ACİL VE BEKLENMEDİK DURUM PLANI
ATLAS PORTFÖY YÖNETİMİ A.Ş.
ACİL VE BEKLENMEDİK DURUM PLANI
Çalışma Prosedürü:
Sorumluluklar
İş Akışı
1. AMAÇ:
Bu planın amacı, Şirket'in acil ve beklenmedik durumlarda (doğal afetler, siber saldırılar, teknolojik arızalar, kritik altyapı kayıpları ve salgın hastalıklar gibi öngörülemeyen olaylar karşısında) olağan çalışmasını olumsuz yönde etkileyecek sonuçlar yaratmasını engellemek, acil ve beklenmedik durum sırasında ve ertesinde olağan hizmetlerinin sunumuna devam edebilmesini sağlamak, personeline, müşterilerine, piyasa katılımcılarına, ortaklarına, dışarıdan hizmet aldığı kurumlara ve 3. taraflara karşı olan sorumluluklarını yerine getirme şartlarını, iş akışını ve prosedürlerini belirlemektir.
Bu doküman, portföy yönetim sektörünün dinamikleri ve Şirketimizin özgün risk profili göz önünde bulundurularak hazırlanan dokuz temel acil durum senaryosunu detaylı bir şekilde ele almaktadır.
Plan, kritik sistemler için Kurtarma Süresi Hedefi (RTO) ve Kurtarma Noktası Hedefi (RPO) gibi ölçülebilir metrikler belirleyerek, kurtarma operasyonlarının başarısını somut hedeflere bağlamaktadır.
2. TANIMLAR:
| Kanun | Sermaye Piyasası Kanunu |
| Kurul | Sermaye Piyasası Kurulu |
| Şirket | Atlas Portföy Yönetimi A.Ş. (Kısaca Atlas Portföy) |
| Müşteri | İmzalanacak Portföy Yönetim Sözleşmesi çerçevesinde Şirket'ten hizmet alan kişi, kurum, yatırım fonu veya bireysel emeklilik fonu. |
| Müşteri Varlıkları | Para ve sermaye piyasası araçları. |
| Saklama Kuruluşu | Bireysel portföy yönetimi müşterilerinin ve Kolektif Yatırım Kuruluşlarının emanetlerinin saklandığı kuruluş. |
| MKK | Merkezi Kayıt Kuruluşu A.Ş. |
| Takasbank | İstanbul Takas ve Saklama Bankası A.Ş. |
| Şirkette uygulanan yazılım programı | Şirketin sözleşme yaparak kullandığı yazılım programı. |
| Veri Dağıtım Hizmeti | Foreks, Matriks, Bloomberg gibi finansal veri sağlayıcı programlar |
| Fon Hizmet Birimi | Dışardan hizmet alımı kapsamında Yönetim Kurulunun karar altına alarak belirlemiş olduğu Fon hizmeti alınan kurum, |
| IT Desteği | Dışardan hizmet alımı kapsamında Yönetim Kurulunun karar altına alarak belirlemiş olduğu Bilgisayar hizmetleri desteği alınan kurum. |
| RTO | Kurtarma Süresi Hedefi. |
| RPO | Kurtarma Noktası Hedefi. |
3. KAPSAM:
Bu Acil Eylem Planı, Atlas Portföy Yönetimi A.Ş.'nin merkez ofisi, olası alternatif çalışma alanları ve uzaktan çalışma modeli dahil olmak üzere tüm lokasyonlarını ve operasyonlarını kapsamaktadır. Atlas Portföy Yönetimi A.Ş.'nin faaliyetlerini, hizmetlerinin sunumunu engelleyebilecek olağan üstü ve benzeri durumlar aşağıda sıralanmıştır:
- Deprem, yangın, sel, fırtına ve benzeri doğal afetler
- Savaş, terörist saldırılar, halk isyanı ve benzeri
- Şirket mahallinde ve/veya faaliyetlerinin sürdürüldüğü binada meydana gelen yangın, su baskını, patlama gibi beklenmedik durumlar
- Çeşitli nedenlerle para ve sermaye piyasalarında meydana gelen beklenmedik durumlar nedeniyle işlemlerin durması, tahsilat ve ödeme sistemlerinin çalışmaması
- Hastalık, virüs salgını, trafik kazası, iş bırakma sebebiyle Şirket personelinin işe gelememesi
- Şirket'in bilgi işlem ve iletişim sistemlerinin çalışamaz hale gelmesi, izinsiz ve zarar verme amaçlı yapılan elektronik saldırılar, girişler ve virüsler gibi olağanüstü hallerde;
Şirket'in acil ve beklenmedik durumlarda olağan çalışmasını olumsuz yönde etkileyecek sonuçlar yaratmasını engellemek;
- Müşteri hizmetlerinin devamlılığını sağlamak,
- Yasal ve 3. Kişilere karşı olan sorumlulukları zamanında yerine getirmek,
- İş akışlarında karmaşıklığa ve kesintiye sebebiyet vermeyerek, Şirketin finansal durumuna olası etkisini azaltmak,
- Müşteri ve çalışan kayıplarını asgariye indirmek,
- Beklenmedik durumlarda Şirket varlıklarını en iyi şekilde korumaya almak,
- Dışarıdan alınan hizmetlerin devamlılığını sağlayarak risk oluşumunu engellemek amacıyla önlem almak.
