BGYS (ISO 27001:2013) standardında“kuruluşun bağlamı”

1. ISO 27001:2013 standardı genel yapısı

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının 25.09.2013 tarihinde yayımlanan yeni sürümüyle standardın yapısında önemli değişiklikler yapıldı.

Ortak Teknik Komite ISO/IEC JTC 1, Bilgi teknolojisi Alt komitesi SC 27, BT Güvenlik teknikleri tarafından hazırlanan ISO 27001 standardının yeni sürümü, değişik sektörlerdeki ve büyüklükteki kuruluşlarda belirledikleri bağlamda (context) bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları belirtmektedir. ISO/IEC 27001 ile birlikte „Code of Practice“ ISO/IEC 27002 güncelleştirilmiş ve her iki standart aynı zamanda revize edilmiştir.

Güncellenen BGYS standardı, 2005 yılında yayımlanan ilk içeriğiyle karşılaştırıldığında standart maddelerinde radikal değişiklikler yapıldığı izlenimi edinilmesine karşın yakından bakıldığında bu değişikliklerin göreceli olduğu anlaşılmaktadır.

Bu makalede özellikle standardın 4. Maddesi “Kuruluşun bağlamı” konusu ele alınmıştır. Benzer bir madde ISO 22301:2012 İş Sürekliliği Yönetim Sistemi (Business Continuity Management System-BCMS) standardında “kuruluşun bağlamı” (Context of the organization) başlığına karşı gelmektedir. Ve her iki standart yapı olarak aynı başlıklara sahiptir.

ISO’dan yapılan açıklamaya göre bundan böyle yönetim sistemi standartlarının daha iyi, kolay ve anlaşılabilir şekilde algılanmasını sağlamak amacıyla ISO/IEC direktifleri, Bölüm-1’deki Annex SL [1] yapısı dikkate alınarak diğer yönetim sistemi standartlarının revizyonlarında da bu formata uyum dikkate alınacaktır. Bu tür bir yapı değişikliğinin yönetim sistemlerinin entegrasyonu yönünden de önemli kolaylıklar sağlayacağı açıktır.

Değişik sektör ve büyüklükteki kuruluşların bilgi güvenliği ihtiyaçlarını karşılayacak şekilde elden geçirilen BGYS standardının yeni versiyonu aşağıdaki başlıklar altında toplanmıştır;

2. Kapsam
3. Atıf yapılan Standart ve/veya dokümanlar
4. Terimler ve Tarifler
5. Kuruluşun Bağlamı
6. Liderlik
7. Planlama
8. Destek
9. İşletim (Operasyon)
10. Performans değerlendirme
11. İyileştirme

    2. Yöntem

Standardın, Kapsam (Md.1) bölümünde belirtildiği gibi; Bilgi güvenliği yönetim sisteminin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için şartları belirten ISO 27001:2013 aynı zamanda kuruluşun ihtiyaçlarına göre düzenlenmiş bilgi güvenliği risklerinin değerlendirilmesi ve işlenmesi için şartları da içermektedir. Bünyesinde BGYS kurmayı hedefleyen firmalar, standardın 4-10. maddelerinde belirtilen şartların tümüne ait yapacakları çalışmaları dikkate almak zorundadır. Başka bir ifadeyle bu maddelerin herhangi birinin dışarıda bırakılması kabul edilmeyecektir.

Standardın “Atıf yapılan Standard ve/veya dokümanlar” başlığı (Md.2) altında; ISO/IEC 27000 [2], Bilgi teknolojisi – Güvenlik teknikleri – Bilgi güvenliği yönetim sistemi – Genel Bakış ve Terimler Sözlüğü’ne atıfta bulunulmuş ve bu standarttaki terimlere ve tariflere (46 adet) uyulması öngörülmüştür.

Kuruluşun bağlamı (Md.4); “kuruluş, amaçları ile ilgili olan ve bilgi güvenliği yönetim sisteminin hedeflenen çıktılarını başarma kabiliyetini etkileyebilecek iç ve dış hususları belirlemelidir.” şeklinde ifade edilmiştir.

Bu hususların belirlenmesinde, ISO 31000:2009 [3] Madde 5.3’de (Establishing the context) ele alınan, kuruluşun dış ve iç bağlamının oluşturulmasına atıf yapılmıştır. Atıfta bulunulan risk yönetimi standardının ilgili maddesi incelendiğinde, risk yönetiminin çerçevesini oluşturmadan önce iç ve dış etkenleri (hususları) tanımlayabilmek, risk yönetim sisteminin uygulama alanını ve risk kriterlerini belirleyebilmek için söz konusu etkenlerin kuruluş için ne derece önem taşıdıkları dikkate alınarak ilişkilendirme yapılmalıdır. Bu etkenlerin birçoğu risk yönetim sisteminin oluşum sürecinde göz önünde bulundurulan unsurlarla benzerlik göstermektedir. Risk yönetim süreci ile ilgili olarak yapılacak ilişkilendirmede ise ayrıntılı bir gözlem yapılmalı ve risk yönetim sürecinin her aşaması bağımsız olarak şekillendirilmelidir.

Şimdi bu iç ve dış etkenleri ISO 31000:2009 şartlarında inceleyelim.

Dışsal İlişkilendirme (Dış hususlar)

Dışsal ilişkilendirme, kuruluşun amaçlarına ulaşabilmesinde içinde bulunduğu dış çevreyi (dış hususlar) kapsamaktadır.

