Forretningskontinuitet vs. katastrofegjenoppretting: Hvilken plan passer for deg? – IBM-bloggen

Forretningskontinuitet og katastrofegjenopprettingsplaner er risikostyringsstrategier som bedrifter er avhengige av for å forberede seg på uventede hendelser. Selv om begrepene er nært beslektet, er det noen viktige forskjeller som er verdt å vurdere når du velger det som passer for deg:

• Forretningskontinuitetsplan (BCP): En BCP er en detaljert plan som skisserer trinnene en organisasjon vil ta for å gå tilbake til normale forretningsfunksjoner i tilfelle en katastrofe. Der andre typer planer kan fokusere på ett spesifikt aspekt av gjenoppretting og avbruddsforebygging (som en naturkatastrofe eller nettangrep), tar BCPer en bred tilnærming og tar sikte på å sikre at en organisasjon kan møte et så bredt spekter av trusler som mulig.
• Katastrofegjenopprettingsplan (DRP): Mer detaljert i naturen enn BCP-er, katastrofegjenopprettingsplaner bestå av beredskapsplaner for hvordan virksomheter spesifikt vil beskytte sine IT-systemer og kritiske data under et avbrudd. Ved siden av BCP-er hjelper DR-planer bedrifter med å beskytte data og IT-systemer fra mange forskjellige katastrofescenarier, som massive strømbrudd, naturkatastrofer, ransomware og malware angrep og mange andre.
• Forretningskontinuitet og katastrofegjenoppretting (BCDR): Forretningskontinuitet og katastrofegjenoppretting (BCDR) kan kontaktes sammen eller hver for seg avhengig av forretningsbehov. Nylig har flere og flere virksomheter beveget seg mot å praktisere de to disiplinene sammen, og ber ledere om å samarbeide om BC- og DR-praksis i stedet for å jobbe isolert. Dette har ført til å kombinere de to begrepene til ett, BCDR, men den vesentlige betydningen av de to praksisene forblir uendret.

Uansett hvordan du velger å nærme deg utviklingen av BCDR i din organisasjon, er det verdt å merke seg hvor raskt feltet vokser over hele verden. Ettersom resultatene av dårlig BCDR som tap av data og nedetid blir dyrere og dyrere, legger mange bedrifter til sine eksisterende investeringer. I fjor var selskaper over hele verden klar til å bruke 219 milliarder USD på cybersikkerhet og løsninger, en økning på 12 % fra året før ifølge en fersk rapport fra International Data Corporation (IDC) (linken ligger utenfor ibm.com).

Hvorfor er forretningskontinuitet og katastrofegjenopprettingsplaner viktige?

Forretningskontinuitetsplaner (BCP) og katastrofegjenopprettingsplaner (DRP) hjelper organisasjoner med å forberede seg på et bredt spekter av uplanlagte hendelser. Når den implementeres effektivt, kan en god DR-plan hjelpe interessenter bedre å forstå risikoen for vanlige forretningsfunksjoner som en bestemt trussel kan utgjøre. Bedrifter som ikke investerer i business continuity disaster recovery (BCDR) er mer sannsynlig å oppleve tap av data, nedetid, økonomiske straffer og skade på omdømme på grunn av uplanlagte hendelser.

Her er noen av fordelene som bedrifter som investerer i forretningskontinuitet og katastrofegjenopprettingsplaner kan forvente:

• Forkortet nedetid: Når en katastrofe stenger normal forretningsdrift, kan det koste bedrifter hundrevis av millioner av dollar å komme i gang igjen. Høy profil cyberattacks er spesielt skadelige, tiltrekker seg ofte uønsket oppmerksomhet og får investorer og kunder til å flykte til konkurrenter som annonserer kortere nedetider. Implementering av en sterk BCDR-plan kan forkorte gjenopprettingstidsrammen uavhengig av hva slags katastrofe du står overfor.
• Lavere finansiell risiko: Ifølge IBMs nylige Cost of Data Breach Report, gjennomsnittlig kostnad for et datainnbrudd var USD 4.45 millioner i 2023 – en økning på 15 % siden 2020. Bedrifter med sterke forretningskontinuitetsplaner har vist at de kan redusere disse kostnadene betydelig ved å forkorte nedetidene og øke tilliten til kunder og investorer.
• Reduserte straffer: Datainnbrudd kan gi store straffer når privatkundeinformasjon lekkes. Bedrifter som opererer innen helsevesen og privatøkonomi har en høyere risiko på grunn av sensitiviteten til dataene de håndterer. Å ha en sterk forretningskontinuitetsstrategi på plass er avgjørende for virksomheter som opererer i disse sektorene, noe som bidrar til å holde risikoen for tunge økonomiske straffer relativt lav.

Hvordan bygge en katastrofegjenopprettingsplan for forretningskontinuitet

Business Continuity Disaster Recovery (BCDR) planlegging er mest effektiv når bedrifter tar en separat, men koordinert tilnærming. Mens forretningskontinuitetsplaner (BCP) og katastrofegjenopprettingsplaner (DRP) er like, er det viktige forskjeller som gjør det fordelaktig å utvikle dem separat:

• Sterke BCP-er fokuserer på taktikk for å holde normale operasjoner i gang før, under og umiddelbart etter en katastrofe. 
• DRP-er har en tendens til å være mer reaktive, og skisserer måter å reagere på en hendelse og få alt oppe og gå jevnt igjen.

