Kendinizi tanıyın, modelinizi geliştirin

Teknik aksaklık veya doğal afet…. Hiç fark etmez… Hepsinde atılması gereken adımlar iş sürekliliği ve felaket yönetimi başlığında toplanmalı ve en önemlisi, şirketin yapısına, sektörel düzenlemelerine özgü bir mimari ile bunlar hayata geçirilmeli.

İş sürekliliği, bir organizasyon veya bir kurum tarafından, gerektiğinde tüm çalışan, müşteri, tedarikçi veya denetleyicilerin ulaşmaları zorunlu olan bilgi, veri veya iş araçlarının her ne şart ve durumda olursa olsun erişilebilirliğini güvence altına alacak çalışma ve hazırlıkların bütünü. İş sürekliliği çalışmaları ve tasarımı, felaket anından çok önce başlayıp sürdürülmeli. Aksi takdirde, anlık kesintiler bile bu yaklaşım ve kavramın zafiyetine neden olur. Software AG Türkiye Genel Müdürü Nil Bağdan, öncelikle kurumların, organizasyon ve iş süreçlerinin zayıf noktalarını tespit edecek çalışmaları ve planlamaları yapmak zorunda olduğuna işaret etti. Süreklilik amaçlı kurumsal kurallar oluşturulmalı, çerçeveleri kesin çizgilerle tespit edilmiş alanlar belirlenmeli, kurumların standartları ve prosedürleri eksik ise tamamlanmalı. İş süreçleri modellenmeli ve aksaklıkların etkisini tespit edecek “etki analizleri” ve “düzeltmeler” yapılmalı. Bağdan’ın verdiği bilgiye göre, birçok şirket, bu konuları, uzman danışmanlar kullanarak yapmakta ve birçok kurum da bu konuların takibini ve yürütülmesini operasyondan ayrı bir iç denetim kurumu oluşturarak sahipleniyor.
Farklı sektörler, farklı zorunluluklar
İş sürekliliği ve felaket yönetiminin bir bütün süreç olarak ele alınması genel olarak tavsiye edilen yapı. İş sürekliliği planlamaları tüm olası hataları ve felaketleri göz önünde bulundurarak gerçekleştirilmeli ve uygulanmalı. Düzenli olarak test edilmesi gereken bu sistemler, aynı zamanda hem değişen ihtiyaçlar, hem de gelişen teknolojiler bağlamında düzenli olarak yeniden ele alınmalı, gerektiğinde güncellenmeli. Felaket başlığında ise doğal ve doğal olmayan tüm felaket tipleri göz önünde bulundurulmalı. Yangın gibi konulara cevap verecek bir çözümün yanında, Türkiye’de öne çıkan felaketlere de hazırlıklı olunmalı. Microsoft Türkiye Bulut ve İş Platformu Ürün Yöneticisi Gökben Utkun, “Deprem, sel bizim Türkiye’de daha sıklıkla karşımıza çıkan problemler” örneğini verdi ve ekledi: “Planlanan altyapı çözümleri tüm bu felaket durumlarında dahi kurumun isteği doğrultusundaki çalışma esnekliğini ve devamlılığı sağlayacak kıstaslara sahip olmalı.”
Yatırımın seviyesini de faaliyet gösterilen sektör ve bu sektörü bağlayan düzenlemeler şekillendiriyor. Utkun bu noktada, “Farklı düzenleme kurumları, düzenlemesinden sorumlu oldukları sektörlerin sağladığı servisler doğrultusunda yaptırımlar gerçekleştiriyor. Burada sektörün sunduğu servis ne kadar kritikse, yaptırımın seviyesi de o denli artıyor. Temel amaç doğal olarak bu servisleri olan vatandaşların servis kesintisinden doğabilecek sıkıntılarını en aza indirgemek” açıklamasını paylaştı.
Düzenlemelere tam uyum sağlanmalı
Görüldüğü gibi, felaket yönetimi ve iş sürekliliği konuları birbirini tamamlayıcı. Bu nedenle bu iki konu mutlaka birlikte ele alınmalı, hangi durumlarda iş sürekliliği planlarının devreye alınacağı net kriterler ile belirlenmeli. Turkcell Global Bilgi Yönetim Sistemleri ve İç Denetim Müdürü Mehmet Çıkrıkçı, iş sürekliliği planlamasını şöyle anlattı:
“İş sürekliliği planlamasının ilk adımı kritik faaliyetlerin ve gereken kaynakların belirlenmesi. Bu kritik faaliyetlerin kesintiye dayanma sürelerinin ve ayağa kalkma anında gerekli kapasitenin saptanması ikinci adım. Buna göre iş sürekliliği stratejileri belirlenir ve paralelinde iş sürekliliği planları oluşturulur. Geliştirilen planlar, mutlaka tekrar tekrar test edilmeli, düzenli olarak güncellenmeli, test sonucunda planda aksadığı görülen noktaları iyileştirmek üzere gerekli düzeltici faaliyetler başlatılmalı ve sonuçlandırılmalı.”
