# Disaster Recovery Planı Nasıl Hazırlanır? Kurumsal Rehber
Günümüzde dijital dönüşümün hız kazanmasıyla birlikte, kurumların verilerine ve sistemlerine bağımlılığı her geçen gün artıyor. Disaster Recovery (Felaket Kurtarma) planı, beklenmedik kesintiler, siber saldırılar veya doğal afetler karşısında iş sürekliliğini garanti altına alan kritik bir BT stratejisidir. IBM'in 2024 raporuna göre veri ihlallerinin ortalama maliyeti 4,88 milyon dolara ulaşmış durumda ve büyük kesintilerin %60'ı KOBİ'lerin bir yıl içinde kapanmasına neden oluyor. Bu nedenle iyi yapılandırılmış bir disaster recovery planı, lüks değil zorunluluktur. Bu rehberde, kurumsal bir DR planının nasıl hazırlanacağını adım adım inceleyeceğiz.
Disaster Recovery Planı Nedir ve Neden Kritiktir?
Disaster Recovery planı, bir kurumun BT altyapısında yaşanabilecek kesinti ya da veri kaybı durumlarında sistemleri en kısa sürede normal işleyişine döndürmek için hazırlanan kapsamlı bir dokümandır. Bu plan; donanım arızaları, ransomware saldırıları, yangın, sel, elektrik kesintileri ve insan hatalarına karşı kurumu hazırlıklı tutar. DR planı olmayan şirketler, bir saatlik kesintide ortalama 100.000 dolar zarar edebiliyor; finans ve e-ticaret sektörlerinde bu rakam 1 milyon doları aşabiliyor.
Plan, yalnızca teknik bir doküman olmanın ötesinde, yönetim kurulundan operasyon ekibine kadar herkesin görev tanımını içeren bir yol haritasıdır. KVKK ve GDPR gibi düzenlemeler de kurumların veri kurtarma kapasitesine sahip olmasını zorunlu kılıyor. Ayrıca siber sigorta poliçeleri, geçerli bir DR planı bulunmayan firmalara prim avantajı sağlamıyor. Bu yüzden planın hem teknik hem hukuki boyutu birlikte değerlendirilmelidir.
RTO ve RPO: DR Planının Temel Metrikleri
Disaster Recovery planının en kritik iki metriği RTO (Recovery Time Objective) ve RPO (Recovery Point Objective)'dur. RTO, bir felaket sonrası sistemlerin yeniden çalışır hale gelmesi için kabul edilebilir maksimum süredir; RPO ise kabul edilebilir maksimum veri kaybı süresini ifade eder. Örneğin RTO 4 saat ise sistemleriniz 4 saat içinde ayağa kalkmalıdır; RPO 1 saat ise en fazla 1 saatlik veri kaybını göze alabilirsiniz.
Bu metrikleri belirlerken her uygulamanın iş açısından kritikliği farklı değerlendirilmelidir. ERP ve finans sistemleri için RTO genellikle 1-2 saat, RPO ise 15 dakika gibi sıkı değerler benimsenirken; iç dosya sunucuları için 24 saat RTO kabul edilebilir olabilir. Veeam Backup & Replication gibi modern çözümler, dakikalar mertebesinde RPO sağlayan Continuous Data Protection (CDP) özelliği sunmaktadır. Kurumun ihtiyacına göre bu metriklerin belirlenmesi, planın bütçesini ve teknolojik tercihlerini doğrudan etkiler.
İş Etki Analizi (BIA) ve Risk Değerlendirmesi
DR planının temelini iş etki analizi (Business Impact Analysis) oluşturur. BIA çalışmasında her kritik iş sürecinin kesinti durumunda kuruma maliyeti, müşteri kaybı potansiyeli ve operasyonel etkisi detaylı olarak ölçülür. Bu analiz sayesinde hangi sistemin önce kurtarılacağı netleşir ve kaynaklar doğru önceliklere yönlendirilir. Tipik bir BIA çalışması 4-6 hafta sürer ve tüm departmanların katılımını gerektirir.
