AFET DURUMUNDA KAMUDA VERİ GÜVENLİĞİ

Transkript

1

2 AFET DURUMUNDA KAMUDA VERİ GÜVENLİĞİ PROJE ORTAKLARI PROJE İŞTİRAKÇİLERİ Sözleşme No: İSTKA/2012/DFD/142 2

3 Ekip Tülay TAŞÇI Bütçe ve Planlama Daire Başkanı Ramazan BURÇAKBAŞ - Proje Sorumlusu Zeynep Deniz ALDOĞAN - Proje Koordinatörü Meral TOPÇU Bilgi İşlem Uzmanı Cemil KURDOĞLU-Proje Koordinatör Yardımcısı Alperen ÖZTÜRK - Proje Koordinatör Yardımcısı Proje Ortakları Emine Üzüm TAN- İstanbul Aile ve Sosyal Politikalar İl Müdürlüğü Hasan Utku KARADUMAN-İstanbul Emniyet Müdürlüğü Necmi ŞAHİN- İstanbul İl Afet ve Acil Durum Müdürlüğü Proje İştirakçileri Burak REİS- İstanbul Proje Koordinasyon Birimi Cenk KALFAOĞLU- Türk Kızılayı Ercan MUTLU-İstanbul Milli Eğitim Müdürlüğü İbrahim Söyler-İstanbul İl Sağlık Müdürlüğü Mehmet Ali ALTINSOY-İSKİ(İstanbul Su ve Kanalizasyon İdaresi) Mehmet GÜRSES-İstanbul Büyükşehir Belediyesi Diğer Ekip Üyeleri - Ömer Turhan - Ekip Lideri Doç Dr. Yaşar Bülbül - Proje Danışmanı Doç. Dr. Ertuğrul Karaçuha - Proje Danışmanı Hande Özüak -Raportör Ferhat Karakuş - Güvenlik ve Network Uzmanı Server Tunca - Sistem Uzmanı 3

4 İçindekiler Yönetici Özeti Yöntem / Amaç Afet ve Afet Yönetimi Küresel Yönelimler Veri Merkezleri Mevcut Durum Analizi Öneriler ve Sonuç 5

5

6 Yönetici Özeti Doğal afetler, nedenleri, etkileri ve sonrasındaki faaliyetler, başta mühendislik olmak üzere, pek çok bilim dalının inceleme konusudur. Artan iletişim ve bilgi işlemin gücü doğal afetlerle başa çıkmanın en önemli aracı olmaktadır. Herkesin bildiği üzere, İstanbul büyük bir deprem riski ile karşı karşıyadır. Bu riske karşı çok sayıda tedbir alınmakta ve çeşitli çalışmalar yürütülmektedir. Binaların güçlendirilmesi veya yenilenmesi ana tedbir olarak gözükmekle birlikte bir deprem veya farklı bir doğal afet durumunda yaraların sarılması, zararların en aza indirilmesi etkin bir koordinasyonu şart koşmaktadır. Koordinasyonun başarısı ise iletişim hizmetlerinin kesintisiz sürmesine bağlıdır. Günümüzde iletişim ve bilgi teknolojileri iç içe geçmiştir. Sayısallaşan bilgi, veri merkezlerinde depolanmakta, işlenmekte, kablolu/ kablosuz networkler üzerinden iletilmektedir. Bir başka ifadeyle kurumların hafızaları ve eylem güçleri kullanabildikleri bilgiişlem-iletişim kapasiteleri ile doğru orantılıdır. Bilgi-işlem-iletişim kapasitesi aynı zamanda kesintisizlik ve süreklilik ifade etmektedir. Veri merkezlerinin kesintisiz ve aşırı yüklerde çalışabilmesi için alınması gereken tedbirler, yapılması gereken eylemler, yatırımlar vardır. Esas olarak; afet yönetimi, afetin olduğu an dışında öncesi ve sonrasını da kapsayan bir süreçtir. Olası bir afet durumunda hizmetlerin kesintisiz sürmesi için İstanbul da kamuya ait veri merkezlerinin ivedi olarak afet sonrasına hazırlıklı olmaları şarttır. Bu çalışmada elde edilen bulgulara göre İstanbul daki kamu veri merkezleri ve iletişim altyapısı, olası bir afet durumuna hazır gözükmemektedir. Bu raporda çeşitli öneriler geliştirilmiştir. Bunların başında sadece bu işe tahsis edilmiş kablosuz sayısal iletişim altyapısının kurulması, veri merkezlerinin yeniden yapılandırılması ve konsolide edilmesi, konulara hakim insan kaynağı yetiştirilmesi, gelmektedir. Ramazan BURÇAKBAŞ Proje Yetkilisi 7

7 Yöntem/Amaç Bu çalışmada; gelecek referanslı / bütünlüklü-holistik / paydaş beklentilerini hesaba katan / bilimsel / uygulanabilir bir yaklaşım hedeflenmiştir. Problemleri gün yüzüne çıkarmak, çözüm önerileri geliştirmek ve uygulama süreçlerinin takip edilmesini sağlamak yönünde bir anlayış benimsenmiştir. Keşif Tanımlama Yayma Uygulama Çalışmada 4D - Discovery/Define/Deploy/Drive metodolojisi kullanılmıştır. Bu metodoloji sorunları teşhis etmekle yetinmeyip aynı zamanda tanımlar ve yayma, uygulama önerileri içerir. Saha Ziyareti ve Teknik İncelemeler Proje kapsamında saha ziyaretleri yapılarak veri merkezleri teknik uzmanlar tarafından yerinde incelenmiştir. Mülakatlarda İzlenen Yöntem Mülakatlarda yarı yapılandırılmış anketler uygulandığı gibi görüşüne başvurulan kişinin dikkat çekmeye çalıştığı meseleler dikkatlice not edilmiştir. Bazı görüşmeler kartopu etkisi yaratmış ve ardından birçok uzmanın kıymetli görüşlerinin toplanmasını sağlamıştır. Odak Grup Toplantılarında İzlenen Yöntem Yönetici ve uzmanların katıldığı odak grup toplantılarında beyin fırtınası, zaman-değer matrisi teknikleri uygulanmış ve katılımcılardan maksimum katkı almaya çalışılmıştır. Problemler ve çözüm yolları tartışılmıştır. Ayrık görünen tüm fikirler birleştirilerek ortak akıl üretmek amaçlanmıştır. Rapor Yazımında İzlenen Yöntem Verilerle, örneklerle desteklenen, herkesin okuyup faydalanabileceği bir yazım yöntemi uygulanmış, inter-disipliner bir yaklaşım benimsenmiştir. 8

