Enformasyon Teknolojilerinde İş Sürekliliği Yönetimi ve Felaket Planlaması



Benzer belgeler
Haldun Akpınar. Enformasyon Teknolojilerinde İş Sürekliliği Yönetimi ve Felaket Planlaması

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

CloudPro Server Backup. Güçlü bir Veri Yedekleme Çözümü ile İş Sürekliliğinizde Devamlılığın Anahtarı

Acil Durum Yönetim Sistemi ICS NFPA 1600

İZMİR EKONOMİ ÜNİVERSİTESİ. Central Disc System Merkezi Disk Sistemi

İSYS Süreçleri ve Yönetim Sistemleri İçindeki Yeri. Burak Bayoğlu (CISM, CISA, CISSP) TÜBİTAK UEKAE.

Information Technology Infrastructure Library ITIL

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

Windows Depolama Sunucusu 2008 Windows Storage Server 2008 Çözümü. INFOSAFE BİLİŞİM TEKNOLOJİLERİ TİCARET LİMİTED ŞİRKETİ

ÇORUH ELEKTRİK DAĞITIM A. Ş. BİLGİ İŞLEM ALTYAPI ŞARTNAMESİ 2012

İŞ SÜREKLİLİĞİ YÖNETİM SİSTEMİ İÇİN KRİTİK BAŞARI FAKTÖRLERİ

İş Sürekliliği Yönetimi ve İşe Etki Analizi için bir uygulama örneği

MerSis. Bilgi Güvenliği Danışmanlık Hizmetleri

Clonera Bulut Felaket Kurtarma ve İş Sürekliliği Çözümü

Clonera Bulut Felaket Kurtarma ve İş Sürekliliği Çözümü

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

Elektrik Altyapılarında Bilgi Güvenliği Riskleri ve Çözümler

ATLAS PORTFÖY YÖNETİMİ A.Ş. ACİL VE BEKLENMEDİK DURUM PLANI. Çalışma Prosedürü: Sorumluluklar İş Akışı

Bulut Felaket Kurtarma ve İş Sürekliliği Çözümü CDRP. Clonera Disaster Recovery Program

1 BAŞLARKEN SYSTEM CENTER DATA PROTECTION MANAGER

ACİL VE BEKLENMEDİK DURUM PLANI DOK NO. PLN_01

HAKKIMIZDA. Misyonumuz; Vizyonumuz;

KURUMSAL TANITIM. Kasım 2017

CISSP HAZIRLIK EĞĠTĠMĠ

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

BS25999 İŞ SÜREKLİLİĞİ İĞİ YÖNETİM M SİSTEMİSTEMİ STANDARDI

İnternet Nedir? 1. İnternet Teknolojileri. İçerik. İnternet Nedir? 2. Ders 1

İnternet Teknolojileri. Ders 1

İŞ SÜREKLİLİĞİ PLANLAMASINDA ACİL DURUM UYARI VE HABERLEŞMESİ. Zeynep Çakır, BTYÖN Danışmanlık

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

Mobil Güvenlik ve Denetim

Firma Sunumu. 2018v1

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

12 Mayıs s 2009, Salı

İŞ SÜREKLİLİĞİ POLİTİKASI

VERİ YEDEKLEME VE KORUMA VİZYONU

WD NAS Sabit Disk Ürün Ailesi

ELEKTRONİK İNSAN KAYNAKLARI YÖNETİMİ (ELECTRONIC HUMAN RESOURCES MANAGEMENT) E- İKY / E- HRM (I)

Neler Yapıyoruz? Yıllık Bakım Sözleşmesi. Web Tasarım Yazılım Sunucu Depolama. Sanallaştırma. Proje ve Kurulum. Yedekleme & Veri Kurtarma

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

IBM Yönetilen Hizmetler

ATLAS PORTFÖY YÖNETİMİ A.Ş. ACİL VE BEKLENMEDİK DURUM PLANI. Çalışma Prosedürü: Sorumluluklar İş Akışı

Sibergüvenlik Faaliyetleri

Akıllı Şebekede Siber Güvenlik Standardizasyonu

EKLER EK 12UY0106-5/A5-1:

Solving Solutions. IP-Video ve Ses video kayıt sistemleri

Gürcan Banger 21 Mayıs 17 Haziran 2012

EMC YEDEKLEME ve FELAKET KURTARMA ÜRÜN AİLESİ DENEYİMİ

Bilişim Teknolojileri Temelleri 2011

Microsoft Cluster Çözümleri ile Servis Sürekliliği Ahmet Musa Kösalı

Dalgaların Üzerinde Birlikte Kalalım!

A S T E K AKILLI ŞEBEKELER ELEKTRİK SAYAÇLARI UZAKTAN OKUMA SİSTEMİ SMART GRID SMART ENERGY SYSTEMS FOR PLANET S FUTURE

SANAL ARAŞTIRMA ORTAMLARI ve AÇIK VERİLER. Bülent Karasözen, ODTÜ INER-TR Aralık 2005, Bahçeşehir Üniversitesi

1. İŞLETMECİ BİLGİ GÜVENLİ YÖNETİM SİSTEMİ (BGYS) KURULACAK VE İŞLETECEKTİR.

BS ĠĢ Sürekliliği Yönetimi Standart Yapısı ve GeliĢimi. Reyhan YILDIRIM, BSI Group

ISO-BGYS-PL-02 Bilgi Güvenliği Politikası

Ulaştırma Sektöründe Riskten Korunma Stratejileri Küresel Gelişmeler ve Yeni Trendler SMM Bilişim. Tüm Hakları Saklıdır.

