Kriz Yönetimi & İş Sürekliliği
Masabaşı Egzersizi
Tabletop ExerciseSistemlerinize dokunmadan, operasyonunuzu durdurmadan ekibinizin gerçek bir krize ne kadar hazır olduğunu ölçün. Simüle senaryolar, yapılandırılmış tartışma, raporlanmış çıktı.
Masabaşı Egzersizi Nedir?
Masabaşı egzersizi; gerçek sistemlere müdahale etmeden, yöneticiler ve teknik ekiplerin simüle edilmiş bir kriz senaryosu üzerinden tartışarak müdahale planlarını, koordinasyon zincirlerini ve karar alma süreçlerini test ettiği yapılandırılmış bir tatbikat yöntemidir.
NATO, NIST SP 800-84 ve ISO 22301 standartlarında tavsiye edilen bu metodoloji; bir kolaylaştırıcı eşliğinde yürütülür ve "şimdi ne yaparsınız?" sorusu etrafında şekillenir. Ekiplerin birbirinden bağımsız aldığı kararların sistemin bütününe nasıl yansıdığı, gerçek kriz yaşanmadan görünür hale gelir.
Fidye yazılımı, veri ihlali, kritik sistem arızası veya tedarik zinciri krizi gibi senaryolarda kurumunuzun müdahale kapasitesi sahada değil, kontrollü bir ortamda ölçülür. Tespit edilen boşluklar raporlanır ve öncelikli aksiyon planına dönüştürülür.
"Bir planın gerçekte ne kadar iyi çalıştığı, ancak o plan test edildiğinde anlaşılır. Masabaşı egzersizleri bu öğrenmeyi krizin bedelini ödemeden mümkün kılan en etkili araçtır."
Çok Paydaşlı Katılım
IT, Hukuk, İK, Üst Yönetim ve Operasyon aynı masada. Kriz yalnızca IT'nin sorunu değildir.
Plan Doğrulama
BCP/DR planlarının gerçek hayata uygunluğu güvenli ortamda test edilir ve eksikler belgelenir.
Zaman Baskısı Altında Karar
Ekipler belirsizlik ve zaman kısıtı altında karar alır. Kriz psikolojisi deneyimlenir, sürpriz ortadan kalkar.
Raporlanmış Çıktı
Egzersiz sonunda iyileştirme öncelikleri, boşluk analizi ve sorumlu/tarih içeren aksiyon planı teslim edilir.
Regülasyon Kanıtı
DORA, ISO 22301 ve BDDK gibi düzenleyicilerin talep ettiği tatbikat belgesi egzersiz raporuyla karşılanır.
Klasik İş Sürekliliği Planları Neden Yeterli Değil?
Rafta duran bir BCP, gerçek kriz anında ekibinize güven vermez. Planların yarattığı tehlikeli yanılsamalar:
Yalnızca Plan — Test Edilmemiş
Kâğıt üzerinde mükemmel, pratikte yetersiz
Plan bir bütün olarak hiç test edilmemiş; teorik varsayımlara dayanıyor
Sorumlular değişmiş, roller belirsiz; kim ne yapacak kriz anında netleşemiyor
İletişim zinciri güncel değil; kriz anında kritik kişilere ulaşılamıyor
RTO/RPO hedefleri gerçekçi değil; teknik ekip bile bu hedeflerin farkında değil
Departmanlar arası bağımlılıklar ve koordinasyon boşlukları görünmez kalıyor
Hukuki bildirim süreleri ve regülatör yükümlülükleri belirsiz
Altyapı değişmiş; plan güncellenmemiş, kritik sistemler artık farklı çalışıyor
Kriz psikolojisi deneyimlenmemiş; baskı altında karar alma refleksi gelişmemiş
Plan + Masabaşı Egzersizi
Test edilmiş, doğrulanmış, işe yarayan plan
Plan gerçekçi senaryolarla test edilmiş; zayıf noktalar önceden tespit edilip düzeltilmiş
Roller ve sorumluluklar prova edilmiş; herkes kendi görevini biliyor
İletişim protokolleri test edilmiş; eskalasyon sırası ve kanalları netleşmiş
RTO/RPO hedefleri gerçek kısıtlar çerçevesinde gözden geçirilip revize edilmiş
Departmanlar arası bağımlılıklar haritalanmış; koordinasyon adımları netleşmiş
KVKK/DORA bildirim süreleri ve hukuki adımlar ekiple paylaşılmış
Plan güncel altyapıyla uyumlu; tatbikat sonrası revize edilmiş
Ekip baskı altında karar almayı deneyimlemiş; kriz saati sürpriz değil
Egzersiz Nasıl Yürütülür?
Secure Fors masabaşı egzersizleri beş aşamalı yapılandırılmış metodoloji ile kurumunuza özel tasarlanır.
Kapsam Analizi
Risk profili, sektör, regülasyon gereksinimleri ve mevcut planlar incelenir. Test edilecek senaryo kategorisi kararlaştırılır.
Senaryo Tasarımı
Gerçekçi ve kuruma özgü kriz senaryosu geliştirilir. Beklenmedik gelişmeler (inject) eklenerek senaryo derinleştirilir.
Kolaylaştırılmış Oturum
Moderatör eşliğinde senaryo sahnelenir. Ekipler kararlarını tartışır, iletişim kanallarını test eder, aksiyonlar belgelenir.
Değerlendirme (Debrief)
"Neler iyi gitti, neler eksik kaldı?" soruları etrafında ekiple kapsamlı geriye dönük değerlendirme yapılır.
