Forretningskontinuitet vs. katastrofeoprettelse: Hvilken plan er den rigtige for dig? – IBM Blog

Forretningskontinuitet og katastrofegenopretningsplaner er risikostyringsstrategier, som virksomheder er afhængige af for at forberede sig på uventede hændelser. Selvom vilkårene er tæt beslægtede, er der nogle vigtige forskelle, der er værd at overveje, når du skal vælge, hvad der er det rigtige for dig:

• Forretningskontinuitetsplan (BCP): En BCP er en detaljeret plan, der skitserer de skridt, en organisation vil tage for at vende tilbage til normale forretningsfunktioner i tilfælde af en katastrofe. Hvor andre typer planer måske fokuserer på ét specifikt aspekt af genopretning og afbrydelsesforebyggelse (såsom en naturkatastrofe eller cyberangreb), har BCP'er en bred tilgang og sigter mod at sikre, at en organisation kan stå over for en så bred vifte af trusler som muligt.
• Disaster recovery plan (DRP): Mere detaljeret end BCP'er, katastrofe genopretningsplaner bestå af beredskabsplaner for, hvordan virksomheder specifikt vil beskytte deres it-systemer og kritiske data under en afbrydelse. Sideløbende med BCP'er hjælper DR-planer virksomheder med at beskytte data og it-systemer mod mange forskellige katastrofescenarier, såsom massive udfald, naturkatastrofer, ransomware , malware angreb og mange andre.
• Business continuity and disaster recovery (BCDR): Business continuity and disaster recovery (BCDR) kan kontaktes sammen eller hver for sig afhængigt af virksomhedens behov. På det seneste er flere og flere virksomheder på vej mod at praktisere de to discipliner sammen, og beder ledere om at samarbejde om BC- og DR-praksis frem for at arbejde isoleret. Dette har ført til at kombinere de to udtryk til ét, BCDR, men den væsentlige betydning af de to praksisser forbliver uændret.

Uanset hvordan du vælger at gribe udviklingen af ​​BCDR til i din organisation, er det værd at bemærke, hvor hurtigt feltet vokser på verdensplan. Efterhånden som resultaterne af dårlig BCDR som datatab og nedetid bliver dyrere og dyrere, tilføjer mange virksomheder deres eksisterende investeringer. Sidste år var virksomheder over hele verden klar til at bruge 219 milliarder USD på cybersikkerhed og løsninger, en stigning på 12 % fra året før ifølge en nylig rapport fra International Data Corporation (IDC) (linket findes uden for ibm.com).

Hvorfor er forretningskontinuitet og katastrofeberedskabsplaner vigtige?

Forretningskontinuitetsplaner (BCP'er) og disaster recovery plans (DRP'er) hjælper organisationer med at forberede sig på en bred vifte af uplanlagte hændelser. Når den implementeres effektivt, kan en god DR-plan hjælpe interessenter med bedre at forstå de risici for almindelige forretningsfunktioner, som en bestemt trussel kan udgøre. Virksomheder, der ikke investerer i business continuity disaster recovery (BCDR), er mere tilbøjelige til at opleve tab af data, nedetid, økonomiske sanktioner og skade på omdømme på grund af uplanlagte hændelser.

Her er nogle af de fordele, som virksomheder, der investerer i forretningskontinuitet og katastrofeberedskabsplaner, kan forvente:

• Forkortet nedetid: Når en katastrofe lukker normal forretningsdrift, kan det koste virksomhederne hundredvis af millioner af dollars at komme op at køre igen. Høj profil cyberangreb er særligt skadelige, tiltrækker ofte uønsket opmærksomhed og får investorer og kunder til at flygte til konkurrenter, der annoncerer kortere nedetider. Implementering af en stærk BCDR-plan kan forkorte din genopretningstidsramme, uanset hvilken type katastrofe du står over for.
• Lavere finansiel risiko: Ifølge IBM's seneste Cost of Data Breach Report, de gennemsnitlige omkostninger ved et databrud var USD 4.45 millioner i 2023 – en stigning på 15 % siden 2020. Virksomheder med stærke forretningskontinuitetsplaner har vist, at de kan reducere disse omkostninger betydeligt ved at forkorte nedetider og øge kundernes og investorernes tillid.
• Reducerede bøder: Databrud kan medføre store bøder, når private kundeoplysninger lækkes. Virksomheder, der opererer inden for sundhedssektoren og privatøkonomi, har en højere risiko på grund af følsomheden af ​​de data, de håndterer. At have en stærk forretningskontinuitetsstrategi på plads er bydende nødvendigt for virksomheder, der opererer i disse sektorer, hvilket hjælper med at holde risikoen for tunge økonomiske sanktioner relativt lav.

