Continuitatea afacerii vs. recuperare în caz de dezastru: care plan este potrivit pentru dvs.? – Blogul IBM

Continuitatea afacerii și planurile de recuperare în caz de dezastru sunt strategii de gestionare a riscurilor pe care se bazează companiile pentru a se pregăti pentru incidente neașteptate. Deși termenii sunt strâns legați, există câteva diferențe cheie care merită luate în considerare atunci când alegeți care este potrivit pentru dvs.:

• Planul de continuitate a afacerii (BCP): Un BCP este un plan detaliat care subliniază pașii pe care o organizație va face pentru a reveni la funcțiile normale de afaceri în cazul unui dezastru. În cazul în care alte tipuri de planuri se pot concentra pe un aspect specific al recuperării și prevenirii întreruperilor (cum ar fi un dezastru natural sau un atac cibernetic), BCP-urile adoptă o abordare largă și urmăresc să se asigure că o organizație se poate confrunta cu o gamă cât mai largă de amenințări.
• Plan de recuperare în caz de dezastru (DRP): Mai detaliat ca natură decât BCP-urile, planuri de recuperare în caz de dezastru constau în planuri de urgență pentru modul în care întreprinderile își vor proteja în mod specific sistemele IT și datele critice în timpul unei întreruperi. Alături de BCP, planurile DR ajută companiile să protejeze datele și sistemele IT de multe scenarii diferite de dezastre, cum ar fi întreruperi masive, dezastre naturale, Ransomware și malware atacuri și multe altele.
• Continuitatea afacerii și recuperarea în caz de dezastru (BCDR): Continuitatea afacerii și recuperare în caz de dezastru (BCDR) pot fi abordate împreună sau separat în funcție de nevoile afacerii. Recent, tot mai multe companii se îndreaptă spre practicarea celor două discipline împreună, cerând directorilor să colaboreze la practicile BC și DR, mai degrabă decât să lucreze izolat. Acest lucru a condus la combinarea celor doi termeni într-unul singur, BCDR, dar sensul esenţial al celor două practici rămâne neschimbat.

Indiferent de modul în care alegeți să abordați dezvoltarea BCDR la organizația dvs., merită remarcat cât de repede crește domeniul la nivel mondial. Pe măsură ce rezultatele BCDR proaste, cum ar fi pierderea de date și timpul de nefuncționare, devin din ce în ce mai scumpe, multe întreprinderi adaugă la investițiile lor existente. Anul trecut, companiile din întreaga lume erau gata să cheltuiască 219 miliarde USD pentru securitate cibernetică și soluții, o creștere cu 12% față de anul precedent. conform unui raport recent al International Data Corporation (IDC) (linkul se află în afara ibm.com).

De ce sunt importante continuitatea afacerii și planurile de recuperare în caz de dezastru?

Planurile de continuitate a afacerii (BCP) și planurile de recuperare în caz de dezastru (DRP) ajută organizațiile să se pregătească pentru o gamă largă de incidente neplanificate. Atunci când este implementat eficient, un plan de DR bun poate ajuta părțile interesate să înțeleagă mai bine riscurile pentru funcțiile obișnuite de afaceri pe care le poate reprezenta o anumită amenințare. Întreprinderile care nu investesc în recuperarea în caz de dezastru în continuitatea afacerii (BCDR) au mai multe șanse să se confrunte cu pierderi de date, timpi de nefuncționare, penalități financiare și daune reputației din cauza incidentelor neplanificate.

Iată câteva dintre beneficiile la care se pot aștepta companiile care investesc în continuitatea afacerii și planuri de recuperare în caz de dezastru:

• Timp de nefuncționare scurtat: Când un dezastru oprește operațiunile normale de afaceri, poate costa întreprinderilor sute de milioane de dolari pentru a-și relua funcționarea. De profil înalt atacuri cibernetice sunt deosebit de dăunătoare, atrăgând frecvent atenția nedorită și determinând investitorii și clienții să fugă la concurenți care promovează timpi de nefuncționare mai scurti. Implementarea unui plan BCDR puternic vă poate scurta perioada de recuperare, indiferent de tipul de dezastru cu care vă confruntați.
• Risc financiar mai mic: În conformitate cu Raportul IBM recent privind costul încălcării datelor, costul mediu al unei încălcări a datelor a fost de 4.45 milioane USD în 2023 – o creștere cu 15% față de 2020. Întreprinderile cu planuri puternice de continuitate a activității au demonstrat că pot reduce aceste costuri în mod semnificativ prin scurtarea timpilor de nefuncționare și creșterea încrederii clienților și investitorilor.
• Sancțiuni reduse: Încălcarea datelor poate duce la penalități mari atunci când informațiile private despre clienți sunt scurse. Companiile care operează în domeniul sănătății și al finanțelor personale sunt expuse unui risc mai mare din cauza sensibilității datelor pe care le manipulează. Este imperativ să existe o strategie puternică de continuitate a afacerii pentru întreprinderile care își desfășoară activitatea în aceste sectoare, contribuind la menținerea relativ scăzută a riscului de penalități financiare grele.

