Denetik - Blog by Zeynep

FELAKETLERDEN KORUNMAK VE İŞ SÜREKLİLİĞİ İÇİN; ISO 22301 İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ

Fri, 01 Dec 2023 17:49:18 +0300

Felaketlerden Korunmak Ve İş Sürekliliği İçin; ISO 22301 İş Sürekliliği Yönetim Sistemi

ISO 22301, kuruluşun maruz kalabileceği ve iş yapmasını engelleyecek olaylardan kurtarmak için bir yönetim sistemini planlamak, oluşturmak, iletmek, izlemek ve sürekliliğini sağlamak üzere gereksinimleri belirlemek üzere oluşturulmuş bir standarttır.

ISO 22301, kuruluşun boyutu, organizasyonu ve sektörü açısından bağımsız, bütün kuruluşlara uygulanabilir bir yönetim sistemidir. Kuruluşun belirleyeceği kapsam özgündür ve kuruluşun yapısına, çalışma ortamına ve karmaşıklığına bağlıdır.

Niçin ISO 22301 İş Sürekliliği Yönetim sistemini uygulanır?

Her kuruluş farklı sebeplerle iş sürekliliğini uygulamak isteyebilir. Başarılı uygulamalarda kuruluş, fayda sağlayacağını bilir ve buna uygun kararlılık gösterir.

• İş sürekliliğine yönelik metriklere dayalı başarımın gözlemlenmesi,

• İş sürekliliği konusundaki gerekliliklerin belirlenmesi,

• Uygun iş planlarının hazırlanarak, tehditlere yönelik hazırlıkların yapılabilmesi

• İş sürekliliğini sağlamak için, gerçekçi ve uygun kaynak kullanımının sağlanması

ISO 22301 İş Sürekliliği Yönetim Sistemi, farklı sektör, ölçek ve karmaşıklıktan kuruluşların başarı ile uygulayabilecekleri bir çerçevedir.

• İş Sürekliliği Yönetim Sistemini planlamayı, oluşturmayı, uygulamayı ve korumayı,

• Kuruluşun belirlediği iş sürekliliği ilkesine uymasını,

• İş sürekliliği yapısını diğer taraflara göstermeyi,

• Akredite bir kuruluş tarafından belgelendirmeyi

• Bu standardın gereklerine uygunluğunu kendi iş ortaklarına beyan etmeyi hedefler.

ISO 22301:2012 Temel Bölümleri

ISO 22301’in standart maddeleri, ISO Guide 83 rehberine göre düzenlenmiştir. Söz konusu bölümler;

Madde 4: Organizasyon

Madde 5: Liderlik

Madde 6: Planlama

Madde 7: Destek

Madde 8: Uygulama

Madde 9: Performans değerlendirme

Madde 10: İyileştirme

Madde 4: Organizasyon

Kuruluşun İş Sürekliliği amacını başarabilmesi için faaliyet göstermesi ile ilişkili iç ve dış unsurları değerlendirmek gerekmektedir.

Organizasyonun etkinlikleri, işlevi, hizmetleri, ürünleri, işbirliği yaptığı kuruluşlar, tedarik zincirleri, ilişkilerine yönelik yıkıcı olayların gizil etkisi, İş sürekliliği politikası ile genel risk yönetim stratejileri de dahil olmak üzere şirketin amaç, hedefleri ve diğer konulardaki politikaları arasındaki bağlantı, kuruluşun risklere karşı açık olma derecesi. Sektör veya yapı kaynaklı eksiklikler.

İlgili tarafların beklenti ve gereksinimleri, Kuruluşun uygulaması zorunlu olduğu yasalar, mevzuat ve diğer gereklilikleri, İş sürekliliği kapsamının belirlenmesinde, kuruluşun stratejik hedefleri, ana ürünleri ve hizmetleri, risk toleransı, yasal ve kontrata bağlı yaptırımları bu bölümde değerlendirilmelidir.

Madde 5: Liderlik

Üst yönetim, İş Sürekliliği Yönetim Sistemi gereklerinin yerine getirilmesi konusunda sürekli desteğini ve taahhüdünü göstermelidir. Yönetim kuruluşun hedeflerini ve amaçlarını yerine getirmek için kuruluş kaynakların kullanımını sağlamalıdır.

Üst yönetimin sorumlulukları;

• İSYS’nin, kuruluşun stratejik hedefleri ile uyumlu olmasını sağlamak,

• İSYS gerekliliklerini kuruluşun iş süreçleri ile bütünleştirmek,

• İSYS için gerekli kaynakları sağlamak,

• İş Sürekliliği yönetiminin etkin olmasının önemini ilgili taraflara iletmek,

• İSYS’nin başarımlarının, beklenen sonuçları karşılaması

• Sürekli gelişimi yönlendirmesi ve desteklemesi,

• İş sürekliliği politikasının oluşturulması ve iletilmesi,

• İSYS planlarının oluşturulması

• Gerekli sorumlulukların belirlenmesi ve yetkilendirmenin yapılması,

Madde 6: Planlama

Bu madde, başarılı bir iş sürekliliği yapısının kuruluşta uygulanabilmesi için yapılacak planlamada nelerin bulunması gerektiğini açıklar. İSYS’nin hedef, tanımlanan risklerin kuruluş tarafından karşılanmasıdır. İş sürekliliği hedeflerinin karşılaması zorunlu olduğu konular;

• İş sürekliliği politikası ile tutarlı olması,

• Organizasyonun hedeflerine ulaşmak için gerekli ürün ve hizmetleri asgari seviyeye çekmesi,

• Ölçülebilirlik,

• Kuruluşun geçerli olan gereksinimlerini dikkate alması,

• Uygun şekilde izlenmesi ve güncellenmesi,

Madde 7: Destek

Etkili bir iş sürekliliği yönetimi, gerekli kaynakların sürekli ve her uygulama aşamasında sağlanması ile başarılır. Bu kaynakların içinde, eğitim almış yeterliliğe sahip çalışanların bulunması, farkındalığın sağlanması ve iletişim ortamının oluşturulması bulunmaktadır.