Plan, aynı zamanda Şirketimizin faaliyetlerinin devamlılığı için kritik öneme sahip olan dış hizmet sağlayıcılar (veri merkezleri, internet servis sağlayıcıları, piyasa veri tedarikçileri, saklamacı kuruluş, aracı kurumlar vb.) ile olan ilişkileri ve bu bağımlılıklardan kaynaklanan riskleri de yönetmeyi kapsar.
Bu plan, tüm acil durum senaryolarında, olayın tespit edilmesinden, müdahale, kurtarma ve normale dönüş süreçlerinin tamamlanmasına kadar olan tüm yaşam döngüsünü yönetmek için bir çerçeve sunar.
Zaman Hedefleri
Şirket için kabul edilebilir zaman hedefleri aşağıda belirtilmiştir.
| Bağımlı Olduğu Sistemler | Kaynak Bilgileri | Sorumlu Kişi | Yedek Sorumlu Kişi | Yedekleme Durumu (Var/Yok) | Risk | Destek Alınan Firma | Açıklama |
|---|---|---|---|---|---|---|---|
| AD (MS Active Directory) SQL (MSSQL) Firewall (KKB,RiskMerkezi,BDDK) DataCenter (ESX,Switch,Kabin,Elektrik) ISP (Internet, MPLS, IPSEC) IIS-APP (VM Server) |
DC1= 10.124.15.85 DC2= 10.124.15.85 SQL= MS SQL Firewall= https://185.76.159.130 Vcenter= https://ankara.fixcloud.com.tr ISP Devre= MPLS,IPSEC Real IP değişim bildirimi |
Hakan Aydın | Var | SQL Standalone App Standalone ISP Yedekli |
Fixcloud OPTIMUS |
Günlük yedek alınıyor | |
| Sunucular Standalone | |||||||
| AD (MS Active Directory) SQL (MSSQL) DataCenter (ESX,Switch,Kabin,Elektrik) ISP (Internet, MPLS, IPSEC) CW_DYS_PROD CW_Arsiv CW_DB_PROD |
DC1= 10.124.15.10 DC2= 10.124.15.10 SQL= 10.124.15.85 Firewall= https://185.76.159.130 Vcenter= https://ankara.fixcloud.com.tr ISP Devre= MPLS,IPSEC |
Hakan Aydın | Var | Fixcloud | Günlük yedek alınıyor | ||
| ISP Yedekli | |||||||
| AD (MS Active Directory) DataCenter (ESX,Switch,Kabin,Elektrik) ISP (Internet, MPLS, IPSEC) |
DC1= 10.124.15.50 DC2= 10.124.15.50 Firewall= https://185.76.159.130 Vcenter= https://ankara.fixcloud.com.tr |
Hakan Aydın | Var | Fixcloud | Günlük yedek alınıyor | ||
4. YASAL ÇERÇEVE ve UYUMLULUK:
Bu Acil Eylem Planı, Türkiye Cumhuriyeti'nin yürürlükteki kanun, yönetmelik ve tebliğlerine tam uyum sağlamak üzere hazırlanmıştır. Planın yasal temelini, özellikle Sermaye Piyasası Kurulu (SPK) tarafından yayımlanan düzenlemeler oluşturmaktadır. Bu kapsamda, SPK'nın III-55.1 sayılı "Portföy Yönetim Şirketleri ve Bu Şirketlerin Faaliyetlerine İlişkin Esaslar Tebliği" planın ana dayanağıdır.
Bu tebliğ, portföy yönetim şirketlerinin bir "Acil ve Beklenmedik Durum Planı" hazırlamasını, bu planın veri ve kayıtların yedeklenmesini, alternatif bir çalışma ortamı belirlenmesini ve planın düzenli olarak test edilmesini zorunlu kılmaktadır. Planımız, bu tebliğin getirdiği yükümlülükleri karşılamak üzere hazırlanmıştır.
Bir diğer temel yasal dayanak, SPK'nın VII-128.9 sayılı "Bilgi Sistemleri Yönetimi Tebliği"'dir. Modern finansal operasyonların bel kemiğini oluşturan bilgi teknolojilerinin yönetimine ilişkin bu tebliğ, iş sürekliliği planlaması, bilgi güvenliği politikaları, risk yönetimi, siber güvenlik önlemleri, birincil ve ikincil sistemlerin (felaket kurtarma merkezi) kurulması, yıllık sızma (penetrasyon) testleri ve periyodik bağımsız denetimler gibi konularda detaylı gereklilikler getirmektedir.
5. KRİZ YÖNETİMİ ORGANİZASYONU:
Bir krizin etkin yönetimi, önceden tanımlanmış, yetkilendirilmiş ve iyi eğitilmiş bir organizasyon yapısının varlığına bağlıdır. Atlas Portföy Yönetimi, olası bir acil durumda hızlı ve koordineli bir şekilde hareket edebilmek amacıyla, stratejik, taktik ve operasyonel seviyelerde görev yapacak katmanlı bir Kriz Yönetimi Organizasyonu kurmayı amaçlamıştır. Bu yapı, karar alma süreçlerini hızlandırmayı, kaynakları etkin bir şekilde yönlendirmeyi ve iletişim akışını düzenlemeyi hedefler.
