İş sürekliliği ve felaket kurtarma: Hangi plan sizin için uygun? – IBM Blogu

İş sürekliliği ve felaket kurtarma planları, işletmelerin beklenmedik olaylara hazırlanmak için güvendiği risk yönetimi stratejileridir. Terimler birbiriyle yakından ilişkili olsa da, sizin için hangisinin doğru olduğunu seçerken dikkate alınması gereken bazı önemli farklılıklar vardır:

• İş sürekliliği planı (BCP): BCP, bir felaket durumunda bir kuruluşun normal iş fonksiyonlarına dönmek için atacağı adımları özetleyen ayrıntılı bir plandır. Diğer plan türlerinin, kurtarma ve kesintiyi önlemenin (doğal afet veya siber saldırı gibi) belirli bir yönüne odaklanabileceği yerlerde, BCP'ler geniş bir yaklaşım benimser ve bir kuruluşun mümkün olduğunca geniş bir tehdit yelpazesiyle karşı karşıya kalmasını sağlamayı amaçlar.
• Felaket kurtarma planı (DRP): Doğası gereği BCP'lerden daha ayrıntılıdır, felaket kurtarma planları Kuruluşların bir kesinti sırasında BT sistemlerini ve kritik verilerini özel olarak nasıl koruyacaklarına ilişkin acil durum planlarından oluşur. DR planları, BCP'lerin yanı sıra işletmelerin verileri ve BT sistemlerini büyük kesintiler, doğal afetler gibi birçok farklı felaket senaryosundan korumasına yardımcı olur. fidye ve kötü amaçlı yazılım saldırılar ve diğerleri.
• İş sürekliliği ve felaket kurtarma (BCDR): İş sürekliliği ve felaket kurtarma (BCDR) iş ihtiyaçlarına bağlı olarak birlikte veya ayrı ayrı ele alınabilir. Son zamanlarda giderek daha fazla işletme iki disiplini birlikte uygulamaya yöneliyor ve yöneticilerden ayrı ayrı çalışmak yerine BC ve DR uygulamalarında işbirliği yapmalarını istiyor. Bu, iki terimin tek bir terimde birleştirilmesine yol açtı: BCDR, ancak iki uygulamanın temel anlamı değişmeden kalır.

Kuruluşunuzda BCDR'nin geliştirilmesine nasıl yaklaşmayı seçerseniz seçin, alanın dünya çapında ne kadar hızlı büyüdüğünü dikkate almak önemlidir. Kötü BCDR'nin veri kaybı ve kesinti süresi gibi sonuçları giderek daha pahalı hale geldikçe, birçok işletme mevcut yatırımlarına ekleme yapıyor. Geçen yıl, dünya çapındaki şirketler siber güvenlik ve çözümlere 219 milyar ABD doları harcamaya hazırlanıyordu; bu da bir önceki yıla göre %12 artış anlamına geliyor International Data Corporation'ın (IDC) yakın tarihli bir raporuna göre (bağlantı ibm.com dışındadır).

İş sürekliliği ve felaket kurtarma planları neden önemlidir?

İş sürekliliği planları (BCP'ler) ve felaket kurtarma planları (DRP'ler), kuruluşların çok çeşitli planlanmamış olaylara hazırlanmasına yardımcı olur. Etkili bir şekilde uygulandığında, iyi bir DR planı, paydaşların belirli bir tehdidin düzenli iş fonksiyonlarına yönelik oluşturabileceği riskleri daha iyi anlamalarına yardımcı olabilir. İş sürekliliği felaket kurtarmaya (BCDR) yatırım yapmayan kuruluşların, planlanmamış olaylar nedeniyle veri kaybı, kesinti, mali cezalar ve itibar kaybı yaşama olasılığı daha yüksektir.

İş sürekliliği ve felaket kurtarma planlarına yatırım yapan işletmelerin bekleyebileceği faydalardan bazıları şunlardır:

