2023 年の事業継続性と災害復旧 (BCDR) のベスト プラクティス

公開: 2023-06-07

事業継続性 (BC) と災害復旧 (DR) は、機能停止、混乱、または危機の後に組織が活動を継続する能力を支援する、相互に強化する実践です。

2023 年には、事業継続と災害復旧 (BCDR) がこれまで以上に重要になります。中小規模の企業から多国籍企業に至るまで、あらゆる企業がデジタル テクノロジーに依存しており、BCDR はビジネスの必須アイテムとなっています。 さらに、パンデミックは、予期せぬ事業中断が経済にどれほどの損害を与える可能性があるかを正確に証明しました。

しかし、企業の 14% は BCDR 計画を半年から 3 年以内にテストしておらず、事業継続性と災害復旧のベスト プラクティスを実践している企業はほとんどないことが調査で示唆されています。 従う必要がある 10 のガイドラインは次のとおりです。

1. さまざまなコンポーネントに関連するリスクを評価し、ビジネス影響分析 (BIA) を実施します。

リスク分析と BIA は、BCDR 戦略の策定を使命とする組織にとって不可欠なツールです。 内部および外部のリスクと脅威を特定する行為は、ビジネスの継続性と災害復旧にとって非常に重要です。 リスク調査により、潜在的な脅威とその発生の可能性が明らかになります。 このリスク評価は、混乱の可能性のある影響を評価する BIA を補完するものです。

BIA には財務分析が含まれますが、さらに予期せぬ混乱による非財政的側面も考慮されます。 さらに、BIA は、インシデント発生後に企業が継続して実行しなければならないミッションクリティカルなサービスと、それらの機能を維持するために必要なリソースを決定します。

2. 最適な結果を得るために、いつ BCDR をアクティブにするかを決定します

企業は、好ましくない状況を災害と呼んで BCDR 計画を発動する前に、複数の変数を考慮する必要があります。 予想される中断の長さ、停止による組織への影響、BCDR 計画のアクティブ化に伴う金銭的負担、および BCDR 戦略がさらなる中断を引き起こす可能性は、最も重要な考慮事項の 1 つです。

皮肉なことに、企業の主要な拠点から二次センターに移動し、インシデント発生後に主要な業務拠点に戻るという行為は、プロセスを大幅に混乱させる可能性があります。 したがって、企業のリーダーは、BCDR 計画をいつ実行するかを慎重に評価する必要があります。 たとえば、組織は、6 時間の中断では災害を宣言するには不十分であると判断する場合があります。

3. BCDR の変更と更新を主張する準備を整える

脅威の状況の進展や新たな事業の出現により、企業は BCDR の対象範囲を拡大せざるを得なくなる可能性があります。 企業がオフィスベースの勤務に戻り、新たなリスクが明らかになるため、これは2022年から2023年にかけて頻繁に起こりました。

拡張 BCDR 戦略と回復テクノロジーに必要なリソースが現在の予算に含まれていない場合は、追加の資金調達を追求する必要がある可能性があります。 投資の提案は以下に基づいて行う必要があります。

  • 強化されたBCDRコンピテンシーの利点を強調するビジネス提案の作成
  • 更新された BCDR 戦略がサイバーセキュリティなどの他のドメインに影響を与えるかどうかを決定します。
  • 製品やサービスの評価を含む資金調達
  • 適切な文書を備えた調達要求書の作成

BCDR 費用と、特定の災害シナリオで予測される経済的影響との間の均衡を確立する必要があることに注意してください。 危機そのものの 10 倍の費用がかかる解決策を考案する必要はありません。

4. ビジネス継続性と災害復旧計画に抜け穴がないかテストします。

机上トレーニング、計画されたウォークスルー、およびシミュレーションが一般的なテスト形式です。 通常、テスト チームは、回復スーパーバイザーと各機能グループの担当者で構成されます。 通常、机上演習は会議室で行われ、チームは計画に欠陥がないかを調査し、社内のすべての部門が代表者であることを保証します。

計画されたウォークスルーでは、チームのメンバー全員が自分の指定された計画コンポーネントを徹底的に調べて、弱点を特定します。 多くの場合、チームは特定の大惨事を念頭に置いて任務を遂行します。 一部の組織では、計画されたウォークスルーに災害のロールプレイングと関連活動を組み込んでいます。 欠陥があれば対処し、修正された計画をすべての関係者に送信する必要があります。

5. ドキュメントへの集中力を倍増する

事業継続計画は、事業のリスクと災害復旧プロトコルに従って作成する必要があります。 たとえば、計画では、危機が発生した場合にスタッフが何をしなければならないかや、ミッションクリティカルな IT サポートの最も厳格な提供期限を指定する必要があります。