BDDK-Bilgi Sistemlerine İlişkin Düzenlemeler. Etkin ve verimli bir Banka dan beklenenler Bilgi Teknolojilerinden Beklenenler

Solving Solutions. Esnek Disk Depolama Sistemleri

EYG GAYRİMENKUL PORTFÖY YÖNETİMİ A.Ş. ACİL VE BEKLENMEDİK DURUM PLANI

EMC Forum Yazılım Temelli Veri Depolama Moro Hekim Sistem Mühendisi

Ağı ve Müşterileri Korumak. Güvenlik Planı. Yönetim Politikaları. Kanunların Rolü. İşletim sistemini güçlendirmek. Anti-virus software

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

Electronic Letters on Science & Engineering 2(2) (2011) Available online at

ERPİLİÇ ENTEGRE TESİSLERİ

Düzenleme Paneli-02 Öneriler Mehmet Yakut

Entegre Acil Durum Yönetimi Sistemine Giriş

Exchange Server Kurtarma (PowerControls)

YÖNETİCİ GELİŞTİRME PLUS. Programın Amacı: Yönetici Geliştirme Eğitimi. Yönetici Geliştirme Uzmanlığı Eğitim Konu Başlıkları. Kariyerinize Katkıları

Statik Kod Analizi. Proceedings/Bildiriler Kitabı. SSE-CMM[3], ISO/IEC [3] gibi standartlarla. gereklidir.

BİLİŞİM SİSTEMLERİ GÜVENLİĞİNDE YENİ EĞİLİMLER

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

İç Kontrol Nedir? İç kontrol tanımında önemli olan bazı unsurlar şunlardır:

MAQASİD PORTFÖY YÖNETİMİ A.Ş. ACİL VE BEKLENMEDİK DURUM PLANI

COBIT Bilgi Sistemleri Yönetimi. Şubat 2009

ACİL DURUM EYLEM PLANI PROSEDÜRÜ

II. Büyük Endüstriyel Kazaların Kontrolü Hakkında Yönetmelik 18 Ağustos 2010 tarih ve sayılı Resmi Gazetede yayınlanarak yürürlüğe girmiştir.

Sabit ve Taşınabilir Diskler BÖLÜM-2 Pata Diskler İçin Master-Slave Ayarları Disk Biçimlendirme Harici Diskler Olası Sabit Disk Arızaları RAID

ULUSAL BİLGİ SİSTEMLERİSTEMLERİ GÜVENLİK PROGRAMI

Uluslararası Ticaret ve Lojistik Bölümü. Dersler ve Krediler

Clonera Bulut Felaket Kurtarma ve İş Sürekliliği Çözümü

Bütünleşik e-kurum Sistemleri ve Kurumsal Yapılanmalara Yansıması: Ankara Üniversitesi e-beyas Uygulaması ve Kurumsal Yapılanma

SİSTEM İHTİYAÇLARI (Tiger Enterprise / Tiger 3 Enterprise)

Bilgi Hizmetleri: Bilgi Teknolojileri ve Kütüphaneler. Direktör, Bilgi Merkezi ve Bilgi

Hakkımızda. Vizyon & Misyon

Bölüm 7. Depolama. Bilgisayarların. Discovering. Keşfi Computers Living in a Digital World Dijital Dünyada Yaşamak

KURUM / KURULUŞ BİT KAPASİTESİ ŞABLONU REHBERİ

Bilgi Sistemleri Risk Yönetim Politikası

Bulut Bilişimin Hayatımızdaki Yeri İnternet Haftası Etkinlikleri 17 Nisan Yard.Doç.Dr.Tuncay Ercan

Elektronik Ticaret (LOJ 409) Ders Detayları

SOFTWARE ENGINEERS EDUCATION SOFTWARE REQUIREMENTS/ INSPECTION RESEARCH FINANCIAL INFORMATION SYSTEMS DISASTER MANAGEMENT INFORMATION SYSTEMS

Merkezi Yönetim & Merkezi Yedekleme

Venatron Enterprise Security Services W: P: M:

NComputing Erişim Cihazları. Maksimum Esneklik ve Tasarruf. Eylül Copyright 2010 dojop Teknoloji Hizmetleri Tic. Ltd. Şti

Transkript:

Enformasyon Teknolojilerinde İş Sürekliliği Yönetimi ve Felaket Planlaması Haldun Akpınar Almanca İşletme Enformatiği Bölümü Marmara Üniversitesi İ.İ.B.F. halak@marmara.edu.tr Özet: Geçtiğimiz yıllarda enformasyon teknolojisi sistemlerindeki artan karmaşıklık, iş sürekliliği ve felaket planlaması faaliyetlerinin de giderek karmaşıklaşmasına yol açmıştır. Online ve uzaktan yedekleme sistemleri geçtiğimiz yıllarda geleneksel teyp ve off-site yedekleme sistemlerine karşı önemli düzeyde popülarite kazanmıştır. İşletmelerin büyük bir kısmının bilgisayarlarının global pazar ekonomisi ve e-ticareti ayakta tutmak için sıfır çalışamaz durumda bulunma süresi ile 24*7 işler durumda bulunması gerekmektedir. RAID, e-vaulting, aynalama, snapshot, sürekli veri koruma ve diğerleri felaket planlamasının sihirli kelimeleri olmuştur. Bu bildiride enformasyon teknolojilerinde felaket planlaması ve güncel teknolojik yaklaşımlar tartışılmaktadır. Anahtar Kelimeler: Felaket Planlaması, Yedekleme, Sürekli Veri Koruma, İş Etki Analizi. Abstract: The increasing complexity of IT systems in recent decades has led to a complex structure of the business continuity and disaster planning activities. Online and remote backup systems have gained a big popularity in recent years against the traditional tape and off-site backup systems. Most companies computers need to run 24*7 with zero downtime to keep up with the global market economy and e-commerce. RAID, e-vaulting, mirroring, snapshot, continuous data protection and many others have become the magic words of disaster recovery planning. In this paper, disaster recovery planning in information technologies and current technological approaches will be discussed. Keywords: Disaster Planning, Backup, Continuous Data Protection, Business Impact Analysis.