Dışsal ilişkilendirme anlayışıyla, risk kriterlerinin gelişiminde kuruluş dışı hissedarların beklentilerinin ve isteklerinin göz önünde bulundurulması sağlanır. İşletme ekseninde bir ilişkilendirme söz konusu olduğunda ise, uygulama alanında risk yönetim süreci için önemli olan farklı risk görüşleri kadar, paydaşların bu konudaki yaklaşımları ve özellikle de kimi yasal ve düzenleyici yaptırımlar belirleyici unsurlardır.

Asgari koşullarda dışsal ilişkilendirme (dış hususlar) aşağıdakileri kapsar ;

1. bölgesel, ulusal ya da uluslararası farklılıkların kültürel, politik, hukuksal, düzenleyici, finansal, teknolojik, ekonomik, çevresel ve rekabetçi koşulları,
2. kuruluşun hedeflerini etkileyen tetikleyici unsurları ve eğilimleri,
3. harici (kuruluş dışı) paydaşların yaklaşımları ve değerleri

İçsel İlişkilendirme (İç hususlar)

İçsel ilişkilendirme; kuruluşun, hedeflerini gerçekleştirmeye çalıştığı süreçte içinde bulunduğu mevcut koşulları kapsamaktadır.

Risk yönetim sürecinin, kültürel, işlemsel ve yapısal koşullara uyumluluk göstermesi gerekmektedir. İçsel ilişkilendirme, kuruluşun kendi bünyesinde yer alan ve bertaraf etmek istediği bütün risk türlerine herhangi biçimde etki eden her türlü unsuru kapsamaktadır.

İçsel ilişkilendirmenin yapılandırılmasında şu gerekçelerden yararlanılmalıdır:

1. Risk yönetimi kuruluşun hedefleri doğrultusunda uygulanır.
2. Belirli bir projenin, sürecin ya da faaliyetin hedeflerinin ve risk kriterlerinin belirlenmesinde, kuruluşun genel hedefleri göz önünde bulundurulmalıdır.
3. Kuruluşların birçoğu için, stratejik hedeflere, proje hedeflerine ya da iş hedeflerine ulaşamama ihtimali büyük ölçüde bir risk teşkil etmektedir. Bu risk, kuruluşun süregelen yükümlülüğünü, itibarını, güvenilirliliğini ve değerini etkilemektedir.

İçsel ilişkilendirmenin yapılandırılmasına ilişkin boyutlar:

• Kaynaklar ve faaliyetler için gerekli unsurlar (ör: sermaye, zaman, insan, süreçler, sistemler ve teknolojiler),
• Bilgi işletim sistemleri, bilgi akışı ve karar süreci (resmi ya da gayri resmi),
• Dahili (kuruluş içi) paydaşlar,
• Tanımlanmış hedeflere ve geçerli stratejilere ulaşmak için yapılacak eylemler,
• Temel prensipler, değerler ve kültür,
• Kuruluşun üstlendiği standartlar, kılavuzlar ve referans modeller
• Organizasyon (ör. yönetim, görev ve sorumluluklar)

olarak açıklanmaktadır.

3. Risk yönetimi bağlamında ilişkilendirme

Kuruluşun hedefleri, stratejileri, faaliyet alanı ve özelliklerine etki eden diğer unsurlar ya da kuruluş bünyesinde risk yönetiminin uygulanacağı tüm bölümler belirlenmelidir. Risklerin yönetiminde, risk yönetimi için gerekli olan kaynakların ihtiyaç ve gerekliliklerine göre hareket edilmelidir.

Gerekli araçların (kaynakların), sorumlulukların ve yetkilerin yanı sıra bunlara dair bilgi ve belgelerin de ayrı ayrı belirtilmesi gerekmektedir.

Risk yönetimi süreci bağlamında yapılacak ilişkilendirme, kuruluşun ihtiyaçlarına göre değişkenlik gösterebilir. Söz konusu ilişkilendirme ile ilgili asgari koşullarda göz önünde bulundurulacak hususlar:

• Risk yönetim sürecindeki sorumlulukların belirlenmesi,
• Gerçekleştirilecek dahili ve harici risk yönetimi faaliyetlerinin boyutunun, derinliğinin ve genişliğinin en ince ayrıntısına kadar tanımlanması,
• Faaliyetin, sürecin, işlevin, projenin, ürünün, hizmetin ya da varlık değerinin
• zamana, mekana, hedefe ve amaca göre tanımlanması,
• Risk yönetimi projesi ve kuruluşun diğer projeleri ya da faaliyetleri arasındaki bağlantının açıklanması,
• Risk değerlendirme yönteminin (metodolojisinin) belirlenmesi,
• Risk yönetimi değerlendirme metodunun performansı ve ne derece etkili olduğu,
• Zorunlu olarak alınması gereken kararların belirlenmesi ve tanımlanması,
• Kapsamın, hedeflerin ve gerekli kaynakların sağlanabilmesi için yapılacak ön çalışmaların belirlenmesi

olarak açıklanmaktadır.

Kuruluşun içinde bulunduğu durumla ve hedeflerine ulaşabilmesine engel olan risklerle uyumlu bir risk yönetimi sistemi anlayışı oluşturabilmek için bu ve ilgili diğer unsurların dikkate alınması gerekmektedir.

