Geçen ay İzmir’de orta ölçekli bir ambalaj firmasının genel müdürüyle konuştum. Şirket, muhasebe ve stok takibini tek bir programdan yönetmek istiyordu; yetkili bayi de internet üzerinden erişilen, sunucusu hizmet sağlayıcıda bulunan bir yazılım önerdi. Genel müdürün ilk tepkisi netti: ‘Firmamın verilerini başkasının bilgisayarına yüklemem mümkün değil.’ Bu tepki, Türkiye’deki KOBİ yöneticileri arasında son derece yaygın ve anlaşılır bir refleks. Ancak bu refleksin altındaki varsayımları biraz kurcaladığınızda, resmin göründüğü kadar basit olmadığı ortaya çıkıyor.
İnternet üzerinden erişilen, sunucusu hizmet sağlayıcının veri merkezinde barındırılan yazılımlar Türkiye’de henüz çok yeni bir kavram. Büyük kurumsal müşteriler bu modeli birkaç yıldır değerlendiriyor; KOBİ segmentinde ise tartışma yeni yeni başlıyor. Temel soru şu: Verilerimi kendi ofisimde tutmak mı daha güvenli, yoksa profesyonel bir veri merkezine taşımak mı? Bu soruyu duygusal değil, teknik kriterlerle yanıtlamak gerekiyor.
Kendi ofisindeki sunucu odasını düşünelim. Çoğu KOBİ’nin sunucu odası aslında küçük bir depo köşesi: klimasız ya da yetersiz iklimlendirilen, UPS’i zaman zaman devre dışı kalan, yedekleme rutini ‘unutulduğunda’ haftalarca çalışmayan bir ortam. Sunucuya fiziksel erişim çoğu kez kilitli bir kapıyla değil, ‘oraya girme’ geleneğiyle korunuyor. Yangın, su baskını veya uzun süreli elektrik kesintisi gibi durumlarda veri kaybının önüne geçecek bir iş sürekliliği planı ise neredeyse hiç yok. Bu tablo bir eleştiri değil, Türkiye’deki ortalama KOBİ altyapısının gerçekçi bir fotoğrafı.
Profesyonel bir veri merkezinin sunduğu fiziksel güvenlik altyapısı bu tablonun çok ötesinde. Kesintisiz güç kaynakları, yedekli soğutma sistemleri, 7/24 izleme, fiziksel erişim kontrolü ve düzenli yedekleme prosedürleri, ortalama bir KOBİ’nin kendi başına kurması neredeyse imkânsız olan standartlar. Veri merkezi işleten ciddi hizmet sağlayıcılar bu altyapıyı onlarca müşteriye bölerek sunduğu için maliyet de makul kalıyor. Dolayısıyla ‘verilerimi başkasına veriyorum’ kaygısı yerini şu soruya bırakmalı: ‘Bu hizmet sağlayıcı gerçekten güvenilir mi?’
İşte asıl soru bu. Hizmet sağlayıcının güvenilirliğini ölçmek için somut denetim kriterleri var. Öncelikle veri merkezinin fiziksel konumu ve altyapı sertifikasyonu sorulmalı. Veriler Türkiye’de mi tutuluyor? Sunucular hangi güvenlik standartlarına göre işletiliyor? İkinci olarak, veri yedekleme politikası netleştirilmeli: yedekler ne sıklıkla alınıyor, farklı bir lokasyonda mı saklanıyor, geri yükleme testi yapılıyor mu? Üçüncü olarak, veri şifreleme sorusu kritik: veriler internet üzerinden iletilirken şifreleniyor mu, sunucuda depolanırken şifreli mi tutuluyor? Dördüncü olarak, hizmet sözleşmesi incelenmeli: sağlayıcı iflas etse ya da hizmeti durdursa verilerinize nasıl erişeceksiniz? Bu dört soruyu net yanıtlayamayan bir sağlayıcıyla çalışmak, zaten tartışmalı olan kendi sunucu odanızdan daha riskli olabilir.
İnternet bağlantısı ise ayrı bir değişken. ADSL yaygınlaşıyor ama Türkiye’de bağlantı kesintileri hâlâ sık yaşanıyor. Sunucusu dışarıda olan bir yazılıma internet olmadan erişemezsiniz; bu, kendi sunucunuzu işletirken karşılaşmadığınız bir kırılganlık. Ancak bu sorunu da abartmamak gerekiyor: çoğu muhasebe ve stok yazılımında günlük iş akışı birkaç saatlik bir kesintiye dayanabilir, kritik verilerin yerel kopyası da tutulabilir. Bağlantı güvenilirliği bir engel değil, sözleşmeye yazılması gereken bir teknik şart.
Karar aşamasındaki KOBİ yöneticisi için pratik bir çerçeve şu olabilir: Önce kendi sunucu odanızı dürüstçe değerlendirin — son altı ayda kaç kez yedek aldınız, kaç kez kontrol ettiniz? Sonra değerlendirdiğiniz hizmet sağlayıcıya yukarıdaki dört soruyu yazılı olarak sorun ve yanıtları sözleşmeye yansıtmasını isteyin. Güvenlik kaygısı meşru bir kaygı, ama bu kaygıyı ‘hayır’ cevabına dönüştürmek yerine doğru soruları sormak için bir araç olarak kullanmak daha akıllıca. Veri güvenliği bir his değil, denetlenebilir bir süreç meselesi.