Sådan opbygger du en katastrofegenopretningsplan for forretningskontinuitet

Business continuity disaster recovery (BCDR) planlægning er mest effektiv, når virksomheder har en separat, men koordineret tilgang. Mens forretningskontinuitetsplaner (BCP'er) og disaster recovery-planer (DRP'er) ligner hinanden, er der vigtige forskelle, der gør det fordelagtigt at udvikle dem separat:

• Stærke BCP'er fokuserer på taktik til at holde normale operationer kørende før, under og umiddelbart efter en katastrofe. 
• DRP'er har en tendens til at være mere reaktive og skitserer måder, hvorpå man kan reagere på en hændelse og få alt op at køre uden problemer.

Før vi dykker ned i, hvordan du kan opbygge effektive BCP'er og DRP'er, lad os se på et par termer, der er relevante for begge:

• Mål for restitutionstid (RTO): RTO refererer til den tid, det tager at genoprette forretningsprocesser efter en uplanlagt hændelse. Etablering af en rimelig RTO er en af ​​de første ting, virksomheder skal gøre, når de opretter enten en BCP eller DRP. 
• Recovery Point Objective (RPO): Din virksomheds recovery point goal (RPO) er mængden af ​​data, den har råd til at miste i en katastrofe og stadig genoprette. Da databeskyttelse er en kernefunktion i mange moderne virksomheder, kopierer nogle konstant data til en fjernbetjening datacenter at sikre kontinuitet i tilfælde af et massivt brud. Andre sætter en tolerabel RPO på et par minutter (eller endda timer) for forretningsdata, der skal gendannes fra et backup-system og ved, at de vil være i stand til at gendanne alt det, der gik tabt i løbet af den tid.

Sådan opbygger du en forretningskontinuitetsplan (BCP) 

Mens hver virksomhed vil have lidt forskellige krav, når det kommer til planlægning af forretningskontinuitet, er der fire udbredte trin, der giver stærke resultater uanset størrelse eller branche.

1. Kør en forretningskonsekvensanalyse 

Business impact analysis (BIA) hjælper organisationer med bedre at forstå de forskellige trusler, de står over for. Stærk BIA inkluderer at skabe robuste beskrivelser af alle potentielle trusler og eventuelle sårbarheder, de måtte afsløre. BIA estimerer også sandsynligheden for hver begivenhed, så organisationen kan prioritere dem i overensstemmelse hermed.

2. Skab potentielle svar

For hver trussel, du identificerer i din BIA, skal du udvikle et svar til din virksomhed. Forskellige trusler kræver forskellige strategier, så for hver katastrofe, du kan komme ud for, er det godt at lave en detaljeret plan for, hvordan du potentielt kan komme dig.

3. Tildel roller og ansvar

Det næste trin er at finde ud af, hvad der kræves af alle på dit katastrofeberedskabsteam i tilfælde af en katastrofe. Dette trin skal dokumentere forventninger og overveje, hvordan enkeltpersoner vil kommunikere under en uplanlagt hændelse. Husk, at mange trusler lukker vigtige kommunikationsfunktioner som mobil- og Wi-Fi-netværk ned, så det er klogt at have kommunikationsprocedurer, som du kan stole på.

4. Repeter og revider din plan

For hver trussel, du har forberedt dig på, bliver du nødt til konstant at øve og forfine BCDR-planer, indtil de fungerer problemfrit. Øv et så realistisk scenarie, som du kan, uden at udsætte nogen for en reel risiko, så teammedlemmer kan opbygge tillid og opdage, hvordan de sandsynligvis vil præstere i tilfælde af en afbrydelse af forretningskontinuiteten.

Sådan opbygger du en katastrofegenopretningsplan (DRP)

Ligesom BCP'er identificerer DRP'er nøgleroller og -ansvar og skal konstant testes og forfines for at være effektive. Her er en meget brugt fire-trins proces til at oprette DRP'er.

1. Kør en forretningskonsekvensanalyse

Ligesom din BCP begynder din DRP med en omhyggelig vurdering af hver trussel, din virksomhed kan stå over for, og hvad dens implikationer kan være. Overvej den skade, hver potentiel trussel kan forårsage, og sandsynligheden for, at den afbryder din daglige forretningsdrift. Yderligere overvejelser kan omfatte tab af omsætning, nedetid, omkostninger til omdømmereparation (public relations) og tab af kunder og investorer på grund af dårlig presse.

2. Inventar dine aktiver

Effektive DRP'er kræver, at du ved præcis, hvad din virksomhed ejer. Udfør regelmæssigt disse opgørelser, så du nemt kan identificere hardware, software, it-infrastruktur og alt andet, din organisation er afhængig af til kritiske forretningsfunktioner. Du kan bruge følgende etiketter til at kategorisere hvert aktiv og prioritere dets beskyttelse – kritisk, vigtigt og uvigtigt.

• Kritisk: Mærk aktiver kritiske, hvis du er afhængig af dem til din normale forretningsdrift.
• Vigtig: Giv denne etiket til alt, hvad du bruger mindst én gang om dagen, og hvis det bliver afbrudt, vil det påvirke dine kritiske operationer (men ikke lukke dem helt ned).
• Uvæsentlig: Dette er de aktiver, din virksomhed ejer, men bruger sjældent nok til at gøre dem unødvendige for normal drift.