重要なシステムを特定し、主要なアプリケーションのインベントリを作成することも重要です。 さらに、組織は金融業者、IT 専門家、公共事業従事者などの外部連絡先の一覧を維持する必要があります。 コロナウイルスの流行が私たちに教えてくれたように、十分に文書化された事業継続計画を持つ企業だけが迅速に回復することができました。

6. 独自のリスク回復力のレベルと、それが義務的に必要とする IT サポートを決定します。

すべての組織は独自で異なるため、リスクを評価し、個別の事業継続計画を作成する必要があります。 たとえば、銀行の場合、ほんの数秒の遅れが数百万ドルの損害をもたらす可能性があります。 医療機関は、ダウンタイムが発生すると重要な患者の治療にリスクを負う可能性があります。

さらに、企業の回復オプションは、事業を展開しているセクターに基づいて決定する必要があります。 RTO と RPO は、この点で最も重要な概念の 1 つです。 RPO または目標復旧時点とは、一定期間におけるデータの最大許容損失を指します。 RTO または目標復旧時間は、プロセスの中断から再開までにかかる時間です。

企業のビジネス ルールとガイドラインに基づいて適切な RPO と RTO を選択することで、適切な DR 代替手段と復旧テクノロジを選択できます。

7. 仮想化インフラストラクチャの冗長性への投資

パンデミック後、仮想化は重要なものとなり、企業内に浸透しました。 それにもかかわらず、事業継続計画では、ハイブリッドの物理インフラストラクチャと仮想インフラストラクチャの必要性を考慮する必要があります。

仮想サーバー、ストレージスペースを所有。 ワークステーションと同様にサービス中断のリスクは軽減されますが、仮想マシンが誤動作する可能性は依然としてあります。 特に 2020 年から 2023 年にかけてミッション クリティカルなプロセスの仮想化ブループリントを増やした場合は、仮想マシンのバックアップ戦略を立てることを最優先事項にする必要があります。

8. マネージド BCDR プロバイダーとの提携を検討する

ほぼすべての IT サービス プロバイダーは、サービス中断の修復と復旧を支援できると言うでしょう。 ただし、オフサイトのバックアップ機能を提供するパートナーと、必要な BCDR インフラストラクチャを備えたパートナーとの間には大きな違いがあります。 マネージド サービス プロバイダーは、次のようなさまざまなサービスを提供します。

  • 軍用レベルのインフラストラクチャ
  • 災害復旧とバックアップのためのツール
  • アーカイブと復元のための機能
  • ストレージのマルチプラットフォーム管理
  • 緊急避難と複数の復旧場所への移動に関するよく知られた実績のある専門知識

9. 調達と協力してベンダーの BCDR 対応状況を評価する

現代の企業は、海の島のように自給自足的に運営されているわけではありません。 それどころか、これらの機関は、ミッションクリティカルな IT インフラストラクチャから完成品や基本資材に至るまで、あらゆるものを提供するサードパーティのサプライヤーとの深い相互依存関係を持ち、相互に深く結びついている機関です。 すべての企業とサプライヤーのパートナーシップと、ベンダーの供給が中断された場合にそれがビジネス継続性にもたらす潜在的なリスクを特定します。 サプライヤーはどのようなプレッシャーに直面していますか?また、ストレスにさらされたときの従業員の強さや回復力はどの程度ですか?

関係の開始時に、サードパーティのサプライヤーは厳格なデューデリジェンスの対象となり、新たな脅威の兆候がないか常に監視される必要があります。 事業継続に関する彼らの個別の計画は具体的にどのようなものでしょうか?また、それらはあなたの会社を守るのに十分なものでしょうか?

10. コロケーションのオプションを検討する

最後に、コロケーションは、大規模な IT インフラストラクチャを備えた企業に、地理的に異なる地域にリスクを分散する方法を提供します。

サードパーティのデータセンターに組み込まれた冗長性は、稼働時間と回復力を促進することを目的としています。 さらに、コロケーションでは複数の電源と接続オプションが提供されます。 これは、プライマリ経路に障害が発生した場合のバックアップ ルートとして機能します。

いくつかのコロケーション サービス プロバイダーは、地理的に分散したデータ センターの選択肢をさらに提供する場合があり、これにより、企業は特定の要件に最も近い施設を選択できるようになります。 組織は、利便性を考慮して本社に近いプライマリ ロケーションを選択し、災害後の復旧のためにより離れたセカンダリ ロケーションを選択できます。 ビジネスの継続性は、コロケーション データ センターの定期メンテナンス プログラムと機械の更新によってもサポートされ、システムの可用性とパフォーマンスを最適化します。

結論

災害や業務中断への対処がより複雑になる中、これらの BCDR のベスト プラクティスは、IT チームの準備に役立ちます。 また、災害復旧計画 (DRP) を支援するクラウド コンピューティングの可能性を探ったり、データ復旧ツールを使用して軽微なインシデント後に失われた情報を取得したりすることもできます。