• Kısaltılmış kesinti süresi: Bir felaket normal iş operasyonlarını durdurduğunda, işletmelerin tekrar çalışır duruma gelmeleri yüz milyonlarca dolara mal olabilir. Yüksek profilli cyberattacks özellikle zarar vericidir, sıklıkla istenmeyen ilgiyi çeker ve yatırımcıların ve müşterilerin daha kısa kesinti sürelerinin reklamını yapan rakiplere kaçmasına neden olur. Güçlü bir BCDR planı uygulamak, karşılaştığınız felaketin türü ne olursa olsun iyileşme sürenizi kısaltabilir.
• Daha düşük finansal risk: Göre IBM'in güncel Veri İhlali Maliyeti Raporu, 4.45'te bir veri ihlalinin ortalama maliyeti 2023 milyon ABD doları oldu; bu, 15'den bu yana %2020 artış gösterdi. Güçlü iş sürekliliği planlarına sahip kuruluşlar, kesinti sürelerini kısaltarak ve müşteri ve yatırımcı güvenini artırarak bu maliyetleri önemli ölçüde azaltabileceklerini gösterdi.
• Azaltılmış cezalar: Veri ihlalleri, özel müşteri bilgilerinin sızdırılması durumunda büyük cezalara yol açabilir. Sağlık ve kişisel finans alanında faaliyet gösteren işletmeler, işledikleri verilerin hassasiyeti nedeniyle daha yüksek risk altındadır. Bu sektörlerde faaliyet gösteren işletmeler için güçlü bir iş sürekliliği stratejisine sahip olmak zorunludur; bu, ağır mali ceza riskinin nispeten düşük tutulmasına yardımcı olur.

İş sürekliliği felaket kurtarma planı nasıl oluşturulur?

İş sürekliliği felaket kurtarma (BCDR) planlaması, işletmelerin ayrı ancak koordineli bir yaklaşım benimsemesi durumunda en etkili yöntemdir. İş sürekliliği planları (BCP'ler) ve felaket kurtarma planları (DRP'ler) benzer olsa da, bunları ayrı ayrı geliştirmeyi avantajlı kılan önemli farklılıklar vardır:

• Güçlü BCP'ler, bir felaket öncesinde, sırasında ve hemen sonrasında normal operasyonların devam etmesini sağlayacak taktiklere odaklanır. 
• DRP'ler daha reaktif olma eğilimindedir; bir olaya müdahale etmenin ve her şeyi sorunsuz bir şekilde yedekleyip çalıştırmanın yollarını özetler.

Etkili BCP'leri ve DRP'leri nasıl oluşturabileceğinize dalmadan önce, her ikisiyle de alakalı birkaç terime bakalım:

• Kurtarma süresi hedefi (RTO): RTO, planlanmamış bir olaydan sonra iş süreçlerini eski haline getirmek için gereken süreyi ifade eder. Makul bir RTO oluşturmak, işletmelerin bir BCP veya DRP oluştururken yapması gereken ilk şeylerden biridir. 
• Kurtarma noktası hedefi (RPO): İşletmenizin kurtarma noktası hedefi (RPO), bir felaket durumunda kaybetmeyi göze alabileceği ve yine de kurtarabileceği veri miktarıdır. Veri koruması birçok modern işletmenin temel yeteneği olduğundan, bazıları verileri sürekli olarak uzaktaki bir bilgisayara kopyalar. veri merkezi Büyük bir ihlal durumunda devamlılığın sağlanması. Diğerleri, iş verilerinin bir yedekleme sisteminden kurtarılması için birkaç dakikalık (hatta saatlik) kabul edilebilir bir RPO belirler ve bu süre içinde kaybedilenleri kurtarabileceklerini bilirler.

İş sürekliliği planı (BCP) nasıl oluşturulur? 

İş sürekliliği planlaması söz konusu olduğunda her işletmenin biraz farklı gereksinimleri olsa da, büyüklük veya sektör ne olursa olsun güçlü sonuçlar veren, yaygın olarak kullanılan dört adım vardır.

1. İş etki analizi yapın 

İş etki analizi (BIA), kuruluşların karşılaştıkları çeşitli tehditleri daha iyi anlamalarına yardımcı olur. Güçlü BIA, tüm potansiyel tehditlerin ve bunların ortaya çıkarabileceği güvenlik açıklarının sağlam tanımlarının oluşturulmasını içerir. Ayrıca BIA, her olayın olasılığını tahmin eder, böylece kuruluş bunları buna göre önceliklendirebilir.

2. Potansiyel yanıtlar yaratın

BIA'nızda tanımladığınız her tehdide işletmeniz için bir yanıt geliştirmeniz gerekecektir. Farklı tehditler farklı stratejiler gerektirir; bu nedenle karşılaşabileceğiniz her felaket için potansiyel olarak nasıl kurtulabileceğinize dair ayrıntılı bir plan oluşturmak iyi bir fikirdir.