Giriş 1951 yılında ilk işletme uygulamalarının gerçekleştirildiği Birleşik Krallık yapımı LEO I (Lyons Electronic Office I) bilgisayarının [W1] işletilmeye başlamasından bu yana geçen yaklaşık 60 yıllık süre içerisinde, muhtemelen işletmelerde enformasyon ve iletişim teknolojilerinin erişemediği hiç bir köşe ve desteklemediği bir süreç kalmamıştır. 1950 li ve 1960 lı yıllarda kâğıt veya elektronik ortamdaki kritik verilerin yedeklerinin iş yeri dışındaki bölgelerde saklanması, enformasyon ve iletişim teknolojilerinde felaket durumunda yeniden işlerlik kazandırma planlaması (disaster recovery planning) veya kısaca felaket planlaması uygulamalarının başlangıcı olarak kabul edilebilir. 1970 li yıllara gelinceye kadar bir bilgisayar sisteminin günlerce çalışmaması ve/veya bir kaç günlük veri kaybı son derece normal olarak algılanmıştır. Felaket planlaması kavramı 1970 li yıllarda özellikle veri merkezlerinin (data center) kurulması ile şekillenmeye başlamış, 1980 li yıllara veriye bağımlı finans işletmelerinin talebi sonucunda yüzün üzerinde bölgesel veri saklama (data storage) hizmeti sunan işletmenin pazarda yer alması ile girilmiştir. 1983 yılında Amerika Birleşik Devletleri nde Federal Office of the Comptroller of Currency (OCC), finans kurumlarına içeriği sadece veri tabanlarının yedeklenmesi ve yeniden işlerlik kazandırma (recovery) olarak yorumlanabilecek felaket planlarını geliştirme ve raporlama zorunluluğunu getirmiştir. Bu dönemde veri yedeklemede kullanılan manyetik bantların iş yeri dışındaki yerlere gönderilerek saklanması özellikle benimsenmiştir. [W2] 1980 li yılların ortalarından başlayarak ev bilgisayarı kavramının süratle kişisel bilgisayarlara dönüşmesi ve bu bilgisayarların 1990 lı yıllarda iş yerlerinde de yoğun olarak kullanılmaya başlanması, cam fanus dönemini sona erdirerek felaket planlaması çalışmalarında da oyunun kurallarının devrim niteliğinde değişmesine neden olmuştur. İşletmelerde artık verilerin işlendiği ve saklandığı tek bir merkez yerine, giderek büyüyen bilgisayar ağları merkezkaç bir yapıyı ve dolayısı ile büyük ölçekte donanım ve yazılım çeşitliliğini beraberinde getirmiştir. [W3] 1990 lı yılların ikinci yarısından başlayarak bu merkezkaç yapı insan hatalarından, bilgisayar ağı hatalarına; siber saldırılardan, iletişim hatalarına kadar çeşitli zayıf noktaların ortaya çıkmasına neden olmuştur. Bunun bir sonucu olarak büyük ölçüde veri yedeklemeye odaklanmış bulunan geleneksel felaket planlaması kavramı, yerini işletme boyutunda tüm zayıf noktaların belirlenmesi ve bu noktalardaki riskin azaltılmasına yönelik çalışmaları kapsayan iş sürekliliği yönetimi kavramına bırakmıştır.

Geçtiğimiz son on yıl içerisinde 17 Ağustos 1999 Marmara Depremi [HAY], 11 Eylül 2001 saldırıları [W4], 26 Aralık 2004 Sumatra-Andaman Depremi ve Tsunamisi [W5], Ağustos 2005 Katrina Kasırgası [W6], 2009 H1N1 virüsü [W7] ve 9 Eylül 2009 İstanbul sel felaketi gibi felaketler birbirini izleyerek, iş sürekliliği yönetiminin önemini her geçen gün daha da artırmıştır. Giderek karmaşıklaşan iş süreçleri, ardı ardına gelen felaketler ve skandallar resmi yönetmeliklerin, kanunların ve endüstri standartlarının geliştirilmesine hız kazandırmış, bu dönemde hazırlanan çeşitli resmi yönetmelikler ve endüstri standartları, başta finansal ve sağlık kurumları olmak üzere bütün organizasyonları etkilemeye başlamıştır. Bir kısmının bu çalışma içerisinde aşağıda tanıtıldığı resmi yönetmelikler ve endüstri standartlarında, verilerin emniyet altına alınmasının önemli bir rol üstlendiği görülmektedir. [GRE 12-13] HIPAA : 2001 yılında kanunlaşan ve 2003 yılında yürürlüğe giren Health Insurance Portability and Accountability Act (HIPAA), 1996 yılında A.B.D. Department of Health and Human Services tarafından şekillendirilmeye başlanmıştır. HIPAA hastalara ilişkin özel verilerin güvenliğinin sağlanması amacı ile verilere erişim, izleme, yedekleme, saklama, silme ve yeniden işlerlik kazandırma gibi işlemlerin nasıl planlanması gerektiğini tanımlamaktadır. (www.hipaa.org) NFPA 1600 : A.B.D. National Fire Protection Association 2000 yılında risk değerleme (risk assessment), etki analizi (impact analysis), zararın hafifletilmesi (hazard mitigation) konularını içeren ve daha sonra American National Standards Institute (ANSI) tarafından iş sürekliliği planları için referans olarak gösterilen Standard on Disaster / Emergency Management and Business Continuity Programs (NFPA 1600) ı yayımlamıştır. (www.nfpa.org) Sarbanes-Oxley Act (Public Company Accounting Reform and Investor Protection Act of 2002) : 2002 yılında başta Enron olmak üzere birçok işletme ve muhasebe skandalının neticesinde özellikle finansal raporlama konularının işlendiği A.B.D. de çıkartılan federal yasadır. (www.sarbanes-oxley.com) PCI DSS (Payment Card Industry Data Security Standard) : Tüm büyük bankaların ve kredi kartı kurumlarının empoze ettiği ve kart ile ödeme sistemlerinde veri güvenliğinin tanımlandığı standarttır. (www.pcisecuritystandards.org) ISO27000 Serisi : International Organization for Standardization (ISO) tarafından geliştirilen ISO27000 serisi standartlarının en eskisi 2005 yılında yayımlanan ISO27001 dir. Birçok büyük kurum enformasyon ve iletişim teknolojileri sağlayıcılarından ürün ve hizmetlerinin ISO27001 ile uyumlu olmasını talep etmektedir. (www.27000.org)