4. Tartışma ve Sonuç

Görüldüğü gibi ISO/IEC 27001 standardının güncellenen 2013 versiyonunda kurum bağlamı, ISO 31000 standardı referans alınarak kuruluşlara risk yönetimi sürecinin daha etkin bir şekilde ele alınmasını ve bu yönde önleyici bir yaklaşım sergilenmesini, bunun sonucunda riskleri ve fırsatları ele alacak aksiyonların yapılmasını gerektiren bir dizi çalışmayı öngörmektedir. Tüm bu çalışmaların sürekli iyileştirme döngüsü içinde yürütülmesi de unutulmamalıdır.

5. Kaynaklar

[1] ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 2012

[2] ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary

[3] ISO 31000, Risk Management — Principles and Guidelines

KURUMSAL BİLGİ GÜVENLİĞİ’ne bakış

Günümüzde internetin yaygınlığının ve kullanımının artması, gittikçe üzerinden daha fazla kritik veri dolaşması, kurumların iş süreçlerini elektronik ortama taşıyarak kurumsal kaynak planlama (ERP) ile e-iş fonksiyonlarını birleştirme çabaları, bunun sonucunda daha hızlı işlem yapmaları ve dolayısıyle ürün ve hizmetlerine rekabet üstü değerler kazandırmaları git gide tüm bu unsurlara temel teşkil eden güvenlik teknolojilerinin önemini arttırmaktadır. Veri güvenliği, ortam güvenliği, kullanıcı tanıma, e-ticaret gibi kavramlar giderek artan oranlarda kullanılmaktadır.

Bugünün “dijital ekonomi” dünyasında, bilgiye sürekli erişimi sağlamak ve bu bilginin son kullanıcıya kadar bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması giderek bir seçim değil zorunluluk haline gelmektedir.

İşte yaşanan tüm bu süreçler bilginin kaynağı ve değerlendirilmesinin yanı sıra Bilgi Güvenliği (BG) ile ilgili kavramların incelenmesini de gerekli kılmaktadır. Bilginin oluşma sürecine bakıldığında ham verilerin (data) toplandıktan sonra enformasyona dönüştüğünü, bunların işe yarar ve bizlere katma değer yaratabilecek bilgilere (knowledge) çevrildiğini, en sonunda ise tüm bilgilerin sistematik ve etkin bir şekilde insan aklı (wisdom) ile birlikte yoğrulup değerlendirilerek  bundan buluşların ve yeniliklerin ortaya çıktığını görürüz.

Ünlü yönetim danışmanı Peter Drucker’a göre çağımızda sermaye, işgücü, teknoloji gibi klasik üretim unsurlarından daha önemli asıl kritik üretim unsuru “bilgi” dir. Bugün dünyanın en büyük kurumlarının ekonomik değerlerinde bilginin payı gittikçe artmaktadır. Yaratılan değerin yarıdan fazlası yazılım, mühendislik bilgisi, buluş vb gibi bilgilerden oluşmaktadır. Bunun yanı sıra personel “bilgi varlığı” da artık kurumların piyasa değerlerinin belirlenmesinde ölçülebilir hale getirilmeye çalışılmaktadır.

Tüm dünyada yaygın bir  yaklaşımla BG ile ilgili üç terim öne çıkar:

1. Gizlilik (confidentiality)
2. Bütünlük (integrity)
3. Kullanılırlık (availability)

Kısaca, Gizlilik; önemli, hassas bilgilerin istenmeyen biçimde yetkisiz kişilerin eline geçmemesini, Bütünlük;  bilginin bozuk, çarpık ve eksik olmamasını, Kullanılırlık ise bilgi veya bilgi sistemlerinin kullanıma hazır veya çalışır durumda olmasını hedefler.

İşte bilginin bu şekilde değerlenmesi, kurumların ürün ve hizmet bilgilerinin yanı sıra, stratejik, finansal, pazar bilgilerinin rakiplerden ve yetkisiz erişimlerden korunması, süreçlerin hızlı ve kusursuz bir yapıda işlerliği, tüm bunlara hizmet veren bilgi teknolojilerinin (IT) alt yapısı, işletim yazılımları, iletişim ağları, bilgi yönetimi vb unsurların bir sistem dahilinde düzenlenmesini ve ele alınması gereğini ortaya çıkarmıştır.

Yalnız teknolojik önlemlerle (anti-virüs, “firewall” sistemleri, kripto vb.) iş süreçlerinde bilgi güvenliğini sağlama olanağı yoktur. Bilgi güvenliği, süreçlerin bir parçası olmalı ve bu bakımdan bir iş anlayışı, yönetim ve kültür sorunu olarak ele alınmalıdır. Her kurum mutlaka bireysel olarak ve kurum bazında bir güvenlik politikası oluşturmak, bunu yazılı olarak dokümante etmek ve çalışanlarına, iş ortaklarına, paydaşlarına aktarmak zorundadır. Tüm çalışanlar bilgi güvenliği konusunda bilinçli olmalı, erişebildikleri bilgiye sahip çıkmalı, özenli davranmalı,

üst yönetim tarafından yayınlanan “BG politikası”  şirket açısından bilgi güvenliğinin önemini ortaya koymalı, sorumlulukları belirlemeli, çalışanlarını bilgilendirmeli ve

BG sistemi, iş ortaklarını (müşteri, tedarikçi, taşeron, ortak firma vb.) da kapsamalıdır.