Bu destek, doğru yönetilen dokümantasyon sistemi ile desteklenmelidir.

Örgütün iç ve dış iki iletişim biçimi, iletişimin içeriği, zamanlaması da dahil olmak üzere, bu bölümde ele alınmalıdır.

Dokümantasyonun oluşturulması, güncellenmesi ve kontrolü gereklilikleri bu bölümde belirtilmiştir.

İş Etki Analizi (Business Impact Analysis (BIA)): İş etki analizi, kuruluşun kritik süreçlerinin kabul edilebilir en düşük seviyede işletilmesi için önem taşıyan anahtar ürün ve hizmetlerin bağımlılığını belirlenmesini hedefler.

Risk denetimi: ISO 22301 standardı, bu sürecin işletilmesi için ISO 31000 Risk Yönetimi Standardını referans olarak alır. Bu gerekliliğin hedefi, risk denetim sürecini kurmak, uygulamak ve korumak için dokümante edilmiş tanımlamaları, analizleri ve kuruluşta olan risk oluşturan unsurların değerlendirilmesini hedefler.

İş Sürekliliği Stratejisi: İş etki analizi ve risk denetiminin sonuçları doğrultusunda elde edilen sonuçlar ışığında, kuruluşun kritik süreçlerine yönelik tehditleri önlemek için stratejiler geliştirilmelidir. Tecrübeler ve en iyi uygulamalar, kuruluşun iş sürekliliğini sağlayacak uygun göstergeleri olan stratejilerin oluşturulmasına yardımcı olabilir. İş sürekliliği stratejisi, bir kurumun kurumsal stratejinin ayrılmaz bir parçası olmalıdır.

İş Sürekliliği Prosedürü: Kuruluş, iş sürekliliğine zarar verebilecek olaylara karşı iş sürekliliğini sağlayacak yöntemleri dokümante etmelidir. Bu yöntemler;

• Uygun iç iletişim kurallarını belirlemeyi,

• Bir kesinti anında yapılacak uygulama adımlarını,

• Beklenmeyen tehditler karşısında değişen iç ve dış koşullara karşı esnek bir yapıya sahip olmayı

• Potansiyel bozucu uygulamaların etkisine odaklanmayı,

• Bağımsız olarak belirlenmiş varsayım ve analizlerin geliştirilmesini,

• Uygun azaltma faaliyetleri ile risk seviyelerinin düşürülmesini içermelidir.

Sınama ve Test: İş sürekliliği prosedürlerinin, iş sürekliliği hedefleri ile tutarlı olduğundan emin olmak için, kuruluş, düzenli olarak bu prosedürleri test etmelidir. Sınama ve testler, iş sürekliliği planları ile geçerliliği sorgulanmalı, seçilen stratejiler doğrultusunda istenen zaman dilimlerinde elde edilen sonuçların yeterliliği yönetim tarafından kabul edilen seviyede olması sağlanmalıdır.

Madde 9: Performans değerlendirme

İş Sürekliliği Yönetim sistemi oluşturulduktan sonra, sistem, geliştirilmesi amacı ile belirli zaman aralıkları ile gözlemlenmelidir. Gözlemlenmesi beklenen konular;

• İş sürekliliği kapsamı, politikası ve hedeflerinin karşılanması,

• Süreçlerin, yöntemlerin ve işlevlerin eylemlerinin başarımının ölçülmesi,

• ISO 22301 standardı ve iş sürekliliği hedeflerine uygunluğun izlenmesi,

• Planlanmış aralıklarla iç denetimler yaparak eksik İSYS başarımının izlenmesi,

• Planlanmış aralıklarla, yönetim sisteminin gözden geçirme faaliyetinin gerçekleştirilmesi

Madde 10: İyileştirme

Sürekli iyileştirme, kurum ve paydaşların faydasını arttırmak için kuruluştaki iş sürekliliğine yönelik süreçlerde güvenliğin ve verimliliğin arttırılması için yapılan faaliyetleridir.

Kuruluş, iş sürekliliği politikası, hedefleri, denetim sonuçları, gözlemlenen olayların analizi, göstergelerin geliştirilmesi, düzeltici ve önleyici faaliyetler ve yönetimin gözden geçirme etkinliği ile yönetim sisteminin etkinliğini arttırabilir.ik.com

AKILLI ŞEHİRLERDE TOPLUMSAL YAŞAM VE BİLGİ YÖNETİM SİSTEMLERİ

Wed, 22 Nov 2023 10:24:18 +0300

Akıllı Şehirlerde Toplumsal Yaşam ve Bilgi Yönetim Sistemleri

Bireysel gereklilikten toplumsal mecburiyete bilgi yönetimi

Bilişimin insan ve şehir hayatında etkisi gittikçe artıyor. Kısa süre öncesine kadar iletişim ve bilişim olanakları olmamasına karşılık devam eden yaşantımız, artık, bilişim bağımlısı bir duruma dönüştü. İnternet bağlantısının kesilmesi, bir kuruluşun tüm ticaretinin durmasına, bir baz istasyonun çökmesi, bölgesel bir çok sıkıntının yaşanmasına sebep olabilmektedir. Birey düzeyinde başlayan bilişim macerası, kitlelerin yaygın kullanımı, teknolojik çeşitlenme ve Pazar talebi ile toplumsal bir devrime dönüşmüştür. İhtiyaç yapısı, çalışma modelleri, pazarı yönlendirici sektörler tamamen değişmiştir.