5.1. Kriz Yönetimi Komitesi (KMK)
Kriz Yönetimi Komitesi (KMK), kriz anında üst yönetim tarafından hızlıca kurulur. Şirketimizin en üst düzeydeki stratejik karar alma organıdır. Komitenin temel görevi, olayın genel etkilerini değerlendirmek, Şirketin stratejik önceliklerini belirlemek, kritik kararları onaylamak ve krizin finansal, yasal ve itibari sonuçlarını yönetmektir. KMK, Kriz Koordinatörü tarafından yönetilen taktik ve operasyonel faaliyetlere stratejik yönlendirme sağlar ve gerekli kaynakların (bütçe, insan gücü, dış danışmanlık vb.) tahsisini onaylar. Komite, Genel Müdür (Başkan), Operasyonlardan Sorumlu Genel Müdür Yardımcısı, Fon Yönetiminden Sorumlu Müdür ile Uyum ve İç Kontrol Müdürü'nden oluşur. Krizin niteliğine göre, Yönetim Kurulu Başkanı veya üyeleri de Komite'ye dahil olabilir veya düzenli olarak bilgilendirilir. KMK, kriz boyunca düzenli olarak toplanarak durum değerlendirmesi yapar ve medya, SPK veya diğer kritik paydaşlara yapılacak üst düzey açıklamaları onaylar. Komite üyelerinin detaylı sorumlulukları ve yetkileri, Roller Sorumluluklar Matrisi başlığı altında tanımlanmıştır.
5.2. Kriz Koordinatörü ve Yedekleri
Kriz Koordinatörü, kriz yönetimi organizasyonunun yöneticisidir ve taktiksel seviyede tüm müdahale ve kurtarma faaliyetlerinin koordinasyonundan sorumludur. Kriz Koordinatörü, bir acil durumun ilk bildirimini aldıktan sonra durumu hızla değerlendirir, olayın kritiklik seviyesini belirler ve ilgili acil durum ekiplerini aktive eder. Kriz Yönetim Komitesi ile operasyonel ekipler arasında köprü görevi görür; sahadan gelen bilgileri Komite'ye raporlar ve Komite'nin stratejik kararlarını eylem planlarına dönüştürerek ekiplere iletir. Kaynakların etkin kullanımını denetler ve ekipler arası koordinasyon sorunlarını çözer. Atlas Portföy Yönetimi'nde Kriz Koordinatörü rolü, Operasyonlardan Sorumlu Müdür/Yönetici tarafından üstlenilmiştir. Bu görevin kesintisiz devamlılığını sağlamak amacıyla, birincil yedek olarak Fon Yönetiminden Sorumlu Müdür ve ikincil yedek olarak Operasyon Personeli atanmıştır. Kriz Koordinatörü ve yedekleri, 7/24 ulaşılabilir olmakla yükümlüdür.
5.3. Acil Durum Ekipleri ve Görevleri
Kriz Koordinatörü'ne bağlı olarak, kendi uzmanlık alanlarında operasyonel görevleri yerine getirecek çeşitli acil durum ekipleri oluşturulmuştur.
Bilgi Teknolojileri (BT) Müdahale Ekibi: Bilgi Sistemleri Güvenliği Sorumlusu liderliğindeki bu ekip, teknoloji kaynaklı tüm krizlerin teknik yönetiminden sorumludur. Görevleri arasında, sistem arızalarını teşhis etmek, siber saldırılara müdahale etmek, yedek sistemleri (Felaket Kurtarma Merkezi) devreye almak, verileri geri yüklemek, ağ ve iletişim altyapısının sürekliliğini sağlamak ve teknik destek hizmetlerini yürütmek bulunur.
Operasyon Süreklilik Ekibi: Operasyon Müdürü liderliğindeki bu ekip, teknolojik veya fiziksel kesintilere rağmen kritik iş süreçlerinin devam ettirilmesinden sorumludur. Görevleri arasında, portföy alım-satım işlemlerinin manuel prosedürlerle yürütülmesi, NAV hesaplamasının alternatif yöntemlerle yapılması, müşteri talimatlarının işlenmesi ve Takasbank/MKK ile mutabakatların sağlanması yer alır.
İletişim Ekibi: Kurumsal İletişim Sorumlusu liderliğindeki bu ekip, kriz boyunca tüm iç ve dış iletişim faaliyetlerini yönetir. Görevleri, çalışanları bilgilendirmek, müşterilere, düzenleyici kurumlara ve medyaya yönelik açıklamaları hazırlamak ve yayınlamak, web sitesi ve sosyal medya hesaplarını güncel tutmaktır.
İdari İşler ve Güvenlik Ekibi: İdari İşler Yöneticisi liderliğindeki bu ekip, fiziksel güvenlik ve tesis yönetimi konularından sorumludur. Görevleri, yangın veya doğal afet durumunda bina tahliyesini yönetmek, acil servislerle (itfaiye, polis) koordinasyonu sağlamak, hasar tespiti yapmak ve alternatif çalışma alanlarının hazır hale getirilmesini organize etmektir.
İnsan Kaynakları (İK) Ekibi: İnsan Kaynakları Müdürü liderliğindeki bu ekip, krizin personel üzerindeki etkilerini yönetir. Görevleri, çalışanların güvenliğini ve sağlığını takip etmek, personel iletişim listelerini güncel tutmak, psikolojik destek sağlamak ve uzaktan/alternatif çalışma düzenlemelerini koordine etmektir.
