Blog'a Dön
Business Continuity

İş Sürekliliği Planı: KOBİ’ler İçin BCP/DRP Rehberi (2026)

İş Sürekliliği Planı: KOBİ’ler İçin BCP/DRP Rehberi (2026)
Ankara’daki KOBİ’ler için iş sürekliliği planı ve felaket kurtarma (BCP/DRP) adımlarını, RTO-RPO hesaplarını ve 90 günlük uygulama yol haritasını anlatan kapsamlı rehber.
2026-02-19
14 dk okuma
LeonX Uzman Ekibi

Ankara’da İş Sürekliliği Planı: KOBİ’ler İçin BCP/DRP Rehberi (2026)

Ankara’da faaliyet gösteren şirketler için iş sürekliliği planı artık “olsa iyi olur” konusu değil, doğrudan gelir, müşteri güveni ve operasyon devamlılığı konusu. Bu yazı; kesinti maliyetini azaltmak, felaket kurtarma hazırlığını netleştirmek ve teknik ekiplerinize uygulanabilir bir yol haritası vermek için hazırlandı.

Bu rehber özellikle şu ekipler için:

  • IT yöneticileri ve sistem sorumluları
  • Operasyon ve finans yöneticileri
  • KOBİ sahipleri ve genel müdürler

Kısa Cevap

BCP (Business Continuity Plan) işin nasıl devam edeceğini, DRP (Disaster Recovery Plan) sistemlerin ne kadar sürede geri döneceğini tanımlar. Ankara’daki KOBİ’ler için doğru yaklaşım, bu iki planı tek bir yönetim çerçevesinde birleştirip ölçülebilir hedeflerle (RTO/RPO) yönetmektir.

İçindekiler

Ankara’da iş sürekliliği planlaması için sunucu altyapısı

Görsel: Server Room (Wikimedia Commons, CC BY 2.0).

Neden Ankara’da BCP/DRP önceliği yükseldi?

Ankara’daki kurumlar için teknoloji kesintisi sadece teknik bir problem değil; satış, operasyon, insan kaynakları, müşteri hizmetleri ve tedarik zincirini aynı anda etkileyen bir krizdir. Ankara Kalkınma Ajansı’nın 2025-2028 Bölge Planı’nda yer alan göstergeler de bölgenin ekonomik ağırlığını net gösteriyor: kişi başı GSYH Ankara’da 18.655 USD, Türkiye ortalaması 13.243 USD; ayrıca Ankara’nın ulusal GSYH payı %9,6 seviyesine çıkmış durumda. Yani Ankara’da dakikalarla ölçülen bir kesinti bile işletme etkisi açısından daha pahalı hale geliyor.

Küresel veriler de tabloyu destekliyor. IBM’in 2025 Cost of a Data Breach raporuna göre ortalama veri ihlali maliyeti yaklaşık 4,4 milyon USD seviyesinde. Verizon 2025 DBIR raporunda ise 22.000+ güvenlik olayı ve 12.195 doğrulanmış ihlal analiz edildi; zafiyet sömürüsü kaynaklı ihlallerin yıllık artışı %34, ransomware görülen ihlal oranı %44 olarak raporlandı.

Bu veriler bize üç şeyi söylüyor:

  1. Kesinti artık istisna değil, beklenen bir risk.
  2. Saldırı türleri daha hızlı ve daha otomasyon odaklı ilerliyor.
  3. Planı olmayan şirketler olay anında teknik değil, organizasyonel olarak da kilitleniyor.

BCP ve DRP farkı: hangi plan neyi çözer?

Çoğu kurum “yedek var, sorun yok” diye düşünüyor. Oysa yedek almak tek başına iş sürekliliği anlamına gelmez.

BCP (Business Continuity Plan) neyi kapsar?

BCP, kesinti sırasında şirketin kritik fonksiyonlarının nasıl devam edeceğini tarif eder. Örnek başlıklar:

  • Öncelikli iş süreçleri (satış, operasyon, finans)
  • Kriz anı iletişim zinciri
  • Manuel veya alternatif süreçler
  • Tedarikçi ve üçüncü parti bağımlılıkları
  • Yönetim karar ve onay akışı

DRP (Disaster Recovery Plan) neyi kapsar?