Değişimin anahtarları;

• Postmodern yaşam tarzı,

• Küresel tekil kültür baskısı,

• Alım gücünün artışı,

• Teknolojik çözümlerin artışı,

• İletişim çözümlerindeki çeşitlenme,

• İş süreçlerindeki etkinliği arttıracak teknolojik çözümler,

• Mobil uygulamaların yaygınlaşması

Toplumsal kabuller E-devlet uygulamaları, mobil iş çözümleri ve kişisel iletişim isteği. İnsanlar, bireysel düzeyde herkesle, bilgi kaynakları ile çözüm odakları ile iletişim içinde olmak istiyorlar. Elde ettikleri verilerin çözümü için uygulamalar geliştiriyor ve kullanıyorlar. En küçük işletmeden, uluslararası kuruluşlara kadar, teknolojik bağımlılıktan kurtulma şansı kalmamıştır. Bir balıkçının balık sürülerini, miktar ve ölçülerine kadar bilmesi, bir doktorun teşhis yeteneklerinin kullandığı cihazlara bağımlı olması, çok daha korkunç bir gerçeği ortaya koymaktadır. Bu teknolojiye sahip olmayan toplumlarının varlıklarını sürdürmede, sahip olanlara bağımlılığı kaçınılmazdır.

Bireysel gelişimin artması, toplumsal bir yaşam tarzına dönüşmekte, bu ise, çözümlerin, toplumun gereksinimlerine uygun olarak sunulmasını sağlamaktadır. Bir belediye, hizmetin sanal ortam üzerinden vermesi, hizmet kalitesinin artması ve finansal kazancı ortaya çıkarmaktadır. Beraberinde, yetkin personel, altyapı oluşturulması, yaygın ve etkin hizmet sağlayıcılar ve sürdürülebilirliğe yönelik tedbirlerin oluşturulması gerekmektedir. Hizmet alan ve veren tarafların ortak kazancı olan bu ortamdan artık geri dönüş görülmemektedir. Artık toplum olarak, sanal ortamda kazanacak, sanal ortamda biriktirecek, sanal ortamda harcayacak, hatta sanal ortamda yaşayacağız.

Teknolojik bağımlılıkta ihtiyaç ağı

Teknolojik bağımlılık, bireysel iş yapma veya bireysel eğlence aracı olmaktan uyum gerektiren, bir ağ üyeliğine geçmiştir. Sosyal paylaşımlar ve kurumsal kaynak planlama yazılımları tek başına çalıştırılmak ve kullanılmak üzere tasarlanmamıştır. Bu ağlardan birine özel veya iş amaçlı üye olmanız durumunda, üyeliğiniz, diğer tarafların (üyelerin, ağ yöneticilerinin ve hizmet sağlayıcıların) katılımı, uyumu ve sürdürmesi ile anlamlıdır. Söz konusu olgu, bir yönetiminin varlığını zorunlu kılmaktadır. Bir sistem, yöneticisi, bunu kuran ve işleten kuruluşlar. Meteoroloji, afet yönetimi, telekomünikasyon, bankacılık, sigorta sektörü, sağlık bakanlığı, enerji sektörü, regülasyon kurumları, borsalar… Bu ve sayısını arttırabileceğimiz benzer kuruluşların eş güdüm içinde çalışmaması, bir diğerinin de etkilenmesine sebep olmaktadır.

İnternet erişimindeki aksaklığın finansal akışı bozması, borsa değerinin

etkilenmesi, müşteri kayıpları ve yüklü tazminatlara yol açması buna örnek olarak verilebilir. Etki alanı içinde veya ilişkisindeki tüm kuruluşlar bu risklerden etkilenmektedir. Yeni sistem içinde devlet ve özel sektör karşıt veya birbirine alternatif tarafları oluşturmamaktadır. Birbirini bütünleyen, her hangi biri, herhangi diğerini çeken veya iten bir ilişkileri vardır. Geçmişte, tüm hizmet zincirini kendi bünyesinde tamamlayan devlet kurumları, günümüzde hizmet sağlayıcıları olmadığı takdirde bu işlevi sağlamaları ve geliştirmeleri imkânı kalmamıştır.

Teknolojik gelişim ve yasal gereklilikler

Yasa yapıcı, günümüzde, teknolojik altyapı olmaksızın yasaları uygulayıcı haline dönüşemeyecektir. Bu ilerleme, henüz yeterli etkileşime sahip olmamakla birlikte bütünleşik bir modele dönüşmesi kaçınılmazdır. Yasal kurallar, gerçek istenen hedefin, güvenli sürüş gerçekleşmesi için oluşturulmuştur. Buna karşılık uygulama, koşulları ve kuralları sabit olarak gördüğümüzde birbiri ile çelişen gerçekleri de göz önüne sermektedir. Örnek vermek gerekirse; Bir sürücü tarafından aracın kullanımı için teknik ve yasal kurallar vardır. Hız limitleri, alkollü araç kullanımı, yük taşıma sınırları, bakım ve aracın sağlıklı olması, sürücünün uyku durumu gibi tanımlı sınırlar, aslında kişi, koşullar ve çevresel faktörlerin etkisi değiştikçe değişmeli, bu değişim yasal düzenlemelerle uyum olmalı, düzenlemenin kabul etmediği sınırlara geçilmesi durumunda ilgili yaptırımlar devreye girmeli hatta sınırın geçilmesine teknoloji müsaade etmemelidir. Göz önüne alınabilecek etkenlerin bazıları aşağıdadır;