PAS 56 ve PAS 77 : 2006 (Publicily Available Specification) : British Standards Institution tarafından iş sürekliliği yönetiminin süreç, prensip ve terminolojisi; enformasyon teknolojileri sürekliliği ve kullanılabilirliği için geliştirilen çerçeve spesifikasyonlardır. BS25999 : British Standards Institution tarafından PAS 56 temel alınarak geliştirilen ve iki bölümden meydana gelen uluslararası iş sürekliliği yönetimi standardıdır. (www.bsi-global.com) Türkiye de Telekomünikasyon Kurumu tarafından 20 Temmuz 2008 tarihinde Resmi Gazete de yayınlanan Elektronik Haberleşme Güvenliği Yönetmeliği bulunmaktadır. [TEL] Felaketlerin Sınıflandırılması ve Felaket Planlaması İş sürekliliği ve felaket planlarının hazırlanmasında karşı karşıya kalınabilecek felaketlerin ve bu felaketlerin yol açacağı zararların bilinmesi, bu felaketlere karşı alınabilecek önlemlerin ve risk azaltma faaliyetlerinin belirlenmesinde önem taşımaktadır. Felaketleri; çığ, sel, kuraklık, tropik fırtınalar, kasırga, hortum, tayfun, deprem, tsunami, heyelan, volkan patlaması gibi doğal felaketler; terörizm, patlama, yangın, siber atak, sivil kargaşa, politik protestolar, doğrudan işletmeye yönelik protestolar, radyoaktif serpinti, hırsızlık, adam kaçırma, gasp gibi insan kaynaklı felaketler; ulaşım kazaları, elektrik, gaz, su kesintileri, enformasyon sistemlerinde ortaya çıkan kesintiler, bilgisayar sistemlerinden kaynaklanan hatalar gibi kaza nedenli ve teknolojik felaketler başlıkları altında sınıflandırılabilmek mümkündür. [HIL 10; SNE 20-22] Felaketler binaların, donanımların ve sistemlerin kullanılamaz duruma gelmesine; binalara veya felaket bölgelerine erişilememesine; elektrik, su veya doğal gaz kesintisi gibi saatlerce veya günlerce sürebilecek kamu hizmetleri kesintilerine; ulaşım sisteminde aksamalara; ses ve veri iletişiminde tamamen veya kısmen kesintilere; zorunlu tahliyelere ve çalışanların işe gelememesine neden olabilir. [GRE 10-11] İster doğal, ister insan eliyle olsun her hangi bir felaketin gerçekleşmesi durumunda, felaketten etkilenen işletmenin yaşamsal işletme fonksiyonlarının sürdürülebilirliği günümüzde büyük önem taşımaktadır. Finansal kurumlarda veya büyük hacimli elektronik ticaret yapan işletmelerde ortaya çıkabilecek 5-10 dakikalık bir kesinti milyonlarca Amerikan Doları zarara neden olabilecektir. Enformasyon ve iletişim teknolojisi sistemlerinde muhtemel hataların sayısı, sistemler daha dağıtılmış ve karmaşık hale geldikçe artarken, kabul edilebilir geri kazanım süreleri üzerindeki zaman baskısı giderek yoğunlaşmış ve 0 noktasına erişmiştir. (zero-down-time) Giderek karmaşıklaşan bir yapıda ve kabul edilebilir çalışılamaz durumda bulunma süresinin bu kadar kısaldığı bir ortamda ayrıntılı bir planlama büyük önem kazanmaktadır. Bu çerçevede iş sürekliliği ve felaket planlamasını şu şekilde tanımlayabilmek mümkündür.

