İş Sürekliliği ve Felaket Kurtarma

Uyum ve Olay Yönetimi

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Ulusal Arşivler ve İş Sürekliliği araştırmalarına göre ciddi bir veri kaybından sonra felaket kurtarma planı OLMAYAN işletmelerin büyük çoğunluğu bir yıl içinde kapanır. Soru basit: yarın sabah ofisinizdeki tüm sunucular yansa, işiniz kaç saat içinde tekrar ayağa kalkar — ve hangi verileri geri getiremezsiniz?

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste bir kuruluşun krize rağmen ayakta kalmasını sağlayan iki temel disiplini öğreniyoruz: İş Sürekliliği Planı (BCP) ve Felaket Kurtarma Planı (DRP). RTO ve RPO hedeflerinin ne anlama geldiğini, yedekleme stratejisini ve bir kriz anında çalışanın rolünü konuşacağız. Soldaki interaktif sahnede (secIncidentResponse3D) bir kesinti senaryosunun zaman çizelgesini, RTO/RPO eşiklerini ve kurtarma adımlarının nasıl sıralandığını adım adım inceleyip deneyebilirsin.

Anlatım

İŞ SÜREKLİLİĞİ (BCP) ve FELAKET KURTARMA (DRP) NEDİR? İş Sürekliliği Planı (Business Continuity Plan), bir kriz (yangın, sel, siber saldırı, uzun elektrik/internet kesintisi, salgın) sırasında ve sonrasında KRİTİK İŞ FONKSİYONLARININ devam etmesini sağlayan bütünsel plandır. Felaket Kurtarma Planı (Disaster Recovery Plan) ise BCP'nin teknoloji odaklı alt kümesidir: BT sistemlerinin, sunucuların, verinin ve uygulamaların felaket sonrası nasıl geri getirileceğini tanımlar. Kısaca: BCP "iş nasıl yürümeye devam eder?" sorusunu, DRP "sistemleri ve veriyi nasıl geri getiririz?" sorusunu yanıtlar. NEDEN ÖNEMLİ? • Kesinti dakikası pahalıdır: durmuş üretim, kaçan müşteri, sözleşme cezaları, itibar kaybı. • Saldırılar artıyor: fidye yazılımı (ransomware) verileri şifreleyip işi durdurur; sağlam ve TEST EDİLMİŞ yedek, fidye ödememenin tek güvenli yoludur. • Yasal/uyum zorunluluğu: KVKK kapsamında kişisel veri "bütünlüğü ve erişilebilirliğinin" korunması gerekir; ISO 27001:2022 Ek A (Annex A) bunu açıkça ister. İKİ KRİTİK METRİK: RTO ve RPO (Bunları karıştırma!) • RTO — Recovery Time Objective (Kurtarma Süresi Hedefi): Bir sistemin kesintiden sonra EN GEÇ NE KADAR SÜREDE tekrar çalışır hale gelmesi gerektiği. "Ne kadar süre KAPALI kalabiliriz?" Örnek: RTO = 4 saat → sistem en geç 4 saatte ayağa kalkmalı. • RPO — Recovery Point Objective (Kurtarma Noktası Hedefi): EN FAZLA NE KADARLIK VERİYİ kaybetmeyi göze alabiliriz. "Hangi ana kadar geri dönebiliriz?" Örnek: RPO = 1 saat → en fazla son 1 saatin verisi kaybolabilir, dolayısıyla yedek en az saatte bir alınmalı. Kaba kural: RTO = ZAMAN (downtime tavanı), RPO = VERİ (kayıp tavanı). RPO ne kadar küçükse yedekleme o kadar sık olmalı; RTO ne kadar küçükse kurtarma altyapısı (sıcak/yedek site) o kadar pahalıdır. DESTEKLEYİCİ KAVRAMLAR • BIA — İş Etki Analizi (Business Impact Analysis): Hangi süreçlerin kritik olduğunu, kesintinin etkisini ve dolayısıyla RTO/RPO hedeflerini belirleyen ön çalışmadır. Plan BIA'dan doğar. • MTD/MTPD — Tolere Edilebilir Maksimum Kesinti: Bir sürecin geri dönülmez zarar vermeden kapalı kalabileceği en uzun süre. RTO bu sınırın altında olmalıdır. YEDEKLEME STRATEJİSİ — 3-2-1 KURALI • 3 kopya veri (1 üretim + 2 yedek). • 2 farklı ortam/medya (ör. disk + bulut). • 1 kopya tesis DIŞINDA / çevrimdışı (off-site / offline) — yangın ve fidye yazılımına karşı koruma. Modern ekleme (3-2-1-1-0): bir kopya değiştirilemez/immutable veya air-gapped olsun ve geri yükleme hatalarının sayısı 0 olacak şekilde test edilsin. KURTARMA SİTESİ SEÇENEKLERİ • Soğuk site (cold): boş tesis; ucuz ama kurulum yavaş (yüksek RTO). • Ilık site (warm): donanım hazır, veri kısmen güncel; orta maliyet/orta hız. • Sıcak site (hot): neredeyse anlık devralma, gerçek zamanlı replikasyon; pahalı ama en düşük RTO. ÇALIŞANIN ROLÜ — YAPILMASI GEREKENLER (DO) • Kritik dosyalarını ONAYLI kurumsal depolama/yedeklenen alanlara koy (paylaşılan sürücü, kurumsal bulut) — yalnızca yerel masaüstüne DEĞİL. • İş sürekliliği tatbikatlarına (drill) ciddiyetle katıl; rolünü ve acil iletişim adımlarını bil. • Acil durum iletişim listesini ve çağrı ağacını (call tree) güncel tut; alternatif iletişim kanalını (telefon, ikincil e-posta) bil. • Bir kesinti/şüpheli olay fark edince GECİKMEDEN olay müdahale ekibine/yardım masasına bildir — erken bildirim kurtarma süresini kısaltır. • Çalışılan belgeleri düzenli kaydet; kritik işlemlerin manuel/alternatif (failover) yöntemini bil. YAPILMAMASI GEREKENLER (DON'T) • Kritik veriyi YALNIZCA dizüstünün yerel diskinde veya kişisel USB'de tutma (yedeklenmez, kaybolur). • Şirket verisini onaysız kişisel bulut hesaplarına (kişisel Drive/Dropbox) yedekleme — bu hem yedek garantisi değildir hem KVKK ihlalidir. • Yedeklerin "çalıştığını" varsayma — test edilmemiş yedek = yedek YOKTUR. • Kriz anında kendi başına doğaçlama yapma; onaylı plan ve yetki zincirine uy. • Fidye yazılımı uyarısını görmezden gelme veya tek başına ödeme/pazarlık girişiminde bulunma. ISO 27001:2022 ve KVKK BAĞLANTISI • ISO 27001:2022 Ek A — Kontrol A.5.29 "Kesinti sırasında bilgi güvenliği" ve A.5.30 "İş sürekliliği için BİT (BT) hazırlığı" doğrudan bu konuyu kapsar; ayrıca A.8.13 "Bilginin yedeklenmesi" yedekleme kontrolünü tanımlar. • Daha geniş iş sürekliliği yönetimi için ISO 22301 standardı referans alınır. • KVKK md. 12 "veri güvenliğine ilişkin yükümlülükler" kapsamında veri sorumlusu, kişisel verinin hukuka aykırı yok olmasını/kaybını önlemek ve erişilebilirliğini sürdürmekle yükümlüdür; düzenli, güvenli ve test edilmiş yedekleme bu yükümlülüğün somut karşılığıdır. ÖZETLE: Plan yazıp çekmeceye kaldırmak yetmez. BCP/DRP ancak DÜZENLİ TATBİKAT ve GERİ YÜKLEME TESTİ ile gerçek olur; planlanmamış kriz, kazanılmamış savaştır.