İşte bu nedenlerle “Kurumsal Bilgi Güvenliği” kavramı altında bir yönetim sistemi oluşturma yönünde yapılan çalışmalar 1993 yılında BS 7799 standardını, 2000 yılında ise ISO/IEC 17799 standardını ortaya çıkarmıştır. 2013 yılında ikinci revizyona uğrayan Bilgi Güvenliği Standardı ISO/IEC 27001:2013 olarak yayınlanmıştır.

Kısaca ISMS (Information Security Management System) olarak adlandırılan ve daha birçok IT bazlı standartlarla desteklenen bu yönetim sistemi standardında, bilişim teknolojilerinin güvenliği ile ilgili kriterler ile bu sistemlerin yeterliliği, standardın Ek-A kısmında yer alan gerekli kontroller ve amaçları listelenmiştir. Bu bölümde 5-18 başlıkları altında 114 sorgulama ve detay kontrol yapılmaktadır.

Tüm bunlardan çıkan sonuç; Bilgi Güvenliği’nin bir teknoloji sorunu olmadığı, bunun bir iş yönetimi (sistem) sorunu olduğudur.  Bu nedenle günümüzün rekabet ortamında global ekonominin içinde varolmak için bilgi ve know-how’larımızı koruma ve güvence altına alma, bunu bir yönetim sistemi yaklaşımı içinde kurumsal düzeyde yaygınlaştırma mecburiyeti kurumları Bilgi Güvenliği Yönetim Sistemi kurmaya ve kullanmaya zorlayacaktır.

 

VERİMLİLİK VE VERİMLİLİK ARTIRMA TEKNİKLERİ

Genel bir tanım olarak verimlilik, bir üretim ya da hizmet sürecinin çıktısı ile bu süreci yaratan girdi arasındaki ilişkidir. Yüksek verimlilik, aynı miktar girdi (kaynak) ile daha çok çıktı (ürün/hizmet) elde etmektir. Bu ilşki aşağıdaki şeklşde formüle edilir:

Verimlilik = Çıktı / Girdi

İşletmelerde yöneticilerin hedefi, yapılan faaliyetlerin türü ne olursa olsun, istenen sonuçları (süreç çıktıları) en kısa zamanda, en az maliyetle ve öngörülen zaman dilimi içinde gerçekleştirilmesini sağlamaktır. Bu hedefi gerçekleştirmeye çalışırken, işletmedeki bütün çalışanları katkısı önemlidir ve kullanılan kaynaklarda tam anlamıyla yararlanabilmek için verimlilik düzeyinin mümkün olan en üst düzeyde tutulması ve dolayısıyla tesisin her bölümünün bütün yönleriyle verimli çalıştırılması gerekir.

Genel olarak verimlilik kavramını incelerken bir sürece ait girdileri ve çıktıları dikkate almak gerekir. Süreç girdileri olarak kaynakları oluşturan temel girdiler malzeme, enerji ve bilgi boyutlarında oluşur. Yararlı çıktı sağlamak için kaynakların etken (efficient) kullanılması, amaçlanan sonuca ulaşmak için çıktının etkili (effective) olması gerekir. Başka bir deyişle sürecin etkin (ya da etken) olması için kaynakların (zaman, malzeme, enerji, iş gücü vb) yeterli ve gerektiği kadar kullanılması gerekir. Yani kaynaklar israf edilmemeli, planlandığı şekilde tüketilmelidir. Buna karşın süreç çıktısının etkililiği ise istenen sonuçlara ulaşabilme derecesidir. Buradan anlaşılacağı gibi bir sürecin etkin ya da etken olması, süreç çıktısının etkili olacağı ya da başka bir deyişle sürecin etkililiğinin istenen seviyede olacağı anlamına gelmez.

Üretkenlik (productivity) ise etkenlik ile etkililik arasındaki oranı ifade eder. Üretkenlik, üretilen çıktı miktarının ya da ortaya çıkan hizmetin kullanılan kaynak miktarına kıyaslanmasıyla elde edilir. Verimlilik ise çıktının parasal değerinin girdi maliyetlerine kıyaslanmasıdır. Üretkenlik artışı çıktı miktarının girdi miktarına göre göreceli olarak artışı ile gerçekleşir. Verimlilik artışı ise, girdi maliyetlerinin çıktı değerinden daha fazla azaltılmasıyla elde edilebilir. Kavramların süreç üzerindeki şematik gösterimi Şekil-1’de verilmiştir.

Genel olarak üretkenliği ya da verimliliği arttırmak değişik yöntemlerle ve yollarla olabilir. Örneğin; yeni ve modern teknoljik yatırımlarla birim zaman içindeki üretim miktarı arttırılabilir. Diğer taraftan yeni bir yatırıma gitmeden mevcut kaynakları daha etken (etkin) kullanmanın yollarını aramak, örneğin insan gücü etkinliğini yükseltmek, planlama ve kontrol fonksiyonlarını geliştirmek, yeni çalışma metotları uygulamak gibi yöntemlerle işin daha kolay ve çabuk yapılmasını sağlayarak verimlilik arttırılabilir. Verimlilik artışı, artan etkililik ve var olan kaynakların daha iyi kullanımının (etkin) bir bileşimidir.
Ancak bu tür çalışmalara başlamadan önce bir fayda-maliyet analizi yapmak ve uzun dönemdeki muhtemel etkileri de göz önün alarak karlı olanı uygulamak gerekir. Verimliliği arttırmak için uygulanabilecek yöntemler altı grupta toplanabilir. Bu metodlar Şekil-2’de şematik olarak gösterilmiştir: . Buradaki ilk üç yöntem genellikle yatırıma ve araştırma/geliştirmeye yönelik uzun dönemli çözümler olup masraf ve yatırım gerektirir. Buna karşın diğer metodlar daha ucuz ve kısa vadede gerçekleştirilebilecek çözümlerdir.