3. Rolleri ve sorumlulukları atayın

Bir sonraki adım, bir felaket durumunda felaket kurtarma ekibinizdeki herkesin nelere ihtiyacı olduğunu bulmaktır. Bu adım beklentileri belgelemeli ve planlanmamış bir olay sırasında bireylerin nasıl iletişim kuracağını dikkate almalıdır. Unutmayın, birçok tehdit hücresel ağlar ve Wi-Fi ağları gibi önemli iletişim yeteneklerini kapatır; bu nedenle güvenebileceğiniz geri dönüş iletişim prosedürlerine sahip olmak akıllıca olacaktır.

4. Planınızı prova edin ve gözden geçirin

Hazırladığınız her tehdit için, BCDR planlarını sorunsuz bir şekilde işleyene kadar sürekli olarak uygulamanız ve iyileştirmeniz gerekecektir. Kimseyi gerçek bir riske atmadan, mümkün olduğu kadar gerçekçi bir senaryo provası yapın; böylece ekip üyeleri güven oluşturabilir ve iş sürekliliğinde bir kesinti olması durumunda nasıl performans göstereceklerini keşfedebilirler.

Olağanüstü durum kurtarma planı (DRP) nasıl oluşturulur?

BCP'ler gibi DRP'ler de kilit rolleri ve sorumlulukları tanımlar ve etkili olmaları için sürekli olarak test edilmeli ve geliştirilmelidir. DRP'leri oluşturmak için yaygın olarak kullanılan dört adımlı bir süreci burada bulabilirsiniz.

1. İş etki analizi yapın

BCP'niz gibi DRP'niz de şirketinizin karşılaşabileceği her tehdidin ve sonuçlarının neler olabileceğinin dikkatli bir değerlendirmesiyle başlar. Her potansiyel tehdidin yol açabileceği hasarı ve günlük iş operasyonlarınızı kesintiye uğratma olasılığını göz önünde bulundurun. Ek hususlar arasında gelir kaybı, kesinti süresi, itibar onarım maliyeti (halkla ilişkiler) ve kötü basın nedeniyle müşteri ve yatırımcı kaybı sayılabilir.

2. Varlıklarınızın envanterini çıkarın

Etkili DRP'ler, kuruluşunuzun neye sahip olduğunu tam olarak bilmenizi gerektirir. Bu envanterleri düzenli olarak gerçekleştirin; böylece donanım, yazılım, BT altyapısı ve kuruluşunuzun kritik iş işlevleri için kullandığı diğer her şeyi kolayca tanımlayabilirsiniz. Her bir varlığı kategorize etmek ve korunmasına (kritik, önemli ve önemsiz) öncelik vermek için aşağıdaki etiketleri kullanabilirsiniz.

• Kritik: Normal iş operasyonlarınız için onlara bağlıysanız varlıkları kritik olarak etiketleyin.
• Önemli: Bu etiketi, günde en az bir kez kullandığınız ve kesintiye uğraması durumunda kritik operasyonlarınızı etkileyebilecek (ancak tamamen kapatmayacak) her şeye verin.
• Önemsiz: Bunlar işletmenizin sahip olduğu ancak normal operasyonlar için gereksiz hale getirecek kadar seyrek kullandığı varlıklardır.

3. Rolleri ve sorumlulukları atayın

BCP'nizde olduğu gibi, sorumlulukları tanımlamanız ve ekip üyelerinizin bunları gerçekleştirmek için ihtiyaç duydukları şeylere sahip olmasını sağlamanız gerekir. Göz önünde bulundurulması gereken, yaygın olarak kullanılan bazı roller ve sorumluluklar şunlardır:

• Olay muhabiri: İlgili tarafların iletişim bilgilerini saklayan ve aksatıcı olaylar meydana geldiğinde iş liderleri ve paydaşlarla iletişim kuran kişi.
• DRP gözetmen: Bir olay sırasında ekip üyelerinin kendilerine verilen görevleri yerine getirmesini sağlayan kişi. 
• Varlık yöneticisi: Bir felaket meydana geldiğinde görevi kritik varlıkları güvence altına almak ve korumak olan biri. 

4. Planınızın provasını yapın

Tıpkı BCP'nizde olduğu gibi, etkili olabilmesi için DRP'nizi sürekli olarak pratik yapmanız ve güncellemeniz gerekecektir. Düzenli olarak pratik yapın ve belgelerinizi yapılması gereken anlamlı değişikliklere göre güncelleyin. Örneğin, şirketiniz DRP'niz oluşturulduktan sonra yeni bir varlık edinirse, bunu ileriye dönük planınıza dahil etmeniz gerekir, aksi takdirde felaket meydana geldiğinde korunmayacaktır.

