Najlepsze praktyki w zakresie ciągłości biznesowej i odzyskiwania po awarii (BCDR) na rok 2023

Opublikowany: 2023-06-07

Ciągłość biznesowa (BC), a także odtwarzanie po awarii (DR) to wzajemnie wzmacniające się praktyki, które pomagają organizacji w kontynuowaniu działań po przestoju, zakłóceniu lub kryzysie.

Ciągłość biznesowa i odzyskiwanie po awarii (BCDR) są w 2023 roku bardziej widoczne niż kiedykolwiek wcześniej. Każda firma, od skromnych firm po międzynarodowe korporacje, polega na technologiach cyfrowych, co sprawia, że ​​BCDR jest koniecznością biznesową. Co więcej, pandemia dokładnie pokazała, jak wielkie szkody może wyrządzić gospodarkom nieoczekiwana przerwa w działalności.

Jednak 14% firm nie testowało swoich planów BCDR od sześciu miesięcy do trzech lat, a badania sugerują, że niewiele z nich stosuje najlepsze praktyki w zakresie ciągłości biznesowej i odtwarzania po awarii. Oto 10 wskazówek, których musisz przestrzegać:

1. Oceń ryzyko związane z różnymi komponentami i przeprowadź analizę wpływu na biznes (BIA)

Analiza ryzyka i BIA to niezbędne narzędzia dla organizacji, których zadaniem jest stworzenie strategii BCDR. Czynność identyfikowania wewnętrznych i zewnętrznych ryzyk i zagrożeń ma kluczowe znaczenie dla ciągłości biznesowej i odtwarzania po awarii. Badanie ryzyka ujawnia potencjalne zagrożenia i prawdopodobieństwo ich wystąpienia. Ta ocena ryzyka jest uzupełnieniem BIA, która ocenia możliwe skutki zakłóceń.

BIA obejmuje analizę finansową, ale dodatkowo bierze pod uwagę pozafiskalne aspekty nieprzewidzianych zakłóceń. Ponadto BIA określa usługi o znaczeniu krytycznym, które firma musi kontynuować po incydencie, a także zasoby potrzebne do utrzymania tych funkcji.

2. Określ KIEDY aktywować BCDR, aby uzyskać optymalne wyniki

Przed nazwaniem nieprzewidzianej sytuacji katastrofą i aktywacją planu BCDR, firmy muszą wziąć pod uwagę wiele zmiennych. Przewidywana długość zakłócenia, wpływ przerwy na organizację, obciążenie finansowe związane z aktywacją planu BCDR oraz potencjał strategii BCDR do spowodowania dalszych zakłóceń należą do najważniejszych kwestii.

Jak na ironię, czynność przeniesienia się z głównej lokalizacji firmy do drugorzędnego centrum, a następnie powrót do głównej bazy operacyjnej – po incydencie – może znacząco zakłócić procesy. W związku z tym kierownictwo firmy musi dokładnie ocenić, kiedy wdrożyć plan BCDR. Na przykład organizacja może stwierdzić, że sześciogodzinne zakłócenie jest niewystarczające, aby uzasadnić ogłoszenie katastrofy.

3. Bądź gotowy do opowiadania się za zmianami i aktualizacjami w BCDR

Zmiany w krajobrazie zagrożeń lub pojawienie się nowych przedsięwzięć biznesowych mogą zmusić firmę do zwiększenia zasięgu BCDR. Często tak było w latach 2022-2023, kiedy firmy wracały do ​​pracy biurowej i wychodziły na jaw nowe zagrożenia.