8 İklimlendirme Sunucu Genel Bakım Yangın Fiziksel Güvenlik Bağlantılar Fiziksel Yapı VERİ MERKEZİ Genel Sistem Devamlılığı Enerji Kritik Uygulamalar Yedekleme Afet Durumunda Kamuda Veri Güvenliği kapsamında İstanbul da seçilmiş kamu kurumlardaki mevcut veri güvenliği durumlarının incelenmesi ile bu doğrultuda kurumların olası afet durumlarındaki veri güvenliklerinin analiz edilmesi hedeflenmektedir. Raporun ilk aşamasında veri güvenlik merkezlerinin mevcut durumlarının sağlıklı bir biçimde ortaya konabilmesi için dünyadaki örneklerin anlaşılmasına yönelik literatür incelemesi yapılmıştır. Bir sonraki aşamada, İstanbul da önem arz eden kamu kurumlarının veri güvenlikleri ile ilgili hedeflenen analizlerin yapılabilmesi için tüm kurumlarda incelenmek üzere 12 ana başlık (Fiziksel Kontrol, İklimlendirme, Yangın ve Duman, Enerji, Fiziksel Güvenlik, Sunucu Genel Bakım, Veri Güvenliği, Yedekleme, Kritik Uygulama/Sunucular, Bağlantılar, Sistem Devamlılığı ve Genel Durum) altında 120 parametre belirlenmiş ve bu parametreler doğrultusunda kurumlar ziyaret edilerek, kurum yetkilileriyle derinlemesine mülakatlar/anketler gerçekleştirilmiştir. Raporun son aşamasında ise İstanbul da belirlenmiş kamu kurumlarının veri merkezlerinin mevcut durumları dünyadaki örnekler ile karşılaştırılarak mevcut durum analizi gerçekleştirilmiş; alınacak tedbirler tespit edilerek veri güvenlik merkezlerinin yönetim ve stratejilerine yönelik bir politika yaklaşımı geliştirilmiştir. 9

9 Afet ve Afet Yönetimi Afet, birçok kurum ve kuruluşun koordineli bir biçimde görev almasını gerektiren ve insan hakları için fiziksel, ekonomik ve sosyal kayıplar meydana getiren, normal yaşamı ve insan aktivitelerini durdurarak veya kesintiye uğratarak toplumları veya insan topluluklarını etkileyen doğal, teknolojik ve insan kökenli olaylara denilmektedir. Afetler aşağıdaki gibi tasnif edilmektedir. a) Jeolojik-Jeomorfolojik Afetler (deprem, tsunami, volkanik püskürmeler, her türlü kütle hareketleri), b) Klimatik-meteorolojik Afetler (sel-taşkın, aşırı sıcaklar ve aşırı soğuklar, aşırı kar yağışları, hava kirliliği, kuraklık, etkili rüzgarlar, hortum, tornado, kasırga, yıldırım düşmesi, sis, dolu, çığ, don ve buzlanma, asit yağmurları, El Nino, buzulların erimesi, küresel ısınma ve iklim değişmeleri), c) Hidrografik Afetler (akarsu taşkınları, akarsuların kirlenmesi, barajların taşması ve yıkılması, göl sularının kirlenmesi, deniz kabarmaları), d) Biyolojik Afetler (erozyon, orman yangınları, hayvanların neden olduğu salgınlar, böcek istilaları, çekirge istilaları), e) Sosyal Afetler (açlık, kıtlık, insanların toplu bulunduğu yerlerdeki büyük yangınlar, bulaşıcı hastalıklar ve salgınlar, savaşlar ve soykırımlar, göçler, terör saldırıları) f ) Teknolojik Afetler (maden kazaları, petrol tankeri kazaları, nükleer kazalar, endüstriyel kazalar, karayolu, demiryolu, denizyolu, havayolu ulaşımındaki kazalar, NBC silahlarının kullanılması, uzay kazaları) 10

10 Afet yönetimi, afet öncesi ve afet sonrası yapılacakları içine alır. Afet öncesi yapılacaklar afet sonrası işler kadar önemlidir. İşin bu iki boyutunun göz önüne alındığı kapsamlı afet yönetiminin amacını ise aşağıdaki gibi özetlemek mümkündür. Afet öncesinde; Meydana gelebilecek olaylardan toplumun en az zararla ve fiziksel kayıplarla kurtulabilmesi için gereken teknik, idari ve yasal tüm önlemleri olaylar olmadan önce almak, Mümkün olan hallerde olayları önlemek, mümkün olmayan hallerde ise kurtarma, ilk yardım ve iyileştirme çalışmalarının zamanında, hızlı, verimli ve etkili bir şekilde yapılmasını sağlamak, Afet zararlarının azaltılması çalışmalarını kalkınmanın her aşamasına dahil etmek; riski azaltmak ve sürdürülebilir bir kalkınma sağlamak, Toplumun her kesiminin olayların etkilerinden en az zararla kurtulabilmesi için gerekli bilgilerle donatılmasını sağlayacak eğitim programları uygulamak ve toplumda bir afet kültürü oluşturmak. Afet sırasında; Haber alma ve ulaşım olanaklarını tekrar sağlamak, Arama - kurtarma ve ilk yardım çalışmalarının başlatmak, Her türlü boşaltma ve tahliye işlerinin yapılması, insanların hasarlı konutlardan uzaklaştırılması ve bu konutların insanlara daha fazla zarar vermesini önlemek, Geçici iskân alanları oluşturarak insanların yiyecek, içecek, giyecek, yakacak teminini sağlamak, Her türlü güvenlik önlemini almak, Çevre sağlığı ile ilgili önlemler almak, Hasar tespiti çalışmalarını başlatmak, Yangınlar, patlamalar, bulaşıcı hastalıklar vb. ikincil afetleri önlemektir. 11

11 Küresel Yönelimler Olağanüstü Durumlarda Dünyada İletişim Alt Yapısı ve İş Modelleri Afetler ve kamu güvenliğine karşı artan tehditler başta ABD olmak üzere tüm dünyada önemli değişimlere neden olmaktadır. Birçok gelişmiş ülke olağanüstü durumlar için özelleştirilmiş yeni nesil kablosuz sayısal ağ teknolojileri ile afetler karşısında müdahale yeteneklerini geliştirmeye çalışmaktadır. Temel yönelim tek bir ağ üzerinden sağlık, yangın, kurtarma, ulaşım, güvenlik gibi hizmetlerin yönetimini sağlamaktır. Öte yandan Avrupa Birliği (AB) ülkelerinde bu ağları kurmak, işletmek ve sürdürülebilirliğini sağlamak üzere özel şirketler görevlendirilmektedir. Fransa hariç tüm AB ülkelerinde bu ağlar şirketler tarafından sunulmaktadır. Bu türden kritik kamu hizmetlerinin özel şirketler tarafından sağlanıyor olması önemli bir anlayış değişikliğidir. Bazı Avrupa Ülkelerinde Paket Akım Ağlarının Sahiplik, Teknik İşletim ve Bakım Düzenlemeleri Ülke Sahiplik İşletme Bakım Avusturya Özel Şirket* Özel Şirket Özel Şirket Belçika Devlet Şirketi Devlet Şirketi Özel Şirket Estonya Devlet Şirketi Devlet Şirketi Devlet Şirketi Finlandiya Devlet Devlet Şirketi Özel Şirket Fransa Devlet Devlet Devlet Almanya Devlet Özel Şirket Özel Şirket Macaristan Özel Şirket* Özel Şirket Özel Şirket Hollanda Devlet Devlet Şirketi Devlet Şirketi Norveç Devlet Özel Şirket Özel Şirket İspanya Özel Şirket* Özel Şirket Özel Şirket İsveç Devlet Özel Şirket Özel Şirket Birleşik Krallık Özel Şirket* Özel Şirket Özel Şirket *Ağ özel bir şirkete aitse, sahiplik düzenlemeleri ile ilgili devlet sıkı sınırlamalar ve hizmet seviyesi gereklilikleri belirlemektedir. Bu gibi durumlarda ağ yalnızca paket anahtarı akım kuruluşları tarafından kullanılmaktadır. 12

