Felaket kurtarma planı, süreklilik stratejisinin kritik bir parçasıdır. Kısaca bir dizi potansiyel felaket senaryosunda, işletmenizi çalışır durumda tutmak için sizi hazırlayan bir plandır.
Büyüklüğüne bakılmaksızın her işletme bir felaket kurtarma planı oluşturmalıdır çünkü riskler aynıdır.
Felaket Kurtarma Planı Nedir?
Felaket kurtarma planı (disaster recovery plan) veya DRP, bir işletme bir felaket yaşadığında (genellikle veri kaybını içeren) izlenecek belirli prosedürleri ortaya koyan belgelenmiş bir süreçtir. Veri kaybını ve iş kesintisini en aza indirmek ve en önemlisi, bir işletmeyi mümkün olan en kısa sürede yeniden ayağa kaldırmak için tasarlanmıştır.
Bir felaket kurtarma planının uygulamaya konulması, işletmenizi aşağıdaki gibi olumsuz sonuçlardan korur:
- Veri kaybı: Uygun yedeklemeler ve bir siber güvenlik felaket kurtarma planı, bir işletmenin kaybolacak olan önemli verileri kurtarmasına olanak tanır.
- İş kesintisi: Kritik sistemlerin ve verilerin hızlı bir şekilde kurtarılması, kesinti süresini azaltabilir ve işletmenizin üretken kalmasını sağlayabilir.
- Yasal ve düzenleyici uyumluluk sorunları: Belirli sektörler belirli veri düzenlemelerine tabidir. Bir felaket kurtarma planı, düzenlemelerin ve bunlara ilişkin cezaların kazara ihlal edilmesini önlemeye yardımcı olur.
- Artan maliyetler: Bir felaket kurtarma planına sahip olmak, felaket kurtarma maliyetlerini düşürmeye ve sigorta oranlarının artmasını önlemeye yardımcı olabilir.
- Müşteri güveninin kaybı: Müşterilerinizin hassas verilerini koruyarak, güvenlerini korumaya ve işlerini sürdürmeye yardımcı olursunuz.
Başarılı Bir Felaket Kurtarma Planı Nasıl Oluşturulur?
Bir felaket kurtarma planı her işletme için olmazsa olmazdır. Doğal afet, elektrik kesintisi veya başka bir yıkıcı olay durumunda işletmenize yardımcı olmak için tasarlanır.
Peki başarılı bir felaket kurtarma planlaması hangi adımları içermelidir?
1. Yönetimin Katılımını Sağlayın
Üst yönetim felaket kurtarma planının başarısının sağlanmasında kilit bir rol oynar. Planı geliştirmek ve uygulamakla görevli ekibe sermaye, insan kaynakları, zaman ve danışmanlık desteği şeklinde kaynaklar tahsis eder. Bu nedenle, yönetim tüm sürece dahil olmalıdır.
- Başlamadan önce üst yönetimin aynı fikirde olduğundan ve plana devam etmeniz için size onay verdiğinden emin olun.
- Başlamadan önce yönetim ekibinin planla ilgili olabilecek endişelerini giderin.
2. Felaket Kurtarma Planı Ekibinizi Oluşturun
Planınızın geliştirilmesini ve fiilen uygulanmasını denetlemek için bir felaket kurtarma ekibi oluşturun. Bu, bir felaket sırasında operasyonların sorunsuz ve iyi koordine edilmiş olmasını sağlar.
Bu ekipteki en kritik roller aşağıdaki şekildedir:
- Felaket Kurtarma Ekip Lideri: Bu kişi felaket kurtarma planının geliştirilmesi ve uygulanmasından sorumludur. Ayrıca diğer ekip üyelerinin çabalarını koordine eder.
- Birim Yöneticileri: Kendi iş birimleri için gerekli olan kritik sistemleri, süreçleri ve verileri belirlemekten ve bu varlıklar için kurtarma prosedürleri geliştirmekten yönetime karşı sorumludur.
- BT/IS Personeli: Yedeklerin oluşturulması ve bakımı, kurtarma prosedürlerinin test edilmesi ve satıcılar ve diğer BT hizmetleri ile koordinasyon dahil olmak üzere felaket kurtarma planının teknik yönlerinden sorumludur.
- İletişim/Halkla İlişkiler: Bir felaket sırasında kullanılmak üzere iletişim prosedürleri geliştirmek ve uygulamaktan ve iç ve dış paydaşlarla (müşteriler ve medya vb.) iletişim kurmaktan sorumludur.