📌 Senaryolar

📌 Senaryo 1 (Fidye yazılımı — yedekten dönüş): Bir Pazartesi sabahı muhasebe ekibi tüm dosyaların şifrelendiğini ve fidye notu çıktığını görür.
  Doğru davranış: Cihazı kapatmadan ağ bağlantısını kes, dosyalara dokunma, derhal yardım masasını/olay müdahale ekibini ara; fidye ödeme ya da dosya silme girişiminde bulunma. Ekip izole eder ve TEST EDİLMİŞ çevrimdışı (offline/immutable) yedekten son sağlam noktaya (RPO içinde) geri yükler.
  Sonuç/Neden: Sağlam ve ayrık tutulan bir yedek olduğunda fidye ödemeye gerek kalmaz; izolasyon zararın yayılmasını durdurur, erken bildirim RTO'yu (kapalı kalma süresini) kısaltır.

📌 Senaryo 2 (RTO/RPO hedef belirleme): Yönetim, çevrimiçi sipariş sistemi için "en fazla 2 saat kapalı kalabiliriz ve en fazla 15 dakikalık siparişi kaybedebiliriz" diyor.
  Doğru davranış: BT ekibi bunu RTO = 2 saat, RPO = 15 dakika olarak belgeleyip yedekleme sıklığını en az 15 dakikada bir (sürekli replikasyon) ve devralmayı 2 saatin altında sağlayacak ılık/sıcak site mimarisi olarak tasarlar.
  Sonuç/Neden: RTO = kapalı kalma tavanı (zaman), RPO = kabul edilebilir veri kaybı (veri). Hedefler net olduğunda doğru yedek sıklığı ve kurtarma altyapısı seçilir; küçük RPO daha sık yedek, küçük RTO daha hızlı (pahalı) altyapı demektir.