Jeśli w bieżącym budżecie nie uwzględniono środków niezbędnych do realizacji rozszerzonej strategii BCDR i technologii odzyskiwania, konieczne może być pozyskanie dodatkowych funduszy. Propozycja inwestycji powinna opierać się na:

  • Opracowanie propozycji biznesowej podkreślającej zalety rozszerzonych kompetencji BCDR
  • Decydowanie, czy zaktualizowana strategia BCDR będzie miała wpływ na inne dziedziny, takie jak cyberbezpieczeństwo.
  • Pozyskiwanie finansowania, w tym ocena produktów i usług
  • Stworzenie zapytania ofertowego wraz z odpowiednią dokumentacją

Pamiętaj, że musisz ustalić równowagę między wydatkiem BCDR a przewidywanymi konsekwencjami ekonomicznymi konkretnego scenariusza katastrofy. Nie chcesz wymyślać rozwiązania, które jest 10 razy droższe niż sam kryzys.

4. Przetestuj plany ciągłości działania i odzyskiwania po awarii pod kątem luk

Szkolenia stacjonarne, zaplanowane przejścia, a także symulacje to popularne formaty testów. Zazwyczaj zespoły testowe składają się z kierownika odzyskiwania i przedstawicieli z każdej grupy funkcjonalnej. Zwykle w sali konferencyjnej przeprowadza się ćwiczenie na stole, podczas którego zespół sprawdza plan pod kątem wad i gwarantuje, że każdy dział firmy jest reprezentowany.

Podczas zaplanowanego przeglądu każdy członek zespołu szczegółowo analizuje wyznaczone przez siebie elementy planu, aby zidentyfikować słabe punkty. Często zespół przechodzi przez zadanie z myślą o konkretnej katastrofie. Niektóre organizacje włączają odgrywanie ról związanych z katastrofami i związane z nimi działania do zaplanowanego przejścia. Należy zająć się wszelkimi niedociągnięciami, a poprawiony plan należy wysłać do wszystkich odpowiednich pracowników.

5. Podwójnie skup się na dokumentacji

Plan ciągłości działania musi zostać opracowany zgodnie z ryzykiem biznesowym i protokołami odzyskiwania po awarii. Na przykład plan powinien określać, co członkowie personelu muszą zrobić w przypadku kryzysu, a także najbardziej rygorystyczne ramy czasowe dostarczania wsparcia informatycznego o znaczeniu krytycznym.

Kluczowe znaczenie ma również identyfikacja krytycznych systemów i sporządzenie spisu kluczowych aplikacji. Ponadto organizacje muszą prowadzić wykaz kontaktów zewnętrznych, takich jak finansiści, specjaliści IT i pracownicy użyteczności publicznej. Jak nauczyła nas epidemia koronawirusa, tylko firmy z dobrze udokumentowanym planem ciągłości działania miały możliwość szybkiego powrotu do zdrowia.

6. Określ swój unikalny poziom odporności na ryzyko i wymagane wsparcie IT

Biorąc pod uwagę, że każda organizacja jest wyjątkowa i odrębna, należy ocenić ryzyko i opracować zindywidualizowany plan ciągłości działania. Na przykład w przypadku banku zaledwie kilka sekund opóźnienia może spowodować wielomilionowe szkody. Instytucje opieki zdrowotnej mogą ryzykować krytyczną opiekę nad pacjentem w przypadku przestoju.

Dodatkowo możliwości naprawy przedsiębiorstwa muszą być określone w oparciu o sektor, w którym działa. RTO i RPO to jedne z najważniejszych pojęć w tym zakresie. Cel RPO lub Recovery Point odnosi się do maksymalnej dopuszczalnej utraty danych w określonym czasie. RTO lub Recovery Time Objective to czas, który upływa między przerwaniem a wznowieniem procesów.

Możesz wybrać odpowiednie alternatywy DR wraz z technologiami odzyskiwania, wybierając odpowiedni RPO oraz RTO w oparciu o zasady i wytyczne biznesowe Twojej firmy.

7. Zainwestuj w nadmiarowość zwirtualizowanej infrastruktury

Po pandemii wirtualizacja stała się krytyczna i wszechobecna w firmach. Niemniej jednak plan ciągłości działania musi uwzględniać konieczność hybrydowej infrastruktury fizycznej i wirtualnej.