- Çalışan veya İnsan Kaynakları Temsilcileri: Tahliyenin koordine edilmesi ve afetten etkilenen çalışanlara destek sağlanması da dahil olmak üzere, afet sırasında ve sonrasında çalışanların ihtiyaçlarının karşılanmasından sorumludur.
- Yasal ve Düzenleyici Uyum Ekibi: Felaket kurtarma planının ilgili tüm yasa ve yönetmeliklerle uyumlu olmasını sağlamaktan ve işletmenin cezalardan ve yasal karışıklıklardan kaçınmasına yardımcı olmaktan sorumludur.
3. Bir Risk Değerlendirmesi Tamamlayın
Etkili bir Felaket Kurtarma Planı (DRP), teknik, insan kaynaklı ve doğal felaketler gibi çeşitli olası felaketleri dikkate alan kapsamlı bir iş etkisi ve risk analizi üzerine inşa edilir.
Felaket kurtarma planlama komitesi, bu felaketlerin kurumdaki her departmandaki potansiyel risklerini ve sonuçlarını analiz etmelidir. Bu süreç, işletmenin operasyonları için gerekli olan tüm kritik sistemleri, süreçleri ve verilerin yanı sıra her bir felaket senaryosunun işletmenin genel performansı üzerindeki potansiyel sonuçlarını ve olumsuz etkilerini de dikkate almalıdır.
Geleneksel olarak yangın işletmeler için önde gelen bir tehdittir, ancak siber saldırılar, sabotaj veya terörizm gibi insan kaynaklı kötü niyetli yıkım senaryolarını da dikkate almak ve buna göre plan yapmak önemlidir. Disaster recovery plan, tesisin tamamen yok olması gibi en kötü senaryoları da dikkate almalıdır.
Komite ayrıca önemli verilerin kaybının etkilerini de değerlendirmelidir. Bu, veri kurtarma maliyetlerini, üretkenlik kaybını ve itibar kaybını içerebilir, ancak bunlarla sınırlı değildir. Ayrıca, veri kaybını önleme ve ekipman, yazılım, personel ve harici satıcıların maliyetleri de dahil olmak üzere sağlam bir BT felaket kurtarma planı oluşturma ile ilgili maliyetleri analiz etmelidir.
Risk değerlendirmesi ve iş etki analizinin, işletmenin faaliyetleri ve tehdit ortamındaki değişiklikleri yansıtmak için düzenli olarak güncellenmesi gereken devam eden süreçler olduğunu akılda tutmanız çok önemlidir.
İşletmeler, farklı felaket senaryolarının potansiyel risklerini ve etkilerini değerlendirerek bir felakete daha iyi hazırlanabilir ve müdahale edebilir, kesinti süresini en aza indirebilir ve acil bir durumun ardından sonuçları hafifletebilir.
4. Kritik İhtiyaçların ve Kurtarma Stratejilerinin Belirlenmesi
İşletmeler bir felaket durumunda operasyonların sürekliliğini sağlamak için her bir departmanın kritik ihtiyaçlarını değerlendirmelidir. Değerlendirme, operasyonlar, kilit departman personeli, bilgi, işlem sistemleri, hizmet, dokümantasyon, hayati kayıtlar ve prosedürler dahil olmak üzere birkaç kilit alana odaklanmalıdır. Analiz, işletmenin bu tür sistemler olmadan ne kadar süre çalışabileceğini belirlemesine yardımcı olur.
Bu noktada bir departmanın kritik ihtiyaçlarını neyin oluşturduğunu tanımlayın. Bunlar bir departmanın, sunucu odasının, ana tesisin ya da bunların tümünün yıkım ya da erişilemezlik gibi bir kesinti durumunda faaliyetlerine devam edebilmesi için gereken temel prosedürler ve ekipmanlardır. Tüm departman operasyonlarını belgeleyin. Ardından, operasyonları ve süreçleri öncelik sırasına göre sıralayın; en üstte temel işlevler, ardından önemli işlevler ve daha sonra da temel olmayan işlevler yer almalıdır.
Bunu yaptıktan sonra, her bir varlık için mevcut kurtarma seçeneklerini kontrol edin. Tam kurtarma ve hız açısından en iyi seçeneklere öncelik verin, ancak elinizde mümkün olduğunca çok seçenek bulundurun.
Aşağıdaki listede bazı olası seçenekleri bulabilirsiniz:
- Yedekleme ve kurtarma: Bu strateji, önemli verilerin düzenli olarak yedeklerinin oluşturulmasını ve güvenli bir yerde saklanmasını içerir. Veri kaybı durumunda, kayıp verileri kurtarmak için yedekleme kullanılabilir.