Şekil-2: Verimlilik Arttırma yöntemleri

Uygulamada verimlilik artırma programlarının uygulanmasında kullanılan teknikler çoğunlukla, bilgi toplama ve iş etkililiğini artırma amacına yöneliktir. Kullanılan yöntemler iki gruba ayrılır :
1. Teknik Yaklaşım; Mühendislik teknikleri ve ekonomik analiz
2. İnsan Açısından Yaklaşım; Davranışsal yöntemler
Bu gruplarda kullanılan yöntemler ve teknikler aşağıdaki alt başlıklarda toplanabilir;
1. Mühendislik teknikleri ve ekonomik analizler:
o İş etüdü
o Metot etüdü
o İş ölçümü (iş örneklemesi, zaman etüdü)
o İş basitleştirme
o Pareto analizi
o Tam zamanında üretim (JIT) yöntemi
o Değer analizi yolu ile yönetim
o Maliyet – fayda analizi
o Sıfır bazlı bütçe
o Maliyet – verimlilik tahsisi

2. Davranışsal teknikler:
o Örgüt geliştirme
o Beyin fırtınası
o Güç-Alanı analizi
o Nominal gruplama tekniği
Yukarıda belirtilen tüm uygulama teknikleri işletmenin gereksinimlerine göre uygulanmalıdır. Bir verimlilik projesine başlamadan önce kuruluşun mevcut durumu ortaya konmalıdır. Bu kapsamda davranışsal teknikler kulanılarak işe başlanabilir. Öncelikle bir SWOT analizi yapılarak kuruluşun kuvvetli ve zayıf yönleri, tehditler ve fırsatlar ortaya konur. Aşağıdaki ana konular irdelenebilir;
• Kuruluşun bugünkü verimlilik-etkililik durumuna erişmesinde yardımcı olan güçlü yönleri nelerdir?
• Kuruluşun daha yüksek bir verimlilik-etkililik düzeyine erişmesini önleyen sorunlar nelerdir?

Farklı yönetim düzeylerindeki insanlardan oluşan çalışma grupları kurumun güçlülük ve sorunları konusundaki görüşlerini tanımladıktan sonra elde edilen bulgular bir workshopda sentezlenir, ilgili konu başlıkları tartışılır, gerekli hallerde neden-sonuç diyagramları yardımıyla sorunların tespitine çalışılır. Elde edilen bulgular değerlendirilerek güçlü olunan yönlerin nasıl geliştirileceği ve sorunların üstesinden nasıl gelineceği üzerinde durulur. Tüm bunlardan hareketle üst yönetimin onayı ile stratejiler ve eylem planları oluşturulur.

İşletmelerde verimlilik artışı, aynı zamanda bir değişim sürecidir. Bu nedenle, verimlilik artışı için değişimi yönetmek gerekir. Bu nedenle, insan ve insan gücü yapısı, tutm ve değerler, yetkinlik, beceri ve eğitim, teknoloji ve techizat, ürünler ve pazarla dahil tüm kurumsal öğelerdeki değişimin hız ve ölçeğinin planlanması ve koordine edilmesi önemlidir. Bu değişimler verimlilik/üretkenlik artışına olduğu kadar, teknolojik değişime de yardımcı olacak olumlu bir tutumun ve kurum kültürünün gelişmesini sağlar.

İş Sürekliliği Semineri Açık Radyo Programında

19-20 Ekim 2009 tarihlerinde İTÜ Ayazağa Kampüsü Süleyman Demirel Kültür Merkezi’nde AYMED, İTÜ/AYM ve DAAD şbirliğiyle gerçekleşen Risk Yönetiminde Başarı Faktörü “İşSürekliliği Yönetimi” adlı seminerle ilgili olarak AYMED Dernek Başkanı Altay Onur 28 Ekim tarihinde Açık Radyo’nun “Altın Saatler” programının konuğu oldu.

İSY seminerinin DAAD desteğinde ve İTÜ Afet Yönetim Merkezi işbirliğiyle düzenlediklerini belirten Onur, etkinliğin 300’e yakın katılımcı tarafından izlendiğini ve özellikle özel sektör ve kamu kuruluşlarından yoğun ilgi gördüğünü açıkladı. Onur, yaptığı konuşmada, amaçlarının iş sürekliliği konusunda Türkiye’de bir farkındalık yaratarak bu alanda dünyadaki gelişmeler hakkında bilgi vermek ve ilgili tarafları bir araya getirmek olduğunu ve nihayi hedeflerinin Türkiye’de bir İSY kültürü oluşturulması yönünde bir ilk adım atmak, İSY’nin kurum ve kuruluşlarda bir yönetim sistemi olarak algılanmasının gereğini vurgulamak ve bu yöndeki çalışmalarda ilgili tarafları bir araya getirmek olduğunu söyledi.