Posiadanie serwerów wirtualnych, przestrzeni dyskowych. a także stacji roboczych zmniejsza ryzyko przerw w świadczeniu usług, ale maszyny wirtualne mogą nadal działać nieprawidłowo. Strategia tworzenia kopii zapasowych maszyn wirtualnych powinna być jednym z najważniejszych priorytetów, zwłaszcza jeśli w latach 2020-2023 rozszerzyłeś plan wirtualizacji dla procesów o znaczeniu krytycznym.

8. Rozważ współpracę z zarządzanym dostawcą BCDR

Niemal każdy dostawca usług IT powie, że może pomóc w naprawie i przywróceniu przerw w świadczeniu usług. Istnieje jednak znacząca różnica między partnerem oferującym urządzenia do tworzenia kopii zapasowych poza siedzibą firmy a partnerem dysponującym niezbędną infrastrukturą BCDR. Dostawca usług zarządzanych oferuje szereg usług:

  • Infrastruktura klasy wojskowej
  • Narzędzia do odzyskiwania po awarii oraz tworzenia kopii zapasowych
  • Udogodnienia do archiwizacji i przywracania
  • Wieloplatformowe administrowanie pamięcią masową
  • Dobrze znana i sprawdzona wiedza specjalistyczna w zakresie ewakuacji awaryjnej i przemieszczania się do dowolnej z kilku lokalizacji ewakuacyjnych

9. Współpracuj z zaopatrzeniem, aby ocenić dostawców pod kątem gotowości BCDR

Nowoczesne przedsiębiorstwa nie są samowystarczalnymi podmiotami funkcjonującymi jak wyspy na morzu. Wręcz przeciwnie, są to głęboko powiązane instytucje o głębokich współzależnościach od zewnętrznych dostawców, którzy dostarczają wszystko, od infrastruktury IT o znaczeniu krytycznym po gotowe produkty i podstawowe materiały. Zidentyfikuj każde partnerstwo firma-dostawca i potencjalne ryzyko, jakie stanowi ono dla ciągłości biznesowej w przypadku przerwania dostaw dostawcy. Z jakimi naciskami mierzą się dostawcy i jak solidni/odporni są twoi współpracownicy, gdy są w stresie?

Na początku współpracy dostawcy zewnętrzni muszą zostać poddani rygorystycznym badaniom due diligence i stale monitorowani pod kątem oznak nowych zagrożeń. Jakie dokładnie są ich indywidualne plany dotyczące ciągłości działania i czy wystarczą do zabezpieczenia Twojej firmy?

10. Sprawdź opcje kolokacji

Wreszcie, kolokacja oferuje firmom dysponującym rozbudowaną infrastrukturą informatyczną sposób na rozłożenie ekspozycji na ryzyko w różnych geograficznie regionach.

Wbudowane redundancje w centrach danych innych firm mają na celu zwiększenie czasu pracy bez przestojów i odporności. Ponadto kolokacja zapewnia wiele źródeł zasilania i opcji łączności. Działa to jako trasa zapasowa w przypadku awarii głównej ścieżki.

Kilku dostawców usług kolokacji może dodatkowo oferować wybór rozproszonych geograficznie centrów danych, umożliwiając firmom wybór lokalizacji, która najlepiej odpowiada ich specyficznym wymaganiom. Dla wygody organizacja może wybrać główną lokalizację bliższą swojej siedziby głównej oraz drugorzędną, bardziej odległą lokalizację do odzyskiwania po awarii. Ciągłość biznesowa jest również wspierana przez zaplanowane programy konserwacji kolokacyjnych centrów danych i aktualizacje maszyn, które optymalizują dostępność i wydajność systemu.

Wniosek

Ponieważ katastrofy i przerwy w działalności biznesowej stają się coraz bardziej złożone, te najlepsze praktyki BCDR pomogą Twojemu zespołowi IT przygotować się. Możesz także zbadać potencjał przetwarzania w chmurze, aby pomóc w planowaniu odzyskiwania po awarii (DRP) i użyć narzędzi do odzyskiwania danych, aby odzyskać utracone informacje po drobnych incydentach.