12 (Şekil.1) Kamu güvenliği ve acil yardım hizmeti sunmak üzere görevli kurum ve kuruluşların sayısı hayli fazladır. Bu kurum ve kuruluşların işlevleri farklı olduğu gibi, ihtiyaçları çeşitlilik göstermektedir: ses metin temelli bilgi sorgulama, hızlı internet bağlantısı, resim temelli görüntü iletimi, video iletimi, gerçek zamanlı (real time) görüntü, yüksek çözünürlüklü (HD) video iletimi gibi. Dünyada kamu güvenliği ve acil yardım haberleşme amacıyla kullanılan geleneksel LMR/PMR teknolojilerinin (APCO/P25, TETRA, DMR vb.) hiçbiri bu ihtiyaçların tümünü karşılayabilme yeteneğine sahip değildir. Bu nedenledir ki, söz konusu ihtiyaçların karşılanması için birden fazla teknolojinin birlikte kullanıldığı bir haberleşme platformu gündeme gelmiştir. Örneğin ABD de kamu güvenliği ve acil yardım haberleşmesinin sağlanacağı ülke geneline yayılmış tek bir sayısal kablosuz haberleşme platformu inşaa etmek üzere geleneksel telsiz ve yeni nesil genişbant hizmetlerinin birlikte sunulduğu FirstNet ağını (Şekil.1) başlatılmıştır. Bu ağda her bir kurum için gerektiğinde sanal özel ağ (VPN) ile 13

13 bağımsız olarak haberleşme imkanı sağlanılmakta ve ağ kurumlara özel uygulamalar ve özel güvenlik çözümleri içermektedir. Platform, iki ayrı iletişim teknolojisinin birlikte kullanılması ile oluşturulmaktadır. Bunlar; geleneksel telsiz haberleşmesi için sayısal telsiz (LMR) ve yeni nesil genişbant hizmetleri için Kablosuz genişbanttır (LTE). güvenliği ve acil yardım için ihtiyaç duyulacak her türlü ses, veri ve görüntü temelli haberleşme ihtiyaçlarının karşılanması mümkün hale gelmektedir. ABD de Katrina Fırtınası gibi acil durumlarda, farklı kamu güvenliği ajansları birbiriyle temasa geçemediği zaman risklerin arttığı ortaya çıkmıştır. Bu bölünme, maliyetlerin artmasına ve hizmetlerin aksamasına da yol açmaktadır. Birbirleri için tamamlayıcı nitelikteki bu teknolojilerin birlikte kullanımı ile kamu ABD-FirstNet ağı şu tip faaliyetlerin yapılmasına imkan sağlayacaktır. Güvenlik kameralarından ya da bir helikopter monitöründen havadan bir görüntü ileten canlı video almak; Bir krize doğru giden bir ambulanstayken, bir değerlemeye yardım ederken ya da tıbbi bir hizmetin ortasındayken, uzaktan hasta tıbbi kayıtlarına giriş yapmak ve imajları iletmek; Bir polis karakolunda kayıp bir kişinin yoluyla fotoğrafını almak ve onu anında bölgedeki memurlara göndermek; Polisin yüz tanıma, iris tarama ve parmak izi teşhisi gibi teknolojiler yoluyla suç zanlılarını ve kaza kurbanlarını hızla teşhis etmelerine imkân veren uzmanlaşmış uygulamalar kullanmak; İşlenmekte olan bir suçun video imajlarına ulaşmak; Yanan bir binanın taslağını elde tutulan bir aygıta indirmek; Bir kriz esnasında diğer kasabalardan ve şehirlerden personelle hızlı ve güvenli iletişim kurmak; Enformasyon içeren (örneğin sürücü ehliyetleri ya da diğer fotolar; garanti kayıtları, tutuklamalar, hapishane süresi ya da şiddet içeren davranış geçmiş) veritabanlarına ulaşmak. 14

14 Daha önceki kamu güvenliği uygulamalarından ders alan FirstNet, ortak faaliyet gösterebilmenin önündeki engellerin üstesinden gelmek için güçlü bir koordinasyon ve federal fon katalizöründen yararlanacaktır. Sonuçta ABD nin ilk aranan kurumları ve kamu güvenliği ajansları nihayetinde daha güvenli ve daha efektif olacaktır. Ulusal çapta kablosuz kamu güvenliği geniş bant ağı şiddetli acil durumlarda çok kritik olacakken, aynı zamanda da günlük bazda kamu güvenliği performansını da artıracaktır. Bu doğrultuda ABD de 2012 yılı Şubat ayında bir yasa çıkarılmıştır. Yasanın 6. Maddesi Amerika nın ilk aranan kurumları ve diğer kamu güvenliği çalışanları tarafından kullanılacak ulusal boyutta bir son teknoloji ortak işletilebilir geniş bant ağının kurulması talimatını vermektedir. Yasa kablosuz geniş bandın faydalarının ülke çapında ilk aranan kurumlara açık olmasını sağlayacak ve aynı zamanda da hukuki sınırlar ötesinde ortak işletilmeye imkan verecek bir kamu güvenliği geniş bant ağını oluşturmak için 20 Mhz spektrum ve 7 milyar $ fon sağlamaktadır. Yasa İlk Aranan Kurumlar Ağı Otoritesi ya da FirstNet i yaratmış ve ülke çapında, ortak işletilebilir bir kamu güvenliği geniş bant ağı kurmak için direktif vermiştir. FirstNet Ulusal Telekomünikasyon ve Enformasyon Yönetimi (NTIA) kapsamında organize olan bağımsız bir otorite olarak tasarlanmıştır. FirstNet sadece bir teknoloji olmakla kalmayıp, aynı zamanda bir yönetim yaklaşımı da sunmaktadır. Ulusal çapta bir ortak işletilebilir geniş bant ağı geliştirme misyonunda başarılı olması için konunun uzmanı ve kendini bu konuya adamış bir yönetim kuruluna sahip olması hedeflenmiştir. FirstNet Yönetim Kurulu, 15 yüksek nitelikli, iyi motive olmuş üyeden oluşan bir takım olarak tasarlanmıştır. Tüm dünya gibi ABD de afetlerde iletişimin kurtarma, sağlık, yiyecek ihtiyaçlarında daha öncelikli olduğu gerçeğinden hareket eden yeni bir pozisyon almıştır. 15