Felaket planlaması, bir felaket durumunda bir organizasyonun kritik iş fonksiyonlarının devamlılığını sağlamak ve ortaya çıkabilecek kayıpları en düşük düzeyde tutabilmek için gerekli olan ileri düzey planlama ve hazırlıklardır. Bu kapsamda iş sürekliliği planlaması şemsiye bir kavram olup, felaket durumunda yeniden işlerlik kazandırma planlamasının teknolojik yüzü olarak değerlendirilebilir. [DOU xii] Diğer bir tanıma göre; iş sürekliliği yönetimi kritik iş süreçlerinin ve kabul edilebilir bir iş seviyesinin sürdürülmesi için gerekli olan kaynakların belirlenmesi ve muhafaza altına alınması, iş kesintileri süresince organizasyonun yaşamını sürdürmesine olanak sağlayacak prosedürlerin hazırlanmasıdır. [HIL 27] İş sürekliliği yönetimi planlaması BS25999-1 de ise şu şekilde tanımlanmıştır: Bir organizasyona potansiyel tehditlerin, gerçekleşmesi halinde bu tehditlerin iş operasyonlarına etkilerinin belirlenmesi ve ana paydaşların (stakeholder) ilgisini, itibarını, marka ve değer yaratma faaliyetlerini emniyet altına almak üzere, etkin bir tepki gücü ile organizasyonel mukavemeti (resilience) inşa etmek için bir çerçevenin desteklenmesini sağlayan bütünsel (holistic) yönetim sürecidir. [HIL 105] Felaket Planlaması Süreci En iyi felaket planı, ilgili işletmenin tıpkı kopyasına tanımlanan felaketlerin erişemeyeceği bir coğrafi konumda sahip olmaktır. İlk başta en iyi yaklaşımın bu olduğu düşünülse de, farklı nedenlerden dolayı bu yaklaşımı gerçekleştirmek mümkün olmayacaktır. Bir işletmenin aynı anda iki kurumun maliyetini karşılayabilmesinin imkânsızlığı yanında, iki kopyanın aynı anda aynı felaketlere maruz kalmasını engellemenin de garantisi yoktur. Siber çağ birçok olumlu öğeyi insanlığın hizmetine sunsa da, beraberinde bir çok olumsuzluğu da beraberinde taşımaktadır. En kötü felaket planı ise, her hangi bir plana ve tedbire sahip olmamak olacaktır. Her ne kadar günümüzde birçok işletme için bu şekildeki bir plansızlığı engellemek amacı ile bu alanda çeşitli kanuni zorunluluklar getirilmiş olsa da, bu durumun hala geçerli senaryolardan birisi olduğunu kabul etmek gerekmektedir. Ancak bu noktada güvenilir bir felaket planı olmayan ve bir felaket sonrası önemli veri kaybına uğrayan işletmelerde yapılan bir araştırmada, işletmelerin % 43 ünün yeniden açılamadığını, % 51 inin iki yıl içinde kapandığını ve sadece % 6 sının varlıklarını sürdürebildiğini, bu klasikleşmiş iş sürekliliği yönetimi örneğini vererek vurgulamakta yarar bulunmaktadır. [CUM] Tüm işletmelerin finansal kısıtlar söz konusu olmasa, sıfır çalışılamazlık süresini gerçekleştirecek sistemleri isteyecekleri açıktır. Ancak küçük bir perakendecinin, hatta elektronik ticaret yapan bir perakendecinin iş kesintileri sonucunda uğrayacağı zarar, yapacağı yatırımın yanında çok küçük kalacaksa bu yatırıma girmeyeceği açıktır.

Bu iki aşırı uç senaryonun arasında iş sürekliliği yönetimi planını etkileyecek üç önemli temel kavram bulunmaktadır. Kabul Edilebilir En Fazla Çalışılamaz Durumda Bulunma Süresi (Maximum Tolerable Downtime): İlgili sürece tekrar işlerlik kazandırılması için, işletmede yaşamsal sorunlara neden olmayacak kabul edilebilir azami süredir. İlgili sürecin özelliklerine bağlı olarak bu süre saat, gün veya daha uzun olabilir. Elektronik ticaret yapan bir perakendeci için bu süre satış hacmine bağlı olarak bir kaç gün olabilecekken, bir havayolu işletmesi için saatlerle ölçülebilecektir. Amaçlanan Tekrar İşlerlik Kazandırma Süresi (Recovery Time Objective): İşletmenin çalışamaz durumda bulunan bir süreci tekrar çalışır duruma getirmek için öngördüğü süredir. Amaçlanan bu sürenin Kabul Edilebilir En Fazla Çalışılamaz Durumda Bulunma Süresi nden daha kısa olması gerektiği açıktır. Ancak amaçlanan süre kısaldıkça katlanılacak maliyet de muhtemelen artacaktır. Örneğin tamir edilemeyecek bir sunucu (server) arızasında amaçlanan sürenin 1 ay olması durumunda yeni bir sunucunun satın alınıp kurulması mümkün olabilecekken, bu sürenin 1 saat olarak amaçlanması durumunda muhakkak sıcak mekân (warm site) stratejisinin benimsenmiş olması gerekecektir. Bu örneklerde görüldüğü üzere her iki senaryoda maliyetler önemli ölçüde farklılık gösterecektir. Amaçlanan Tekrar İşlerlik Kazandırma Noktası (Recovery Point Objective): Bir sürecin kesintiye uğradığı zaman noktası ile sürece tekrar işlerlik kazandırıldığı zaman noktası arasında geçen süredeki azami kayıp veri miktarıdır. Bir işletmenin sipariş giriş sistemi için azami dört saatlik veri kaybını amaçlaması durumunda, işletmenin her dört saatte bir verilerini yedekleyecek bir mekanizmaya sahip olması gerekmektedir. Amaçlanan bu sürenin kısa olması durumunda veri yedekleme teknolojilerine daha fazla yatırım yapılması gerekecektir. Felaket planlaması sürecinin ilk aşaması proje yönetimi yaklaşımı ile proje kapsamının, proje üyelerinin, proje planının ve bütçesinin belirlenmesidir. Bir işletmenin felaketler karşısındaki mukavemetini artırabilmek için, bu işletmenin yaşamsal önemdeki süreç ve sistemlerinin belirlenmesi, bu süreç ve sistemler için felaket planlarının hazırlanması gerekmektedir. İş Etki Analizi (Business Impact Analysis) olarak isimlendirilen bu süreçte, Kritik süreçlerin ve bu süreçler arasındaki ilişkilerin belirlenerek bir envanter çıkartılması, Her bir kritik süreç için potansiyel tehditlerin analiz edildiği bir tehdit modelinin (threat model) kurulması, Bu süreçlere ilişkin risk analizlerinin yapılması, Bu süreçlere ilişkin belirlenen riskin azaltılması (mitigation) için alınabilecek tedbirlerin belirlenmesi gerekmektedir.

