2. Ajanda
İş Sürekliliğinin Nedir ?
İş Sürekliliği Yönetim Sistemleri Amaç
ve Hedefleri
İş Sürekliliği Tarihçesi, Yaşanmış
Olaylar ve Standartlar
İş Sürekliliği Uyum, Planlama ve
Uygulamalar
Sanallaştırma ve Teknolojik
Gelişmelerin Katkısı
Gizli / Confidential
3. ĠĢ Sürekliliği Nedir?
İş Sürekliliği, bir kuruluşun, yaşamını etkileyebilecek her türlü kesinti
durumunda uygulaması gereken süreç, kural, karar ve etkinlikler.
• Organizasyonların kritik fonksiyon ve süreçlerini etkileyecek olaylara karşı hazırlıklı
olmasının ve herhangi bir olaya, önceden planlandığı ve test edildiği şekilde yanıt
verilebilmesinin sağlanmasıdır.
• Bir kuruluşa yönelik potansiyel tehditleri ve gerçekleşmeleri durumunda bu
tehditlerin iş operasyonlarına etkilerini tanımlayan ve kuruluşun ana paydaşlarının
çıkarlarını, itibarını, marka ve değer yaratma faaliyetlerini korumaya yönelik bir
müdahale kapasitesine sahip olacak kurumsal bir direnç inşa etmenin ana
çerçevesini oluşturan bütünsel yönetim süreci
Gizli / Confidential
4. Tanımlar ve Kısaltmalar
BCM (Business Continuity Management): İş sürekliliği Yönetimi
MAO (Maximum Allowable Outage): Katlanılabilir Kesinti Süresi.
ODM / DRC : Olağanüstü Durum Merkezi
ISY : İş Sürekliliği Yönetimi
BSI: (British Standarts Institution) İngiliz Standartları Enstitüsü
Geri Kurtarma Zaman Hedefi (Recovery Time Objective - RTO): Felaketin olduğu andan itibaren minimum
fonksiyonalitenin geri kazanılması için geçecek maksimum süre ne kadardır?
Geri Kurtarma Noktası Hedefi (Recovery Point Objective - RPO): Kabul edilebilir maksimum veri kaybı ne kadardır
(örn, hiç kayıpsız, son bir saat, son bir gün, vb.)?
Haftalar Günler Saatler Dk’lar Sn’ler Sn’ler Dk’lar Saatler Günler Haftalar
Veri Kurtarma Noktası Veri Kurtarma Süresi
Senkron Gruplama
Yedekleme (Clustering)
Asenkron
Yedekleme
Uzaktan
Kopyalama
Kartuş Kartuş
Yedekleme Kurtarma
Gizli / Confidential
5. ĠĢ Sürekliliği Yönetimi Nedir?
öngör yanıtla kurtar geri dön uyarla
Normal İşlem Seviyesi
Kabul Edilebilir İşlem Seviyesi
Felaket Kontrol Altında
Felaket ve Panik
Felaketleri İSP’nin seri bir Geçici önlemler Tüm servislerin Öğrenilen
öngörme şekilde hayata için hazırlanılması normalizasyonu dersler
geçirilebilmesi hazırlığı
Erken uyarı Acil tepkiler için Beklenmedik olay Kalan artıkları Planların
mekanizması hazırlanılması planlarının ortadan güncellenmesi
hazırlanması (op) kaldırma
Kurumu Hızlı bir olay Temel servislerin Kayıpların geri Yeni planların
hazırlama kontrolüne hızlı geri kurtarımının oluşturulması /
hazırlanma kurtarılması koordinasyonu birleştirilmesi
Gizli / Confidential
6. ĠĢ Sürekliliği Yönetimi Hedefleri
– Yasal gereksinimler doğrultusunda işleyen, ilgili standartlarla
uyumlu bir İSYS kurma yükümlülüğünün yerine getirilmesi
– Organizasyonun personelinin ve müşterilerinin güvenliğinden
emin olunması
– Organizasyonun saygınlığına zarar gelmemesinin sağlanması.
– İSYS için uygun yönetişim ve organizasyon yapısının kurulması
– Organizasyonun sektördeki pazar payının korunması
– Organizasyonun normal işleyişine, varlığını riske
sokmayacak zamanda dönmesi
Gizli / Confidential
7. ĠĢ Sürekliliği Yönetimi Tarihçe
Felaket Kurtarma ĠĢ Sürekliliği Planlaması ĠĢ Sürekliliği Yönetimi
(Disaster Recovery) (Business Continuity Planning) (Business Continuity Management)
Felaket Kurtarma
Sonraki?
80lerin ortalasında iş 2009 -
dünyasında yer Istanbul İkitelli sel
bulmaya başlar. Bu felaketi
dönemde Mainframe
bilgisayarlar ön
Risklerin bertaraf edilmesi için
plandadıır.
