İlkay Aydoğdu

Felaket kurtarma planı

SON zamanlarda haberlerde sıklıkla siber saldırılar ve veri kayıpları sonucunda şirketlerin iş süreçleri/operasyonlarını tekrar canlandırmak ve kayıplarını telafi etmek için yaşadığı zorlukları okuyoruz. Bu tür risklerin gerçekleşmesi sonrasında zarara en aza indirmek için şirketlerin iş sürekliliği ve felaket kurtarma planlarının tanımlanmış ve test edilmiş olması gerek.
Daha önceki yazılarımdan birinde İş Sürekliliği Planı’nın öneminden ve hazırlanması için gereken adımlardan bahsetmiştim. Felaket Kurtarma Planı genelde İş Sürekliliği Planı ile karıştırılır, ancak aslında İş Sürekliliği Planı’nın bir bölümü ya da destekleyicisi olarak ele alınmalıdır.
Felaket Kurtarma Planı, şirketin bilgi teknolojileri (BT) kaynaklarının (network, server, bilgisayar, laptop, kablosuz cihazlar, mobil ve yerel ağlar, iletişim bağlantıları ve veriler) felaketten korunması, felaket anında ve sonrasında en az zarara maruz kalması ile gerçekleşen zararların telafisi için alınacak aksiyonları içermelidir.
Aynı iş sürekliliği planı gibi, felaket kurtarma planı da ilgili iş birimleri ile birlikte hazırlanmalı, mümkün olduğunca kapsamlı olmalı, kritik iş süreçlerinin felaket sonrası devamını, diğer önemli süreçlerin en kısa sürede başlatılabilmesini ve devamında şirketin normal işleyişe dönebilmesini sağlamalıdır.
Örneğin; bir sigorta şirketinde sağlık sigortaları provizyonları süreci en kritik süreç olarak belirlenmiş ise ve felaketten sonra iki saat içerisinde tekrar çalışmaya başlanması isteniyorsa; sağlık provizyonları için kullanılan bilişim sistemleri, bunları destekleyen veritabanları ve ağ bağlantıları; hatta çalışanların iletişim olanakları (mail, telefon, IVR vb.) bu süre içerisinde tekrar ayağa kaldırılmalıdır. Tüm bu işlemlerin hızlı ve etkin şekilde yapılabilmesi için planlamak ve planı test etmek gereklidir.
Felaket kurtarma planının tanımlanması ve test edilmesi sırasında dikkat edilmesi gereken noktalara aşağıda yer vermeye çalıştım:
• BT kaynakları envanteri oluşturulması; kullanılan server, router, bilgisayar, laptop gibi ekipmanlar, mobil cihazlar, yazılımlar vb. tam bir listesi olmalıdır.
• Veri envanteri oluşturulması; bu envanter kritik süreçlerde ihtiyaç duyulacak verilerin geri döndürme zamanlarını da içermelidir.
• Yedekleme politika ve prosedürlerinin belirlenmesi: şirketin kritik iş süreçleri ve bu süreçlerin kurtarma zaman hedefleri (recovery time objective) doğrultusunda yedekleme opsiyonlarının değerlendirilmesi ve yedekleme prosedürlerinin buna göre oluşturulması (ör: sunucu bazlı/disk tabanlı/uygulama bazlı replikasyon ya da hizmet sağlayıcılardan alınacak yedekleme çözümleri (yerinde ya da bulutta veya hibrit) değerlendirilmesi ) sağlanmalıdır. Örneğin yukarıda bahsettiğim sağlık sigortaları provizyon süreçleri için verilerin anlık olarak yedeklenmesi gerekirken, raporlama süreçleri için haftalık yedekleme yeterli olabilir. Dış hizmet sağlayıcılardan alınacak yedekleme çözümleri için hizmet durumunun sürekli izlenmesi ve raporlanması önemlidir.
• Yedekleme sırasında önemli bir husus da bilgi güvenliğinin sağlanmasıdır. Yedeklenen verilere ve yedekleme ortamlarına erişim şirketin Bilgi Güvenliği politikaları dahilinde mutlaka ele alınmalıdır.
• Felaket planına ilişkin eğitimlerin şirkette sorumlu personele verilmesi, tüm çalışanların konu ile ilgili farkındalığının oluşması sağlanmalıdır.
• Planın tamamlanması ardından çeşitli felaket senaryoları geliştirilerek (ör: siber saldırı, yangın, elektrik kesintisi sonrası server bozulması vb.) testler gerçekleştirilmelidir. Testler sırasında tespit edilen eksikliklerin giderilmesi için aksiyon planlarının oluşturulması ve takibi sağlanmalıdır.

1 Şubat 2019

İlgili Haberler

Yazarlar