İlk olarak iyi bir felaket kurtarma planı hazırlayabilmek için tanımların ve kapsamın iyi belirtilmesi ve buna göre ilgili risklerin doğru olarak belirlenip, ilgili analizlerin gerçekleştirilip aksiyon planlarının çıkartılması gereklidir.
Felaket Nedir?
Doğal Afetler
Deprem, sel gibi doğal afetlerin yanı sıra savaş durumu gibi nedenlerden dolayı faaliyetlerin durmasıdır.
Yerel Afetler
Yangın, su baskını vb. durumlardan dolayı sistemlerin bulunduğu yapının kullanılamaz hale gelmesidir.
İnsana Bağlı Afetler
Sistemlere karşı yapılan saldırılar, kasıtlı veya kasıtsız yere yapılan kişisel hatalar ile sistemlerin çalışamaz duruma gelmesidir.
Servis Kesintileri
Kritik servislerin bozulma, arıza gibi nedenlerden dolayı servis veremiyor duruma gelmesi veya kasıtlı olarak DoS ataklarının gerçekleştirilmesidir.
Risk Saptaması
Hangi durumda nasıl bir kayıp verileceğine dair riski belirlemek ve bu riski en aza indirmek için alınacak önlemler saptanmalıdır.
Risk tablosu oluşturulduktan sonra felaket kurtarma planında belirlenecek senaryolara göre her birine bu tablodan bir risk seviyesi belirlenmeli ve davranış modeline göre tasarlanmalıdır.
Servisler
Şirketteki iş sürekliliğini sekteye uğratacak servislerin tanımlanması bu anlamda önem arz etmektedir. Bu servislerin herhangi bir afet veya olağanüstü durum karşısında ilgili öncelikleri ve riskleri belirlenmelidir.
Risk Analizi
Buradaki amaç herhangi bir felaket durumunda, durumlara göre nasıl bir aksiyon planı yapılacağını önceden belirlemek ve ona göre davranmak olacaktır.
•Finansal Kayıp
Kısa ve orta vadede gerçekleşen kesintiler sonucunda oluşan maddi zararlardır.
•Marka Değeri Kaybı
Sürekli veya kısa vadede yaşanan kesintiler sonucunda kurumun itibar kaybetmesi durumudur.
•Personel Kaybı
Kurum içerisinde kesintiler ve olumsuzluklar sonucunda yaşanan personel kayıpları durumudur.
Servis Analizi
Servislerin genel tanımı yapıldıktan sonra, sistemler üzerinde aktif kullanılan servislerin tanımlanarak sınıflandırılması önemlidir. Bu anlamda mevcut envanter listesi ile çalışan servislerin konsolide edilmesi gerekir. Envanter listesi ve servislerin katmanlara göre belirlendiği tablo aşağıdaki özellikleri içermelidir:
• Sunucu Envanteri
• İşletim Sistemi Bilgileri
• Veritabanı Bilgileri
• Sistemdeki Cihaz Bilgileri
• Güvenlik Sistemleri
• Risk Seviyesi
Topoloji ve Prosedürlerin Analizi
Şirketin topoloji haritası ve IT süreçleri belirlenerek, felaket anında bu prosedürlerde yapılması gereken değişikliklerin tanımlanması gerekir.
Kesinti Süreleri ve Veri Güncelliği (RPO – RTO)
Kesinti anında kritikliğine göre kabul edilebilir kesinti süresi saptanmalı ve giriş yapıldığı andaki verinin güncelliği ile ilgili kabul edilebilir sınırlar analiz edilmeli ve planda dokümanter edilmelidir.
Rol ve Sorumluluklar
Felaket durumlarında planın kapsadığı personel belirlenmelidir. Bu anlamda çalışan personel departmanlara göre kategori edilmelidir, IT departmanında bulunan personelin görev ve sorumluluklarının belirlenmesi, erişim listelerinin hazırlanması ve organizasyon şemaların ortaya çıkarılması gerekmektedir.
Ataman KURAL