📌 Senaryo 3 (Yerel-disk tuzağı): Bir satış uzmanı tüm teklif ve müşteri dosyalarını yalnızca dizüstünün masaüstünde tutuyor; dizüstü çalınıyor.
  Doğru davranış: Çalışan, kritik dosyaları baştan kurumsal paylaşılan sürücüye / onaylı kurumsal buluta koymalıydı; olay sonrası cihaz kaybını derhal bildirir ve uzaktan silme (remote wipe) tetiklenir. İleride dosyalar yedeklenen alanda tutulur.
  Sonuç/Neden: Yerel diskteki veri çoğunlukla yedeklenmez; yedeklenen kurumsal alan kullanılırsa cihaz kaybı veri kaybına dönüşmez ve KVKK kişisel veri erişilebilirliği korunur.

📌 Senaryo 4 (Tatbikat / test eksikliği): Şirketin yazılı bir DRP'si var ama 18 aydır hiç geri yükleme testi yapılmadı; gerçek kesintide yedeklerin aylardır bozuk yazıldığı anlaşılır.
  Doğru davranış: Yedek geri yükleme testleri ve iş sürekliliği tatbikatları periyodik (ör. en az yılda bir, kritik sistemde daha sık) takvime bağlanır; her testin sonucu kaydedilir, başarısız geri yükleme bir bulgu olarak ele alınıp düzeltilir.
  Sonuç/Neden: Test edilmeyen yedek = yedek yoktur. 3-2-1-1-0 kuralındaki "0" geri yükleme hatası ancak düzenli testle doğrulanır; ISO 27001 A.5.30 hazırlık ve sürekli iyileştirme bekler.

📌 Senaryo 5 (Bina erişilemiyor — BCP devreye girer): Sel nedeniyle ana ofis 3 gün erişilemez durumda; ekipler binaya giremiyor.
  Doğru davranış: BCP'nin alternatif çalışma düzeni devreye alınır: önceden tanımlı uzaktan çalışma/yedek site, çağrı ağacı ile personele ulaşım, kritik fonksiyonların öncelik sırasına göre devamı, müşteri ve düzenleyiciye planlı iletişim. Çalışan, atanmış alternatif rolünü ve iletişim kanalını bildiği için aksamadan devam eder.
  Sonuç/Neden: BCP yalnızca BT değil, insanları, süreçleri ve iletişimi de kapsar; BIA ile belirlenen kritik fonksiyonlar önce ayağa kalkar, böylece iş tümüyle durmaz ve müşteri/itibar kaybı sınırlanır.

Özet

• BCP işin (insan+süreç+iletişim) krizde devamını, DRP ise BT/veri sistemlerinin kurtarılmasını sağlar. • RTO = en fazla ne kadar KAPALI kalınır (zaman); RPO = en fazla ne kadar VERİ kaybedilir (veri). Karıştırma. • 3-2-1 yedek kuralı: 3 kopya, 2 farklı ortam, 1 tesis dışı/çevrimdışı; bir kopya değiştirilemez (immutable) olsun. • Test edilmeyen yedek = yedek yoktur; düzenli geri yükleme testi ve tatbikat şarttır. • Kritik veriyi yerel diskte/kişisel USB-buluta değil, yedeklenen onaylı kurumsal alanda tut; krizi gecikmeden bildir. • ISO 27001:2022 A.5.29/A.5.30/A.8.13 ve KVKK md. 12 düzenli, güvenli ve test edilmiş yedekleme/iş sürekliliğini zorunlu kılar.

✅ Mini-Test (5)

1.RTO (Recovery Time Objective / Kurtarma Süresi Hedefi) neyi tanımlar?

2.RPO (Recovery Point Objective / Kurtarma Noktası Hedefi) neyi belirler?

3.3-2-1 yedekleme kuralı aşağıdakilerden hangisini ifade eder?

4.Bir DRP belgesi yazılı olarak hazırlandıysa, yedeklerin gerçekten geri yüklenebildiğini ayrıca test etmeye gerek yoktur.

5.İş Sürekliliği Planı (BCP) ile Felaket Kurtarma Planı (DRP) arasındaki ilişki için en doğru ifade hangisidir?

🧩 Uygulama Soruları (5)

1.Pazartesi sabahı bilgisayarınızdaki tüm dosyaların şifrelendiğini ve bir fidye notu çıktığını görüyorsunuz. İlk ve en doğru davranış nedir?

2.Üzerinde çalıştığınız kritik müşteri dosyalarını en güvenli şekilde nerede saklamalısınız?

3.Yönetiminiz çevrimiçi sipariş sistemi için 'en fazla 30 dakikalık siparişi kaybedebiliriz' dedi. Bu, RPO = 30 dakika anlamına gelir ve yedeklerin en az 30 dakikada bir alınması gerekir.

4.Sel nedeniyle ofis binasına 3 gün girilemiyor. Bu durumda öncelikle hangi plan devreye girer ve ne yapılır?

5.Şirketin yazılı DRP'si var ama 18 aydır hiç geri yükleme testi yapılmamış. Gerçek bir kesintide en olası risk nedir ve doğru önlem nedir?

← Güvenlik Olayı Bildirimi ve Mü Tedarikçi ve Üçüncü Taraf Güve →

← Tüm modüllere dön · Güvenlik Sözlüğü