etki analizlerinin önemli bir unsurudur.
Risk, zarara yol açan ya da zarar verme kapasitesi olan durumu ifade eder. BT riski ise, bir varlıktaki bir zaafiyetin bir tehdit tarafından kullanılma ihtimalidir. Bu durumun gerçekleşmesi durumunda varlığın, gizliliği, bütünlüğü ve erişilebilirliği zarara uğrayabilir. Öte yandan BT risklerine yönelik tehditler, sadece teknik anlamda değil, yangın, deprem gibi doğal faaliyetler sonucu oluşabilecek zararlara karşı da ele alınması gerekir. Risk yönetimi ise, kapsamda yer alan varlıkların belirlenmesi akabinde bu varlıklara yönelik tehdit ve zafiyetler belirlenir ve risk hesaplaması yapılarak risk analizleri gerçekleştirilir.
BT Risk Analizleri, kapsam dahilinde yer alan her bir BT varlığı için risk düzeyinin, bu risklerin ortadan kaldırılabilmesi için kontrol mekanizmalarının ve etkinlik derecelerinin belirlenmesi amacıyla gerçekleştirilir. BT Risk Analizleri de yönetim sistemi çerçevesinde ele alınmalıdır. Öncelikle kapsam belirlenmeli, riskleri tespit edilmeli, kontrol mekanizmaları sağlanarak riskler analiz edilmelidir. Analiz sonrasında, riskin derecesi belirlenmeli, risk işleme ve kontrol yöntemleri seçilerek, risklerin dönemsel takibi yapılmalıdır. Kurumda etkin bir risk yönetimi tesis ederek, riskler derecelendirilerek önceliklendirilir, beklenmeyen olayların iş süreçleri üzerindeki etkileri tanımlanır ve maliyet etkin risk engelleme kontrolleri gerçekleştirilebilir.
Gerçekleştirilen iş etki analizleri ve risk değerlendirmeleri sonrasında oluşturulan İş Süreklilik Planında kurtarma stratejilerine yer verilmelidir. Kesintinin süresine göre, farklı eskalasyon planları oluşturulmalıdır. Örneğin, sürecin RTO değerine kadar olan süre Olay Yönetimi çerçevesinde, RTO ile belirlenen bir saat arasında olan kesinti Önemli Durum kategorisinde ve yine belirlenmiş bir kesinti süresini aşan durumda ise Olağanüstü Durum olarak tanımlanarak süreklilik planı oluşturulabilir.
Olağanüstü Durum Planı, BT sistemlerinin, uygulamalarının ve teknik altyapının olası bir felaket, beklenmedik bir olay ya da acil bir durum anında, alternatif bir lokasyonda, sistemlerin yeniden çalışabilir hale getirilmesi amacıyla oluşturulur. Plan, kurtarma stratejileri, olağanüstü durum anında görevi olan ekipler ve sorumlulukları, iletişim süreçleri ve test metotlarını içerir.
Yönetim sistemi çerçevesinde ele alınan BT sürekliliğinde, belirlenen periyotlarda, gerçekleşmiş riskler ve denetim bulguları sonucunda ortaya çıkan öğrenilmiş dersler, sürece yansıtılmalıdır.
Ek olarak, iş sürekliliği konusunda kurum çalışanlarına ve olağanüstü durum anında sorumluluğu bulunan personele eğitimler verilmelidir. Ayrıca iş sürekliliğini sağlamak adına konusunda sorumlu kişilerin yer aldığı bir iletişim zinciri de tesis edilmelidir. Bir kesinti anında, kesintinin ilgililere haber verilmesi ve ilgili kişilerin kesintiye müdahale edip sorunu gidermesine kadar olan haberleşme ağının kurulması önemlidir. Bu iletişim zincirinin etkin bir şekilde çalıştığı da dönemsel olarak test edilmelidir.
BDDK yeni yönetmeliği gereği, risk değerlendirmeleri ve iş sürekliliğine yönelik aşağıda yer alan hususları da dikkate almak önemlidir.