Felaket başlığında ise riskler kurumdan kuruma değişiklik gösteriyor. Kurumun bulunduğu coğrafya, sektörü, tabi olduğu yasa ve mevzuatlar, çalışan profili bu risklerin belirlenmesinde etkili. Mehmet Çıkrıkçı, kamunun bu başlıktaki düzenlemelerini ve uygulama adına atılması gereken adımları vurgulamadan geçmedi: “6331 İş Sağlığı ve Güvenliği Kanunu ve ilgili yönetmelikler ile İş Yerlerinde Acil Durumlar Hakkında Yönetmelik ve Binaların Yangından Korunması Hakkında Yönetmelik aslında oldukça kapsamlı ve yeterli. Önemli olan bu kanun ve yönetmeliklerin uygulanmasının sağlanması. Bunun için bağımsız denetim mekanizmasının kurulması ve işletilmesi gerek.”
Kendi senaryonuzu inşa edin
İş sürekliliği ve felaket kurtarma ayrı olduğu gibi, beraber de değerlendirilebilir. “Normalde iş sürekliliği sadece iş yükünüzün yüzde 5’ine seslenir ve daha pahalı olarak değerlendirilir. İş sürekliliği size sorunları önceden görme imkanı verir. İş yükünüzün geri kalan yüzde 95’i için bir çözüm tasarlamanız gerekir” detayını paylaşan Veeam Güney EMEA Bölgesi Başkan Yardımcısı Olivier Robinne’in de belirttiği gibi, bu da zaman ve veri kaybını en aza indirerek daha hızlı kurtuluşu sağlar. Ama iş sürekliliği durumunda bile bazen en kötü gerçekleşebilir. “Bu da, bu bölüm için felaket kurtarmaya bakmak zorunda kalmanız demektir” diyen Robinne’e göre, işte böyle bir durumda felaket kurtarma, çözümün bütünleşik bir parçası haline gelir.
İş sürekliliği planlaması zaman ya da veri kaybına tahammülü olmayan servislere yönelik olmalı. “Hangi hizmetlerin sizin için kritik öneme sahip olduğunu belirledikten sonra iş sürekliliğini sağlayacak doğru malzemeleri de bulabilirsiniz” diyen Robinne, felaket başlığındaki gündem maddelerini ise şöyle anlattı:
“Teknik düzeyde her hizmetin kurtaracağı veri ve zaman konusunda karar vermelisiniz. Bunu belirlediğiniz zaman kendi felaket kurtarma senaryonuzu inşa etmeniz için sanallaştırmanın avantajlarına bakmalısınız ve bu teknolojiyi geliştirmek için doğru çözümleri kullanmalısınız. Teknik olmayan düzeyde ise en kötü durum senaryosunu düşünmelisiniz ve tüm donanımızı kaybettiğinizde bir an önce yeni donanımları nasıl bulabileceğiniz gibi karşılaşmak zorunda kalacağınız zorlukları, bu sorunlardan insanların zarar görmesi durumunda senaryoda kim anahtar isim olacak gibi konuları düşünmelisiniz. Felaket kurtarma planınız, bulunduğunuz lokasyonun dışında ve daima ulaşılabilir olmalı. Bu planın düzenli testlerini, tercihen otomatik olarak, planlarınızı yapmaya başladığınız günden itibaren dikkate almalısınız.”
Riskinizi bilerek yol alın
İş sürekliliği ve felaket yönetimi kavramları her ne kadar ayrı başlıklarda değerlendirilse de Sadecehosting / Telecity Group Satış ve Pazarlama Direktörü Aydın Işık’a göre, uygulamada kesinlikle bütünleşik olarak ele alınmalı. İş sürekliliği planlamasında öncelikli olarak şirketin yönetim katmanında konuyla ilgili tam destek alınarak planlamaya geçilmesi önemli. Daha sonraki süreçte ISO 22301 (iş sürekliliği yönetim sistemi) gibi belli başlı ISO standartlarını referans alarak başlangıç yapmak doğru olur. Ardından işin bütününde görev ve sorumlulukların tanzimi, iş sürekliliği ve iş kurtarma planları gibi işe ve çalışana doğrudan etki edecek dokümantasyon çıkarılmalı. Düzenli eğitim, tatbikat ve iyileştirmelerle süreklilik sağlanmalı. Aydın Işık, ‘felaket’ başlığındaki gündem maddeleri hakkında şu uyarıyı yaptı: “Bilgi işlem sistemleri açısından risk analizleri ve risklerin işe etkileri iyi değerlendirilmeli ve ihtiyaçların doğru analiz edilmesiyle elde edilen bulgulara uygun çözümler uygulanmalı. Aksi takdirde felaket durumunda elinizde işlemeyen bir sistem kalması olası.”