- RAID kurtarma: RAID kurtarma, arızalı bir RAID sisteminden verileri yeniden yapılandırmak için özel bir yazılım kullanılmasını içerir. Bu, veri merkezinizdeki bir sunucuyla ilişkili donanım arızasını kurtarmak için yararlı olacaktır.
- Bulut kurtarma: Bulut kurtarma, verileri depolamak ve kurtarmak için bulut hizmetlerinin kullanılmasını içerir.
- Uzaktan kurtarma: Uzaktaki bir veri sunucusundan verilere erişmek ve verileri kurtarmak için uzaktan erişim teknolojisini kullanabilirsiniz.
- Fiziksel kurtarma: Fiziksel kurtarma, fiziksel hasardan sonra BT altyapısının onarılmasını veya verileri kurtarmak için arızalı donanımın değiştirilmesini içerir.
- Disk görüntüleme: Burada, belirli bir ortamdaki tüm depolama alanının veya yalnızca kullanılan alanın sanal bir kopyasını oluşturursunuz. Bu aynı zamanda “tam sistem” veya “bare-metal” restorasyon olarak da bilinir. Veri kaybından sonra görüntüyü geri yüklersiniz.
321 yedekleme stratejisi, veri yedekleme ve kurtarma için yaygın olarak kabul edilen en iyi uygulamadır. Önemli verilerin üç kopyasının oluşturulmasını, bunların iki farklı medya türünde saklanmasını ve bir kopyanın tesis dışında tutulmasını içerir. Bu strateji, donanım arızası, doğal afetler veya siber saldırılar gibi çeşitli potansiyel sorunlardan kaynaklanan veri kaybına karşı korunmaya yardımcı olur. Verilerin üç kopyası yedeklilik sağlarken, birden fazla medya türünün ve tesis dışı depolamanın kullanılması daha karmaşık olaylardan (doğal afet veya tesis felaketi gibi) kaynaklanan veri kaybına karşı korunmaya yardımcı olur.
5. Veri Toplayın ve Felaket Kurtarma Planınızı Belgeleyin
Toplanması gereken bazı yaygın veri türleri aşağıdaki şekildedir:
- Kritik telefon numaraları
- Yedek pozisyonlar için liste
- İletişim envanteri
- Ekipman envanteri
- Yazılım ve veri dosyası yedekleme ve saklama programları
- Birincil arama listesi
- Satıcı listesi
- Ana bilgisayar donanım envanteri
- Mikrobilgisayar yazılım ve donanım envanteri
- Telefon envanteri
- Form envanteri
- Sigorta poliçesi envanteri
- Ofis malzemeleri envanteri
- Dağıtım kaydı
- Dokümantasyon envanteri
- Bildirim kontrol listesi
- Tesis dışı depolama yeri envanteri
- Geçici konum ayrıntıları
Bir veri felaketinden önce ve sonra kullanılacak tüm prosedürleri detaylandıran bir plan yazın. Yazılı plan, kapsadığı önemli alanlardaki değişiklikleri yansıtacak şekilde planın güncellenmesine yönelik prosedürleri de içermelidir. Mümkün olduğunca spesifik olun. Bu noktada planı uygulayan kişi ya da kişilerin sizinle aynı bilgi düzeyine sahip olduğunu varsaymayın.
Felaket kurtarma planını ekip üyeleriyle birlikte yapılandırın. İşletmedeki her departmana belirli sorumluluklar atayın.
6. Test Edin ve Gözden Geçirin
Bir felaket kurtarma planını test etmenin birkaç yolu vardır. Bunlar aşağıdaki şekildedir:
Kilit personelin bir felaket senaryosunu simüle ettiği ve planda belirtilen prosedürler üzerinde çalıştığı bir masa başı tatbikatı düzenleyin.
Prosedürlerin kontrollü bir ortamda fiilen uygulandığı tam ölçekli bir test gerçekleştirin.
İşletmenin sistemlerinde veya operasyonlarında meydana gelen değişiklikleri dikkate aldığından emin olmak için planı düzenli olarak gözden geçirin ve güncelleyin.
DR planının etkinliğini belirlemek ve iyileştirmeye açık alanları tespit etmek için düzenli bir test süreci oluşturun. Test sırasında tespit edilen sorunları revizyon sırasında ele alın. Bir sonraki test döngüsünde sorunların çözülüp çözülmediğini kontrol edin. Test ve revizyonun düzenli olarak gerçekleştirilmesi gereken sürekli bir süreç olduğunu unutmayın.