Bir sivil toplum kuruluşu olarak AYMED hakkında da bilgi veren Onur, bundan sonra da güncel ve ilgi çekici konularda DAAD desteğinde Alumni-Seminerleri düzenlemeyi sürdüreceklerini ve böylece hem Almanya’daki hem de Türkiye’de değişik uzmanlık alanlarındaki kişileri, Alumni’leri bir araya getirerek iki ülke arasındaki yakınlaşma ve bilgi alış verişinde etkin bir rol almayı istediklerini, kişi ve kuruluşların birbirlerini tanıması ve iletişime geçerek yeni işbirlikleri oluşturulmasına vesile olmayı hedeflediklerini belirtti.

Radyo konuşması için: http://aymed.org/index.php?p=15&nid=18

RİSKLERE HAZIRLIKLI OLMAK İÇİN “İŞ SÜREKLİLİĞİ YÖNETİMİ”

Günümüzün ekonomik koşulları ve kriz ortamındaki belirsizlikler, beklenmedik olaylar ve afetler, büyüklüğü ve sektörü fark etmeksizin tüm kuruluşları etkiliyor. Kuruluşların, imajının zedelenmesi, ürün ya da hizmetlerine yönelik çıktılarını durdurabilecek herhangi bir olumsuz durumda en kısa sürede tekrar ayağa kalkarak hayata geçmesi Risk Yönetimi ve bununla ilişkili olarak “İş Sürekliliği Yönetimi” (Business Continuity Management) konusuna ne derece sistemsel olarak benimsediklerine bağlı oluyor.

Son yıllarda finans, telekomünikasyon, bilişim, ulaşım ve kamu sektörü ile savunma sanayi gibi yüksek risk içeren ortamlarda faaliyet gösteren kurum ve kuruluşların kendisi, müşterileri ve iş ortakları için ürün, hizmet ve çözümlerin sunumunda işin sürekliliğine hazırlıklı olmak, bununla ilgili temel gereklilikleri bir sistematik içinde ele almak gittikçe önem kazanıyor.

Kuruluşların, bu tür bir sistem yaklaşımında mevcut durumlarını analiz ederek,

• Beklenmedik olaylara karşı hazırlıklı olmak
• Felaketlere hızlı ve doğru karşılık vermek
• Varlıklarını ve nakit akışını korumak
• Kesinti süresini en aza indirerek normal operasyonlara dönüşü sağlamak

yönünde bir dizi iş sürekliliği planları (BCP) yapmaları ve senoryalar düzenlemeleri gerekiyor.

Artan rekabet ile müşteriyi kazanmanın ve elde tutmanın gittikçe zorlaşması, organizasyonları kalite, zaman ve maliyet boyutlarında rekabet fırsatları yaratmaya ve bu yöndeki arayışlara/yeniliklere yönlendirirken, kritik iş süreçlerini destekleyen alt yapı (bilgi sistemleri, telekomünikasyon, elektrik, su, gaz vb) hizmetlerinin 24 saat 7 gün kesintisiz sürdürülmesi olmazsa olmazlar arasına giriyor. Bu sistemlerde meydana gelecek 1-2 saatlik bir aksama bile şirketin büyüklüğüne bağlı olarak ciddi kayıplara yol açabiliyor.

Bilgisayar sistemlerinde ve iletişimdeki ciddi aksamalar organizasyonlardaki işleyişi önemli ölçüde etkileyebiliyor. Fibre Channel Endüstri Birliği’nin yaptığı bir araştırmaya göre, felaket durumunda bir şirketin sadece 1 saatte uğrayacağı kayıp, bir kargo şirketinde 28.000 USD, bir menkul değerler şirketinde ise 6 milyon USD’ye yakın. Info Security dergisinde  yayımlanan bir makalede etkin iş sürekliliği planlarının, kayıpları %90 oranında azalttığını belirtiliyor.

Bilişim teknolojilerindeki güvenlik riskleri ve ağ yapılarındaki aksamalar bir yana, deprem, sel, fırtına gibi doğal afetler, sabotaj, donanım veya yazılım hatası, bir makine veya ekipman duruşu, nakliye aracının kaza görmesi, insani hatalar, sistemlerde meydana gelebilecek performans sorunları gibi önceden tahmin edilebilen ya da edilemeyen iç veya dış faktörler sonucu hasara uğrama ve ciddi bir felaketle karşılaşma olasılığı, tüm kurumlar için dikkate alınması gereken riskler arasında bulunuyor.

Nisan 2004 tarihinde US/Canada Power System Outage Task Force tarafından yayınlanan bir raporda, Ağustos 2003 tarihindeki ABD/Kanada Kuzey-Doğu Elektrik Güç Sisteminde yaşanan büyük kesintinin yaklaşık 8 ile 12 milyar USD tutarında bir kayba neden olduğu belirtilmektedir. Madrid’de 2004 yılında teröristlerce gerçekleştirilen tren bombalama eylemlerinden sonra FTSE (Financial Times Stock Exchange) borsasında yaşanan ani düşüş, 55 milyar USD kayıp ile sonuçlanmıştır.

Bu nedenle olağanüstü bir duruma ya da beklenmedik bir olumsuz duruma karşı hazırlıklı olmak ve organize hareket etmeyi planlamak büyük önem taşıyor. Ortaya çıkma olasılığı düşük olmakla birlikte gerek maddi boyutu, gerekse kuruluşların imaj ve itibarı göz önüne alındığında, olası kayıp ve etkisi yıkıcı boyutlarda olabilecek, acil ve beklenmedik bir duruma karşı iş sürekliliği planlamasının önemli bir gereklilik olduğu görülüyor.