5.4. Acil Durum Etkin Yönetimi ve Karar Yetkileri
Acil durum krizleri, etkilerine göre Seviye 1 (Düşük), Seviye 2 (Orta) ve Seviye 3 (Yüksek/Kriz) olarak sınıflandırılır.
Seviye 1 (Düşük Etkili Olay): Tek bir kullanıcıyı veya kritik olmayan bir sistemi etkileyen, standart operasyonel prosedürlerle çözülebilen olaylardır (örneğin, bir kullanıcının bilgisayarının arızalanması). Bu olaylar, (örneğin, BT personeli) tarafından yönetilir ve Kriz Koordinatörü'ne sadece bilgi amaçlı raporlanır.
Seviye 2 (Orta Etkili Olay): Bir departmanı veya kritik bir iş sürecini sınırlı bir süre için etkileyen, ancak Acil Eylem Planı'nın tam olarak aktive edilmesini gerektirmeyen olaylardır (örneğin, birincil internet hattının kesilmesi ve yedek hattan devam edilmesi). Bu olaylar, ilgili Acil Durum Ekibi lideri tarafından yönetilir ve Kriz Koordinatörü'nün doğrudan denetimindedir. Kriz Koordinatörü, durumu Kriz Yönetim Komitesi'ne raporlar.
Seviye 3 (Yüksek Etkili Kriz): Şirketin tüm operasyonlarını, finansal durumunu veya itibarını ciddi şekilde tehdit eden, Acil Eylem Planı'nın tam olarak aktive edilmesini gerektiren olaylardır (örneğin, ana ofisin kullanılamaz hale gelmesi, bütün sistemi etkileyen bir siber saldırı vb). Bu tür bir olay tespit edildiğinde, Kriz Koordinatörü derhal Kriz Yönetim Komitesi'ni (KMK) toplar. Bu seviyeden itibaren tüm stratejik karar alma yetkisi KMK'ye geçer. KMK, Felaket Kurtarma Planı'nın aktive edilmesi, alternatif lokasyona geçiş, yasal bildirimler ve kamuoyuna yapılacak açıklamalar gibi kritik kararları alır.
6. ACİL DURUM SENARYOLARI ve MÜDAHALE PROSEDÜRLERİ
Bu bölüm, Atlas Portföy Yönetimi'nin karşılaşabileceği öngörülen dokuz kritik acil durum senaryosunu ele almaktadır.
6.1. Senaryo 1: Doğal Afet (Deprem, Sel)
Doğal afetler, özellikle Şirketimizin merkezinin bulunduğu coğrafyanın deprem riski taşıması nedeniyle, iş sürekliliği planlamamızda en yüksek önceliğe sahip senaryolardan biridir. Bu senaryo, ofis binamızın ve içindeki altyapının fiziksel hasar görmesi, çalışanlarımızın güvenliğinin tehlikeye girmesi ve bölgesel altyapının (elektrik, iletişim, ulaşım) çökmesi risklerini içerir. Potansiyel etkileri, operasyonların tamamen durması, ciddi finansal kayıplar ve telafisi zor itibar hasarıdır. Bu riske karşı en temel önleyici tedbirimiz, tüm kritik bilgi sistemlerimizin ve verilerimizin, ana merkezimizden coğrafi olarak farklı bir lokasyonda bulunan Felaket Kurtarma Merkezimizde (FKM) ve güvenli bulut ortamlarında düzenli olarak yedeklenmesidir. Ayrıca, kritik donanımlar sarsıntıya karşı sabitlenmekte ve tüm personelimizle deprem ve tahliye tatbikatları yapılmaktadır. Bir deprem veya sel anında ilk 15 dakika içinde tek öncelik can güvenliğidir. Sarsıntı anında "Çök-Kapan-Tutun" prosedürü uygulanır ve sarsıntı durduktan sonra, önceden belirlenmiş Acil Durum Müdahale Ekibi liderliğinde bina kontrollü bir şekilde tahliye edilerek güvenli toplanma alanında buluşulur. İlk bir saat içinde, Kriz Yönetim Ekibi (KMK) toplanarak ilk durum değerlendirmesini yapar, yaralılar için acil yardım çağrılır ve binanın durumu hakkında ilk gözlemler yapılır.
Binaya girişin güvenli olmadığı varsayılarak, KMK'nin kararıyla İş Sürekliliği Planı aktive edilir. İlk 24 saat içinde, tüm operasyonların alternatif bir lokasyondan veya uzaktan çalışma modeliyle yürütülmesi için hazırlıklar başlar. BT Müdahale Ekibi, FKM'deki sistemleri devreye alma sürecini başlatırken, İletişim Ekibi çalışanlara, müşterilere ve SPK'ya yönelik ilk bilgilendirme mesajlarını hazırlar. Kurtarma stratejimiz, FKM'deki yedek sistemlerin RTO (Kurtarma Süresi Hedefi) olan 4-8 saat içinde devreye alınması ve RPO (Kurtarma Noktası Hedefi) olan 15-30 dakikalık veri kaybı toleransı dahilinde operasyonların yeniden başlatılması üzerine kuruludur. Bu senaryoda portföy yönetim şirketlerine özgü en kritik nokta, piyasalar açıkken operasyonel yeteneğin kaybedilmesidir.