Før vi dykker inn i hvordan du kan bygge effektive BCP-er og DRP-er, la oss se på et par termer som er relevante for begge:

• Gjenopprettingstidsmål (RTO): RTO refererer til hvor lang tid det tar å gjenopprette forretningsprosesser etter en uplanlagt hendelse. Å etablere en rimelig RTO er en av de første tingene bedrifter må gjøre når de oppretter enten en BCP eller DRP. 
• Gjenopprettingspunktmål (RPO): Bedriftens gjenopprettingspunktmål (RPO) er mengden data den har råd til å miste i en katastrofe og fortsatt gjenopprette. Siden databeskyttelse er en kjernefunksjon i mange moderne virksomheter, kopierer noen stadig data til en fjernkontroll datasenter for å sikre kontinuitet i tilfelle et massivt brudd. Andre setter en tolerabel RPO på noen få minutter (eller til og med timer) for forretningsdata som skal gjenopprettes fra et sikkerhetskopisystem og vet at de vil kunne gjenopprette fra det som gikk tapt i løpet av den tiden.

Hvordan bygge en forretningskontinuitetsplan (BCP) 

Mens hver virksomhet vil ha litt forskjellige krav når det kommer til planlegging for forretningskontinuitet, er det fire mye brukte trinn som gir sterke resultater uavhengig av størrelse eller bransje.

1. Kjør en forretningskonsekvensanalyse 

Business impact analysis (BIA) hjelper organisasjoner bedre å forstå de ulike truslene de står overfor. Sterk BIA inkluderer å lage robuste beskrivelser av alle potensielle trusler og eventuelle sårbarheter de kan avsløre. BIA estimerer også sannsynligheten for hver hendelse slik at organisasjonen kan prioritere dem deretter.

2. Lag potensielle svar

For hver trussel du identifiserer i din BIA, må du utvikle en respons for virksomheten din. Ulike trusler krever forskjellige strategier, så for hver katastrofe du kan møte er det greit å lage en detaljert plan for hvordan du potensielt kan komme deg.

3. Tildel roller og ansvar

Det neste trinnet er å finne ut hva som kreves av alle i nødhjelpsteamet ditt i tilfelle en katastrofe. Dette trinnet må dokumentere forventninger og vurdere hvordan enkeltpersoner vil kommunisere under en uplanlagt hendelse. Husk at mange trusler stenger viktige kommunikasjonsfunksjoner som mobilnettverk og Wi-Fi-nettverk, så det er lurt å ha reserveprosedyrer for kommunikasjon du kan stole på.

4. Repeter og revider planen din

For hver trussel du har forberedt deg på, må du hele tiden øve og avgrense BCDR-planer til de fungerer problemfritt. Øv et så realistisk scenario du kan uten å sette noen i en reell risiko, slik at teammedlemmene kan bygge opp selvtillit og oppdage hvordan de sannsynligvis vil prestere i tilfelle avbrudd i forretningskontinuiteten.

Hvordan bygge en katastrofegjenopprettingsplan (DRP)

I likhet med BCPer identifiserer DRP nøkkelroller og ansvarsområder og må hele tiden testes og foredles for å være effektive. Her er en mye brukt fire-trinns prosess for å lage DRPer.

1. Kjør en forretningskonsekvensanalyse

I likhet med BCP-en din, begynner DRP-en din med en nøye vurdering av hver trussel bedriften din kan møte og hva dens implikasjoner kan være. Vurder skaden hver potensiell trussel kan forårsake og sannsynligheten for at den forstyrrer din daglige forretningsdrift. Ytterligere hensyn kan inkludere tap av inntekter, nedetid, kostnader for reparasjon av omdømme (public relations) og tap av kunder og investorer på grunn av dårlig presse.

2. Inventar dine eiendeler

Effektive DRPer krever at du vet nøyaktig hva bedriften din eier. Utfør disse inventarene regelmessig slik at du enkelt kan identifisere maskinvare, programvare, IT-infrastruktur og alt annet organisasjonen din er avhengig av for kritiske forretningsfunksjoner. Du kan bruke følgende etiketter for å kategorisere hver ressurs og prioritere beskyttelsen – kritisk, viktig og uviktig.

• Kritisk: Merk aktiva som er kritiske hvis du er avhengig av dem for din normale forretningsdrift.
• Viktig: Gi denne etiketten til alt du bruker minst én gang om dagen, og hvis det blir forstyrret, vil det påvirke kritiske operasjoner (men ikke stenge dem helt).
• Uviktig: Dette er eiendelene bedriften din eier, men bruker sjelden nok til å gjøre dem unødvendige for normal drift.

