Felaketten Geri Dönüş (Disaster Recovery) Nedir? Sadece "Yedek Almak" Yeterli mi?

Dijital dünyada iş yapıyorsanız, başınıza gelebilecek en kötü şey verilerinizin veya sistemlerinizin bir anda buhar olmasıdır. Genelde "Bizim başımıza gelmez" ya da "Zaten her gün yedek alıyoruz" diyerek geçiştirilen bu konu, aslında bir şirketin hayatta kalma mücadelesinin temelini oluşturur.

Gelin, şu Disaster Recovery (DR) yani Felaketten Geri Dönüş mantığını, teorik terimlere boğulmadan, gerçekten bir işletme sahibi veya sistem yöneticisi için ne ifade etmesi gerekiyorsa öyle konuşalım.

1. Disaster Recovery Nedir, Ne Değildir?

Çok temel bir farkla başlayalım: Yedekleme (Backup) ile Disaster Recovery aynı şey değildir.

• Yedekleme, verilerinizin bir kopyasını kenara koymaktır. Bir dosya silindiğinde onu geri getirirsiniz.
• Disaster Recovery ise, binanız yandığında, sunucunuz patladığında veya büyük bir siber saldırıya uğradığınızda; işleri ne kadar sürede ve ne kadar veri kaybıyla ayağa kaldıracağınızın stratejisidir.

Yani yedekleme "eşyanın kopyasıdır", DR ise "o evin yeniden inşa edilme planıdır."

2. İki Kritik Kavram: RTO ve RPO

Profesyonel bir DR planı yaparken iki tane kısaltmaya çok hakim olmanız gerekir. Bunlar sizin kırmızı çizgilerinizdir.

RPO (Recovery Point Objective - Veri Kaybı Toleransı)

"En son ne zaman yedek aldık?" sorusunun cevabıdır. Eğer her gece saat 00:00'da yedek alıyorsanız ve sisteminiz öğlen 12:00'de çökerse, 12 saatlik veriniz çöpe gitmiş demektir. Sizin işiniz 12 saatlik veri kaybını kaldırabilir mi? Eğer cevabınız "Hayır" ise, RPO sürenizi dakikalara, hatta saniyelere indirmeniz gerekir.

RTO (Recovery Time Objective - Geri Dönüş Süresi)

"Sistem çöktükten ne kadar sonra tekrar çalışır hale geleceğiz?" sorusunun cevabıdır. Sunucunuz kapandı; personelin tekrar ekran başına geçip fatura kesebilmesi ne kadar sürer? 2 saat mi, 2 gün mü? RTO, işletmenizin kapalı kalmaya ne kadar tahammülü olduğunu gösterir.

3. Disaster Recovery Senaryoları (Neye Karşı Hazırlıklıyız?)

Bir DR planı hazırlarken sadece "deprem" gibi büyük felaketleri düşünmek amatörce bir yaklaşımdır. Gerçekçi bir plan şu üç senaryoyu da kapsamalıdır:

• Donanım ve Altyapı Hataları: Bir diskin bozulması veya veri merkezinde elektriğin kesilmesi. (En sık karşılaşılan durumdur.)
• Siber Saldırılar (Ransomware): Verilerinizin şifrelenmesi. Burada sadece geri dönüş değil, "temiz" bir yedeğe dönmek kritiktir. (Bakınız: Değiştirilemez Yedekleme Sistemleri)
• Doğal Afetler ve Fiziksel Sorunlar: Yangın, sel veya bölge genelinde bir internet kesintisi.

4. DR Stratejileri: Sıcak, Ilık ve Soğuk Bölge

Hangi stratejiyi seçeceğiniz tamamen bütçeniz ve RTO/RPO hedeflerinizle alakalıdır:

• Cold Site (Soğuk Bölge): Sadece bir alanınız ve internet hattınız var. Bir felaket anında donanımı oraya kurup yedeği yüklemeniz günler sürer. Ucuzdur ama risklidir.
• Warm Site (Ilık Bölge): Donanımlarınız orada hazır bekler, veriler periyodik olarak senkronize edilir. Ayağa kalkması birkaç saat sürer.
• Hot Site (Sıcak Bölge): Ana sisteminizin birebir kopyası başka bir konumda (veya bulutta) canlı olarak çalışır. Ana sistem çöktüğü anda trafik otomatik olarak oraya kayar. Kullanıcı bir şey hissetmez. (En pahalı ama en profesyonel çözümdür.)

5. Profesyonel Bir DR Planı Nasıl Uygulanır?

Laf kalabalığını bırakıp aksiyona geçmek gerekirse, süreç şu adımlarla ilerler:

• Risk Analizi Yapın: Hangi sistemleriniz durursa şirket batar? Önce onları belirleyin.
• Veriyi Sınıflandırın: Her veriyi saniyelik yedekleyemezsiniz, maliyet patlar. Kritik veriyi (muhasebe, müşteri verisi) saniyelik, daha az kritik veriyi günlük yedekleyin.
• 3-2-1 Kuralını Uygulayın: Verinin en az 3 kopyası olsun, bu kopyalar 2 farklı medya türünde (Disk, Bulut vb.) saklansın ve 1 kopyası mutlaka farklı bir coğrafi konumda bulunsun.
• Test Edin, Test Edin, Test Edin: Çalışmayan bir DR planı, plan değildir; sadece bir umuttur. Altı ayda bir "Sistem şu an çöktü, hadi ayağa kaldıralım" provası yapmayan ekip, gerçek bir kriz anında panikleyecektir.

Sonuç Olarak

Disaster Recovery, bir teknoloji harcaması değil, bir iş sürekliliği sigortasıdır. Donanıma yapılan yatırım bir şekilde telafi edilir ama kaybedilen veri ve güvenin telafisi yoktur. Kendi sistemlerinize bakarken kendinize şu soruyu sorun: "Eğer şu an her şey kararsaydı, yarın sabah işimin başında olabilir miydim?"

Eğer bu soruya net bir "Evet" diyemiyorsanız, DR planınızı gözden geçirme vaktiniz gelmiş demektir.