6.2. Senaryo 2: Yangın ve Fiziksel Güvenlik İhlali
Yangın ve fiziksel güvenlik ihlali senaryoları, Şirketimizin operasyon merkezini ve bilgi varlıklarını doğrudan hedef alan risklerdir. Yangın, elektrik kontağı veya insan hatası gibi nedenlerle ortaya çıkabilirken; fiziksel güvenlik ihlali, hırsızlık veya sabotaj gibi eylemleri kapsar. Bu risklerin potansiyel etkisi, kritik donanımların ve fiziksel arşivlerin kaybı, veri sızıntısı ve operasyonların durmasıdır. Bu senaryolara karşı önleyici tedbirlerimiz, katmanlı bir güvenlik anlayışına dayanmaktadır. Şirket sunucularının bulunduğu Türk Telekom Esenyurt Veri Merkezinde ve özellikle sunucularımızın bulunduğu odada, standartlara uygun duman dedektörleri ve nem dedektörleri ve gazlı yangın söndürme sistemleri bulunmaktadır. Fiziksel güvenlik ise 7/24 izlenen CCTV kameraları ile sağlanmaktadır. Tüm kritik verilerimiz düzenli olarak tesis dışındaki Felaket Kurtarma Merkezimize (ikincil merkez) yedeklenmektedir.
6.3. Senaryo 3: Kritik Altyapı Kaybı (Elektrik, İnternet)
Dijital finans çağında, elektrik ve internet bağlantısı gibi temel altyapı hizmetlerinin kesintiye uğraması, bir portföy yönetim şirketinin operasyonlarını tamamen durdurabilir. Bu senaryo, bölgesel arızalar veya hizmet sağlayıcı kaynaklı sorunlar nedeniyle bu temel hizmetlere erişimin kaybedilmesini kapsar. Potansiyel etkisi, Borsa İstanbul ve diğer piyasa platformlarına erişimin kesilmesi, müşteri emirlerinin işlenememesi ve şirketin dış dünya ile tüm iletişiminin kopmasıdır. Bu riske karşı önleyici tedbirlerimizin temelini yedeklilik oluşturur. Elektrik kesintilerine karşı, tüm kritik sistemlerimizi besleyen Kesintisiz Güç Kaynakları (UPS) ve tüm ofisi destekleyebilecek kapasitede bir otomatik jeneratörümüz bulunmaktadır. İnternet kesintilerine karşı ise, iki farklı servis sağlayıcıdan, farklı fiziksel altyapılar üzerinden alınan yedekli internet hatlarımız ve bu hatlar arasında otomatik geçişi sağlayan akıllı ağ cihazlarımız mevcuttur.
6.4. Senaryo 4: Donanım Arızası ve Sistem Çökmesi
Bu senaryo, operasyonlarımızın temelini oluşturan sunucular, veri depolama üniteleri veya ağ anahtarları gibi kritik donanımlarda meydana gelebilecek teknik arızaları ve bunun sonucunda ortaya çıkabilecek sistem çökmelerini kapsar. Potansiyel etkisi, arızalanan donanımın kritikliği ile doğru orantılı olup, portföy yönetim yazılımı gibi ana sistemlerin çökmesi durumunda tüm yatırım faaliyetlerinin durmasına neden olabilir. Bu riske karşı en temel önleyici tedbirimiz, Ankara lokasyonunda bulunan ikincil merkezimiz olan KKB'den yedek kayıtlar ve backuplardan geri dönüş iş sürekliliği planı yapılmış test edilmiştir.
6.5. Senaryo 5: Siber Saldırı (Fidye Yazılımı – Ransomware)
Siber saldırılar, özellikle de verileri şifreleyerek fidye talep eden Fidye Yazılımı (Ransomware) saldırıları, finansal kurumlar için en büyük tehditlerden biridir. Bu senaryo, sistemlerimizin kötü niyetli yazılımlar tarafından ele geçirilmesi, verilerimizin şifrelenmesi ve/veya çalınarak ifşa edilmekle tehdit edilmesini kapsar. Potansiyel etkisi, operasyonların tamamen durması, devasa finansal kayıplar (fidye, cezalar, kurtarma maliyetleri) ve onarılamaz itibar hasarıdır. Bu riske karşı savunma stratejimiz çok katmanlıdır: Gelişmiş uç nokta koruma (EDR) ve ağ güvenlik sistemleri kullanmak, kritik verilerimizi "3-2-1 kuralına" göre (üç kopya, iki farklı medya, bir çevrimdışı kopya) yedeklemek ve en önemlisi, tüm çalışanlarımıza düzenli olarak siber güvenlik farkındalığı ve phishing simülasyon eğitimleri vermektir. Bir ransomware saldırısı tespit edildiği anda, ilk 15 dakika içinde BT personeli aktive edilir ve en kritik adım olarak, etkilenen sistemler derhal ağdan fiziksel olarak izole edilir. İlk bir saat içinde, BT personeli ve anlaşmalı olduğumuz dış siber güvenlik firması, saldırının kapsamını belirlemeye ve yayılmasını durdurmaya çalışır. İlk 24 saat içinde, adli bilişim analizi başlar. BT personeli, temiz ve güvenli olduğu doğrulanan çevrimdışı yedeklerden sistemleri yeniden inşa etme sürecini başlatır. Kurtarma stratejimiz, fidye ödememeyi temel alır ve tamamen güvenli yedeklerden geri dönme üzerine kuruludur. Bu, zaman alıcı bir süreçtir.