15 Afet Durumlarında İş Sürekliliğinin Önemi İş Sürekliliği Yönetimi, iş süreci başarısızlığına, varlık kaybına, hizmette kesintiye, kurumsal imaja zarar vermeye yol açabilecek tüm riskleri azaltmaya ve hatta ortadan kaldırmaya yönelik bir süreçtir. atmakla mükelleftir. Her kurum felaket durumunda kurumsal faaliyetlerini devam ettirmeye yönelik bir master plan olan İş Sürekliliği Planı nı tüm görevli ve çalışanlarına göndermelidir. Sürecin amacı, mevcut varlıkları korumak ve kurumsal işlerin sürekliliğini ve emniyetini sağlamaktır. Her kurum herhangi bir kriz ya da afet durumunda faaliyetlerini sürdürmesine ve önemli kurumsal faaliyetler kesintiye uğradığında bu faaliyetleri yeniden derhal başlatmasına imkan veren bir süreç olan İş Sürekliliği Yönetimi planını oluşturmak için gerekli adımları Tüm paydaşların detaylı ve aktif katılımı, yürütmeye değer bir planın geliştirilmesini sağlar. Planın kendisi tüm detaylı unsurları ve test planı ile birlikte bir iyileşme stratejisi içermelidir. En iyi plan, uygulanabilir plandır. Her süreci yeniden başlatma ve iyileştirme prosedürü sürekli güncellenmeli ve düzenli bir şekilde test edilmelidir. 16

16 İş Sürekliliği Planı, iş sürekliliğine şu dört konuda katkıda bulunur: afet iyileştirme, iş iyileştirme, işe yeniden başlama ve acil durum planları. - Afet İyileştirme Planı- Kurum için kritik olan teknoloji ve uygulamaları alternatif bir bölgede iyileştirmek. - İş İyileştirme Planı- Kurumsal açıdan kritik olan iş süreçlerini bazen iş iyileştirme yeri olarak adlandırılan- alternatif bir bölgede iyileştirmek. - İşe Yeniden Başlama Planı-Kurum için kritik olan fonksiyonları uygulama düzeltilene kadar dışarıda yapılan çalışmalarla üretim bölgesinde sürdürmek. - Acil Durum Planı-Kurum üzerinde kapsamlı bir etkisi olan dışsal bir olayı yönetmek. Bu planın oluşturulmasında Uluslararası, Endüstri Bazında Standartlar şöyle belirlenmiştir: ISO/Uluslar arası Elektroteknik Komisyonu (IEC) 17799:2000, ISO/IEC Teknik Raporu (TR) 13335, ISO İş Sürekliliği Planı mekâna, faaliyet alanına ve iş ölçeğine bağlı olarak aşağıdaki maddelerde belirtilen özellikleri içermelidir: 1-Karar-alma ve emir-komuta zincirinin belirlenmesi ve netleştirilmesi; 2-Bir iç iletişim sisteminin kurulması; 3-Asgari gereksinim duyulan önemli kurumsal faaliyetlerin tanımlanması 4-Önemli data için bir back-up sisteminin kurulması; 5-Gerekli kaynakların sağlanması; 6-Muhataplarla iletişim kurmak için bir sistemin kurulması; 7-Bir iyileşme planının hazırlanması 8-Bir Kurumsal Kullanım Kılavuzu nun hazırlanması; 9-İlgili otoritelerle ve organizasyonlarla iletişim kurmak için bir sistemin oluşturulması; 10-Doğal afet durumunda alınacak finansal tedbirlerin belirlenmesi. 17

17 İş Sürekliliği Planlanması ve Yönetimi Çözüm Geliştirme Süreci Konu Aşama 1: Kurumun Geliştirilmesi Organizasyonun tüm birimlerine idare desteği var mı? İhtiyaçlar: -Kurum etki analizi -Risk değerlemesi Dış Destek Opsiyonları -Sadece tavsiye bazlı danışman -Mevcut hardware satıcısından danışmanlık hizmeti -Software satıcısının danışmanlık hizmeti olsun veya olmasın, kurum etki analizi ve risk değerlemesi için software Çıktılar: -Tüm varlık değerleriyle ve tüm bozulma senaryolarının maliyetlerini içeren Kurum Etki Analizi -Risk/fayda analizi ve süreklilik önceliklerini içeren Risk Analizi Satıcı Seçimi Hususunda Dikkate Alınması Gerekenler -İç değerlemeye karşı dış analistin objektifliği -Hardware ve software satıcılarının muhasebe yönetimi güdüleri Aşama 2: Plan Geliştirilmesi Süreklilik planlamasında ve yönetiminde kurum-içi uzman var mı? İhtiyaçlar: -Kurum birimlerinin mevcut süreklilik planları (eğer varsa) -İSP Yönetim takımı üye tespiti -Süreklilik-hedefli faaliyetlerin ve sistemlerin önceliği -Alternatif çözümler arasında fiyat karşılaştırması -Her çözümün rakip satıcıları arasında fiyat karşılaştırması -Krizi önleme ve hızlı iyileşme için kaynak seçimi -Planın yürütülmesi ve bakım için fon tahsisi -Sadece tavsiye bazlı danışman -Mevcut hardware satıcısından danışmanlık hizmeti -Software satıcısının danışmanlık hizmeti olsun veya olmasın, iş süreklilik planı için software Çıktılar: -Mevcut planların matrisi ve tavsiye edilen en başarılı uygulamaların benimsenmesi -İş sürekliliği rolleri/sorumlulukları ve arama listesi -Faaliyet ve sistem öncelik listesi -İş sürekliliği gereksinimleri (teklif şartnamesi için spesifikasyonlar) -Çözüm maliyeti karşılaştırması ve tavsiyeler -Satıcı maliyet karşılaştırması ve tavsiyeler -Geliştirilen ve potansiyel satıcılara gönderilen teklif şartnamesi -Değerlendirilen ve tavsiye için sıralanan satıcı teklifleri -Planın yürütülmesi ve bakım için tahsis edilen fon Satıcı Seçiminde Dikkate Alınması Gereken Hususlar: -Aynı endüstride iş sürekliliği/afet iyileştirme süreçlerindeki tecrübesi -Benzer ortamlarda (teknik, fiziki, bölgesel) iş sürekliliği/afet iyileştirme süreçlerindeki tecrübesi 18