7. Güncellenmiş bir DRP Tutun
Bir felaket kurtarma planının güncel tutulması, etkili felaket müdahalesi ve kurtarma için kritik öneme sahiptir. Güncellenmiş bir felaket kurtarma planı işletmenin sistemlerinde veya operasyonlarında meydana gelen değişiklikleri dikkate almalıdır. Buna yeni teknolojiler, iş süreçleri, yazılım ve donanım varlıkları, personel veya organizasyon yapısı değişiklikleri ve işletmenin bir felaketten kurtulma kabiliyetini etkileyebilecek diğer tüm değişiklikler dahildir.
Felaket kurtarma planının düzenli olarak gözden geçirilmesi ve güncellenmesi, işletmenin çok çeşitli potansiyel felaketlere yanıt vermeye ve bunlardan kurtulmaya hazır olmasını sağlamaya yardımcı olur. Felaket kurtarma planı, yılda bir kez gibi düzenli aralıklarla veya işletmede önemli değişiklikler olması halinde daha sık aralıklarla gözden geçirilmelidir.
Gözden geçirme sürecinde planın etkinliğini değerlendirin, iyileştirilmesi gereken alanları belirleyin ve prosedür ve stratejileri gerektiği şekilde güncelleyin. Bu, iletişim listelerinin güncellenmesini, kurtarma süresi hedeflerinin gözden geçirilmesini, planın ek testlerinin yapılmasını ve ayrıca yedekleme çözümlerinin güncellenmesini ve veri kurtarmanın test edilmesini içerebilir.
Bir felaket durumunda hızlı ve etkili bir şekilde yanıt vermeye hazır olmaları için personelin planda yapılan değişiklikler hakkında bilgilendirilmesi ve eğitilmesi de çok önemlidir.
En Çok Sorulan Sorular
1. Ağ felaket kurtarma planı işletmeler için neden gereklidir?
Bir ağ felaket kurtarma planı, iş sürekliliğini sağladığından ve öngörülemeyen olaylar sırasında kesinti süresini en aza indirdiğinden işletmeler için çok önemlidir. Kritik verilerin ve sistemlerin korunmasına yardımcı olur, bir felaketten sonra operasyonların hızlı bir şekilde devam etmesini sağlar ve böylece potansiyel gelir kaybını ve itibar hasarını önler.
2. Bir felaket kurtarma planı ne sıklıkla test edilmelidir?
Felaket kurtarma planları, etkinliklerinden emin olmak için en az altı ayda bir olmak üzere düzenli olarak test edilmelidir. Düzenli testler, plandaki boşlukların veya zayıflıkların belirlenmesine yardımcı olarak işletmelerin gerekli iyileştirmeleri yapmalarına ve kurtarma stratejilerini güncel tutmalarına olanak tanır.
3. Bir felaket kurtarma ekibinin temel bileşenleri nelerdir?
Bir felaket kurtarma ekibi BT, operasyonlar, güvenlik ve yönetim dahil olmak üzere farklı departmanlardan kilit personelden oluşmalıdır. Acil durumlarda sorunsuz koordinasyon sağlamak için her üyenin olay yöneticisi, iletişim koordinatörü ve veri kurtarma uzmanı gibi iyi tanımlanmış rolleri olmalıdır.
4. Yedekler tesis içinde mi yoksa tesis dışında mı saklanmalıdır?
Maksimum koruma için yedekler hem tesis içinde hem de tesis dışında saklanmalıdır. Tesis içi yedeklemeler anında kurtarma için verilere hızlı erişim sağlarken, tesis dışı yedeklemeler doğal afetler veya hırsızlık gibi durumlarda birincil tesisin fiziksel hasar görmesine karşı koruma sağlar.
5. İşletmeler en son kurtarma stratejileriyle nasıl güncel kalabilir?
İşletmeler sektör konferanslarına, seminerlere ve web seminerlerine katılarak en son kurtarma stratejileri konusunda güncel kalabilirler. Meslektaşlarla ağ kurmak ve felaket kurtarma uzmanlarıyla etkileşim kurmak, ortaya çıkan en iyi uygulamalar ve teknolojiler hakkında değerli bilgiler sağlayabilir.
6. Felaket kurtarma planını düzenli olarak gözden geçirmek ve güncellemek gerekli midir?
Evet, felaket kurtarma planını düzenli olarak gözden geçirmek ve güncellemek çok önemlidir. Teknoloji ve iş ihtiyaçları gelişir ve potansiyel riskler zaman içinde değişebilir. Planın güncellenmesi, planın güncel kalmasını ve en son tehdit ve zorlukları hafifletmede etkili olmasını sağlar.