6.6. Senaryo 6: Yazılım ve Veri Bütünlüğü (NAV Hesaplama Hatası Dahil)
Bu senaryo, donanım çalışır durumdayken, kritik yazılımlardaki hatalar (bug), başarısız güncellemeler veya veritabanındaki verilerin bozulması gibi sinsi ama yıkıcı riskleri ele alır. Portföy yönetim şirketleri için bu riskin en tehlikeli hali, Net Aktif Değer (NAV) hesaplama hatasıdır. Bu durum, fon fiyatlarının yanlış ilan edilmesine, yatırımcıların mağdur olmasına ve şirketin ciddi yasal ve finansal sorumluluklar altına girmesine neden olur. Bu riske karşı önleyici tedbirlerimiz, sıkı bir değişiklik yönetimi ve test sürecine dayanmaktadır. Kritik yazılımlara yapılacak tüm güncellemeler, öncelikle üretim ortamının kopyası olan bir test ortamında denenir ve onay alındıktan sonra canlı sisteme uygulanır. NAV hesaplama süreci, mümkün olan her durumda çift kontrol mekanizmaları ile doğrulanır.
6.7. Senaryo 7: Borsa ve Takas Sistemleri Bağlantı Kaybı
Bu senaryo, bir portföy yönetim şirketinin can damarı olan Borsa İstanbul (BIST), Merkezi Kayıt Kuruluşu (MKK) ve Takasbank sistemlerine olan elektronik erişimini kaybetmesini ifade eder. Bu durum, şirketin alım-satım emri gönderememesine, açık emirlerini yönetememesine ve takas yükümlülüklerini yerine getirememesine neden olur. Bu riske karşı önleyici tedbirimiz, en az iki farklı telekom operatörü üzerinden yedekli bağlantı hatlarına sahip olmak ve bu hatlar arasında otomatik geçişi sağlayan bir altyapı kurmaktır.
6.8. Senaryo 8: Kritik Personel Kaybı veya Erişilemezliği
Bu senaryo, operasyonlarımızın devamlılığı için vazgeçilmez bilgi ve yetkiye sahip kilit bir çalışanın (örneğin, kıdemli portföy yöneticisi, uyum müdürü, baş sistem yöneticisi) beklenmedik bir şekilde görevinden ayrılması veya ulaşılamaz hale gelmesini kapsar. Bu durum, özellikle uzmanlığın birkaç kişide toplandığı kurumlarda ciddi operasyonel boşluklar yaratabilir. Bu riske karşı temel önlemimiz, kurumsal bir yedekleme kültürü oluşturmaktır. Çoğunlukla kritik pozisyon tek bir kişiye bağımlı değildir; her kilit rol için bir yedek personel belirlenmiş ve eğitilmiştir (yedekleme planı). Tüm kritik süreçler ve bilgiler, kişisel bilgisayarlarda değil, herkesin erişebileceği merkezi ve güvenli bir bilgi ortak alanda dokümante edilmektedir.
6.9. Senaryo 9: Salgın Hastalık ve Geniş Çaplı Sağlık Krizi
COVID-19 pandemisinin öğrettiği dersler ışığında hazırlanan bu senaryo, çalışanların önemli bir kısmının hastalanması ve/veya resmi kısıtlamalar nedeniyle ofis merkezli çalışma modelinin imkansız hale gelmesini kapsar. Bu, ani bir kesintiden ziyade, uzun süreli ve yıpratıcı bir krizdir. Bu riske karşı en temel hazırlığımız, tüm personelin evden, güvenli ve verimli bir şekilde çalışabilmesini sağlayan sağlam bir uzaktan çalışma altyapısı ve politikasıdır. Güçlü VPN bağlantıları, Çok Faktörlü Kimlik Doğrulama (MFA), kurumsal cihazlar için güvenlik yazılımları ve bulut tabanlı işbirliği araçları bu altyapının temelini oluşturur.
7. İLETİŞİM PLANI
Kriz Yönetim Ekibi'ne (KMK) bağlı olarak çalışan İletişim Ekibi tarafından koordine edilir. Krizin niteliğine ve büyüklüğüne göre, kamuoyuna ve medyaya açıklama yapacak yetkili şirket sözcüsü (genellikle Genel Müdür veya Kurumsal İletişim Sorumlusu) önceden belirlenmiştir. Tüm dış iletişim metinleri, yayınlanmadan önce mutlaka Hukuk ve Uyum departmanı ile KMK'nin onayından geçer.
İç iletişim, öncelikle çalışanlarımızın güvenliğine odaklanır. Bir kriz anında, çalışanlarımıza durum hakkında net bilgi vermek, onlara ne yapmaları gerektiğini bildirmek ve spekülasyonların önüne geçmek için önceden belirlenmiş kanallar (toplu SMS, e-posta, dahili anlık mesajlaşma uygulamaları) kullanılır. Düzenli güncellemelerle, çalışanlarımızın kendilerini sürecin bir parçası hissetmeleri ve morallerinin yüksek tutulması hedeflenir.