18 Konu Aşama 3: Planın Bakımı Bu çalışmayı gerçekleştirecek iç kaynaklar var mı? İhtiyaçlar: -Çalışanların süreklilik işlemleri konusunda eğitilmesi -Mevcut kurumsal datayı yansıtmak için plan kaynak listelerinin otomatik olarak (ya da elle) güncellenmesi -Plan güncellemelerinin otomatik şekilde (ya da elle) bildirilmesi -Tetiklenmiş olayları test etmek ve planlanmış testler -Tetiklenmiş ve planlı testlerin performansı -Test sonuçlarının değerlemesi -Test-sonrası plan güncellemelerinin uygulanması Dış Destek Opsiyonları -Tavsiye bazlı danışman -Mevcut hardware satıcısından danışmanlık hizmeti -Software satıcısının danışmanlık hizmeti olsun veya olmasın, iş sürekliliği için software Çıktılar: -Süreklilik prosedürleri çalışan eğitimi paketi -Mevcut kurumsal datayı yansıtmak için plan kaynak listelerinin güncellenmesi için metodolojinin tanımlanması -Plan güncellemelerinin bildirilmesi için metodolojinin tanımlanması -Test tetikleyici olayların ve planlanmış testlerin listesi -Tetiklenmiş ve planlı testlerin performansı için metodolojinin tanımlanması -Test sonuçlarının değerlemesi için metodolojinin tanımlanması -Test-sonrası plan güncellemelerinin uygulanması için metodolojinin tanımlanması Satıcı Seçimi Hususunda Dikkate Alınması Gerekenler Gereken Hususlar: -Krizden kaçınma başarısının takibi -Hızlı iyileşme başarısının (onarım istatistiklerinin ortalama zamanı) takibi -Aynı endüstrideki tecrübe -Benzer ortamlardaki (teknik, fiziki, bölgesel) tecrübesi Alınabilecek Hizmet Opsiyonları İş sürekliliği hizmeti satanlar arasında önemli bir eğilim, iş sürekliliği konusuna bir bütün olarak odaklanmaktır. İyileşme süreci hızlı (24 saatten daha kısa) olmalıdır; yalnızca data merkezinin sürekliliğini sağlamakla kalmayıp, hizmet verilen kitlenin işlerinin kritik yönlerinin sürekliliğini de sağlamalıdır. Bu odaklanma muhataplara daha entegre bir hizmet sağlarken, satıcıya daha iyi bir hesap kontrolü imkanı verir. 19

19 Danışmanlık ve Planlama Yardımı - Software ve Danışmanlık. Birçok hizmet sağlayıcısı taktik danışmanlığın iş süreklilik planı ve yönetimi yazılımıyla bir kombinasyonunu sunar ve buna bazen tam süreklilik yönetim hizmetleri ve sıcak-bölge imkanları dahil edilir. - Hardware ve Danışmanlık. Hardware satıcıları süreklilik planlama danışmanlığını hızlı hardware yedekleme nakli, mobilbölge teslimatı ya da sıcak-bölge imkanlarıyla birleştirebilir. - İnternet Sürekliliği ve Danışmanlığı. İletişim ve şebeke satıcıları, yüksek-mevcutlu şebeke ve hızlı iyileştirme çözümlerini taktik danışmanlıkla birlikte sunabilir. - Üründen Bağımsız Danışmanlık. Analiz, denetim ve taktik tavsiyeler sağlayan danışmanlar, bir şirketin iş süreklilik ürünlerini ve hizmetlerini seçerken kullanmaları gereken spesifikasyonları geliştirmede objektiflik sunarlar. PC Bazlı Planlama Araçları. Neredeyse tüm sıcak bölge satıcıları bir PC bazlı afet iyileştirme planı geliştirme aracı sunar (danışmanlık hizmetleri gibi). Birçok örnekte, bu paketler alıcıya tam kapasiteli sıcak bölge hizmetlerini satın almaları için bir yem olarak sunulur. İyileştirme Yardımı Bölge dışı iyileştirmeye yönelik tekil düşünceler, süreklilik yönetim stratejisinin önemli bir kısmını oluşturur. Paket oluşturmak için spesifik hizmet tipleri bir araya getirilebilir: OEM sigortası, hızlı nakil gibi. İyileştirme Bölgeleri İyileştirme bölgeleri bir bilgisayar ya da ekipmanın afet yaşaması durumunda, bir organizasyonun bilgisayar ve şebeke faaliyetlerini sürdürebilmesine imkân verir. 20

20 Bu bölgeler ve hizmetlere yıllık bir anlaşmayla abone olunur. Abone olan organizasyon sıcak ya da soğuk bölgeyi aktif olarak kullandığı zaman, temel aylık ödemelere ilave olarak başka ücretler de tahakkuk edecektir. Sıcak Bölge: Sıcak bölge, hizmet sağlayıcısına bir felaket olduğu bildirildiği zaman, derhal kullanım için hazır spesifik hardware platformları sunan faaliyete hazır tam donanımlı data merkezidir. Bir sıcak bölge teşebbüsün operasyonu sürdürmesi için gereksinim duyulan ofis alanı ve mobilyası, telefon jakları ve bilgisayar ekipmanı dahil tüm ekipmana sahiptir. Çalışanlar normal lokasyon yerine sıcak bölgeye raporlarını sunarlar. Ticari sıcak bölgelere abonelikler, bir bilgisayar konfigürasyonunu iyileştirmek için gereksinim duyulan hardware spesifikasyonlarına dayandırılır. Abonelikler ortalama 40 aylıktır; şirketin ihtiyaçlarına bağlı olarak aylık yüz dolardan yüz binlerce dolara kadar değişen maliyetlere sahiptir. Kontratlar genelde afet modunda sekiz haftaya kadar sıcak bölge kullanımına izin verir. Soğuk Bölge: Soğuk bölge bilgisayar ekipmanının taşınması için hazır ofis alanı, telefon jakları vb. olan boş, çevresel koşulları hazırlanmış bir bilgisayar odasıdır. Soğuk bölge de abonelik bazında tedarik edilir ve sıcak bölgeden çok daha ucuzdur, fakat alıcı faaliyetlerini sürdürmek için gerekli tüm ekipmanı tedarik ettiği ve yüklediği için, bir teşebbüsün afet sonrası tam faaliyete geçmesi daha uzun sürer (Bu ekipman genellikle bir leasing şirketiyle yapılan bir kontratla sağlanır). Bazı sıcak bölge sağlayıcıları genelde abone sıcak bölgede yer alma zamanını aştıktan sonra sıcak bölgenin çıplak maliyetinde bir soğuk bölge hizmeti verir. Mobil Bölge ya da Porta-Bölge: Daha küçük hardware konfigürasyonları ya da acil durum ofis ortamları için mevcut mobil bilgisayar/ofis ortamları. Mobil bölgeler mobil taşıyıcılar üzerinde tekil birimlerdir. Porta-bölgeler tesise nakledilir ve bölgede inşa edilir. Bu opsiyonlar temelde soğuk bölgelerle aynı maliyete sahiptir. 21