• Sürücü koltuğuna oturan kişinin mental özellikleri (belirli miktar alkol almış olması, yorgunluğu),

• Sürücünün önceki sürüşlerdeki başarımı (geçmişteki kaza oranı, karar verme hızı, tecrübesi gibi),

• Yol alınacak güzergâhın hava durumu (yağış, görüş ve durma mesafesindeki değişimler gibi),

• Yol durumu (yolun malzemesi, onarım durumu, buzlanma durumu),

• Aracın bakım durumu (periyodik bakımlarının yapılma durumu, tekerleklerin yıpranma durumu, hatta o hava durumuna uygun olup olmadığı gibi),

Aracın markası, teknik özellikleri ve yeterlilikleri Bu değişkenlerin yasal sınırlamalarla çapraz ilişkisi kurulabilmelidir. Kullanıcı, değişen koşullar doğrultusunda değişen yetkilere sahip olmalıdır. Dinçlik durumuna, aracın yeteneklerine ve hava koşullarına göre artan ve azalan sınırlar arasında sürüş sağlanabilmelidir. Hız limit değeri, mevcut durumda, sürücünün yorgun, araç bakımının yapılmamış, yolun kayganlığı fazla, yük durumunun fazla ve taşınan malzemenin tehlikeli olduğu durum ile tersi durumlar arasında fark etmemektedir. Çünkü yasal gereklilikler, sınırlamalar ile diğer toplumsal gerçekler arasında (yeterli) bir bağ henüz kurulmamıştır. Gelecek, yasal düzenlemelerin daha esnek, daha kullanışlı ve daha insan güvenliğini arttırıcı şekilde bir etkileşim içerisinde uygulanmasını imkân sağlayacaktır.

Sistem gereksinimi

Teknolojik gelişimin toplum üzerindeki faydaları yönetilebilir olduğu sürece fayda üretecektir. Kontrolden çıkmış açıkların oluştuğu yapı bedeli çok yüksek sonuçlara yol açacaktır. Tabii bir afet, bir güvenlik açığı, bir arıza, bir kapasite sorunu sistemin çökmesine yol açacaktır.

Aynı şekilde yanlış teknolojik yatırımlar veya birbirine eklemlenmesi hedeflenen parçaların birbirini bütünlememesi, yeni teknolojik çöplüklerin doğmasına ve yüksek maliyetlerin topluma ödetilmesi anlamını taşımaktadır. Bir şehrin sinyalizasyon sistemi konusundaki yatırım düşüncesi; uygun bir hedef, doğru politikaların belirlenmesi, yapım ve işletim maliyetlerinin belirlenmesi, projenin fazlandırılması ve birlikte çalışacağı diğer sistemlerle uyumu belirlendikten sonra olgunlaştırılabilir. Bu süreç, yeni, alışılmamış ve dev organizasyonların çıkmasına, regülasyonların hazırlanmasına, yeni pazarlarda, yeni rekabet koşullarının oluşturulmasını zorunlu kılacaktır. İnsan yetenekleri ve yönetim modelleri başarının anahtarı olacaktır. Bilinen modeller gelişecek, sürekli gelişim, verimlilik, yenilikçilik ve sürdürülebilirlik yeni yapının vazgeçilmez temel değerleri olacaktır.

Şehirler ve sistemler

Şehirler, fiziksel özellikler, gelişmişlikleri, alt yapısı ve mimari özelliklerinin yanısıra, yönetim modelleri ve uygulama başarıları ile de farklılaşacak. Dev yönetim modelleri, sürdürülebilir bir çalışma modeli yaşatması gereklidir. Örneğin; olası bir deprem ile İGDAŞ’ın İstanbul’daki doğalgaz şebekesini yönetmesi, açması, kapatması, boşaltması, yeniden açması ve riskli olanları tespit etmesi, söz konusu hizmeti çok kısa bir sürede vermesi ciddi bir yönetim modelini gerektirmektedir. Bu yönetim modeli, vatandaşın güvenliğinden hizmet bütünlüğüne birçok toplumsal gerekliliğin güvence altına alınmasını sağlamalıdır. Yeraltı sularının miktarı ve bu suların kirlenme oranının izlenmesi, yasal ve tıbbi gerekler doğrultusunda gerekli müdahalelerin yapılması birçok disiplinin birlikte uygulanmasını gerektirmektedir. Ölçme sistemi, sağlık gerekleri, doğal hayatın kirlenmesi, teknolojik değerlendirme birimleri ve kontrol yapısının oluşturulması gibi, her biri teknik, sosyal ve yasal bilgi birikimi gerektiren disiplinler buna örnek olarak gösterilebilir. Modern şehirlerin yönetim sistemleri, bir yönetim modelinin veya birkaç yönetim modelinin birlikte uygulandığı bir sistem olması söz konusu olamaz. Mevcut yönetim sistemleri tam veya kısmi kullanılabilecek bir girdi oluşturabilirler, buna karşılık uygulama, şehrin gereklilikleri ve hedefleriyle doğrudan ilişkilidir. ISO 9001 Kalite Yönetim Sistemi, ISO 14001 Çevre Yönetim Sistemi, OHSAS 18001 İş Güvenliği Yönetim Sistemi gibi alışılmış yönetim sistemi yaklaşımlarının yanına günümüzdeki ihtiyaçlar doğrultusunda yenileri eklenmiştir. ISO 27001 Bilgi Güvenliği Yönetim Sistemi, ISO 20000 Bilgi Teknolojileri Yönetim Sistemi, ISO 22301 İş Sürekliliği Yönetim Sistemi, ISO 26000 Sosyal Sorumluluk Yönetim Sistemi, ISO 31000 Risk Yönetim Sistemi standardı gibi birçok yaklaşımın kullanımına başlanılmıştır. Akıllı şehirlerin tüm yönetim sistemlerini uygulaması, başarıyı sağlamayacaktır. Başarım, gerçek ihtiyaçların gerektirdiği model veya modelleri tam veya uykun disiplinin kısmi uygulanması ile gerçekleşebilecektir.