Deloitte Küresel Finansal Sektör Güvenlik Araştırması’na göre kurumların ilk 5 Güvenlik İnsiyatifi (2008) önem derecesine göre aşağıdaki şekilde sıralanıyor;

1. İş Sürekliliği  (50%)
2. Kimlik Yönetimi (43,75%)
3. Güvenlik Altyapısı İyileştirme (43,75%)
4. Felaket Kurtarma (37,5%)
5. Uygulama Güvenliği (31,25%)

İşte bu yönde geliştirilmiş BS 25999 İş Sürekliliği Yönetimi (Business Continuity Management) standardı; kuruluşların faaliyetlerini tehdit eden durumları ve bunların olası iş etkilerini tespit eden, olumsuz bir durumda en kısa sürede faaliyetlerin tekrar hayata geçmesi ile ilgili bir dizi faaliyeti içerdiği gibi; dolaylı olarak müşterilerin, tedarikçilerini, tedarik zincirindeki paydaşlarını ve iş ortaklarını belirlemede ve işbirliklerini sürdürmesinde başlıca gereklilikleri tanımlıyor.

Her kurumun kendi özelliklerine göre farklı bir plana sahip olması gerekir. Sistemin devamlılığı açısından, kurumda bir risk kültürü oluşturma ve acil durumlara karşı hazırlıklı olunması gereğinin üst yönetimce benimsenmesi, planlı ve organize hareket etme bilincinin çalışanlara aktarılabilmesi amacıyla bilinçlendirme çalışmaları yürütülmelidir. Burada önemli olan kuruma uygun İş Sürekliliği Planlamasının yine kurum çalışanlarının katılımıyla ve üst yönetimin desteğiyle yapılması ve İş Sürekliliği Yönetim Sisteminin oluşturulmasıdır.

Günümüzde, iş dünyasında yaşanacak bir kriz durumu ve olası etkileri sınırlar ötesine kadar ulaşarak kolayca kuruluşların yurt içi ve yurt dışı müşterilerini etkilemekte, aynı şekilde tedarik zinicirindeki iş ortaklarına yönelik tehditler dolaylı olarak kurumlara yönelik tehditler oluşturmaktadır. Artık verilerin yedeklenemesi ve bir felaket durumunda verilere erişilmesi, sistemi tekrar ayağa kaldırılması yeterli olmamaktadır. Şirketlerin, birçok tesisin çalışamaz duruma düşmesi, insanların salgın hastalık veya bir afet nedeniyle uzun süre işe gelememesi, işlerin kesintiye uğraması vb durumlarda faaliyetlerini nasıl sürdüreceklerini önceden düşünmeleri ve ona göre hazırlıklı olmaları gerekmektedir.

Kuruluşlara, paydaşlarının çıkarlarını, itibar, marka ve değer yaratma faaliyetlerini korumak üzere etkili yanıt yeteneği ve esneklik kazandıran yapısal bir çerçeve sunan, bütünsel bir yönetim sistemi olan “İş Sürekliliği Yönetimi” yakın bir zamanda uluslararası düzeyde önemli bir rekabet unsuru olarak yer alacağa benziyor.

Ergonomi

V. Endüstri Mühendisliği Bahar Konferansları Ergonomi teması ile 10-11 Nisan 2009 tarihinde Tepekule Kongre ve Sergi Merkezinde gerçekleştirildi.

Etkinlik kapsamında 11 Nisan 2009 günü şirketlerden uygulama örnekleri altında Altay Onur “Siemens Uygulamalı Ergonomi Projeleri UYEP” sunumunu yaptı.

Türkçe’nin gücü konusunda hemfikiriz

Çevirmen, öğretim görevlisi ve araştırmacı Rekin Teksoy’la bir ömrü adadığı verimleri üzerine Faruk ŞÜYÜN tarafından yapılan röportajdan;
20.07.2009 – Dünya Gazetesi

Türkçemizi sizin gibi çok seviyorum. Yalnızca okuduğunuzda değil, dinlediğinizde de son derece güzel bir dil…

“Şimdi, ‘İlahi Komedya’yı çevirdiğimde kitap çıktıktan sonra Ravenna’ya davet ettiler. Ravenna’da, Dante’nin gömülü olduğu kilisede ölüm tarihinde her yıl tören yapıyorlar. Bir ay sürüyor. O törene de çevirmenleri çağırıyorlar tüm dünyadan. Ve çevirdiği dilde bir kantoyu da okumasını istiyorlar. Bana, ‘Araf’tan bir kanto seçin’ dediler. Ben de kendime göre Türkçe bir kanto seçtim, ‘Bunu okurum’ dedim. Ravenna’ya gittik. Bir hafta önce Rus bir çevirmen gelmiş, Rusça okumuş gitmiş. İkinci hafta Türkçe çeviri var, üçüncü hafta da Portekizce idi galiba. Çünkü biz, orada 3 gün kalıp döndük, diğer çevirmenleri görmedik.

Ravenna’daki kilise tıklım tıklım doluydu. Konuşmacı olarak Roma Üniversitesi’nin Türkoloji Bölümü’nden profesör Anna Masala, Vitterio Sermonti diye Dante uzmanı bir İtalyan ve ben vardım… Sermonti, bana dedi ki ‘Sen Türkçe okurken sıkılabilirler, olabilir, dışarı çıkan olursa gocunma.’ ‘Peki, gocunmam’ dedim. ‘Çok çıkan olursa kes, nasıl olsa anlamazlar’ diye devam etti. Herkese kitapçıklar dağıtmışlar, Türkçe ve İtalyanca yan yana yer alıyor ne okunacaksa.