21 Mobil bölgelerin avantajı, iş alanını nihai kullanıcıya götürecek şekilde bir parkta ya da başka bir şirketin bölgesinde kurulabilir olmasıdır. Data Stoklama Bölge Dışı Stoklama: Bütçeye ve coğrafi risklere bağlı olarak, diske back-up yapılan datanın bölge dışında stoklanması, yeni bina yapılması, bir bankanın gizli kasasının kiralanması ya da şehrin başka bir yerindeki şubenin ofisinin kullanılması şeklinde olabilir. Daha iyi bir seçim, ticari bir medya stok tedarikçisi tarafından sağlanan bir depolama tesisinde güvenli, iklim-kontrollü, ateşe karşı dayanıklı bir medya mahzenidir. Elektronik Mahzen: (ya da Gelişmiş İyileştirme Hizmetleri). Data doğrudan abone bölgesinden sıcak bölgeye gönderilir. Bu maliyetli hizmet, aboneye tahsis edilen, hizmetin diğer aboneler tarafından paylaşılması engellenmiş bir doğrudan girişi olan bir depolama aygıtı (DASD) gerektirir. İş Sürekliliği Yönetimi Sürecinde Faydalar ve Riskler Faydalar İş sürekliliği desteği, bir kurumun bir krize rağmen faaliyetlerini etkin maliyetle yürütebilme kabiliyetini temin eden spesifik uzmanlık ve hizmetleri sağlayabilir. Her kurum gereksinim duyduğu uygun tipleri ve hizmet seviyelerini belirlemelidir. Tam- hizmet danışmanlıkları, süreklilik hizmet satıcıları, süreklilik planı geliştirmekten iletişim ve bakıma kadar bir hizmet spektrumu gerçekleştiren bir yazılım gibi. Bir kez gerekli destek tipleri seçilirse bu, iş sürekliliği çözümü önemli faydalar sağlar. 22

22 Güvenilir Bir Plan Yapısının Geliştirilmesi ve Bakımı İş sürekliliği danışmanlığı unsurlarından, iyileştirme bölgelerinden ve destekleyici softwareden yararlanma, bütünsel bir planlama için en uygun uygulamalara titiz dikkati göstermek. Etkin Kaynak Taahhüdü ve Görev Dağılımı En-kötü senaryo üzerinden teste tabi tutmak dahil, yürütmeyi planlamak için kaynakların bütünüyle tamamlanmasını sağlamak, hem paydaşların ve hem de denetçilerin taleplerini karşılamayı amaçlar. Güvenilir, Doğru Plan Bildirimi ve Dağıtımı Plan arama ağacı (iletişim zinciri) database ini kurumsal çalışanların temas enformasyon database ine entegre eder ve doğru tarafların minimum database bakım maliyetiyle her tip bildirimi alma hakkını garanti eder. Kapsamlı Plan Yönetimi Raporlaması Versiyon takibi risk yönetim takımı için önemlidir; bütün planın periyodik fotoğrafları ya da unsurları bütçeleme, personel ve başarı analizi gibi kurum fonksiyonları açısından gereklidir. Riskler Destek Danışmanlarına, İyileştirme Hizmetlerine ve Software e Aşırı Güvenme Tüm endüstri lideri iş süreklilik servis satıcıları zaman testine tabi tutulmuş, analitik aletleri kullanırken, aynı zamanda da iyi niyetle kuruma özel hale getirmeye imkan verirler. Kurumun personeli, danışmanlarla karşılıklı temasa geçtikçe, güvenli bölgelerde iyileştirme stratejilerini hazırladıkça ve yapılandırılmış iş süreklilik planı tasarılarını tamamladıkça, her zaman şunu düşünüyor olacaktır: Hangi bize has faktörü buna eklemeliyiz? 23

23 Bakımı İhmal Etme Her sorumlu kuruluş değişim yönetimi prosedürlerine sahiptir ve süreklilik planlaması mantıksal olarak bunlarla bütünleşir. Tecrübeler bir çekmecede unutulan İSP nin acil bir durumda pek işe yaramadığını göstermiştir. Danışman ya da Satıcı Güvenilirliği ve Kontrat Maddeleri İyileştirme hizmetlerinin ya da iş sürekliliği software nin satıcısı ya da danışmanının müşterilerine destek konusunda iyi bir şöhrete sahip olması gerekir. Hizmet kontratı muhakkak bu tip kontratlara ve standart bir kontratta var olabilecek görünmesi zor tuzaklara aşina bir avukatla gözden geçirilmelidir. Diğerlerini İhmal Edip Organizasyonun Bir Kısmına Yoğunlaşma Tüm iş sürekliliği planlaması, stratejisi, uygulaması ve bakımı iş sürekliliğinin tüm yönlerini data, finans, binalar, iletişim, ekipman, personel, verilen hizmet, bilgi varlıkları vs.- hesaba katmalıdır. Risk analizi tam anlamıyla yapıldığı zaman, kurumu iş sürecinde tutmanın tüm esasları açıkça ortaya çıkar. Bu tip bir düşünceyi gerçekleştirme konusundaki başarısızlık, bir kurumu örneğin güzel bir güvenilir data merkezi olan fakat data merkezi ile dışarısı arasında bir iletişim olmayan bir kurum yapabilir ve belki de işçilerin çevreleyen binadaki hasardan dolayı data merkezine ulaşması için hiçbir yol bulamadıkları bir durumda bırakabilir. Günümüzde İş Sürekliliği Bilgi İşlem-İletişim alt yapılarının sağlamlığı. ve felakat senoryalarına hazırlıklı olmasına bağlı. Kurumlar afet durumlarına karşı öncelikli olarak iletişim ve IT altyapılarını iyileştirmek zorunda. 24

24 Veri Merkezleri Veri merkezi ya da bilgisayar merkezi, bilgisayar sistemlerini ve telekomünikasyon ve depolama sistemleri gibi ortak unsurları barındırmak için kullanılan tesistir. Genelde gereğinden fazla ya da yedekleme güç tedariklerini, gereğinden fazla veri iletişim bağlantılarını, ortam kontrollerini (örneğin havalandırma, yangın) ve güvenlik aygıtlarını içerir. İlk veri merkezi örnekleri büyük bilgi işlem odaları olarak ortaya çıkmıştır. İlk bilgisayar sistemlerinin işletimi ve bakımı karmaşıktı. Mikrobilgisayar endüstrisinin patlama çağında, bilhassa 1980 lerde bilgisayarlar her yerde kullanılmaya başlandı. IT operasyonlarının karmaşıklığının artmasıyla birlikte şirketler IT kaynaklarını kontrol etme ihtiyacından haberdar oldular larda bilişiminin istemci-sunucu gelişimiyle mikrobilgisayarlar eski bilgisayar odalarında yer bulmaya başladılar. Spesifik olarak tasarlanan bilgisayar odalarına uygulandığı şekliyle veri merkezi (data center) ifadesinin kullanımı, bu dönemlerde kazanmaya başladı. popülerlik Veri merkezlerinin patlaması, dot.com balonu esnasında meydana geldi. 25

