Chtěli jste na COMIMPEX print ?www.c-print.cz

Jak na Disaster Recovery Plan? A jak postupovat?

Zmáčknete tlačítko a nic. Váš pracovní počítač nereaguje. Otočíte se na kolegu a chcete si postěžovat, ale ten se právě s vyděšeným výrazem otáčí na vás. A kolegyně u stolu naproti taky. Z chodby zazní vzrušené hlasy, rozeznáte jen slova „nikomu nefunguje‟. Co teď uděláte?
Na fungování informačních technologií jsme (minimálně v naší části světa) všichni závislí, a zejména instituce a firmy jsou velmi ohrožené jejich případnými výpadky. Disaster Recovery Plan (DRP), neboli plán obnovy po havárii, je strategický dokument, který stanovuje postupy a procesy pro obnovení kritických IT systémů a dat po neočekávaných událostech. Mluvíme o kybernetických útocích, technických selháních, lidských chybách nebo živelných katastrofách.

K čemu je Disaster Recovery Plan dobrý?

Pořekadlo, že čas jsou peníze, určitě zná každý. A firemní čas stojí opravdu hodně. Přerušení provozu z důvodu nedostupnosti některých IT technologií nebo při ztrátě dat znamená obrovské finanční ztráty. A peníze jsou teprve začátek, protože ztráta dobrého jména bolí ještě dlouho po účetní závěrce.

DRP představuje prostředek na minimalizaci přerušení provozu.

Samostatnou podkapitolou je potom ochrana dat. Jejich pravidelné zálohy a mechanismy obnovy v případě ztrát jsou životní podmínkou fungování všech organizací, nejen v případě aktuálně rostoucí hrozby útoku pomocí ransomware.

Některé obory lidské činnosti potom přímo vyžadují, aby měly DRP integrovaný kvůli regulačním požadavkům. A je jich překvapivě dost.

Výsledkem správné implementace DRP je vždy (nejen) snížení rizika finančních ztrát.

Z čeho se DRP skládá?

Toto je klíčová informace. Recovery Plan má řadu “povinných” složek.

  • Analýza rizik a dopadů (Risk and Impact Analysis): Jedná se o identifikaci potenciálních hrozeb a jejich dopadů na chod organizace.

  • Stanovení kritických systémů: Jaké systémy a jaká data jsou nejdůležitější pro činnost organizace.

  • Strategie obnovy: I proces obnovy systémů vyžaduje svůj plán a záložní řešení pro případ, kdyby plán selhal.

  • Stanovení rolí a odpovědností: kdo za co zodpovídá a jaký má kdo úkol v případě nouze.

  • Komunikační plán: V případě maléru je potřeba komunikovat. Dovnitř do firmy i navenek se zákazníky, spolupracujícími společnostmi a institucemi, a třeba i s bezpečnostními orgány.

  • Plán testování a údržby: Jakýkoliv DRP vyžaduje pravidelnou kontrolu, že v případě nouze nevyjde naprázdno. Procesy se testují, trénují a dokument je potřeba aktualizovat podle toho, jak se rozvíjí IT infrastruktura firmy.

 

Jaké kroky vás čekají při tvorbě Disaster Recovery Plánu?

Jak se dopracovat ke kompletnímu dokumentu DRP? Je to jednorázový úkon, nebo vás budou některé činnosti čekat opakovaně?

  1. Zmapování všech IT zdrojů, aplikací a dat: Co bude předmětem DRP?

  2. Provedení Business Impact Analysis (BIA): Jaký by byl následek výpadku jednotlivých systémů na podnikání nebo chod organizace?

  3. Strategie obnovy: Jaké technologie a jaké postupy budou potřeba při obnově?

  4. Plán s instrukcemi: Podrobný dokument s jasným návodem na postup obnovy.

  5. Školení zaměstnanců: Zajištění stavu, kdy všichni zúčastnění budou znát svoje role a povinnosti.

  6. Simulace havárie: Testování plánu a jeho efektivity na situacích napodobujících reálné situace.

  7. Revize a aktualizace: V závislosti na výskytu nových hrozeb nebo rozvoji infrastruktury.

Jak může třeba vypadat BIA ve vaší firmě?

Jako nacenění ztrát v případě výpadku a adekvátní protiopatření, které se firmě vyplatí s ohledem právě na eliminaci finanční ztráty, ale i ztráty případné reputace u zákazníků a spolupracujících firem.

Vezměte si třeba příklad banky XY. Výpadek internetového bankovnictví si vyčíslí na ztrátu 200 000 Kč za hodinu. Vyhodnotí technologie, na kterých jejich bankovnictví závisí a odhadnou, že řešení všech myslitelných problémů se vždy vejde do intervalu 2 - 3 hodin. K tomu si odhadem spočítají navazující škody… Pokud investují milion korun do řešení, které výpadkům zabrání, stále budou v černých číslech.

DRP jako součást Business Continuity Planning

Disaster Recovery Plan je důležitou, i když ne jedinou složkou BCP, plánu na udržení organizace v chodu v kritických situacích. Obnova IT systémů po havárii je samozřejmě velmi aktuální téma, ale oba systémy by měly být plně integrovány do sebe.

Máte DRP? Tak ho otestujte.

Nebylo by to poprvé, kdy by někdo v případě maléru zjistil, že systém obnovy částečně nebo zcela nefunguje. Pravidelné testování záložních postupů a technologií tak patří k nezbytným činnostem, se kterými se musí od začátku počítat.

  • Testujte celý DRP alespoň jednou ročně a při významných změnách systému

  • Aktualizujte plán podle nových technologií, procesů, nebo v případě výskytu nových hrozeb.

  • Sbírejte poznatky během testování, zapracujte je do DRP. Je možné, že najdete v plánech chyby a možnosti pro vylepšení. Tak ať nezůstanou jenom na papíře.

Co říci závěrem?

Každý má doma náhradní klíče od auta a u dobrého kamaráda třeba i klíče od domu. Nutnost mít pro případ nouze záložní plán není zdaleka potřeba nikomu vysvětlovat. V případě chodu organizací a firem je na záložních plánech závislých tolik lidí a takový majetek, že by měl být DRP samozřejmostí.

Řadu postupů a bodů není těžké odvodit selským rozumem. Přesto je důležité si nechat poradit, mít připravený komplexní dokument a rozdělené povinnosti a tak, aby byl plán pružný a zvládl reagovat na všechny možné hrozby.

V sázce nejsou jenom peníze, ale i důvěra zákazníků, zaměstnanců, spolupracujících organizací a firem, ale nakonec i dozorových orgánů. Finanční ztráta totiž nemusí být nakonec tím hlavním, co vás bude v případě nehody trápit.

Co teď?

Třeba máte ve firmě řadu různých záchranných opatření, ale žádný komplexní plán. Není důvod k panice, jen se nám raději ozvěte. Rádi to s Vámi projdeme během úvodní bezplatné konzultace a pomůžeme implementovat.

Doporučujeme:

  • Analyzovat aktuální stav IT infrastruktury

  • Navrhnout a vytvořit Disaster Recovery Plán na míru

  • Implementovat záložní a obnovovací systémy

  • Otestovat stávající Disaster Recovery Plán

  • Otestovat zálohy

  • Školit zaměstnance v oblasti krizových postupů

  • Provádět pravidelné revize a aktualizace DRP

  • Monitoring a správu záložních řešení

  • Nabízíme konzultace k Business Continuity Planning