Enformasyon teknolojileri açısından bir işletmenin en önemli öğesi ürettiği veriler olsa da, bu verilerin tek başına bir anlam ifade etmesi söz konusu değildir. Veriler ancak diğer üç öğenin, yani yazılım, donanım ve bu sistemden fayda üretebilecek insan gücünün varlığı ile önem kazanacaktır. Bu nedenle enformasyon teknolojileri açısından felaket planlaması, her hangi bir felaket sonrası sistemin işlerlik kazanmasını sağlayacak şekilde, sistemin bu dört öğesinin nasıl bir araya getirileceğinin planlanması olacaktır. Ancak karşılaşılacak felaketin yapısına, boyutuna ve işletmenin felaket planlaması için ayırmayı istediği veya ayırabileceği bütçe miktarına göre çok farklı senaryolar üretilebilecektir. Enformasyon teknolojilerinde felaketin dış kaynaklı deprem, yangın veya sabotaj olması gerekmez. Belki de en önemli felaket kaynağı, sistemin kendi oluşturduğu felaketler olacaktır. Örneğin yeterince denenmemiş bir yazılımın uygulama sırasında veri kaybına yol açması veya insan hatalarından kaynaklanan felaketler, dış kaynaklı felaketlerden çok daha tahrip edici olabilir. London Business School tarafından yapılan bir araştırmada felaketler arasında % 57 ile enformasyon teknolojileri ile doğrudan ilişkili felaketlerin başı çektiği belirlenmiştir. Benzer şekilde PricewaterhouseCoopers tarafından yapılan bir başka araştırmada işletmelerin % 35 inin bilgisayar felaketleri neticesinde 250.000 Pound Sterling den daha fazla para kaybettikleri, başka araştırmalarda ise felaketlerin % 30 unun yazılım veya donanım hatalarından kaynaklandığı belirtilmektedir. [HIL 412] Bu durumda ister istemez felaketlerin başrol oyuncusunun bilgisayar sistemleri olduğu görülmektedir. Bir felaketi engelleyebilmek veya felaketin etkilerini asgari düzeyde tutabilmek amacı ile alınan tüm önlemlere rağmen, her hangi bir doğal veya terörizm gibi insandan kaynaklanan bir felaket sonrasında karşılaşılabilecek durumlara ilişkin senaryolardan bir tanesi, mevcut veri merkezinin kaybı ve geçici veya uzun süreli olarak veri işlem uygulamalarının başka bir yerde sürdürülmesidir. Sistemin donanım öğesinin geçici veya sürekli olarak devre dışında kalması halinde, günümüzde iş sürekliliği yönetiminin bir parçası olarak değerlendirilmesi gereken farklı yer seçeneklerini, kesin çizgilerle olmasa da aşağıdaki şekilde sınıflandırabilmek mümkündür. [GRE 147] Enformasyon işleme donanımlarının bulunmadığı, iletişim olanaklarının kısmen bulunduğu (veya bulunmadığı) sadece dört duvardan meydana gelen, çalışır hale getirebilmek için günler hatta haftaların gerekebileceği soğuk mekânlar (cold site); bilgisayar sistemlerinin, ağlarının ve uygulama programlarının güncel bir şekilde hazır olduğu, gerekli verilerin yüklü olabileceği gibi, süratle yüklenebilir durumda olduğu, bir kaç dakika ile bir kaç saat içerisinde yeniden işlerliğin kazandırılabileceği sıcak mekânlar (hot site); soğuk ve sıcak mekânların ara bir noktasında değerlendirilebilecek olan ılık mekânlar (warm site); işletmenin farklı coğrafi konumlarda sahip olduğu mekânlar; işletmenin bulunduğu coğrafi konuma süratle gönderilebilecek şekilde tasarlanmış mobil mekânlar (mobile sites); colocation facilities veya sadece colos olarak da bilinen ve