Güçlü iş sürekliliği ve felaket kurtarma planlarına örnekler

İster bir iş sürekliliği planına (BCP), ister bir felaket kurtarma planına (DRP) ya da her ikisinin birlikte veya ayrı ayrı çalışmasına ihtiyacınız olsun, diğer işletmelerin hazırlıklı olmalarını artırmak için planları nasıl uygulamaya koyduklarına bakmanıza yardımcı olabilir. İşletmelere hem BC hem de DR hazırlıklarında yardımcı olan birkaç plan örneğini burada bulabilirsiniz.

• Kriz yönetim planı: İyi bir kriz yönetimi planı, iş sürekliliği veya felaket kurtarma planının bir parçası olabilir. Kriz yönetimi planları, belirli bir tehdidi nasıl yöneteceğinizi özetleyen ayrıntılı belgelerdir. Bir kuruluşun elektrik kesintisi, siber suç veya doğal afet gibi belirli bir kriz türüne nasıl tepki vereceğine ilişkin ayrıntılı talimatlar sağlarlar; özellikle de olay gelişirken saat saat ve dakika dakika baskılarla nasıl başa çıkacaklarını. İş sürekliliği ve felaket kurtarma planlamasında gerekli olan adımların, rollerin ve sorumlulukların çoğu, iyi kriz yönetimi planlarıyla ilgilidir.
• İletişim planı: İletişim planları (veya iletişim planları) iş sürekliliği ve felaketten kurtarma çabaları için de aynı şekilde geçerlidir. Planlanmamış bir olay sırasında kuruluşunuzun halkla ilişkiler kaygılarını özel olarak nasıl ele alacağını ana hatlarıyla belirtirler. İyi bir iletişim planı oluşturmak için iş dünyası liderleri genellikle iletişim planlarını formüle etmek üzere iletişim uzmanlarıyla işbirliği yapar. Bazılarının hem muhtemel hem de şiddetli olduğu düşünülen felaketler için özel planları var, Böylece nasıl tepki vereceklerini tam olarak biliyorlar.
• Ağ kurtarma planı: Ağ kurtarma planları, kuruluşların internet erişimi, hücresel veriler, yerel alan ağları (LAN'lar) ve geniş alan ağları (WAN'lar) dahil olmak üzere ağ hizmetlerindeki kesintileri gidermelerine yardımcı olur. Ağ kurtarma planları, temel ve temel bir ihtiyaca (iletişim) odaklandıklarından kapsamı genellikle geniştir ve felaket kurtarmadan ziyade iş sürekliliği tarafında düşünülmelidir. Ağa bağlı birçok hizmetin iş operasyonları açısından önemi göz önüne alındığında, ağ kurtarma planları, bir kesinti sonrasında hizmetleri hızlı ve etkili bir şekilde geri yüklemek için gereken adımlara odaklanır.
• Veri merkezi kurtarma planı: Bir veri merkezi kurtarma planının, veri güvenliğine odaklanması ve BT altyapısına yönelik tehditler nedeniyle bir BCP'ye DRP'den daha fazla dahil edilmesi daha olasıdır. Veri yedeklemeye yönelik bazı yaygın tehditler arasında aşırı zorlanmış personel, siber saldırılar, elektrik kesintileri ve uyumluluk gerekliliklerini takip etme zorluğu yer alır. 
• Sanallaştırılmış kurtarma planı: Bir veri merkezi planı gibi, sanallaştırılmış bir kurtarma planının da BCP'nin BT ve veri kaynaklarına odaklanması nedeniyle DRP'den ziyade bir BCP'nin parçası olma olasılığı daha yüksektir. Sanallaştırılmış kurtarma planları şunlara dayanır: sanal makine (VM) bir kesintiden sonra birkaç dakika içinde faaliyete geçebilecek örnekler. Sanal makineler, yüksek kullanılabilirlik (HA) veya bir sistemin hatasız olarak sürekli çalışabilmesi yoluyla kritik uygulama kurtarma sağlayan fiziksel bilgisayarların temsilleri/emülasyonlarıdır.

İş sürekliliği ve felaket kurtarma çözümleri 

Küçük bir kesinti bile işinizi riske atabilir. IBM, işletmenizin bulut yedekleme ve olağanüstü durum kurtarma yetenekleri ile güvenlik ve dayanıklılık hizmetleri de dahil olmak üzere çeşitli tehditlerle yüzleşmeye hazırlanmasına yardımcı olacak çok çeşitli acil durum planlarına ve olağanüstü durum kurtarma çözümlerine sahiptir.

IBM iş sürekliliği planlama çözümleriyle verileri koruyun ve kurtarmayı hızlandırın