Bütünleşik Modellere Doğru

Şehirler, işletmelerin karmaşıklık dereceleri arttıkça tercih ettikleri gibi, standart ve hazır modellerden daha çok, kendi önceliklerine uygun bütünleşik bir modeli hayata geçirmeyi tercih etmektedirler. Bunun uygulama şekli ve derinliği, ihtiyaçlar, kaynaklar ve kabiliyetlerle ilişkilidir. Birçok kuruluş, GRC (Governance, Risk Management, Compliance – Yönetişim, Risk yönetimi, Uyum) tarzı bütünleştirmeye açık sistemleri kullanabilmektedir. Hâlihazırda kullanılan modellerin, yönetim yapıları, risk yönetimleri ve yasal gereksinimleri belirli hassasiyetler göz önüne alınarak bir araya getirilmekte, ortak yönetim, risklerin ortak yapı içinde izlenmesi, değerlendirilmesi ve yönetilmesi ve yasal gerekliliklerin ortak takibi ve yerine getirilmesi sağlanmaktadır. Bu yaklaşım, başarımın artmasına, yönetsel maliyetlerin düşmesine yol açmaktadır.

Örneğin; tabii bir afet, can güvenliğinin yanı sıra, çevresel riskleri, bilgi güvenliğini, iş sürekliliğini ve hizmetlerin yerine getirilmemesine yol açabilmektedir. Birbiri ile alakasız gibi görünen bu konuların gerçekte bir sorunun çoklanmış paydaşlarıdır. Oluşumu sonrasında ne kadar erken ve etkin çözüm oluşturulursa, kayıplar o denli az olacaktır.

Akıllı şehirlerin, yönetimleri, bu sebeple, etkin bir strateji yönetimi yapmalı, riskler doğrultusunda, gerekli yönetim modellerinden ilgili disiplinleri çalışma programlarına dahil etmelidirler. Akıllı şehirleri yönetecek kadrolar, bu gereksinimden dolayı daha çok, teknik yeterliliğe sahip olan kişiler olacaktır.

Bütünleşik modellerin riskleri

Çok sayıda faydasının yanı sıra bütünleşik modeller, beraberlerinde bazı riskleri de getirmektedir. Bu risklerin başında, veri ve bilgi bütünlüğünün, doğruluğunun sağlanması, veri elde etme, işleme ve kontrol etme işlemlerinin güvence altına alınmasıdır. Bazı durumlarda güvence altına alınması tek bir kişi veya birim düzeyinde yetkilendirmeden vazgeçip, bu işlemlerin ayrı kişi veya birimler tarafından yapılmasını sağlamaktır. Bir terör saldırısında, tek nokta hedef haline gelmekte, örneğin metro işletmesinin, su dağıtımının, şehir aydınlatmasının yönetilmesi bu kapsamda değerlendirilebilir. Yönetsel sürekliliğin olmaması veya tehdit altında olması sürdürülebilir bir yapı oluşmasını engellemektedir. Belediye seçimlerinin yönetimi değiştirmesi, kamu yetkililerinin tayini veya tedarikçi değişimleri, iyi kurgulanmayan bir yapıda kesintiye, iptale yol açabilmektedir. Bir diğer tehdit sürekli değişiklik talebidir. İyi hazırlamama veya hedefe odaklanmamadan kaynaklanan bu sorunlar çalışanların yönetim sistemine olan güvenlerini azaltır.

Başarılı uygulamanın anahtarları

Yapının büyümesi, risklerin çeşitlenmesine karşılık geleceğin akıllı şehirlerinin yönetimi, geleceğin akıllı kuruluşların yönetiminden farklı olmayacak. Başarıya ulaşmak, bazı temel prensiplerin sağlıklı hayata geçirilmesi ile sağlanabilecektir;

• Üst yönetimin desteklemediği bir yönetim sisteminin başarılı olma ihtimali yoktur. Üst yönetim, katılımı, kaynak ayırması ve yönetim araçlarını etkin kullanması ile desteğini hissettirmelidir.

• Bilhassa kamu kesiminden kaynaklanabilecek siyasi yaklaşımlar, halkın gerçek ihtiyaçları göz önüne alınarak, kişisel veya bir kesimin önceliklerinin öne çıkmasından kaçınılmalıdır.

• İyi bir proje yönetimi, iyi bir risk çalışması, iyi bir kaynak planlaması yapılmalıdır. Yapılacak çalışmanın kurulum ve işletim kaynakları ve koşulları baştan belirlenmelidir.

• Alternatifler karşılaştırılmalı, sonuca gidecek en faydalı içerik program içine alınmalıdır.

• Yapıyormuş gibi yapmak, sadece yönetim sisteminin başarısızlığına yol açmaz. Daha sonra yönetim tarafından gelecek öneri ve uygulamalara olan güveni de sarsar. Kesinlikle “yapıyormuş gibi yapma” yaklaşımından kaçınılmalıdır.