Risk değerlendirmesi aşamasında ise siber saldırılar, donanım arızaları, doğal afetler ve insan kaynaklı tehditler tek tek analiz edilir. Türkiye'de özellikle deprem riski göz önüne alındığında, ana veri merkeziyle yedek sitenin farklı tektonik bölgelerde konumlandırılması önerilir. İstanbul'daki bir veri merkeziniz varsa, DR sitesini Ankara veya İzmir gibi farklı bir bölgede kurmanız çok daha güvenli olacaktır. Risk matrisinde her tehdidin olasılığı ve etkisi 1-5 ölçeğinde puanlanarak öncelikler belirlenir.
Yedekleme Stratejileri ve 3-2-1-1-0 Kuralı
Modern DR mimarilerinde 3-2-1-1-0 yedekleme kuralı altın standart olarak kabul edilir: 3 farklı veri kopyası, 2 farklı medya türünde, 1 kopya offsite (uzak lokasyonda), 1 kopya offline veya immutable (değiştirilemez) ve 0 yedekleme hatası. Ransomware saldırılarının %93'ü yedek sistemleri hedef aldığı için immutable yedekler artık zorunluluk haline geldi. Veeam ve Lenovo'nun ortak çözümleri, hardware-level immutability ile bu güvenliği sağlamaktadır.
Yedekleme stratejisinde tam yedek (full), artımlı yedek (incremental) ve diferansiyel yedek (differential) tipleri kombine edilmelidir. Sanallaştırılmış ortamlar için VMware vSphere ile entegre çalışan Veeam Backup, image-based yedekleme yaparak dakikalar içinde tüm VM'i geri yükleyebilir. Replikasyon teknolojileri ise yedek siteye gerçek zamanlıya yakın veri akışı sağlayarak RPO'yu minimize eder. Bulut tabanlı yedekleme için Microsoft Azure veya Wasabi gibi sağlayıcılar uygun maliyetli alternatifler sunar.
DR Planının Test Edilmesi ve Sürekli İyileştirme
Hiç test edilmemiş bir DR planı, olmayan bir plana eşdeğerdir. Plan en az yılda iki kez kapsamlı tatbikatla test edilmeli, kritik sistemler için aylık partial failover denemeleri yapılmalıdır. Tabletop egzersizleri, simülasyon testleri ve gerçek failover testleri farklı seviyelerde uygulanmalıdır. Test sonrası elde edilen RTO ve RPO ölçümleri, planın hedeflenen metrikleri karşılayıp karşılamadığını ortaya koyar.
Test sırasında ortaya çıkan eksiklikler, dökümante edilerek sürekli iyileştirme döngüsüne dahil edilmelidir. Personel rotasyonları, yeni uygulamaların eklenmesi veya altyapı değişiklikleri planın güncellenmesini gerektirir. Ayrıca DR ekibindeki tüm personelin iletişim bilgileri, görev tanımları ve karar verme yetkileri net biçimde tanımlanmalıdır. Otomatik orkestrasyona izin veren Veeam Disaster Recovery Orchestrator gibi araçlar, test süreçlerini önemli ölçüde kolaylaştırır.
AFN Teknoloji ile Profesyonel DR Çözümleri
Disaster Recovery planı, hazırlığı kadar doğru teknoloji ortakları ile uygulanması da kritik öneme sahiptir. AFN Teknoloji olarak; Veeam, VMware, Microsoft Azure, Lenovo ThinkSystem ve Fortinet çözümlerini birleştirerek kurumunuza özel uçtan uca disaster recovery mimarileri tasarlıyoruz. İş etki analizinden RTO/RPO belirlemeye, yedek site kurulumundan periyodik test senaryolarına kadar tüm süreçlerde uzman ekibimizle yanınızdayız. İş sürekliliğinizi güvence altına almak ve kurumunuza özel DR planınızı hayata geçirmek için bizimle iletişime geçin.