ANALİZ EDEREK TERCİH YAPILMALI

Felaket anlarında işin sürekliliği aksadığı için bu iki kavramı birbirinden ayırmak mümkün değil. Ama öncelikle felaket anında hangi iş akışlarının sürekliliğinin kritik ve elzem olduğu konusunda kurumlar kendi değerlendirmelerini yapıp ihtiyaçlarını ortaya çıkarmalı. “İş sürekliliği çözümü arayışında olan kurum ve kuruluşlara, önlerine gelen çözümlerde RTO ve RPO ölçeklerini iyi analiz etmelerini tavsiye ediyoruz” diyen Double-Take Türkiye Ürün Yöneticisi Ayşenur Ketenci ekledi: “Bugün pek çok iş sürekliliği çözümü olarak sunulan teknolojilerin özellikle RTO zamanlaması minimum 2 saat olabiliyor. Ayrıca sistemi ayağa kaldırmak için uzmanlık gerektiren servislere de ihtiyaç duyuluyor. Bu nedenle seçim doğru yapılmalı.”
Ketenci’ye göre, bir taraftan da optimum ihtiyaçları karşılama konusunda Olağanüstü Durum Merkezi (ODM) planlaması yapılması ve bu konuda çalışılacak şirketten danışmanlık hizmeti alınması gerek.

RİSKİ AZALTACAK ADIMLAR ATILMALI 

Felaket yönetimi iş sürekliliğinin alt parçalarından biri. İş sürekliği dediğimizde, aklımıza öncelikle felaket yönetimi, sonrasında yerel veya coğrafi yük dağılımı ve kümeleme geliyor. SurGATE Labs CTO’su İsmail Yenigül’ün verdiği bilgiye göre, iş sürekliliği planı metodolojisi üç aşamadan oluşuyor: Değerlendirme, uygulama ve yönetim. Bu süreçte iş etkileme analizi, risk değerlendirmeleri, acil eylem yönetimi, iş kurtarma planları, bilgilendirme eğitim ve denetim aşamaları ile, riski azaltacak tedbirler ve kaynak ihtiyacının belirlenmesi önemli. Yenigül’e göre, iş sürekliği bu konuları kapsamalı: Felaket yönetimi, yedekleme ve geri dönüş, yük dengeleme ve dağıtma.

RİSKİNİZİ DOĞRU TANIMLAYIN

Felaket kurtarma çözümleri denilince akla ilk gelen bir şirketin yardıma ihtiyaç duyduğu zamanlarda, doğal afetlerde yardım etmek. “Ancak bu hizmeti veren bizim gibi kurumların görevi; müşterilerin hiç sorun yaşamamasını sağlamak” diyen IBM Bulut ve Yönetilen Hizmetler İş Geliştirme Yöneticisi Ali Gündüz, sadece doğal afetler değil, enerji sıkıntısı, güvenlik zafiyeti ya da müşterilerin kablolara takılıp cihazlara zarar vermesi gibi durumlara da dikkat çekti. Mevcut konjonktürde, iş kesintisinin maddi ve manevi zararlarını iyi ölçmek bu nedenle önemli. Gündüz’ün de belirttiği gibi, iş sürekliliğinin temeli, işin anlaşılması ve işletmenin faaliyetlerini sürdürebilmesi için gereken kritik iş süreçlerinin ve kaynakların belirlenmesine dayanıyor. Üç konu başlığının değerlendirilmesi ve ihtiyaçların belirlenmesi ise öncelik olmalı: İş kaynaklı riskler, veri kaynaklı riskler ve olay kaynaklı riskler.

DÜZENLİ KONTROL YAPILMALI

İş sürekliliği ve felaket yönetimi aslında ayrı konuları tanımlamakla beraber, planlama ve yönetiminin birlikte yapılması kurumun genel bilişim yaklaşımın tutarlılığı açısından faydalı olur. Planlama yapılmadan önce, sistemlerin analizinin yapılarak kurumun ihtiyacının netleştirilmesi de bir gereklilik. “Hangi sistemlerin sürekli olarak çalışması gerektiği, hangi sistemlerin felaket anında uzak bir lokasyondan çalışabilir halde bulunması gerektiği göz önüne alınarak planlama yapılmalı” örneğini paylaşan KoçSistem Veri Merkezi Yönetilen Hizmetler Grup Yöneticisi Murat Saraçoğlu’na göre, planlama yapılırken dikkat edilmesi gereken bir konu da RPO/RTO seviyelerinin ihtiyaca göre doğru belirlenmesi. Bunun yanında, en az planlama kadar önemli olan ‘test uygulamalarının’ da mutlaka periyodik olarak gerçekleştirilmesi gerek. Saraçoğlu, “Kurumlar servis sağlayıcılar ile birlikte çalışarak bir kesinti ya da felaket anında, sistem çalışırlığının simülasyonunu mutlaka gerçekleştirerek uygulamanın plana uyup uymadığını ve öngörülen RPO/RTO seviyelerinin karşılanıp karşılanmadığını kontrol etmeli” hatırlatmasını yaptı.