• Farkındalılığın tüm çalışanlarda oluşması sağlanmalıdır. Farkındalılığın oluşması, sadece bir anlatım ile sağlanamaz. Yönetim ve proje gurubu, farkındalılığın organizasyonda oluşturulması sürecini tasarlamalı, uygulamalı, ölçmeli ve geliştirmelidir.

• Büyük organizasyonlardaki büyük projeler, bazen üst yönetimin bazen de çalışanların sabrını tüketecek deneme yanılmaları gerektirebilir. Bu sebeple, kaynakların ve moral değerlerinin verimli kullanılabilmesi için, bir pilot proje yapmak, oluşturulan modelin yaygınlaştırılması, çoğu zaman başarılı sonuçlara yol açmaktadır.

Bu anahtar yaklaşımlar arttırılabilir. Fakat her sorunun çözümü içinde barındırmasında olduğu gibi, durum, koşullar ve kaynaklar göz önüne alınarak farklılıklar belirginleştirilmeli, öncelikler belirlenmelidir.

Sonuç

Gelecek, dünden çok daha hızlı bir değişime açıktır. Bu değişim, teknolojinin insan ve toplum üzerindeki etkisini arttıracak, şehirler kapalı devre bir oyun sistemine benzeyecektir. İhtiyaçları planlanabilen, riskleri değerlendirilebilen, kaynakların daha etkin kullanıldığı bu şehirlerde, yönetim sistemleri de farklılaşacaktır. Daha açık, daha teknik olacak yapının teknolojik bir felakete dönüşmemesi için şehre uygun bir yönetim modeli belirlenmeli, uygulanmalı, ölçülmeli ve yönetilmelidir.

Kaynak

1. Denetik Belgelendirme Piyasa Gelişim Raporu Eylül 2011, www.denetik.com 2. Denetik Belgelendirme Piyasa Gelişim Raporu Şubat 2012, www.denetik.com 3. Denetik Belgelendirme Piyasa Gelişim Raporu Nisan 2012, www.denetik.com

UZAKTAN ÇALIŞMADA SİBER GÜVENLİK AÇISINDAN İLK 5 RİSK NEDİR?

Tue, 21 Nov 2023 17:43:00 +0300

WHAT ARE THE TOP 5 RISKS FOR CYBER SECURITY IN REMOTE WORKING?

Son dönemde yeni normal pandemi sürecinde uzaktan çalışma hayat kurtardı. Fakat, uzaktaki çalışanlarınız farkında olmadan şirketinizin verilerini riske atıyor olabilir. Evden çalışmak potansiyel olarak veri ihlallerine, kimlik sahtekarlığına ve bir dizi başka olumsuz sonuca yol açabilir. Uzaktan çalışanların kuruluşunuz için siber güvenlik riskleri oluşturabileceği en iyi beş yolu ve risk azaltma ipuçlarını öğrenmek için yazımızı okuyunuz..

İşte 2021 için uzaktan çalışma siber güvenlik risklerinin en önemli ilk 5’i:

Kimlik Avı Uygulamaları
Zayıf Parolalar
Şifrelenmemiş Dosya Paylaşımı
Güvensiz Ev Wi-Fi
Kişisel Cihazlardan Çalışma

Uzak çalışanlarınız, ağınızın güvenliği için en büyük tehdit olabilir. Çalışanlar, siber güvenliğin en kötü uygulamalarını bilmeden takip ederek, bilgisayar korsanlarına ve siber suçlulara ağınıza ve şirketinizin hassas verilerine erişim izni verebilir. İş operasyonları aniden veya geçici olarak uzaktan çalışmaya geçtiğinde, çalışanların nasıl güvenli bir şekilde çalışmaya devam edecekleri konusunda kafaları karışabilir.

Uzaktan çalışanlara yönelik en büyük siber tehdit, kimlik avı düzenleridir.

Kimlik avı düzenleri, bir kurbanı kişisel oturum açma kimlik bilgilerini veya hassas bilgileri sağlaması için kandırmak için genellikle e-posta üzerinden meşru bir kaynak olarak görünen bir kişi veya kuruluşu içerir.

Kimlik avı e-postaları o kadar karmaşık hale geldi ki, özellikle kimlik avı e-postaları e-posta filtrelerini geçip doğrudan çalışanın ana gelen kutusuna götürdüğünde, çalışanların bunları algılaması giderek zorlaşıyor.

Peki ne yapılabilir?

Çalışanları kimlik avı e-postalarını nasıl tespit edecekleri ve önleyecekleri konusunda eğitmek, kimlik avı e-postalarının şirket veri güvenliğine yönelik oluşturduğu riski büyük ölçüde azaltabilir. Kapsamlı bir siber güvenlik bilinci eğitim programı oluşturmak için, yeni çalışanlar kapıdan içeri girdikleri andan itibaren uygulayın.

Çalışanları ilk günlerinden itibaren kimlik avı ve siber güvenlik en iyi uygulamaları konusunda eğiterek ve haber bültenleri, kimlik avı testleri ve periyodik eğitimlerle eğitime devam ederek, şirket genelinde güçlü bir siber güvenlik işyeri kültürü aşılanacaktır.

Şifreler

Şirketiniz uzak ağınızı korumak için VPN’leri, güvenlik duvarlarını ve diğer siber güvenlik yazılımlarını kullanıyor olsa bile, çalışanlar hesaplarını zayıf parolalarla korurken insan hatası devreye girer. Bilgisayar korsanları, insan hatasından yararlanmanın daha kolay olduğunu bilirler ve daha sonra gelişmiş bir güvenlik yazılımını aşmaya çalışırlar, bu nedenle hassas şirket bilgilerine erişmek için hesap parolalarını kırmaya çalışırlar. Siber suçlular şifreleri kırmak için çeşitli önlemler kullanır. Örneğin, kötü korunan hesaplara kolayca erişmek için kullanılabilecek yaygın olarak kullanılan şifrelerin listelerini derlerler.