25 Şirketler sistemleri kullanmak ve internette var olmak için hızlı internet bağlantısına ve sürekli operasyona ihtiyaç duymaktaydı. Birçok şirket internet veri merkezleri adıyla çok büyük tesisler inşa etmeye başladı. Bu tip büyük ölçekli operasyonların ölçek ve operasyonel gereksinimlerini gidermek için yeni teknolojiler ve uygulamalar tasarlandı. Bu uygulamalar en sonunda özel veri merkezlerine taşındı. Bulut bilişiminin artışıyla, işletmeler ve devlet kurumları güvenlik, hazırbulundurma, çevresel etki ve standartlara bağlılık gibi alanlarda daha yüksek dereceleri aramaya başladılar. Operasyonel uygulamada ve çevre dostu veri merkezi tasarımında hâlâ çok sayıda geliştirilecek nokta vardır. Veri merkezi inşası ve bakımı çok pahalıdır. MODERN VERİ MERKEZLERİ GEREKSİNİMİ IT operasyonları tüm dünyada örgütsel operasyonların hayati bir yönüdür. Temel kaygılardan biri iş sürekliliğidir. TIA-942 Veri Merkezi Telekomünikasyon Altyapı Standardı, veri merkezlerinin ve bilgisayar odalarının asgari telekomünikasyon altyapısı gereksinimlerini belirler. Telcordia ve endüstri temsilcileri tarafından ortak şekilde geliştirilen kriterler vardır. Efektif veri merkezi operasyonu, hem tesiste ve hem de barındırılan ekipmanda dengeli bir yatırıma ihtiyaç duyar. İlk adım ekipman yükleme için uygun bir temel tesis ortamı kurmaktır. Standardizasyon ve modülerlik telekomünikasyon veri merkezlerinin tasarım ve inşasında tasarruf ve etkinlik sağlayabilir. Standardizasyon entegre bina ve ekipman mühendisliği anlamına gelmektedir. Modülerlik ölçeklendirilebilirliğin ve daha kolay büyümenin faydalarına sahiptir. Karartılmış ya da karanlık veri merkezi, olağanüstü koşullar hariç personel tarafından doğrudan giriş ihtiyacı hariç her şeye sahip olan veri merkezidir. Bu yüzden ışık olmaksızın çalıştırılabilir. Tüm aygıtlar uzaktan kumandayla yönetilir. Araştırmalara göre veri merkezlerini ortalama yaşı 7-9 yılı geçtiğinde demode kabul edilmektedir. Data center transformasyonu zaman içerisinde gerçekleştirilen entegre projeler ile adım adım yaklaşımını benimser ve şu aşamaları kapsar: 26

26 S t a n d a r d i z a s y o n / Konsolidasyon: Hardware, software platformları, aletler ve süreçlerin sayısını azaltmayı hedefler. Standartlaştırma yönetimi kolaylaştırır, konsolidasyon maliyetini düşürür. Sanallaştırma: Çoklu data center ekipmanını ikame etmek ya da konsolide etmek için IT sanallaştırma teknolojileri kullanılır. Sanallaştırma, sermaye ve faaliyet harcamalarını azaltmaya yardım eder, enerji tüketimini azaltır itibarıyla operasyonların %48 i sanallaştırılmıştır. Otomatikleştirme: Data center otomasyonu provizyon, konfigürasyon, yazılım yaması, tahliye yönetimi ve uyum gibi otomatik görevleri içerir. Güvenlik: Sanal sistemlerde data güvenliği mevcut fiziki altyapı güvenliğiyle entegredir. Modern data centerın güvenliği fiziki güvenlik, ağ güvenliği ve data ve kullanıcı güvenliğini dikkate alır. Data center tier ları Tier-Seviye Gereksinimler -IT ekipmanına hizmet eden tek fazla olmayan dağıtım kanalı fazla olmayan kapasite unsurları -%99,671 beklentili temel site altyapısı -Tüm Tier 1 gereksinimlerini karşılar ya da aşar. -%99,741 beklentili gereğinden fazla site altyapı kapasite unsurları -Tüm Tier 1 ve 2 gereksinimlerini karşılar ya da aşar -IT ekipmanına hizmet veren çoklu bağımsız dağıtım.kanalı -Tüm IT ekipmanı site mimarisinin topolojisiyle tam uyumlu ve düal-enerjili olmalıdır. -%99,982 beklentili eş zamanlı bakıma alınabilir site altyapısı -Tüm Tier 1, 2 ve 3 gereksinimlerini karşılar ya da aşar. -Tüm soğutma ekipmanı bağımsız düal-enerjilidir. -%99,995 beklentili, elektrik enerjisi depolama ve dağıtım tesisi olan hata toleranslı site altyapısı Not: %99,982 ile %99,995 arasındaki %0.0132lük fark uygulamaya bağlı olarak çok ciddi bir fark olabilir. 27

27 Veri Merkezi Kurarken-İyileştirirken Dikkat Edilmesi Gerekenler Bir veri merkezi bir binanın tek odasında, bir veya daha fazla katında ya da bütün bir binada olabilir. Bir veri merkezi projesinin alanını belirlemek için araştırma ve karar alma süreci zorunludur. Bu süreç gelecekte alan, enerji, soğutma ve maliyet senaryoları geliştirmek için kullanılır. Amaç sayı, boyut, lokasyon, topoloji, IF zemin sistem taslakları, güç ve soğutma teknolojisi ve konfigürasyonları gibi parametrelerle bir master plan çıkarılmalı ve modellenmelidir. Mekanik soğutma kapasiteleri, kabin başına kilowat, yükseltilmiş yer alanından yararlanarak optimal teknoloji altyapısı belirlenir ve planlama kriterleri geliştirilir. Kavramsal tasarımlar tasarım tavsiyelerini içerir ya da tüm operasyonel ihtiyaçların karşılandığını garanti etmek için şayet böyle olsa senaryolarını dikkate alarak inter-disipliner bir yaklaşımla aşağıdaki başlıklarda tasarım yapılır. Detay Tasarım: Tesis şemaları ve inşaat dokümanları, bunların yanı sıra teknoloji altyapısı şeması, detaylı IT altyapı tasarımı ve IT altyapı dokümantasyonu geliştirilir. Makine Mühendisliği Altyapı Tasarımı: Data center ın iç ortamında gerekli olan ısıtma, havalandırma, nem kontrolü, basınç vb. mekanik sistemleri ele alır. Elektrik Mühendisliği Altyapı Tasarımı: Çeşitli güvenilirlik gereksinimlerini ve veri merkezi boyutlarını karşılayan elektrik konfigürasyonlarını tasarlamaya odaklanır. Teknoloji Altyapı Tasarımı: Data centerlarda bir baştan bir başa kurulan telekomünikasyon kablo sistemlerini ele alır. Emre-Amadelik (Up-time): Bu beklenti ne kadar yüksekse, veri merkezini yönetmenin sermaye ve faaliyet harcamaları da o kadar yüksek olur. Kesintisiz çalışma veya belirli bir zaman 28