işletmelerin felaket durumunda kullanabilecekleri şekilde tasarlanmış ticari tesisler (contracted facilities); bir işletmenin bir başka işletme ile her hangi bir felaket durumunda birbirlerinin veri merkezlerinin bir kısmını kullanabilmelerine olanak sağlayacak karşılıklı tesis kullanımı (reciprocal facilities) anlaşmalarıdır. Donanım öğesinin sürekliliği konusunda, bir felaket karşısında mevcut bilgisayar ağının düşük kapasite ile de olsa varlığını sürdürebilmesi için en uygun yöntemlerden biri sunucu küme (server cluster) yapısının uygulanması olacaktır. Sunucu küme yapısı, kullanıcı açısından tek ve birleşik bir hesaplama kaynağı olarak görülen ve faydalanılan, paralel veya dağıtılmış olarak birbirine bağlı bilgisayarlardan meydana gelen sistemdir. Sunucuların farklı coğrafi mekânlarda konumlandırılmasının belirtildiği coğrafi olarak dağıtılmış küme yapısı, işletmenin veri merkezinin felaketten etkilenmesi durumunda dahi fonksiyonlarını sürdürmeye devam edebilecektir. Sistemin donanım ve veri öğesi arakesitinde diğer önemli bir karar noktası veri saklama mimarisinin (data storage architecture) belirlenmesi olacaktır. Bu aşamada özellikle iki uç nokta olarak yorumlanabilecek SAN (Storage Area Network) veya NAS (Network Attached Storage) mimarileri üzerinde durulması gerekecektir. Sistemin veri ve özellikle işletme içi hazırlanan yazılım öğelerinin yedeklenmesi felaket planlamasında en önemli yapı taşlarıdır. Enformasyon ve iletişim teknolojilerinde herhangi bir nedenden dolayı ortaya çıkan veri kaybı durumunda, kaybedilen verinin tekrar geri yüklenebilmesi (restore) için orijinal verinin periyodik olarak kopyasının alınması işlemi veri yedekleme (backup), verilerin kopyasının alınması işlemi yedekleme süreci (back up process) ve bu işlemin gerçekleştirilmesi için harcanan süreye de backup window adı verilmektedir. Backup window ve her hangi bir felaket durumunda işletmenin kabul edebildiği en fazla çalışılamaz durumda bulunma süresini etkileyecek olan yedeklerin sisteme geri yüklenme süresi yedekleme sürecinde yedekleme ortamının, modelinin ve sıklığının belirlenmesinde ana etkenlerdir. Yedekleme güvenliği ve optimizasyonu açısından üzerinde durulması gereken diğer önemli unsurlar yedekleme öncesinde veya sırasında gerçekleştirilecek olan sıkıştırma (compression), şifreleme (encryption) ve veri obezliğinin engellenmesi (de-duplication) olacaktır. Özellikle son kullanıcının veri disiplinsizliği ile aynı dosyanın farklı sürümlerini saklaması, işle ilgili olmayan e-postalarının ve engellenmemesi durumunda bunların ekinde gelen dosyaların saklanması, son kullanıcı bilgisayarlarının hemen hepsinde yer alan örneğin kelime işlemci programının.exe dosyalarının defalarca saklanması gibi birçok veri, veri obezliğine ve dolayısı ile veri çöplüklerinin oluşmasına neden olmakta ve felaket planlaması maliyetlerini de önemli ölçüde artırmaktadır.

2007 verilerine göre dünyadaki en büyük veri tabanları göz önüne alındığında World Data Centre for Climate ın 220 terabyte web verisine ve ilave olarak manyetik teyplerde saklanan 6 petabyte genişliğinde veriye sahip olduğu; National Energy Research Scientific Computing Center (NERSC) in Oakland, California nın sahip olduğu veri miktarının 2,8 petabyte, telekomünikasyon işletmesi AT&T nin sahip olduğu veri miktarının ise 323 terabyte olduğu görülmektedir. [W8] 2008 yılında dijital evrende var olan toplam veri miktarının, bir önceki yıla oranla yaklaşık 2 kat artış göstererek 486.522 exabyte a ulaştığı belirtilmektedir. Dünyada dijital gölge (digital shadow) olarak isimlendirilen kişi başına düşen dijital veri miktarı ise yaklaşık 90 GB`a ulaşmıştır. [GAN 2-3] Günümüz koşullarında yedekleme süreci manyetik teyp, hard disk veya blu-ray gibi veri depolama ortamlarında gerçekleştirilir. Onlarca yıldır en favori yedekleme ortamı olan manyetik teyplerin, giderek hard disklere karşı olan fiyat avantajını yitirmesi ile yakın bir zamanda yeni kurulan sistemlerde ürün yaşam eğrilerinin son noktasına gelmeleri kaçınılmazdır. Bununla birlikte sistemlerini manyetik teyp üzerine kurmuş olan işletmelerin tüketim talepleri bir süre daha devam edecektir. Birbiri ile iç içe geçmiş çok önemli bir yedekleme sorusu yedeklemenin hangi sıklıkta ve coğrafi olarak nerede yapılacağıdır. En basit ve geleneksel yaklaşım 3, 4 veya 5 teypli Hanoi Zaman Çizelgesi ne göre belirlenen periyotlarda yedeklemenin merkezde yapılması ve beklenen felaketin gerçekleşmesi durumunda felaketin etki alanında olmayacak coğrafi bir mekâna bir araçla gönderilerek saklanması olacaktır. Bu geleneksel yöntemin günümüz teknolojik olanaklarının elverdiği ölçüde karşı ucunda ise elektronik olarak uzaktan yedekleme ve sürekli veri koruma (e-vaulting (veya remote backup) & Continuous Data Protection) yer alacaktır. E-vaulting işletme verilerinin veri hatları aracılığı ile başka bir coğrafi konumda yedeklenmesi, sürekli veri koruma ise seçilmiş işletme verilerinde meydana gelen her değişikliğin eşanlı olarak farklı coğrafi konumdaki kayıt ortamında da gerçekleştirilmesi ve gerekli durumlarda geriye sarma (roll back) yeteneği ile zamanda bir noktaya (point-in-time) geri dönebilme özelliğidir. Bu iki uç nokta arasında, işletmenin ihtiyaçlarına ve felaket planlanması için ayırabildiği bütçeye bağlı olarak farklı yaklaşımlar söz konusudur. Bunların arasında teyp kütüphanelerinin (tape libraries), RAID (Redundant Array of Inexpensive (veya Independent) Drives (veya Disks)), snapshots başlıca farklılık yaratan yaklaşımlardır. Tüm donanım, yazılım ve veri yedeklemelerinin yapılabilmesi için çeşitli yöntemler bulunmakla birlikte, bir felaket durumunda sisteme yeniden işlerlik kazandıracak insan öğesinin yedeklenmesi, işletmelerin felaket sonrası karşı karşıya kalabilecekleri belki de en önemli sorundur. Robotic tape libraries, phone home, smart switches, smart routers gibi giderek otomatize olan sistemlere rağmen, tamamen insansız felaket planlaması için daha zamana ihtiyaç bulunmaktadır. Ancak bu durumda