Bilgisayar korsanları bazen farklı varyantları deneyerek bir şifreyi sürekli olarak kırmaya çalışmak için tasarlanmış kod yazarlar. Yeterli zamana sahip bir bot, aşırı derecede karmaşık olmadığı sürece muhtemelen bir kişinin şifresini kırabilir.

Tekrarlanan şifreler, bilgisayar korsanlarının istismar ettiği diğer bir yaygın güvensiz uygulamadır. Bilgisayar korsanları bir hesabın parolasını kırdığında, aynı parolayla diğer hesaplara erişmeye çalışırlar. Özellikle kişisel ve ticari hesaplarda şifreleri tekrarlayan çalışanlar, şirket hesaplarının ele geçirilmesi konusunda daha yüksek risk altındadır.

Peki ne yapılabilir?

Parola ilkeleri, kuruluşunuzda kişisel sorumluluk kültürünün gelişmesine yardımcı olabilir. Kişisel bilgilerin kullanılmasına ilişkin parolalar ve yasaklar ve hesap oturum açma işlemleri için yinelenen parolalar, önerilen parola ilkesi maddeleridir. Rastgele bir kelime grubunu bir araya getirerek oluşturulan parolalar, siber güvenlik uzmanlarının paylaştığı en önemli ipuçlarından biridir. Güvenli parolalar 4-12 kelime veya daha fazla herhangi bir yerde olabilir ve daha uzun parolaların kırılması daha zordur.

Örneğin, bir parola “tavukG0ogHawaii” olabilir. Parolaları daha güvenli hale getirmek için noktalama işaretleri, karakter ikameleri ve sayılar eklenebilir.

Sosyal medya çağında doğum günleri ve mezuniyet günleri gibi şifrelerde sıkça kullanılan kişisel bilgiler online olarak kolaylıkla bulunabilmektedir. Örneğin, bir bilgisayar korsanı bir çalışanın Facebook profiline göz atarsa, şifrelerde kullanılan genel bilgileri bulmak için resimleri, gönderileri ve “Hakkımda” bilgilerini kullanabilir.

Çalışanlar parolalarına ortak kişisel bilgileri dahil etme eğiliminde olsalar da, parola politikanızda bunu yapmaktan vazgeçmeleri gerekir.

İster yapışkan notta ister telefonunuzdaki Notlar uygulamasında olsun, bir şifre yazdığınızda, kötü niyetli birinin onu bulması için bir fırsat yaratırsınız.

Parola politikanıza parolaları yazmayı engelleyen bir madde eklemeyi hedefleyin. Çalışanlar, hatırlamak için parolalar yazmak zorunda kalırlarsa, güvenli bir parola saklama programını düşünmelidirler.

Dosya paylaşımı

Şirketler ağlarında depolanan verileri şifrelemeyi düşünürken, bir yerden diğerine aktarılırken verileri şifrelemeyi düşünmeyebilirler. Çalışanlarınız, müşteri hesap bilgilerinden dosyalara ve daha fazlasına kadar günlük olarak o kadar çok hassas bilgi paylaşır ki, şirketiniz bu bilgilerin bir bilgisayar korsanı tarafından ele geçirilmesini önleyemez.

Hassas şirket bilgileri ele geçirilirse kimlik sahtekarlığına, fidye yazılımı saldırılarına, hırsızlığa ve daha fazlasına yol açabilir.

Peki ne yapılabilir?

Hassas veriler, e-posta veya telefon üzerinden gönderildiğinde şifrelenmelidir. E-posta şifreleme söz konusu olduğunda, popüler bir e-posta platformu olan Outlook, düz metin e-postaları şifreli metne dönüştürebilen özelliklere sahiptir, böylece yalnızca anahtara sahip alıcı mesajın şifresini çözebilir.

E-posta verilerini, ekleri ve kişi listelerini korumak için e-posta şifreleme platformlarını da kullanabilirsiniz.

Sesli posta bilgileri doğru iş telefonu sistemi ile şifrelenebilir. Bazı iş telefonu sağlayıcıları, hassas verilerin korunmasını sağlamak için sesli posta verilerini şifreleyebilen ve güvenli bir şekilde e-posta gönderebilen özelliklere sahiptir.

Veriler ayrıca Dropbox ve OneDrive gibi güvenli bir dosya paylaşım platformu kullanılarak şifrelenebilir. Bu platformlar, bilgilerin uçtan uca şifrelenmesini sağlar.

Ev Wi-Fi

Şirketler genellikle uzaktaki çalışanlarının iş dizüstü bilgisayarlarını güvence altına almayı düşünürken, çoğu şirket, çalışanlarının evde çalıştığı Wi-Fi ağlarının şirket verilerinin güvenliği için nasıl bir risk oluşturabileceğini düşünmüyor.

Örneğin, birçok kişi akıllı telefonlarını veya antivirüs yazılımlarını güncellemeyi bilirken, ev yönlendirici yazılımlarında yapılan güncellemeler genellikle göz ardı edilir. Akıllı telefonunuz gibi diğer cihazlarda güncellemeler tamamlanmadığında olduğu gibi, güncellenmeyen yönlendiricilerde güvenlik açıkları yamalanmaz, bu da zaman içinde veri ihlali risklerine yol açabilir.