Dış iletişim ise paydaş gruplarına göre farklılaşır. Müşterilerimiz en öncelikli gruptur; onlara varlıklarının güvende olduğu ve operasyonların devamlılığı için alınan önlemler hakkında proaktif bilgi verilir. Düzenleyici kurumlar, özellikle SPK, yasal yükümlülükler çerçevesinde derhal ve eksiksiz bir şekilde bilgilendirilir. İş ortaklarımız ve kritik tedarikçilerimizle, krizin ortak operasyonlara etkisini yönetmek için sürekli iletişim halinde olunur.
8. KRİTİK SİSTEMLER ve UYGULAMALAR
Bir portföy yönetim şirketinin operasyonel dayanıklılığı, kritik iş süreçlerini destekleyen teknoloji sistemlerinin kesintisiz çalışmasına doğrudan bağlıdır. Bu nedenle, Acil Eylem Planı'nın temel adımlarından biri, Şirketimiz bünyesindeki tüm bilgi teknolojileri sistem ve uygulamalarının bir envanterini çıkarmak ve bunları iş süreçleri üzerindeki etkilerine göre önceliklendirmektir. Bu önceliklendirme, İş Etki Analizi sonuçlarına dayanarak yapılmış olup, bir sistemin veya uygulamanın kesintiye uğramasının finansal, operasyonel, yasal ve itibari sonuçları değerlendirilerek belirlenmiştir. Bu sınıflandırma, kriz anında hangi sistemlerin ilk olarak kurtarılması gerektiğine karar verilmesinde ve kaynakların en etkin şekilde kullanılmasında kritik bir rol oynar.
9. TEST, TATBİKAT ve GÖZDEN GEÇİRME PROGRAMI
Bir Acil Eylem Planı'nın önemi gerçek bir kriz anında ne kadar etkin bir şekilde uygulandığında ortaya çıkar. Planların, prosedürlerin ve sistemlerin işlerliğini doğrulamak, ekiplerin bilgi ve becerilerini taze tutmak ve potansiyel zafiyetleri bir kriz yaşanmadan önce tespit edip gidermek amacıyla, Atlas Portföy Yönetimi test, tatbikat ve gözden geçirme programı uygular. Bu program, iş sürekliliği yönetim sistemimizin yaşayan, gelişen ve sürekli iyileşen bir yapı olmasını sağlamanın temel taşıdır. Program, farklı hedeflere yönelik çeşitli tatbikat türlerini, performans değerlendirme metriklerini ve düzenli gözden geçirme toplantılarını içermektedir.
10. PLANIN GÜNCELLENMESİ ve SÜRDÜRÜLMESİ
Acil Eylem Planı, statik bir belge değil, Şirketimizin iç ve dış çevresindeki değişikliklere uyum sağlaması gereken dinamik bir araçtır. Teknolojinin gelişmesi, iş süreçlerinin değişmesi, yeni risklerin ortaya çıkması, personelin değişmesi veya yasal düzenlemelerin güncellenmesi gibi faktörler, planın zamanla geçerliliğini yitirmesine neden olabilir. Bu nedenle, planın sürekli olarak güncel, doğru ve etkili kalmasını sağlamak için net bir gözden geçirme ve güncelleme süreci devam edecektir.
Planın güncelliğinden ve bütünlüğünden Bilgi Sistemleri Güvenliği Sorumlusu sorumludur. Bu sorumluluk çerçevesinde, planın tamamı yılda en az bir kez gözden geçirmeye tabi tutulur.
- Gerçek bir acil durum veya kriz yaşanmasının ardından,
- Bir test veya tatbikat sonucunda önemli bir aksilik veya zafiyet tespit edildiğinde,
- Şirketin organizasyon yapısında, kilit yönetici veya personel pozisyonlarında önemli bir değişiklik olduğunda,
- Kritik bir teknoloji sistemi veya altyapısı değiştirildiğinde veya yeni bir sistem devreye alındığında,
- Şirketin fiziksel lokasyonunda (ofis taşıma vb.) bir değişiklik olduğunda,
- SPK veya diğer yasal otoritelerin düzenlemelerinde planı etkileyen bir değişiklik olduğunda
Bu plan gözden geçirilerek revize edilecektir.
11. YÜRÜRLÜK:
Bu yönetmelik, 30 / 12 / 2025 tarihi itibariyle yürürlüğe girmiştir.
ATLAS PORTFÖY YÖNETİMİ A.Ş.
ACİL DURUM VE BEKLENMEDİK DURUM PLANI EKLERİ
A_ İLETİŞİM PLANI
Bu plan, Atlas Portföy Yönetimi'nin bir acil durum sırasında iç ve dış paydaşlarla etkili iletişim kurmasını sağlamak için tasarlanmıştır.
İletişim Ağacı ve Akışı
Acil durumun tespit edilmesiyle birlikte iletişim akışı aşağıdaki gibi işler:
- İlk Tespit ve Doğrulama: Acil durumu ilk tespit eden personel, durumu derhal Kriz Yönetim Lideri'ne (Genel Müdür) ve Operasyon ve BT personeline bildirir.
- KYE Aktivasyonu: Kriz Yönetim Lideri, durumu değerlendirerek Kriz Yönetim Ekibi'ni (KYE) aktive eder.
- İç İletişim:
- KYE İletişimi: KYE üyeleri, belirlenen birincil (Microsoft Teams) ve ikincil (WhatsApp Grubu) kanallar üzerinden sürekli iletişim halinde olur.
