Masabaşı Egzersizi
İş sürekliliği planlarınızı gerçek kriz senaryolarıyla test edin. Ekibinizin hazırlığını belgeleyin, zayıf noktaları önceden keşfedin.
Masabaşı Egzersizi Nedir?
Masabaşı egzersizi (Tabletop Exercise — TTX), kurumun üst yönetim ve kilit personelini bir araya getirerek gerçekçi kriz senaryoları üzerinden tartışma yapılan simülasyon tatbikatlarıdır. Fiziksel bir eylem gerektirmez; karar vericiler senaryoyu sözlü ve belgesel olarak tartışır.
Bir saldırı, doğal afet, kritik sistem arızası veya tedarik zinciri kesintisi gibi senaryolar masa başında işlenerek kurumun mevcut prosedürleri, iletişim protokolleri ve karar mekanizmaları gerçek zamanlı baskı altında sınanır.
Tatbikat süresince bağımsız bir uzman kolaylaştırıcı süreci yönetir, yeni durumlar enjekte eder ve ekibin yanıt kapasitesini gözlemleyerek kayıt altına alır. Egzersiz sonunda hazırlanan bulgu raporu, kurumun olgunluk düzeyini belgeler.
"Kriz anında ilk kez düşünmeye başlarsanız, zaten geç kalmışsınızdır. Masabaşı egzersizleri bu düşünme sürecini öne taşır."
Klasik İş Sürekliliği Planları Neden Yeterli Değil?
BCP ve DRP dokümanları kritik öneme sahiptir ancak tek başına yeterli olmaz. Asıl test, kriz anında insanların nasıl davrandığıdır.
Yalnızca Plan
Test Edilmemiş — TeorikPlan hiç test edilmemiş; zayıf noktalar gizli kalıyor
Roller ve sorumluluklar kâğıt üzerinde; kriz anında karışıklık çıkıyor
İletişim zinciri pratikte hiç test edilmemiş
Regülatör denetimleri için yeterli tatbikat kanıtı sağlanamıyor
Gerçek bir krizde müdahale süresi belirsiz ve ölçülemiyor
Plan + Masabaşı Egzersizi
Test Edilmiş — DoğrulanmışPlan gerçekçi senaryolarla test edilmiş, zayıf noktalar giderilmiş
Her personel kriz anındaki görevini önceden yaşayarak öğrenmiş
İletişim protokolleri pratikte doğrulanmış ve geliştirilmiş
Tatbikat raporu denetim kanıtı olarak doğrudan kullanılabiliyor
Müdahale süreleri ölçülmüş ve sistematik olarak iyileştirilmiş
Egzersiz Nasıl Yürütülür?
Her tatbikat kuruma özel bir senaryo ile başlar ve yapılandırılmış bir süreç izler.
Kapsam ve Senaryo Tasarımı
Kurumun sektörü, risk profili ve öncelikleri doğrultusunda tatbikat kapsamı belirlenir. Kolaylaştırıcı ekip, gerçekçi ve kuruma özgü bir senaryo geliştirir.
Katılımcı Belirleme ve Ön Brifing
Kilit karar vericiler ve fonksiyon temsilcileri seçilir. Tatbikat formatı, kurallar ve beklentiler katılımcılara önceden aktarılır.
Senaryo İnjeksiyonu ve Tartışma
Kolaylaştırıcı senaryoyu aşamalı olarak sunar, yeni gelişmeler ekler ve ekibin kararlarını sorgular. Yanıtlar kayıt altına alınır.
Ara Değerlendirme (Hot Wash)
Tatbikat tamamlanır tamamlanmaz katılımcılarla anlık gözlemler paylaşılır. İlk bulgular ve gözlemler ortaklaşa tartışılır.
Bulgu Raporu ve Aksiyon Planı
Tatbikatın tüm bulguları, tespit edilen eksiklikler ve öneriler kapsamlı bir raporda belgelenir. Her bulgu için sorumluluk ve zaman çizelgesi belirlenir.
Takip ve Doğrulama
Aksiyon planındaki iyileştirmelerin hayata geçirilmesi izlenir. Bir sonraki tatbikat için iyileştirilmiş senaryo tasarımı başlar.
İş Sürekliliğine Somut Katkıları
Kurumunuza 8 Temel Katkı
Gizli Zayıflıkları Ortaya Çıkarır
Planınızda fark etmediğiniz boşlukları güvenli bir ortamda tespit edersiniz.
Ekip Koordinasyonunu Güçlendirir
Farklı birimler kriz ortamında birlikte çalışmayı pratikte deneyimler.
Karar Süreçlerini Hızlandırır
Baskı altında kim, neyi, ne zaman kararlaştırır sorusuna net yanıt oluşur.
İletişim Protokollerini Test Eder
İç ve dış iletişim kanalları gerçek senaryoda sınanır, eksiklikler kapatılır.
Regülasyon Kanıtı Sağlar
Tatbikat raporu DORA, ISO 22301 ve BDDK denetimlerinde kanıt belgesi olarak kullanılır.
BCP Planını Güncel Tutar
Her tatbikat, planınızın gerçek tehditlerle ne kadar örtüştüğünü ölçer ve güncelleme fırsatı yaratır.
Kurumsal Hafıza Oluşturur
Geçmiş tatbikat bulguları, kurumun kriz yönetim olgunluğunun somut göstergesi haline gelir.
Üst Yönetim Farkındalığı Yaratır
Yöneticiler kriz maliyetlerini ve hazırlık açıklarını bizzat deneyimleyerek önceliklendirme yapabilir.
Hangi Kriz Senaryoları Test Edilir?
Tatbikat senaryoları kurumun sektörüne ve risk profiline göre özelleştirilir.
Ransomware Saldırısı
Kritik sistemlerin şifrelendiği, üretimin durduğu ve fidye talebinin geldiği tam kapsamlı bir siber kriz senaryosu.
Kritik Sistem Arızası
Temel iş sistemlerinin uzun süreli erişilemez olduğu, iş sürekliliğinin sınavını veren senaryo.
Kişisel Veri İhlali
Müşteri ve çalışan verilerinin sızdığı, KVKK bildirimi ve kriz iletişiminin kritik önem taşıdığı senaryo.
Tedarik Zinciri Kesintisi
Kritik tedarikçinin ani hizmet dışı kalması ve alternatif kaynak yönetimini kapsayan senaryo.
Ofis Erişim Kaybı
Ana ofisin kullanılamaz hale geldiği, uzaktan çalışmaya ani geçiş ve iş sürekliliği testini içeren senaryo.
Kriz İletişimi Senaryosu
Kurumu etkileyen bir haber krizinde medya, müşteri ve paydaş iletişim süreçlerinin tatbikatı.
Kimler Masaya Oturmalı?
Etkili bir tatbikat için kurumun farklı birimlerinden karar vericiler bir arada bulunmalıdır.
Regülasyon Uyumu
DORA, ISO 22301 ve sektörel düzenleyiciler tatbikat yükümlülüğünü giderek daha fazla zorunlu kılıyor.
DORA
Dijital Operasyonel Dayanıklılık YasasıFinansal kuruluşlar için yıllık ICT tatbikatını zorunlu kılar. Madde 26 kapsamındaki gereksinimi doğrudan karşılar.
ISO 22301
İş Sürekliliği Yönetim Sistemiİş sürekliliği yönetim sistemi sertifikasyonu için BCP planlarının düzenli aralıklarla test edilmesi zorunludur. Egzersiz raporu denetim kanıtı olarak kullanılır.
7545 Sayılı Kanun ve BDDK
Bankacılık ve Kritik AltyapıBankacılık, finans ve kritik altyapı sektörlerinde siber güvenlik tatbikatı yapma yükümlülüğü kapsamında gerçekleştirilen egzersizler yasal gereksinimi karşılar.
Ekibiniz Gerçek Bir Krize Hazır mı?
Kurumunuza özel masabaşı egzersizi tasarımı için uzman ekibimizle görüşün.