Ek olarak, şirketlerin ofislerinde ağ trafiğini izlemek ve kötü amaçlı etkinlikleri engellemek için genellikle güvenlik duvarları varken, birçok kişinin evlerinin ağını koruyacak bir güvenlik duvarı yoktur. Bazı yönlendiriciler hibrit yönlendirici güvenlik duvarları olsa da, bu güvenlik duvarları o kadar güvenli değildir ve bu da uzaktaki çalışanlar için potansiyel ağ güvenlik açıklarına yol açabilir.

Peki ne yapılabilir?

Güncellemeler mevcut olduğunda yönlendiricinizin yazılımını periyodik olarak güncellemek, bir bilgisayar korsanının bunları kullanabilmesi için mevcut tüm güvenlik açıklarının hızla düzeltilmesini sağlar. Ek olarak, yönlendiricinizin etkinleştirilebilecek herhangi bir şifreleme özelliği olup olmadığını kontrol edin.

Şirketinizin bütçesi varsa ve çalışanlar bir süre uzaktan çalışacaksa, her çalışana veya en azından çok sayıda hassas veriyle çalışanlara evlerinin Wi-Fi’ını daha iyi korumak için bir güvenlik duvarı sağlamayı düşünün.

Kişisel Cihazlardan Çalışma

Çalışanlar uzaktan çalışırken, genellikle tüm ofislerini paketlemiyorlar ve yazıcılar ve masa telefonları gibi ev teknolojilerini getirmiyorlar. Bu, işlerini uzaktan yürütmek için kişisel akıllı telefonlarını ve ev yazıcılarını kullanmaya başvurabilecekleri anlamına gelir.

Kişisel cihazlardan çalışmak çalışanlara özgürlük ve esneklik duygusu verebilirken, bu cihazlar siber güvenlik riskleri oluşturabilir.

Kişisel akıllı telefonlar söz konusu olduğunda, çoğu insan, özellikle de sesli mesajlar kadar sıradan veriler söz konusu olduğunda, onları şifrelemeyi düşünmez. Bununla birlikte, kişisel bir cep telefonunda çalışma yapıldığında, örneğin telefon görüşmeleri ve iş hesaplarında oturum açma gibi, bu verilere telefon şifrelenmediği sürece bilgisayar korsanları tarafından potansiyel olarak erişilebilir.

Yazıcılar, görünüşte bir kişinin günlük yaşamını iyileştirebilecekken, bilgisayar korsanlarının üzerinde depolanan verilere erişmek için yararlanabilecekleri güvenlik açıklarına sahip olabilen birden fazla özelliğe sahiptir. Uzaktan çalışanlar kişisel ev yazıcılarından iş belgelerini yazdırdığında, bu potansiyel bir güvenlik sorunu oluşturabilir.

Birçok işletme çalışanlara iş bilgisayarları sağlarken, bazıları uzaktaki çalışanların kişisel bilgisayarlardan çalışmasına izin verir. Bu ilkeler tipik olarak iş operasyonlarını daha esnek hale getirerek işyeri kültürünü iyileştirme çabasıyla yapılsa da, bu ilkeler şirket verilerini risk altında bırakabilir çünkü kişisel bilgisayarlar tipik olarak iş bilgisayarları kadar güvenli değildir.

Peki ne yapılabilir?

Telefonlar Nasıl Güvenli Hale Getirilir

Çalışanlarınız kişisel telefonlarda iş yapıyorlarsa, telefonlarını şifrelemedikleri sürece bundan kaçınmalarını isteyin. Veriler, telefonda sıkı bir şifreyi etkinleştirmek gibi basit eylemlerle kolayca korunabilir, ancak ek önlemler de alınabilir. Android telefonlarda, güvenlik ayarlarında bir şifreleme özelliği etkinleştirilebilir. İPhone’larda, belirli sayıda başarısız erişim denemesinden sonra telefonu otomatik olarak silen bir ayarı etkinleştirebilirsiniz.

Yazıcılar Nasıl Güvenli Hale Getirilir

Ev yazıcıları, çalışanlarınızın uzaktan çalışırken kapatmalarını önermeniz gereken bir dizi güvenli olmayan özelliğe sahiptir. Örneğin, “her yerden yazdır” özellikleri, ofisten uzakta olsanız bile evde bir belge yazdırmanıza izin verir. Ancak, bu özelliğin çok az güvenliği vardır, çünkü makineyle herhangi bir yerden iletişim kurmanıza izin vermek için güvenlik duvarınızda bir delik açması gerekir. Çalışanlarınıza bu özelliği kapatmalarını tavsiye etmeyi düşünün.

Başka bir güvensiz ev yazıcısı özelliği, yazıcınızdaki sabit sürücüye taradığınızda, dosyalarınızı almak için ağdaki bilgisayarlardan klasörü açmanıza izin veren yaygın bir varsayılan ayardır.

Bu ayar, şirketinizin ağındaki herhangi bir yerden bu cihaza bilgi yazılmasını ve bu cihazdan kaldırılmasını sağlar ve genellikle çok az veya hiç güvenlik olmadan yapılır. Çalışanlara bu özellikle yazıcıları kapatmalarını önerin.

Bilgisayarların Güvenliği Nasıl Sağlanır

Uzaktaki çalışanlarınızın bilgisayarlarının güvenliğini sağlamak söz konusu olduğunda, elbette en güvenli çözüm, her çalışana kişisel bir bilgisayardan çalışmak zorunda kalmaması için bir iş dizüstü bilgisayarı sağlamaktır.

Sanal masaüstlerinde, bir çalışanın kişisel cihazı çalınırsa, veriler fiziksel masaüstü yerine sanal masaüstünde saklandığından hiçbir şirket verisi kaybolmaz.