28 diliminde arızanın tahmini maliyeti amortizmanı düşülmüş sermaye maliyetlerini ve faaliyet harcamalarını aşarsa, daha yüksek bir hazır-tutma seviyesi tasarlanmalıdır. Yer Seçimi: Mevcut enerji kanallarına, telekomünikasyon altyapısına, ağ hizmetlerine, ulaşım hatlarına ve acil durum hizmetlerine yakınlık gibi yönler, data center tasarımı için dikkate alınacak maliyetler, risk, güvenlik ve diğer faktörleri etkileyebilir. Modülerlik ve Esneklik: Bunlar bir data center ın büyümesi ve zaman içerisinde değişmesine imkan veren ana unsurlardır. Data center modülleri kolaylıkla konfigürasyonu gereksinim taşınabilen yapılabilen, duyulduğunda mühendisliği önceden yapılmış, standart bina bloklarıdır. Ortam Kontrolü: Bir data center ın fiziki ortamı sıkı bir şekilde kontrol edilir. Data center da ısı ve nemi kontrol etmek için air-conditioning kullanılır. Elektrik Enerjisi: Backup enerjisi bir veya daha fazla kesintisiz güç kaynağı, pil ve/veya dizel/gaz türbini jeneratörlerinden oluşmaktadır. Enerji Verimliliği: Artan enerji fiyatları ve sera gazı emisyonları veri merkezlerinde enerji verimliliğini öne çıkartmaktadır. Doğal iklimlendirme, enerji verimliliği yüksek ekipman seçimi başlıca faktörlerdir. Düşük Voltaj Kablo Dolanımı: Data kabloları modern data centerlarda genel kablo ağları üzerinden dolanır. Fakat güvenlik gerekçesiyle yükseltilmiş zemin kabloları tavsiye edilmektedir. Yangından Korunma: Data centerlarda pasif ve aktif tasarım unsurları, aynı zamanda da faaliyetlerde yangından korunma programlarının uygulanması dahil, yangından korunma sistemleri mevcuttur. Güvenlik: Fiziki güvenlik de data centerlarda büyük bir rol oynamaktadır. 29

29 Kamu veri merkezleri konsolide edilerek verimlilik artışı ve maliyet tasarrufu ve süreklilik sağlanıyor. Günümüzde birçok devlet; maliyetleri azaltmak, fiziksel altyapıyı optimize etmek, yeşil IT metotları kullanmak ve felaket senaryolarına karşı emre emadeliği arttırmak için Veri Merkezi Konsolidasyonu yapmaktadır. Başlangıçta her bir devlet kurumu kendi veri merkezini kurmuş olsa da küresel yönelim; il veya bölge veya ulusal ölçekte bu merkezlerin birleştirilmesi yönündedir. Esas olarak tüm dünyada kamu hizmetleri bilgisayar yazılımları üzerinden icra edilir ve yönetilir olmuştur. Süreç içinde iletişim ve ağ teknolojilerinin gelişimi ile kurumlar arası koordinasyonun temelini de bilişim teknolojileri oluşturmaktadır. Kamu hizmetleri yönetiminde kullanılan yazılımlar arasında gerçek zamanlı veri aktarımı ve veri paylaşımı, konsolidasyonun temel amacıdır. Bir bakıma kamu hizmetlerinde uyumluluk veya eşgüdümden bahsetmek; kurumların hatta bu kurumlarla irtibat halinde olan özel işletmelerin kullandıkları veri setlerinin, veri alışverişlerinin, yazılımların uyum ve eşgüdümünden bahsetmiş olmaktayız. Son 20 yıl içinde internet ve bulut bilişimdeki hızlı gelişim değişimin ana dinamosudur. Bulut bilişim; büyük ölçekli veri merkezleri üzerinde koşan geniş uygulamalardan oluşur. Bu uygulamalarda üretilen bilgi veri merkezlerindeki sunuculardan sorgulanır, işlenir, kaydedilir. Eğer bir veri merkezinde birden fazla uygulama çalışıyor ve bir uygulama diğerine veri gönderiyor veya alıyorsa bu veriler doğrudan aynı lokal ağ üzerinde çok hızlı, sıfır maliyetle ve güvenli bir şekilde akar. Öte yandan merkezileştirilmiş büyük veri merkezi, küçük veri merkezlerinde sağlanamayan birçok standardı sağlayabilecek bir ölçek ekonomisi oluşturur. 30

30 Data Center Konsolidasyonu nun unsurları şunlardır: Tesisler, Hardware/Software, Hizmetler, Tier III Tesislerinin Modernizasyonu, Enerji Tüketimi, Enerji Etkinliği, İş Sürekliliği ve (sanallaştırma yoluyla) Platform Konsolidasyonu. ABD de şu an genel eğilim kamu veri merkezlerinin konsolidasyonu yönündedir. Birçok eyalet Eyalet Veri Merkezi kurarak eyaletin kritik operasyonlarını merkezileştirmiş, bu tesislerin kesintiye uğramaması ve felaketlerde temel faaaliyetlerin sürdürülebilmesi için yatırımlar yapmışlardır. Bazı eyaletler özel sektörün veri merkezlerinden hizmet alarak veya yenilerini inşaa ettirerek operasyonları özel sektöre devretmişlerdir. Örneğin; ABD de Michigan eyaleti 2004 ten beri yaklaşık sunucuyu, çeşitli ana çerçeveler ve üç güvenlik merkezinin birinin ekipmanı dahil 37 kurum-bazlı bilgisayar/sunucu odalarını konsolide ederek tek bir veri merkezine taşımıştır. Konsolidasyon, kritik öneme sahip kurum uygulamalarının güvenliğini, yönetilebilirliğini ve up- time (emre amadelik) durumunu geliştirmiştir. 19 milyon $ dan fazla tasarruf elde edilmiş, m 2 ofis alanı ıslah edilmiştir. Verizon a bağlı veri merkezi hizmetleri sunan bir şirket 70 den fazla merkezi hükümet kuruluşuna ABD de ülke çapında veri merkezi hizmeti vermektedir. Benzer örnekler göstermektedir ki; artık devletler gerekli güvenlik politikalarını oluşturarak ve tedbirleri alarak özel şirketlere veri merkezi kurdurmakta ve bu operasyonları özel şirketler eliyle sürdürmektedirler. 31

31