17 Ağustos Gölcük
11 Eylül Saldırısı 2005
depremi
Katrina Kasırgası
Tokyo Metro
Saldırısı
Oklahama 2008-
Bombalaması
kurumsal bakış
Orta Doğu ve
Kuzey Afrika
11 Eylül saldırısı ile risk
Internet kesintileri
yönetimi planlarının olma
90ların sonlarındaki gelişen olasılığı çok düşük olan
teknoloji ve ekomomi ortamında İş olaylar için de koruma
Sürekliliğine gerekli önem sağlaması gerektiği ortaya
Dünya Ticaret Merkezi verilmemiştir. çıktı.
Bombalaması
80lerin sonu 90ların başı 90ların ortası 90ların sonu 2000 başı 2006 sonu 2010 başı
Krize hazırlık yöntemleri felaket kurtarmadan iş sürekliliği planlamasına, oradan da çok
daha kapsamlı bir yaklaşım olan İş Sürekliliği Yönetimine doğru gelişmiştir.
Gizli / Confidential
8. Bizde Neler Oldu..
2003 HSBC’nin Bombalanması
1999 Gölcük Deprem
2009 Sel Felaketi
2011 Van Depremi
Gizli / Confidential
9. ISO 22301 – ĠĢ Sürekliliği Yönetim Sistemi
Standardı
– İş Sürekliliği Yönetim Sistemi ile ilgili yayınlanmış uluslararası standart
– İSYS ile ilgili gereksinimleri belirtir
– Diğer Yönetim Sistemi Standartlarında da olduğu gibi bu standart da
PUKÖ (Planla – Uygula – Kontrol Et – Önlem Al) Döngüsü üzerine
kurgulanmıştır.
Marka İmajı
Kurum imajı ve Sağlık ve Güvenlik
kredibilitesini Personelin sağlık
n ve
zedelenmesini güvenliğinin
n
engellenmesi
korunması
1
İş Sürekliliği
Hedefleri
2
6
Sektörel Rekabet Sürdürebilirlik
Pazardaki satış Kurumun iş 4 5
kabiliyetinin süreçlerine
korunması devam etmesi
Earnings/Profit
Gelir/Kar
protection
Korunması
Keeping the
Kurumun finansal
3
sorumluluklarının
company in
korunması
business
Gizli / Confidential
10. UYUM GEREKLĠLĠĞĠ
Yasal Düzenleme, Standart ve Sözleşmeler İlgili Maddeler
ISO 22301 Tümü
DS4 – BS Hizmet Sürekliliğinin
COBIT
Sağlanması
01 Haziran 2010 Tarih ve 27598 Sayılı Resmi
Gazete’de yayınlanan Bankalarda Bilgi
Madde 18, Madde 19, Madde 31
Sistemleri Yönetiminde Esas Alınacak İlkelere
İlişkin Tebliğ
28 Haziran 2012 Tarih ve 28337 Sayılı Resmi
Gazete’de yayınlanan Bankaların İç Sistemleri Madde 13
Hakkında Yönetmelik
Banka ile müşteriler ve tedarikçiler arasındaki
sözleşmeler ve çalışanların karşılıklı hizmet
seviyesi anlaşmaları. SLA,OLA
Gizli / Confidential
11. BĠR ĠHLAL VAKASINDA OLAYLARIN SIRASI
Genel kurtarma amacı:
OLAY! Mümkün olan en kısa süre içerisinde normale dönüş
Zaman Çizelgesi
Haftalarla aylar içerisinde:
Olaya tepki/müdahale • Hasar onarımı/değiştirme
• İş yerinin başka bir yere
taşınması
• Maliyetlerin sigorta şirketleri
Dakikalarla saatler İş sürekliliği kanalıyla kurtarılması
içerisinde:
• Açıklama yapılması
Dakikalarla günler içerisinde:
gereken personel ve Kurtarma/toparlanma – normale dönüş
• Personel, müşteriler, tedarikçiler
ziyaretçiler
vb. ile irtibata geçilmesi
• Ele alınan kayıplar
• Kritik iş süreçlerinin kurtarılması
• Zararı önleme/sınırlama
• Kayıplarla ilerleyen işi yeniden
• Zarar değerlendirme
oluşturun
• İSP’nin başlatılması
Gizli / Confidential
12. Tehdit Örnekleri
Virüs
Veri bozulması
Disk hatası
Sıklıkla
1,000 Uygulama
kesintisi Parça hatası
100 İnsan hatası Network problemi
10
Elektrik kesintisi
1 Dijital saldırı
Yıllık Olay
-hacking
Sayısı Ulaşım
1/10 sorunları Sel
1/100 Deprem
Yangın
1/1,000 Salgın hastalık
Nadir
1/10,000
1/100,000
$1 $10 $100 $1,000 $10k $100k $1M $10M $100M
Bir Tek Olayın Parasal Etkisi ($)
Düşük Yüksek
Artık Risk Tablosu
Salgın
Kötü Niyetli Yazılımlar & Güç Kaynağı
Düşük
Hastalık
Bilgilerin İfşası İletişim Kesintisi Kesintisi Personel Devamsızlığı
1
Terörizm
Yazılım Programlarında Yangın Deprem
Kontroller
Sel Hatalar
Hırsızlık
Donanım Arızası
Orta
2
Yüksek
3
4 5 6 7 8 9
Düşük Orta Yüksek
Gizli / Confidential Öz Risk
13. Maliyet
Yatırımlar
Üretim
Haberleşme
Bankacılık
Ulaştırma
Perakende
Sigorta
$0 $100,000 $200,000 $300,000 $400,000
1 saatlik kesintinin endüstrilere göre maliyeti
Source: AMR research, 2001
13
Gizli / Confidential
15. Riskler
• Altyapı ve IT Servislerinin büyük çoğunluğunun ODM’de yer
almaması, mevcutları düzgün plan ve program dahilinde kontrol
edilmemesi
• Servis ağaçlarının, haritalarının ve ilişkilerinin olmaması, hangi
uygulamanın hangi sunucu, database, network, güvenlik ayarları ile
çalıştığının tam bilinememesi, paydaşların tanımlanamaması.