DRP, teknik sistemlerin hangi sırayla ve hangi hedef sürede geri döneceğini tarif eder:

  • Sunucu, veritabanı ve uygulama geri dönüş sırası
  • Replikasyon/yedek kaynakları
  • Test senaryoları
  • Rollback planı
  • RTO ve RPO hedefleri

Kısa karşılaştırma

KonuBCPDRP
Ana odakİş operasyonunun devamıIT sistemlerinin geri dönüşü
Sorumlu ekipYönetim + operasyon + ITIT + güvenlik + altyapı
ÇıktıSüreç ve karar planıTeknik geri yükleme planı
KPIServis sürekliliği, müşteri etkisiRTO, RPO, kurtarma başarı oranı

Önemli: BCP ve DRP ayrı dokümanlar olabilir, ama uygulamada tek bir kriz yönetimi yapısı altında çalışmalıdır.

RTO ve RPO nasıl hesaplanır?

RTO (Recovery Time Objective)

Bir sistemin kabul edilebilir maksimum kesinti süresidir.

  • Örnek: ERP için RTO = 2 saat
  • Anlamı: Kesinti sonrası ERP en geç 2 saat içinde ayağa kalkmalı.

RPO (Recovery Point Objective)

Kabul edilebilir maksimum veri kaybı penceresidir.

  • Örnek: RPO = 15 dakika
  • Anlamı: En fazla son 15 dakikalık veri kaybı tolere edilir.

Pratik hesap yöntemi

  1. Kritik süreçleri listele (ör. sipariş, faturalama, üretim).
  2. Her süreç için “1 saat durursa etkisi ne?” sorusunu TL bazında değerlendir.
  3. Bağımlı sistemleri eşle (ör. CRM, ERP, e-posta, VPN).
  4. Her sistem için hedef RTO/RPO ata.
  5. Hedefin gerçekçi olup olmadığını test et.

Örnek hedef matrisi:

Sistemİş EtkisiHedef RTOHedef RPO
ERPÇok yüksek2 saat15 dk
E-postaYüksek4 saat30 dk
Dosya sunucusuOrta8 saat2 saat
Test ortamıDüşük24 saat24 saat

Bu tabloda en kritik nokta, her hedefin testle doğrulanmasıdır. CISA’nın küçük işletmeler için ransomware hazırlık kılavuzu da çevrimdışı/ayrık yedek ve geri dönüş testlerinin düzenli yapılmasını özellikle vurgular.

90 günlük BCP/DRP uygulama planı

Aşağıdaki plan Ankara’daki KOBİ’lerde en hızlı sonuç veren modeldir.

Faz 1 (Gün 1-15): Keşif ve önceliklendirme

  • Kritik iş süreçlerini sınıflandır (A, B, C öncelik).
  • Varlık envanteri çıkar: sunucu, ağ cihazı, SaaS, uç nokta.
  • Tek hata noktalarını (single point of failure) belirle.
  • Kriz anı iletişim listesini oluştur.

Çıktı:

  • İlk risk haritası
  • Kritik sistem listesi
  • Taslak RTO/RPO hedefleri

Faz 2 (Gün 16-45): Teknik hazırlık ve dokümantasyon

  • Yedekleme politikasını 3-2-1 yaklaşımı ile yeniden tasarla.
  • Replikasyon ve alternatif çalışma ortamını doğrula.
  • “Sistem geri dönüş runbook” dokümanlarını yaz.
  • Erişim yetkilerini ve acil hesap prosedürlerini netleştir.

Çıktı:

  • Güncel BCP taslağı
  • DRP runbook seti
  • Test senaryoları

Faz 3 (Gün 46-90): Test, eğitim ve iyileştirme

  • Masaüstü tatbikat (tabletop) yap.
  • Teknik geri dönüş testi uygula ve süreleri ölç.
  • Yönetim ekibi ile karar tatbikatı gerçekleştir.
  • Eksik noktalar için iyileştirme backlog’u çıkar.

Çıktı:

  • Test raporu
  • Ölçülen RTO/RPO
  • Revize BCP/DRP dokümanı

Tatbikat sıklığı önerisi

Test TürüÖnerilen SıklıkHedef
Masaüstü kriz tatbikatı3 ayda 1Karar ve iletişim akışı
Kısmi teknik geri yüklemeAyda 1Runbook doğrulama
Tam kritik sistem tatbikatı6 ayda 1Gerçek RTO/RPO ölçümü
Tedarikçi iletişim provası6 ayda 1Dış bağımlılık dayanıklılığı

Ankara için operasyonel gerçeklik: sadece teknoloji değil süreç disiplini

Ankara’daki birçok kurumda benzer bir durum var: teknik altyapı belirli bir seviyede, ancak süreç standardizasyonu geriden geliyor. Sonuç olarak kesinti anında en büyük kayıp, sistemlerin kapanmasından çok “kimin ne yapacağını bilmemesi” oluyor.