- Personel Bilgilendirmesi: İnsan Kaynakları Lideri, tüm personeli e-posta, SMS ve şirket içi anons sistemi aracılığıyla durum hakkında bilgilendirir.
- İç İletişim:
- Dış İletişim:
- SPK Bildirimi: Hukuk ve Uyum Lideri, mevzuatın gerektirdiği süreler içinde SPK'ya gerekli bildirimleri yapar.
- Müşteri İletişimi: Finans ve Portföy Yönetimi Lideri ile İletişim Sorumlusu, müşterilere durum, portföylerin güvenliği ve hizmet sürekliliği hakkında bilgi verir (e-posta, web sitesi duyurusu, müşteri hizmetleri kanalları).
- Tedarikçi İletişimi: Operasyon ve Teknoloji Lideri, kritik tedarikçilerle iletişime geçerek hizmetlerin devamlılığını koordine eder.
- Medya İletişimi: Kriz Yönetim Lideri'nin onayıyla İletişim Sorumlusu, medya kuruluşlarına yönelik basın bültenleri ve açıklamalar hazırlar.
- İletişim Sorumlusu; Yönetim Kurulunun, Yönetim Kurulu Kararı alarak SPK Tebliğleri gereği kanunca belirlenmiş yasal kurumlara "Acil ve Beklenmedik Durum Planı Sorumluları" olarak bildirilen personel arasından Kriz Yönetim Liderinin seçimiyle atanır.
B_ KRİTİK SİSTEMLER ve KURTARMA ÖNCELİKLERİ
| Bağımlı Olduğu Sistemler | Kaynak Bilgileri | Sorumlu Kişi | Yedek Sorumlu Kişi | Yedekleme Durumu (Var/Yok) | Risk | Destek Alınan Firma | Açıklama |
|---|---|---|---|---|---|---|---|
| AD (MS Active Directory) SQL (MSSQL) Firewall (KKB,RiskMerkezi,BDDK) DataCenter (ESX,Switch,Kabin,Elektrik) ISP (Internet, MPLS, IPSEC) IIS-APP (VM Server) |
DC1= 10.124.15.85 DC2= 10.124.15.85 SQL= MS SQL Firewall= https://185.76.159.130 Vcenter= https://ankara.fixcloud.com.tr ISP Devre= MPLS,IPSEC Real IP değişim bildirimi |
Hakan Aydın | Var | SQL Standalone App Standalone ISP Yedekli |
Fixcloud OPTIMUS |
Günlük yedek alınıyor | |
| Sunucular Standalone | |||||||
| AD (MS Active Directory) SQL (MSSQL) DataCenter (ESX,Switch,Kabin,Elektrik) ISP (Internet, MPLS, IPSEC) CW_DYS_PROD CW_Arsiv CW_DB_PROD |
DC1= 10.124.15.10 DC2= 10.124.15.10 SQL= 10.124.15.85 Firewall= https://185.76.159.130 Vcenter= https://ankara.fixcloud.com.tr ISP Devre= MPLS,IPSEC |
Hakan Aydın | Var | Fixcloud | Günlük yedek alınıyor | ||
| ISP Yedekli | |||||||
| AD (MS Active Directory) DataCenter (ESX,Switch,Kabin,Elektrik) ISP (Internet, MPLS, IPSEC) |
DC1= 10.124.15.50 DC2= 10.124.15.50 Firewall= https://185.76.159.130 Vcenter= https://ankara.fixcloud.com.tr |
Hakan Aydın | Var | Fixcloud | Günlük yedek alınıyor | ||
C_ ROLLER ve SORUMLULUKLAR MATRİSİ
| Rol | Sorumlu Kişi/Departman | Sorumluluklar |
|---|---|---|
| Kriz Yönetim Lideri (KYL) | Genel Müdür | - Kriz anında genel liderliği üstlenmek - Stratejik kararları almak ve onaylamak - SPK ve diğer yasal otoritelerle iletişimi yönetmek - Medya iletişimini koordine etmek |
| Operasyon ve Teknoloji Lideri | Bilgi Teknolojileri Direktörü | - IT ve operasyonel müdahale ekiplerini yönetmek - Sistem kurtarma ve veri bütünlüğü süreçlerini denetlemek - RTO/RPO hedeflerinin takibini yapmak - Kritik altyapı ve sistemlerin durumunu izlemek |
| Finans ve Portföy Yönetimi Lideri | Portföy Yöneticisi | - Müşteri portföylerinin güvenliğini sağlamak - Piyasa risklerini izlemek ve yönetmek - Finansal kayıpları en aza indirmek için stratejiler geliştirmek - Alternatif işlem platformlarını devreye almak |
| İnsan Kaynakları ve İdari İşler Lideri | İnsan Kaynakları Müdürü | - Personel güvenliğini ve refahını sağlamak - Acil durum iletişim planını uygulamak - Personel tahliyesi ve alternatif çalışma düzenlemelerini koordine etmek - Personel ve ailelerine destek sağlamak |
| Hukuk ve Uyum Lideri | Hukuk Müşaviri / Uyum Sorumlusu | - Yasal ve düzenleyici uyumluluğu sağlamak - SPK bildirimlerini zamanında ve doğru bir şekilde yapmak - Krizin yasal sonuçlarını yönetmek |