3. Tildel roller og ansvar

Som i din BCP, må du beskrive ansvar og sikre at teammedlemmene har det de trenger for å utføre dem. Her er noen mye brukte roller og ansvar du bør vurdere:

• Hendelsesreporter: Noen som vedlikeholder kontaktinformasjon for relevante parter og kommuniserer med bedriftsledere og interessenter når forstyrrende hendelser oppstår.
• DRP veileder: Noen som sørger for at teammedlemmer utfører oppgavene de har blitt tildelt under en hendelse. 
• Kapitalforvalter: Noen hvis jobb det er å sikre og beskytte kritiske eiendeler når en katastrofe inntreffer. 

4. Repeter planen din

Akkurat som med din BCP, må du hele tiden øve og oppdatere DRP for at den skal være effektiv. Øv regelmessig og oppdater dokumentene dine i henhold til eventuelle meningsfulle endringer som må gjøres. For eksempel, hvis bedriften din anskaffer en ny eiendel etter at din DRP har blitt dannet, må du inkludere den i planen din fremover, ellers vil den ikke være beskyttet når en katastrofe inntreffer.

Eksempler på sterk forretningskontinuitet og katastrofegjenopprettingsplaner

Enten du trenger en forretningskontinuitetsplan (BCP), en katastrofegjenopprettingsplan (DRP), eller begge jobber sammen eller hver for seg, kan det hjelpe å se på hvordan andre virksomheter har lagt planer for å øke beredskapen. Her er noen eksempler på planer som har hjulpet bedrifter med både BC og DR forberedelse.

• Krisehåndteringsplan: En god krisehåndteringsplan kan være en del av enten forretningskontinuitet eller katastrofegjenopprettingsplanlegging. Krisehåndteringsplaner er detaljerte dokumenter som skisserer hvordan du skal håndtere en spesifikk trussel. De gir detaljerte instruksjoner om hvordan en organisasjon vil reagere på en bestemt type krise, for eksempel strømbrudd, nettkriminalitet eller naturkatastrofe; spesifikt hvordan de vil takle presset time for time og minutt for minutt mens hendelsen utspiller seg. Mange av trinnene, rollene og ansvaret som kreves i forretningskontinuitet og katastrofegjenopprettingsplanlegging er relevante for gode krisehåndteringsplaner.
• Kommunikasjonsplan: Kommunikasjonsplaner (eller kommunikasjonsplaner) gjelder også for forretningskontinuitet og katastrofegjenoppretting. De skisserer hvordan organisasjonen din spesifikt vil ta opp PR-problemer under en uplanlagt hendelse. For å bygge en god kommunikasjonsplan koordinerer bedriftsledere vanligvis med kommunikasjonsspesialister for å formulere sine kommunikasjonsplaner. Noen har spesifikke planer på plass for katastrofer som anses som både sannsynlige og alvorlige, slik at de vet nøyaktig hvordan de vil svare.
• Nettverksgjenopprettingsplan: Nettverksgjenopprettingsplaner hjelper organisasjoner med å gjenopprette avbrudd i nettverkstjenester, inkludert internettilgang, mobildata, lokale nettverk (LAN) og wide area networks (WAN). Nettverksgjenopprettingsplaner er vanligvis brede i omfang siden de fokuserer på et grunnleggende og essensielt behov – kommunikasjon – og bør vurderes mer på siden av forretningskontinuitet enn katastrofegjenoppretting. Gitt viktigheten av mange nettverkstjenester for forretningsdrift, fokuserer nettverksgjenopprettingsplaner på trinnene som trengs for å gjenopprette tjenester raskt og effektivt etter et avbrudd.
• Datasenter gjenopprettingsplan: En gjenopprettingsplan for datasenter er mer sannsynlig å bli inkludert i en BCP enn en DRP på grunn av dens fokus på datasikkerhet og trusler mot IT-infrastruktur. Noen vanlige trusler mot sikkerhetskopiering av data inkluderer overbelastet personell, nettangrep, strømbrudd og problemer med å følge samsvarskrav. 
• Virtualisert gjenopprettingsplan: Som en datasenterplan er det mer sannsynlig at en virtualisert gjenopprettingsplan er en del av en BCP enn en DRP på grunn av en BCPs fokus på IT og dataressurser. Virtualiserte gjenopprettingsplaner er avhengige av virtuell maskin (VM) forekomster som kan gå i drift innen et par minutter etter et avbrudd. Virtuelle maskiner er representasjoner/emuleringer av fysiske datamaskiner som gir kritisk applikasjonsgjenoppretting gjennom høy tilgjengelighet (HA), eller evnen til et system til å operere kontinuerlig uten å svikte.

Løsninger for forretningskontinuitet og katastrofegjenoppretting 

Selv et mindre avbrudd kan sette virksomheten din i fare. IBM har et bredt spekter av beredskapsplaner og katastrofegjenopprettingsløsninger for å hjelpe deg med å forberede virksomheten din til å møte en rekke trusler, inkludert skysikkerhetskopiering og katastrofegjenopprettingsfunksjoner og sikkerhets- og motstandsdyktighetstjenester.

Beskytt data og rask gjenoppretting med IBMs løsninger for forretningskontinuitetsplanlegging