• Fiziksel sunucuların sayıca fazla olması.
• Olağanüstü Durum merkezinin monitör edilmemesi
• ODM’nin hizmet vereceği kapasite hedefi üretim (production)
ortamı ile farklılıklar arz etmesi
• Verilen hizmetlere ait değişikliklerin ODM ortamında yapılmaması
• Geri dönüş senaryolarının test edilmemesi.
• Dokümantasyonun gözden geçirilmemesi
• Güvensiz Datacenter ortamları
• Mevcut kolaylaştırıcı teknolojilerin kullanılmaması
(GeoCluster, HyperV Replica, Boot from SAN, Log Shipping, Storage
Replikasyon, DAG, Uygulama Replikasyonları ve Cloud Mimari)
Gizli / Confidential
16. IT Altyapısı
Hakan UZUNER Nizamettin Özpolat
Sistem ve Platform Yöneticisi Veritabanı Yöneticisi
www.hakanuzuner.com nizamettinozpolat.blogspot.com
Gizli / Confidential
18. Planlı – Plansız Kesintilere KarĢı Failover
Cluster
• Failover İşlemi Otomatik Gerçekleşir
• Fiziksel Host Problemlerine Karşı Koruma Sağlar
• Kritik İş Yükleri İçin Süreklilik Sağlar
• Sanal makineleri hostlar arasında servis kesintisi olmaksızın aktarır
• Dinamik BT ortamları oluşturur
Gizli / Confidential
19. Failover Cluster ile Yüksel EriĢilebilirlik
Ama ya bir felaket senaryosu
gerçekleşir ve tüm veri
merkezini kaybederseniz?
Site A
Gizli / Confidential
20. Multi Site Cluster
Site A
Site B Site B Node fiziksel olarak
farklı bir
lokasyonda
bulunmaktadır
SAN
Gizli / Confidential
22. Live Migration, Storage Live Migration, HyperV
Replica
• Eş zamanlı live migration tarafındaki sınırların kaldırılması
• Ortak storage veya cluster hizmeti yok iken VM taşımanın yapılabilmesi
• HyperV replica ile disaster senaryolarına çözüm..
• Live Migration, Storage Live Migration, HyperV Replica
Gizli / Confidential
23. Hyper-V Yüksek EriĢilebilirlik Canlı
Aktarım
Sanal Makine Sanal Makine
Bellek Ġçeriği
Konfigürasyon
Bellek Senk.
Cluster Cluster
Kullanıcı Node 1 Node 2
VHD
Ağ Depolama
Ünitesi
Gizli / Confidential
25. SQL Server 2008 Yüksek SüreklĠlĠk
Database Mirroring
Transactional Replication
Log Shipping
Backup/Restore
Windows Clustering
Database Snapshot
Gizli / Confidential
26. SQL Server 2012 AlwaysOn
SQL Server 2012 AlwaysOn ile daha hızlı yük devretme ve
daha kolay yönetim A A
A
• Planlanmamış kapalı kalma süresini azaltmak için yük Paylaşılan Depo
devredecek veritabanlarını birim olarak tanımlayın
A
• Sanal isim kullanarak daha hızlı uygulama devretme
A
• Esnek bir yük devretme planı kullanarak uygulamanın çalışma
süresini arttırın A
A
• Dört ikincil sunucuya ve iki senkronize ikincil sunucuya kadar
Paylaşılmayan Depo
kullanarak daha iyi bir veri yedekleme ve koruma sağlayın
• Planlanmış kapalı kalma süresini azaltmak için (yeniden
başlatılan OS bağlantılarında 50-60% ‘a varan azalma)
Windows Server® Core ‘da Microsoft SQL Server®’I
çalıştırın.
Felaket Durumunda Kurtarma
Gizli / Confidential