BT Risk Yönetimi:
· BT Risk Yönetim Süreci tesis edilmesi
· Bilgi varlıklarına ilişkin tehditlerin tespit edilerek risklerin belirlenmesi
· Riske maruz kalma olasılıklarının belirlenmesi
· Bilgi varlıklarının etki hesaplarının yapılması
· Etki değerlerine göre riskin derecelendirilmesinin yapılması
· Derecelendirilen risklere ve arta kalan risklere uygun olarak alınacak aksiyonların belirlenmesi
· Riskin kabulü durumunda üst düzey yönetici onayı alınması (riskin iş süreci ile ilgili olması durumunda iş birimi yöneticisinin onayının alınması)
· Risk değerlendirme ve aksiyon raporunun hazırlanarak üst yönetim onayı alınması
· En az yılda bir defa olmak üzere risk analizleri tekrar edilmesi ve aksiyon planın güncellenmesi
· Denetimler sonucu ortaya çıkan bulguların risk envanterine girdi olarak sağlanması
BT İş Sürekliliği Yönetimi:
· BT İş Sürekliliği Yönetimi Süreci ve Yönetim Kurulu onaylı BT Sürekliliği Planı hazırlanması
· BT İş Sürekliliği Yönetimi Süreci sorumlusu atanması ve BT İş Sürekliliği Komitesinin oluşturulması (üyeleri ve komite görev/sorumlulukları yönetmelikte belirlendiği şekilde olmalı
· BT İş Sürekliliği Yönetimi Süreci ulusal ve/veya uluslararası standartlarının referans alınması
· İş birimleri katılımıyla iş etki analizlerinin gerçekleştirilmesi, iş servislerinin önceliklendirilmesi ve iş sürekliliği planı oluşturulması
· Planın uygulanabilir olması, güncelliğinin sağlanması ve diğer planlar ve mevzuatla uyumlu olması
· Olası felaketlerden kaynaklanabilecek yasal konular için halka ilişkiler ve basın ile iletişimde olunması
· İlgili ekiplere plan kapsamında eğitimlerin verilmesi
· İş etki analizleri kapsamında RTO ve RPO değerleri belirlenmesi bu kapsamda kurtarma ve geri dönüş prosedürlerinin oluşturulması
· Birincil merkez ile aynı risklere maruz olmayan ikincil merkez oluşturulmalı ve olası bir felaket anında oluşturulan ikincil merkezden hizmetlerin sürdürülebilir olması
· Olası felaket senaryolarında bankanın en geç yirmi dört saat içerisinde yeniden hizmet verebilir olmasının sağlanması
· İş Sürekliliği Planının etkin bir şekilde çalıştığının kontrolü için yılda en az bir defa olağanüstü durum planı testlerinin gerçekleştirilmesi, testlere dış hizmet sağlayıcılarının da katılması, test sonuçlarının üst yönetime raporlanması ve planın güncellenmesi
· Bir kesinti ya da olası bir felaket anında kişilerin etkin bir şekilde iletişim kurmalarına yönelik İletişim Zincirinin tesis edilmesi, iletişim zincirinin yılda en az 2 kere test edilmesi
· Kurtarma veya geri dönüş prosedürlerinin bulunduğu olağanüstü durum planının bilmesi gereken kişi prensibine göre erişime açık tutulması
· Birincil ve ikincil merkezdeki sistemlerin güncellemeleri, yamaları ve konfigürasyonlarının ikincil merkezle aynı olması
· İkincil merkez kapsamına alınan sistemleri ile ikincil merkez kapsamına alınmayan sistemlerin listesinin belgelendirilmesi
· Dış hizmet alınması durumunda, bir felaket anında dış hizmet sağlayıcılarının bankaya ayıracağı kaynağın, bankanın sürekliliğini sağlamaya garanti ediyor olması
Dijitalleşme ile hızlı bir değişim ve gelişime ayak uyduran bankalar, sürdürebilirliği sağlamak için, standartlara da bağlı kalarak etkin bir iş sürekliliği metodolojisi kurmalıdır. Böylece olası felaketlerde ya da sistemsel sorunlarda en az kesinti süresi ile müşterilere hizmet verilmeye devam edilebilir. Zira yaşanan kesintilerde sadece maddi kayıplar olmaz, itibar kayıpları ve hatta yasal yaptırımlar sonrası alınabilecek cezai yaptırımlar olabilmektedir.