Rapor ve Aksiyon Planı
Tespit edilen boşluklar önceliklendirilir. Sorumlu ve tarih içeren aksiyon planı ile egzersiz raporu kuruma teslim edilir.
İş Sürekliliğine Somut Katkıları
Kurumunuza 8 Temel Katkı
Masabaşı egzersizi yalnızca bir tatbikat değil; kurumsal hazırlık seviyenizi kalıcı biçimde yükselten stratejik bir çalışmadır.
Karar Alma Kapasitesi
Yöneticiler ve ekipler baskı altında karar almanın nasıl bir deneyim olduğunu önceden yaşar. Panik yerine sistematik düşünme alışkanlığı kazanılır.
İletişim Protokollerinin Testi
Kriz anında kiminle, hangi kanaldan, hangi sırayla iletişim kurulacağı prova edilir. Eskalasyon zincirindeki kopukluklar tespit edilir.
Bağımlılık Haritalaması
Hangi sistem arızalandığında hangi iş sürecinin duracağı somut biçimde görülür. Tek nokta arızaları ve kritik bağımlılıklar keşfedilir.
Regülasyon Uyumu
DORA, ISO 22301, KVKK ve BDDK kapsamındaki tatbikat yükümlülükleri egzersiz raporu ile belgelenir. Denetim süreçleri güvence altına alınır.
Plan Boşluklarının Tespiti
Kâğıt üzerinde kusursuz görünen planların gerçekte hangi noktalarda çöktüğü güvenli ortamda ortaya çıkar ve düzeltilir.
Kurumsal Hafıza
Kritik bilgi tek kişide kalmaz. Tatbikat, kolektif kriz hafızasını güçlendirir; personel değişikliklerinde süreklilik sağlanır.
Üst Yönetim Farkındalığı
CEO ve CFO düzeyinde siber krizin iş etkisi somut olarak deneyimlenir. Güvenlik yatırımlarına yönelik kurumsal destek güçlenir.
Sigorta ve Yatırımcı Güveni
Belgelenmiş tatbikat kayıtları siber sigorta primlerini olumlu etkiler ve kurumsal risk yönetimi olgunluğunu paydaşlara kanıtlar.
Hangi Kriz Senaryoları Test Edilir?
Kurumunuzun risk profiline ve sektörüne göre özelleştirilmiş altı ana senaryo kategorisi.
Fidye Yazılımı (Ransomware)
Cuma gecesi kritik sistemler şifrelendi, iş süreçleri durdu. 72 saat içinde KVKK bildirimi zorunlu. Fidyeyi öder misiniz? Yedekleme sistemi devreye alınabilecek mi?
Müşteri Verisi Sızıntısı
Yüz binlerce müşteriye ait kişisel veri karanlık ağda satışa çıktı. Kaynak tespit edilemedi. KVKK bildirimi, müşteri iletişimi ve hukuki süreç nasıl yönetilecek?
Kritik Tedarikçi Saldırısı
ERP yazılım sağlayıcınız saldırıya uğradı, zafiyetli güncelleme sisteminize gönderildi. Etki analizi, izolasyon ve iş sürekliliği planı devrede mi?
Kritik Sistem Arızası
Üretim veritabanı çöktü, yedekleme sistemi de yanıt vermiyor. RTO hedefiniz 4 saat — gerçekte kaç saatte toparlanabilirsiniz?
Ayrılan Çalışan — Veri Sızdırma
İşten ayrılan bir çalışanın kritik ticari sırları çıkışından önce indirdiği tespit edildi. Hukuki, teknik ve operasyonel adımlarınız neler?
Büyük Ölçekli DDoS
E-ticaret altyapınız yoğun satış döneminde DDoS saldırısına uğradı. Her dakika ciddi gelir kaybı yaşanıyor. Kriz komuta zinciri devreye girebiliyor mu?
Kimler Masaya Oturmalı?
Egzersizin gücü farklı departmanların aynı masada buluşmasından kaynaklanır. Kriz, yalnızca IT'nin yönetmesi gereken bir süreç değildir.
Üst Yönetim
CEO, COO, Genel Müdür
Bilgi Güvenliği
CISO, Güvenlik Ekibi
BT ve Altyapı
IT Direktörü, Sistem Yöneticileri
Hukuk ve Uyum
Hukuk Müşaviri, Uyum Birimi
Finans
CFO, Mali İşler
Kurumsal İletişim
PR, Medya İlişkileri
Operasyon
Operasyon Müdürleri
İnsan Kaynakları
İK, Çalışan İlişkileri
Regülasyon Uyumu
DORA, ISO 22301 ve sektörel düzenleyiciler tatbikat yükümlülüğünü giderek daha fazla zorunlu kılıyor.
DORA
Dijital Operasyonel Dayanıklılık Yasası, finansal kuruluşlar için yıllık ICT tatbikatını zorunlu kılar. Madde 26 kapsamındaki gereksinimi doğrudan karşılar.
ISO 22301
İş sürekliliği yönetim sistemi sertifikasyonu için BCP planlarının düzenli aralıklarla test edilmesi şarttır. Egzersiz raporu denetim kanıtı olarak kullanılır.
7545 Sayılı Kanun ve BDDK
Bankacılık, finans ve kritik altyapı sektörlerinde siber güvenlik tatbikatı yapma yükümlülüğü kapsamında gerçekleştirilen egzersizler yasal gereksinimi karşılar.
Ekibiniz Gerçek Bir Krize Hazır mı?
Planlarınızı raftan indirin, masada test edin. Secure Fors uzmanları kurumunuza özel masabaşı egzersizi tasarlar ve yönetir.