Toplantı başladı, konuşmalar yapıldı. Anna Masala, Türkiye’deki İtalyan ve Türk edebiyatı ile ilgili bir konuşma yaptı. Tam da Öcalan nedeniyle Türkiye ile İtalya’nın münasebetlerinin biraz gergin olduğu bir döneme rastlıyordu o tarih. Ben, konuşmamın başında şunu söyledim: ‘Milletler ve halklar arasındaki ilişkiyi diplomatlar kurmaz, sanatçılar, okur-yazarlar kurarlar. İtalyan edebiyatı bizim ülkemizde de sevilir, saygı görür. Ben size İstanbul’dan, Boğaz kıyılarından selâmlar getirdim. Sizlerin yüzlerinden de okuyorum, bana, buradan selâm götür diyorsunuz’ dedim. Alkış koptu. Sıra okumalara gelince İtalyan kalktı, kendi temposuyla kantoyu okudu. Sıra bana geldi, Türkçe okuyorum. Ya Faruk, çıt çıkmadı 15 dakika. Dinlediler. Bitti, alkış… Bana değil, Türkçe’ye… Ben bir Müşfik Kenter değilim, sıradan bir okuyucuyum, belki o gün özenmişimdir, ama o kadar… 

Asıl güzelini, ertesi sabah otelde, odadan çıktım, kahvaltıya ineceğim, asansöre doğru yürürken yaşadım. Karşıdan bir kat görevlisi geliyor, ‘Buon giorno” dedik biribirimize. Ben asansörü çağırdım, adam, ‘sizi dün gece dinledim’ dedi. ‘Televizyondan mı?’ diye sordum ‘yok, kiliseye geldim’ diye yanıtladı. Sonra aklıma geldi sordum: ‘İtalyanca konuşurken iyi de ben Türkçe kantoyu okurken sıkılmadınız mı?’ ‘Ne diyorsunuz’ dedi, ‘ben, bir ırmak kenarında su sesi dinler gibi dinledim sizi.’ Bu bir kat görevlisi, büyük ihtimalle çok tahsilli olmayan bir adam. Benzetmeye bak: ‘Bir ırmak kenarında su sesi dinler gibi dinledim sizi…’ Beni değil, o, Türkçe’yi dinledi. Biz Yunus Emre’den, Karacaoğlan’dan, Nâzım Hikmet’ten buraya kadar üretile üretile, güzelleştirilerek gelen dilimizin değerini bilmiyoruz, öğretmiyoruz da yeni kuşaklara. Gramer öğretmiyoruz, dil bilgisi öğretmiyoruz, yazarlarımızı okuyun demiyoruz.”

Farkındalık Yaratmak

Küreselleşen dünya ve artan rekabet koşulları kuruluşları her gün daha fazla karar almaya zorlamakta ve bu kararlar gittikçe karmaşık yapılar oluşturmaktadır. Sorunları minimum kaynak kullanarak çözmek pek kolay olmamaktadır. Temel sorun, işletmelerin problemlerini rakiplerinden daha verimli ve ekonomik çözmesi, verecekleri kararların sonuçlarının iş süreçlerine etkin ve etkili bir şekilde yansıtılmasıdır. Bir şirketi rakiplerinden üstün kılan bu farklılıklarda oluşmaktadır.

EĞİTİM VE DANIŞMANLIK HİZMETLERİMİZ

Global Yönetim Sistemleri

Kalite Yönetimi (ISO9001), Çevre Yönetimi (ISO 14001), İş Sağlığı ve Güvenliği, Bilgi Güvenliği (ISO 27001), İş Sürekliliği Yönetimi (BS 25999), Tedarik Zinciri Yönetimi (SCM), Yalın Yönetim, ERP

KOBİ’lere ve Sektöre Özel Eğitimler ve Uygulamalı Projeler

Problem Çözme Teknikleri, FMEA, 5S, Ergonomi, Lojistik, Tedarikçi Değerlendirme, TPM, Kanban, Değer Akışı Haritalandırma, Stok Yok Etme, MUDA, Depo Düzenleme, Poka Yoke…

Eğitim ve Danışmanlık faaliyetlerimizde, uzmanlık, deneyim ve yüksek kalite anlayışımızla müşterilerimize ve iş ortaklarımıza rekabet üstünlüğü sağlamak ve müşteri memnuniyetini en üst seviyeye çıkarmak hedefimizdir.

İş Sürekliliği Yönetimi Uzmanlık Semineri

AYMED (Almanya Yüksekokulları Mezunlar Derneği) ile İTÜ/AYM işbirliğinde DAAD tarafından desteklenen Risk Yönetiminde Başarı Faktörü: “İş Sürekliliği Yönetimi” Semineri 19-20 Ekim 2009 tarihlerinde İTÜ Ayazağa Kampüsü SDKM’de gerçekleşti.

Seminer Düzenleme Kurulunda Prof. Dr. Mikdat Kadıoğlu ile birlikte yer alan ve etkinliği organize eden Altay Onur tarafından yayıma hazırlanan seminer kitabı İTÜ yayını Nr. 1655 (ISBN 978-975-561-361-1) olarak yayımlandı.

Detaylı bilgi için: http://aymed.org