bilim kurgu filmlerinin klasik senaryolarından biri olan felaket sonrası yok olan insanlığa karşılık, makinelerin hala çalışır durumda olması insanlık açısından önem taşıyacak mıdır? sorusu gündeme gelmektedir. Felaket planlamasında proje süresi organizasyonun büyüklüğüne göre farklılık gösterecek, felaket planlaması projesi 100 kişi veya daha az eleman çalıştıran, az sayıda süreci olan küçük organizasyonlarda 3 ay, binlerce çalışanı ve birçok kritik süreci olan işletmelerde iki yıl sürebilecektir. Felaket planı tasarımını hazırlanan planın raporlanması, test edilmesi ve sürekli güncel tutulması aşamaları izleyecektir. FAYDALANILAN KAYNAKLAR [BCI] The Business Continuity Institute. (2005). Business Continuity Management Good Practice- Richtlinien. [CUM] Cummings, E., Haag, S., & McCubbrey D. (2005). Management Information Systems for the Information Age. McGraw-Hill Ryerson Higher Education. [DOU] Doughty, K. (Ed.). (2000). Business continuity planning: protecting your organization's life. Auerbach. [DRB] -. (2008). Disaster Recovery and Business Continuity IT Planning, Implementation, Management and Testing of Solutions and Services Workbook. [GAN] Gantz J. F, (March 2008). The Diverse and Exploding Digital Universe. IDC. [GAR] Gartner Inc. (2002). A Report for Sample Company. Business Impact Analysis (BIA). [GRE] Gregory P. (2008). IT Disaster Recovery Planning for Dummies, Wiley Publishing, Inc. [HAY] [HIL] [LAN] Hayır, M. & Jentsch Christop. (2004). Kocaeli Depreminin sanayi ve yerleşme üzerindeki etkileri. DPT Kentsel Ekonomik Araştırmalar Sempozyumu, Cilt 1. Hiles, A. (Ed.). (2007). The Definitive Handbook of Business Continuity Management. John&Wiley &Sons Inc. Landry, J., Brett, L., & Koger, M. (December 2006). Dispelling 10 Common Disaster Recovery Myths: Lessons Learned from Hurricane Katrina and Other Disasters. ACM Journal on Educational Resources in Computing, Vol. 6, No. 4. [NIS] National Institute of Standards and Technology. (2002). An Introduction to Computer Security: The NIST Handbook [POE] [REA] Poelker C. & Nikitin, A. (2009). Storage Area Networks for Dummies. Wiley Publishing, Inc. Read, M. (2007). Business Impact Analyse. Zürich. [SNE] Snedaker, S. (2007). Business Continuity & Disaster Recovery for IT Professionals. Elsevier, Inc.

[STO] Stoneburner, G., Goguen, A. & Feringal, A. (2002). Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology. [SWA] Swanson, M., Wohl, L., Grance, T., Hash, J. & Thomas, R. (2002). Contingency Planning Guide for Information Technology Systems. National Institute of Standards and Technology. [TEL] [TRO] Telekomünikasyon Kurumu. (20 Temmuz 2008). Elektronik Haberleşme Güvenliği Yönetmeliği. Resmi Gazete, Sayı :26942. Troppens, U., Erkens R. & Müller W. (2008). Speichernetze. Grundlagen und Einsatz von Fibre Channel SAN, NAS, iscsi und InfiniBand. dpunkt-verlag GmbH. INTERNET KAYNAKLARI [W1] LEO (computer). (12 Ağustos 2009). Wikipedia, The Free Encyclopedia. http://en.wikipedia.org/wiki/leo_computer [W2] The History of Business Continuity: A Timeline. (18 Ağustos 2009). http://www.businessresiliency.com/evolution_history.htm [W3] [W4] [W5] [W6] [W7] A brief history - from disaster recovery through business continuity to Information Availability. (18 Ağustos 2009). http://www.safetynet247.co.uk/resources/history.pdf September 11 attacks. (18 Ağustos 2009). Wikipedia, The Free Encyclopedia. http://en.wikipedia.org/wiki/11_september_2001_attacks 2004_Indian_Ocean_earthquake. (18 Ağustos 2009). Wikipedia, The Free Encyclopedia. http://en.wikipedia.org/wiki/2004_indian_ocean_earthquake Katrina_Hurricane. (18 Ağustos 2009). Wikipedia, The Free Encyclopedia. http://en.wikipedia.org/wiki/ Katrina_Hurricane Pandemic. (18 Ağustos 2009). Wikipedia, The Free Encyclopedia. http://en.wikipedia.org/wiki/pandemic [W8] Top 10 Largest Databases in the World. (14 Ağustos 2009). http://www.businessintelligencelowdown.com/2007/02/top_10_largest_.html

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim