Haberler kötüleşmeye devam ediyor. TJX şirketlerinin (tjx.com) veritabanındaki bir açıktan dolayı 45 milyondan daha fazla kredi kartı bilgisinin çalındığını biliyoruz. Ayrıca geçen beş ay boyunca yapılan her duyuruda daha fazla sorundan bahsedildi. İnsanlar, son bombayı (büyük ihtimalle) Mart ayının sonunda Framingham adındaki kitlesel şirketin Birleşik Devletler Teminat ve Döviz Komisyonu’nun çalışmalarını kayda geçirmesiyle ancak öğrenebildi.

Şirket yetkilileri hala ortada dolaşan haberler konusunda konuşmaya pek hevesli görünmüyorlar. Toplumdaki yaygın kanıya göre yetkililer, inatla bu olayın gerçek dışı olduğunu savunuyorlar. Ama Motion şirketinin araştırmasına bakacak olursak daha önce güvenlik sızıntısı yaşanan BlackBerry platformunun kullanıcıları, bu olayları hiç de gerçek dışı görmüyor. Kullanıcılar, görüşme servisinin çökmesinden daha çok iletişimleri sırasında gerçekleşebilecek veri sızıntısı korkusundan şikayet eder hale gelmiş durumdalar.

Bilgi sızıntılarının ve diğer açıkların mükemmel bir şekilde üstesinden gelen IT yöneticileri, iletişim sistemlerinin bilgi sızdırmak isteyenler ve bunun yol açacağı krizler için en etkin yol olduğunun açıkça altını çiziyorlar.

2005 yılında bir güvenlik sızıntısından dolayı başı fena halde derde giren ve önem verilmesi gereken bir numaralı konunun “sorunsuz ve güvenli iletişim” olduğunu anlayan Alpharetta’daki ChoicePoint denetleme şirketinin CIO’su ve kıdemli Başkan Yardımcısı Darrly Lemecha, organizasyonun içinde ve dışındaki şeffaflığı çok önemli gördüğünü ve bir CIO’nun organizasyonda oynayabileceği en önemli rolün her yönden sorunsuz bir iletişim sağlamak olduğunu söyledi.

Şirketlerin CIO’ları, güvenlik krizlerinin sıkça dile getirildiği şu sıralarda bu konuya büyük önem veriyorlar ancak normalde kesinlikle bu yoğunlukta bir sağduyuya sahip değiller. Sonuçta vurdumduymazlık, güvenlik sızıntıları, çöken web siteleri ve diğer teknik sorunlar, IT uzmanlarını omuzlarına büyük yükler bindirerek onları oldukça öne çıkaran büyük krizler doğurmaya devam ediyor.

Krize Hazırlıklı mısınız?
Öyle olsanız iyi olur. Çünkü güvenlik krizleri, önceden önleminizi alıp duruma hazırlıklı olursanız başınıza çok da fazla dert açmazlar. Forsythe Solutions’un IT direktörü Mike Tainter, bahsettiğimiz bu hazırlığı şöyle özetliyor: “Krizin nasıl ve ne zaman olduğunun önemi yok, önemli olan krizin nasıl ele alındığı ve sonrasında yapılacaklar...”

Bir CIO olarak, karmaşayı hızla artıran teknik problemlerin çözümüyle fena halde meşgul olsanız bile şirketinizi etkileyen krizlerin yönetimini başka bir yöneticiye bırakamazsınız. Yani, böyle bir durumda iki önemli işle birden uğraşmak zorundasınız. Kriz anında hem IT ile ilgili üzerinize düşen görevleri yerine getirmeli hem de yaşananlardan sonra işinizin yeniden ayaklanmasında anahtar rol oynamalısınız. Nasıl mı?

Planınız Hazır Olsun
Kriz anında düşünmeye vaktiniz olmayacak. Tainter, bu altın kuralı “O an geldiğinde arkanıza yaslanıp kafanızı kaşıyarak kendinize ‘Şimdi ne yapacağım?’ diye soramayacaksınız.” diyerek mükemmel bir biçimde özetliyor. Böyle zor bir durumda kalıp çaresizce koşuşturmak yerine acil durum planınızı önceden hazırlayın ve gerektiğinde hemen uygulamaya geçirin. Böylece IT departmanınız, krizin yol açtığı teknik sorunlarla boğuşurken siz de planınızı hayata geçirip işle ilgili gelecek tepkilerin, kamusal/kurumsal gerginliğin ve müşteri memnuniyetsizliklerinin önüne geçebilirsiniz.

Doğru İnsanlarla Çalışın
2006 yılında yaşadığı veri kayıplarıyla büyük zarar gören Ohio Üniversitesi’nin İletişim ve Satış Bölümü İcra Kurulu Başkanı Joe Brennan, “Aynı anda iki alanı idare etmek durumundayız: Halka ilişkiler ve Kanun. Yani bir CIO, organizasyonu çok iyi bilip şirketin yasalara uygun riskler almasını sağlamalıdır.” diyor.

Bazı Fortune1000 şirketlerinde CIO ve Teknoloji Şefi olarak çalışmış olan Janice Malaszenko ise riskleri minimuma indirmek için teknik olmayan ancak size yardımı olacağına emin olduğunuz kişilerin de büyük önem taşıdığını düşünüyor. Bu kişilere örnek olarak ise kriz esnasında çalışanlarla alakalı gerginlikleri çözmenize yardımcı olacak insan kaynakları sorumlularını, medyanın sorularına cevap verebilecek basın ilişkileri uzmanlarını ve açılabilecek soruşturmalarda size yardımcı olabilecek hukuk danışmanlarını gösteriyor.

Ayrıca finansal kriz yönetimi ve acil durum harcamalarını yürütmek için bir Finans Şefine ve krizi aşabilmek için gerekli fazla mesai planlamasını yapması için bir Organizasyon Şefine ihtiyaç duyabileceğinizi göz ardı etmemeniz gerektiğini vurguluyor.

Atlanmaması gereken bir diğer önemli nokta ise Calpine Enerji şirketinin CIO’su Dennis Fishback’in de belirttiği gibi kriz anında alım yaptığınız şirketlerin size karşı tutumunun krizi atlatma sürecinize olan etkisi. Unutmayın, kriz durumunda isteklerinizi hızlı ve sorunsuz bir şekilde karşılayabilecek sağlayıcılarla çalışmak, her zaman işinize yarayacaktır.

Problemi Saptayın ve Derinine İnin
Malaszenko, “Düzelme aşamasında problemin köklerine kadar inen bir analiz yapılmalıdır.” diyor. Yani IT takımınız, daha fazla zararın önüne geçilmesiyle ilgilenirken siz ve yardımcılarınız da yaşadığınız krizin tekrarlanmaması için üstünden geçilmesi gereken belli başlı noktaları analiz etmelisiniz.

Tabii bu analizin sadece başlangıç olduğunu da unutmayın. Uluslararası Aon Danışmanlık Şirketinin IT Riziko Yöneticisi George McBride, krizin ardından etrafınıza dikkatle bakıp farklı kriz senaryoları düşünmenizi ve kendinize “Ya bu değil de diğer durum gerçekleşseydi ne yapardım?” diye sormanızı öneriyor.

Örneğin, şirketinizin web güvenlik duvarı aşılarak veritabanına girildiyse bunu yapan bilgisayar korsanlarının sistemlerinizde başka ne tür açıklar bulabileceğini enine boyuna araştırın. Korsanlar, sunucularınızın birinde bulunan bir açıktan faydalandıysa, diğer sunucularınızda da aynı açığın mevcut olup olmadığını kontrol edin.

Ayrıca varsa erken uyarı sisteminizin neden bu krizin önüne geçemediğini, yoksa neden bir erken uyarı sisteminizin olmadığını da sorgulamayı ihmal etmeyin. Belki bu örneklerdeki uygulamaları zaten akıl edebileceğinizi düşünüyorsunuz ancak krizlerin sonrasında bu kadar basit bazı şeyler bile kolaylıkla unutulabiliyor. Çünkü yetkililer, yani siz, tüm dikkatinizle yaşanan probleme odaklanmış oluyorsunuz.

Hissedarlarınızla iletişim halinde olun
Lemecha, “Teknik sorunlardan dolayı bir çöküş yaşadığınızda insanlar sorularına cevap verilmesini beklerler. Sizin göreviniz onlara gereken cevapları vererek endişelerini ortadan kaldırmaktır.” diyor ve bunu eksiksiz biçimde uyguluyor.

Örnek vermek gerekirse Darrly Lemecha, ChoicePoint’in 2005 yılında yaşadıklarından sonra hissedarlara, yönetime, müşterilere, IT ekibine, şirket ortaklarına ve medyaya tam olarak ne olduğunu, neler yapıldığını ve nasıl düzeltildiğini eksiksiz bir biçimde anlattı.

Lemecha, o dönemde yaptıklarını kısaca şöyle anlatıyor: “İlk olarak, saatlerce telefonda konuştum ve şirketteki bölüm sorumlularına olanları ve yapılanları anlattım. Aynı şekilde müşterilerle de telefon görüşmeleri yaptım ve sistemimizdeki verilerinin ne kadar güvende olduğunu uzun uzun açıkladım. İki saat uğraştıktan sonra ulaştığım bir müşteri, olanlardan sonra moral ve sinir de dahil olmak üzere her yönden kendini kaybetmişti ve meydana gelen veri güvenliği kazasından dolayı şirketle ilgili oldukça fazla yanlış kanıya sahipti. Konuşmanın sonunda ise şirketlerin zaman zaman krizler yaşayabileceğini kabul ederek ChoicePoint’in yaşadığı kriz esnasında ve sonrasında yaptıklarımızdan dolayı çok memnun olduğunu dile getirerek bizi tebrik etti.”

Lemecha, yaşanan süreç boyunca ortak şirketlerdeki görevlilerle ve üst düzey yöneticilerle de görüşerek sunuculardaki önem taşıyan bilgilere izinsiz erişimin tamamıyla engellenmesi ve güvence altına alınması gibi IT departmanının gerçekleştirdiği işlemleri onlara adım adım açıklayarak rahatlamalarını sağladı. Bunun yanında, tüm bunların müşteriler tarafından öğrenilmesi için şirketin web sitesinde oldukça sık güncellenen bir bilgilendirme sayfası oluşturulmasına da öncülük etti.

Sonuç olarak; Lemecha, şirketteki herkesin müşterilerle iletişim içinde olması gerektiğini savundu ve bunu gerçekleştirdi. Lemecha’nın işletmeye kazandırdığı alışkanlıklardan sonra, şirketin Genel Müdürü, müşterilerle daha çok iletişim halinde olunması adına bazı koordinasyonlar gerçekleştirdi ve tüm müşterilere ChoicePoint’in gizlilik ve güvenlik uygulamalarını derinlemesine açıklayan bazı dokümanlar gönderilmesini sağladı.

Tüm bu olanların üzerine Lemecha, “Eğer bugün tüm yapılanları tekrarlamak zorunda kalsaydım, krizle karşı karşıya kaldığım “ilk” andan itibaren tüm gelişmeleri açıkça medyayla ve internet vasıtasıyla da müşterilerimizle paylaşırdım. Böylece kriz döneminde özellikle internette mantar gibi türeyen asparagas haberlerinde önüne geçmiş olurdum.” dedi.

Lemecha’ya göre; Yaşanan bir kriz sonrasında CIO, şirketteki her noktaya hakim olmalı ve sürekli iletişim halinde kalmalıdır. Çünkü CIO, olayların teknik sonuçlarını, işe olan etkilerini ve bu ikisinin birbiriyle olan bağlantısını anlayabilmek için gerçekten en iyi bakış açısını sağlayacak konumda oturan kişidir. Bunun sebebi, CIO’nun en üst düzeydeki yöneticiyle, en alt noktadaki personelle ya da herhangi bir müşteriyle rahatça iletişim kurabilmesidir.

Çalışanlarınızla Etkileşimli İletişim Kurun
Donanımsal problemler yüzünden şirketinin iş hacmi büyük ölçüde düşen Fishback’in o dönemde yaptığı ilk iş, üst düzey yöneticilerini de yanında alarak San Jose’deki ofisinden çalışanlarının bulunduğu Houston’a uçmak oldu.

Gelecek için güven inşa etmenin tek yolunun yüz yüze yapılan etkileşimli görüşmeler olduğunu belirten Fishback, “En üst düzey yöneticilerin orada olup onlarla birlikte sorunu halletmeye uğraştıklarını görmek, çalışanlar için çok önemlidir. İşçiler, gerekli olduğunda bir yöneticinin kollarını sıvayarak işin içine girdiğini ve sorunu çözmek için tüm özverisiyle çalıştığını görmelidirler.” dedi.

Çalışanlarınızı Destekleyin
Özellikle krizden sonraki bir hafta boyunca çalışanların stresi en üst noktaya tırmanır. Çünkü personel, ister istemez işlerinin tehlikede olduğunu düşünecektir. Fishback, bu gibi durumlarda işçilere onları kapının önüne koymayı düşünmediğinizi, tam tersine problemlerini çözmelerine yardım etmek istediğinizi anlayacakları şekilde ifade etmenizin çok faydalı olacağını söylüyor.

Ohio Üniversitesinde yaşanan veri kayıplarının ardından geçici CIO olarak göreve gelen Shawn Ostermann, çalışanlarıyla dayanışma amaçlı birçok toplantı organize ettiğini ancak bu oturumları hiçbir zaman onların değerli çalışma saatlerinden çalarak gerçekleştirmediğini belirtiyor. Ancak çalışanlarının da molaya ihtiyacı olduğunu doğruluyor ve devam eden krizlere rağmen bazı zamanlarda stres atmaları için çalışanlarını öğle yemeği için dışarıya götürdüğünü ya da şirket bahçesinde voleybol turnuvaları düzenlediklerinden bahsediyor. Ostermann, en etkin felsefesini “Her zaman çalışanlarından biri gibi olmalısın.” şeklinde açıklıyor.

Organizasyonu İleri Taşıyın
Herhangi bir krizi yara almadan atlattığınızda hemen aklınıza gelmesi muhtemel olan biraz mola verip dinlenme düşüncesi, şüphesiz baştan çıkarıcıdır. Ancak hala herkes işine yoğunlaşmış ve enerjik bir durumdayken bu süreci gelecekte karşılaşacağınız sorunlarla ilgilenmek ve planlar yapmak için kullanmak çok daha akıllıca olacaktır. Aon Danışmanlık Şirketinden McBride, “Kriz sonrası, önlemleri tekrar gözden geçirip gerekirse yenilemek için en uygun zaman dilimidir.” diyor.

Tabii ki burada kastedilen sadece organizasyona dahil teknolojiler değil. Organizasyonun içindeki insanların kendilerini gözden geçirmelerini ve genel işleyişlerin yeniden değerlendirilmesini de bu “yenileme” içinde sayabiliriz.

Örneğin; ChoicePoint şirketi bunu başardı. 2005 yılındaki veri kaybının ardından Lemecha, diğer yöneticilerle birlikte şirketin işleyişini sıfırdan ele aldı ve sonuç olarak 90 adet şirket politikası ve prosedür, müşterilerden yana olmak üzere değişti ya da düzenlendi.

Uzun Lafın Kısası…
McBride’ın da dediği gibi, kriz anında yaptıklarınızı kağıda dökmek ve aradan zaman geçtikten sonra bunların ne kadar yerinde hamleler olduğunu tekrar değerlendirmek, “kriz yönetimini” öğrenmeniz için en başarılı yoldur. Bu metoda verilen isim, otopsidir. Bu yeniden gözden geçirmeyi kriz biter bitmez, yani olaylar herkesin aklında tazeyken yaparsanız içinde bulunduğunuz karmaşık durumları bertaraf etmek için çok daha iyi bir organizasyona ve etkinliğe sahip olacağınızı göreceksiniz.