3. Tildel roller og ansvar

Ligesom i din BCP skal du beskrive ansvar og sikre, at dine teammedlemmer har det, de skal bruge for at udføre dem. Her er nogle udbredte roller og ansvar at overveje:

• Incident reporter: En person, der vedligeholder kontaktoplysninger til relevante parter og kommunikerer med virksomhedsledere og interessenter, når der opstår forstyrrende begivenheder.
• DRP tilsynsførende: En person, der sikrer, at teammedlemmer udfører de opgaver, de er blevet tildelt under en hændelse. 
• Asset manager: En person, hvis opgave det er at sikre og beskytte kritiske aktiver, når en katastrofe rammer. 

4. Genhør din plan

Ligesom med din BCP, bliver du nødt til konstant at øve og opdatere din DRP, for at den er effektiv. Øv dig regelmæssigt og opdater dine dokumenter i henhold til eventuelle meningsfulde ændringer, der skal foretages. For eksempel, hvis din virksomhed erhverver et nyt aktiv, efter din DRP er blevet dannet, skal du indarbejde det i din plan fremover, ellers vil det ikke være beskyttet, når katastrofen rammer.

Eksempler på stærk forretningskontinuitet og katastrofeberedskabsplaner

Uanset om du har brug for en business continuity plan (BCP), en disaster recovery plan (DRP) eller begge arbejder sammen eller hver for sig, kan det hjælpe at se på, hvordan andre virksomheder har lagt planer for at øge deres beredskab. Her er et par eksempler på planer, der har hjulpet virksomheder med både BC og DR forberedelse.

• Krisehåndteringsplan: En god krisestyringsplan kan være en del af enten forretningskontinuitet eller katastrofeberedskabsplanlægning. Krisehåndteringsplaner er detaljerede dokumenter, der beskriver, hvordan du vil håndtere en specifik trussel. De giver detaljerede instruktioner om, hvordan en organisation vil reagere på en bestemt form for krise, såsom strømafbrydelse, cyberkriminalitet eller naturkatastrofe; specifikt, hvordan de vil håndtere presset time for time og minut for minut, mens begivenheden udspiller sig. Mange af de trin, roller og ansvar, der kræves i forretningskontinuitets- og katastrofeberedskabsplanlægning, er relevante for gode krisestyringsplaner.
• Kommunikationsplan: Kommunikationsplaner (eller kommunikationsplaner) gælder ligeledes for forretningskontinuitet og katastrofeberedskab. De skitserer, hvordan din organisation specifikt vil adressere PR-problemer under en uplanlagt hændelse. For at opbygge en god kommunikationsplan koordinerer virksomhedsledere typisk med kommunikationsspecialister for at formulere deres kommunikationsplaner. Nogle har specifikke planer på plads for katastrofer, der anses for både sandsynlige og alvorlige, så de ved præcis, hvordan de vil reagere.
• Netværksgendannelsesplan: Netværksgendannelsesplaner hjælper organisationer med at gendanne afbrydelser af netværkstjenester, herunder internetadgang, cellulære data, lokale netværk (LAN'er) og wide area networks (WAN'er). Netværksgenopretningsplaner er typisk brede i omfang, da de fokuserer på et grundlæggende og væsentligt behov – kommunikation – og bør betragtes mere på siden af ​​forretningskontinuitet end katastrofeoprettelse. I betragtning af vigtigheden af ​​mange netværkstjenester for forretningsdrift, fokuserer netværksgendannelsesplaner på de nødvendige trin for at genoprette tjenester hurtigt og effektivt efter en afbrydelse.
• Datacenter genopretningsplan: En datacentergendannelsesplan er mere tilbøjelig til at blive inkluderet i en BCP end en DRP på grund af dens fokus på datasikkerhed og trusler mod it-infrastruktur. Nogle almindelige trusler mod sikkerhedskopiering af data omfatter overbelastet personale, cyberangreb, strømafbrydelser og problemer med at følge overholdelseskrav. 
• Virtualiseret genopretningsplan: Ligesom en datacenterplan er en virtualiseret genopretningsplan mere tilbøjelig til at være en del af en BCP end en DRP på grund af en BCP's fokus på IT og dataressourcer. Virtualiserede genopretningsplaner er afhængige af virtuel maskine (VM) tilfælde, der kan gå i drift inden for et par minutter efter en afbrydelse. Virtuelle maskiner er repræsentationer/emuleringer af fysiske computere, der giver kritisk applikationsgendannelse gennem høj tilgængelighed (HA), eller et systems evne til at fungere kontinuerligt uden fejl.

Løsninger til forretningskontinuitet og disaster recovery 

Selv en mindre afbrydelse kan sætte din virksomhed i fare. IBM har en bred vifte af beredskabsplaner og disaster recovery-løsninger til at hjælpe med at forberede din virksomhed til at stå over for en række forskellige trusler, herunder cloud backup og disaster recovery-funktioner og sikkerheds- og robusthedstjenester.

Beskyt data og fremskynd gendannelsen med IBMs løsninger til forretningskontinuitetsplanlægning