Bu yüzden iyi bir BCP/DRP çerçevesi şu üç katmanı birlikte yönetmeli:

  1. Teknik katman: yedekleme, replikasyon, erişim, güvenlik
  2. Süreç katmanı: eskalasyon, onay, iletişim, raporlama
  3. İnsan katmanı: rol netliği, eğitim, tatbikat disiplini

Bu model; Ankara’da büyüyen, çok lokasyonlu veya hibrit çalışan KOBİ’lerde operasyonu daha öngörülebilir hale getirir.

Kopyalanabilir BCP/DRP kontrol listesi

Aşağıdaki listeyi doğrudan ekip toplantısında kullanabilirsiniz:

  • Kritik iş süreçleri etki seviyesine göre sınıflandırıldı.
  • Her kritik süreç için bağlı IT sistemleri eşlendi.
  • Sistem bazlı RTO ve RPO hedefleri tanımlandı.
  • Yedekleme stratejisi 3-2-1 modeline göre güncellendi.
  • Çevrimdışı/ayrık yedek kopya doğrulandı.
  • Teknik geri dönüş runbook’ları yazıldı.
  • Kriz anı iletişim zinciri ve onay akışı dokümante edildi.
  • En az 1 masaüstü tatbikat yapıldı.
  • En az 1 teknik geri yükleme testi ölçümlendi.
  • Test sonrası iyileştirme maddeleri backlog’a alındı.

LeonX ile nasıl başlayabilirsiniz?

Eğer Ankara’da iş sürekliliği planı kurmak istiyorsanız, başlangıç için en doğru adım “hızlı keşif + önceliklendirme” çalışmasıdır. Bu çalışmada ilk hedef, tüm sistemi bir anda mükemmelleştirmek değil; iş etkisi en yüksek riskleri ilk 30 günde düşürmektir.

İlgili hizmet sayfaları:

Ek okumalar:

Sık sorulan sorular

BCP ile DRP’yi tek dosyada mı tutmalıyız?

Kurum ölçeğine göre değişir. Küçük ekiplerde tek çatı doküman yönetimi kolaylaştırır. Orta ölçekli yapılarda BCP ve DRP’yi ayrı tutup tek bir kriz yönetimi prosedürü altında bağlamak daha sürdürülebilir olur.

RTO hedefini neye göre belirlemeliyiz?

RTO teknik kapasiteye göre değil, iş etkisine göre belirlenmelidir. Önce “bu sistem 1 saat durursa ne kaybederiz?” sorusu yanıtlanmalı, sonra teknik mimari bu hedefe göre tasarlanmalıdır.

Yedek almak neden tek başına yeterli değil?

Çünkü geri yükleme süresi ölçülmemiş bir yedek, kriz anında çalışmayabilir. Gerçek hazırlık, düzenli testlerle doğrulanan yedek + runbook + sorumluluk zincirinden oluşur.

Ankara’daki KOBİ’ler için minimum tatbikat sıklığı nedir?

Pratik başlangıç seviyesi: ayda 1 kısmi geri dönüş testi, 3 ayda 1 masaüstü kriz tatbikatı, 6 ayda 1 kritik sistem tam tatbikatı. Bu ritim, ekip yükünü aşmadan kurumsal refleks üretir.

Sonuç

Ankara’da iş sürekliliği planı hazırlamak, sadece BT ekibinin işi değildir; yönetim, operasyon ve teknik ekiplerin ortak sorumluluğudur. BCP/DRP doğru kurgulandığında şirketiniz “kesinti olursa ne yaparız?” sorusundan “hangi hedef sürede toparlanırız?” seviyesine geçer.

İsterseniz mevcut altyapınızı birlikte değerlendirip, kurumunuza özel bir 90 günlük BCP/DRP yol haritası çıkaralım. İlk adım için iletişim sayfamızdan bize ulaşabilirsiniz.

Kaynaklar

Paylaş

Facebook
Twitter
LinkedIn

Ankara için yönetilen IT desteği mi arıyorsunuz?

Hizmet modelimizi inceleyin, ardından ekibimizle iletişime geçerek mevcut altyapınız için net bir yol haritası alın.

Tüm Hizmetlerİletişime Geç

Bültene Abone Olun

En son içgörüler, trendler ve uzman tavsiyeleri doğrudan posta kutunuza gelsin. IT profesyonelleri topluluğumuza katilin.

Gizliliğinize saygı duyuyoruz. İstediğiniz zaman abonelikten çıkabilirsiniz.