Cum să construiți un plan de recuperare în caz de dezastru pentru continuitatea afacerii

Planificarea continuității activității în caz de dezastru (BCDR) este cea mai eficientă atunci când întreprinderile adoptă o abordare separată, dar coordonată. În timp ce planurile de continuitate a afacerii (BCP) și planurile de recuperare în caz de dezastru (DRP) sunt similare, există diferențe importante care fac ca dezvoltarea lor separat să fie avantajoasă:

• BCP-urile puternice se concentrează pe tactici pentru menținerea operațiunilor normale înainte, în timpul și imediat după un dezastru. 
• DRP-urile tind să fie mai reactive, conturând modalități de a răspunde la un incident și de a face totul înapoi și să funcționeze fără probleme.

Înainte de a descoperi cum puteți construi BCP-uri și DRP-uri eficiente, să ne uităm la câțiva termeni care sunt relevanți pentru ambele:

• Obiectivul timpului de recuperare (RTO): RTO se referă la timpul necesar pentru a restabili procesele de afaceri după un incident neplanificat. Stabilirea unui RTO rezonabil este unul dintre primele lucruri pe care companiile trebuie să le facă atunci când creează fie un BCP, fie un DRP. 
• Obiectiv punct de recuperare (RPO): Obiectivul punctului de recuperare al companiei dvs. (RPO) este cantitatea de date pe care își poate permite să le piardă într-un dezastru și să le recupereze. Deoarece protecția datelor este o capacitate de bază a multor întreprinderi moderne, unele copiază în mod constant datele pe o telecomandă centru de date pentru a asigura continuitatea în cazul unei încălcări masive. Alții stabilesc un RPO tolerabil de câteva minute (sau chiar ore) pentru ca datele de afaceri să fie recuperate dintr-un sistem de rezervă și știu că vor putea recupera din orice a fost pierdut în acel timp.

Cum să construiți un plan de continuitate a afacerii (BCP) 

În timp ce fiecare afacere va avea cerințe ușor diferite atunci când vine vorba de planificarea continuității afacerii, există patru pași folosiți pe scară largă care dau rezultate puternice, indiferent de dimensiune sau industrie.

1. Efectuați o analiză a impactului asupra afacerii 

Analiza impactului asupra afacerii (BIA) ajută organizațiile să înțeleagă mai bine diferitele amenințări cu care se confruntă. BIA puternică include crearea de descrieri solide ale tuturor amenințărilor potențiale și ale oricăror vulnerabilități pe care le-ar putea expune. De asemenea, BIA estimează probabilitatea fiecărui eveniment, astfel încât organizația să le poată prioritiza în consecință.

2. Creați răspunsuri potențiale

Pentru fiecare amenințare pe care o identificați în BIA, va trebui să dezvoltați un răspuns pentru afacerea dvs. Diferite amenințări necesită strategii diferite, așa că pentru fiecare dezastru cu care te-ai putea confrunta este bine să creezi un plan detaliat despre cum te-ai putea recupera.

3. Atribuiți roluri și responsabilități

Următorul pas este să vă dați seama ce este necesar de la toți membrii echipei dvs. de recuperare în caz de dezastru în cazul unui dezastru. Acest pas trebuie să documenteze așteptările și să ia în considerare modul în care indivizii vor comunica în timpul unui incident neplanificat. Amintiți-vă, multe amenințări închid capabilitățile cheie de comunicare, cum ar fi rețelele celulare și Wi-Fi, așa că este înțelept să aveți proceduri de rezervă de comunicare pe care să vă puteți baza.

4. Repetați și revizuiți-vă planul

Pentru fiecare amenințare pentru care v-ați pregătit, va trebui să exersați și să perfecționați în mod constant planurile BCDR până când acestea funcționează fără probleme. Repetați un scenariu cât se poate de realist, fără a expune pe nimeni un risc real, astfel încât membrii echipei să își dezvolte încrederea și să descopere cum ar putea funcționa în cazul unei întreruperi a continuității activității.

Cum să construiți un plan de recuperare în caz de dezastru (DRP)

La fel ca BCP, DRP-urile identifică roluri și responsabilități cheie și trebuie testate și perfecționate în mod constant pentru a fi eficiente. Iată un proces în patru pași utilizat pe scară largă pentru crearea DRP-urilor.

1. Efectuați o analiză a impactului asupra afacerii

La fel ca BCP, DRP începe cu o evaluare atentă a fiecărei amenințări cu care se poate confrunta compania și care ar putea fi implicațiile acesteia. Luați în considerare daunele pe care le poate provoca fiecare potențială amenințare și probabilitatea ca aceasta să vă întrerupă operațiunile zilnice de afaceri. Considerații suplimentare ar putea include pierderea de venituri, timpul de nefuncționare, costul reparației reputației (relații publice) și pierderea clienților și a investitorilor din cauza presei proaste.

2. Inventariază-ți bunurile

DRP-urile eficiente necesită să știți exact ce deține întreprinderea dvs. Efectuați în mod regulat aceste inventare, astfel încât să puteți identifica cu ușurință hardware-ul, software-ul, infrastructura IT și orice altceva pe care se bazează organizația dvs. pentru funcțiile critice de afaceri. Puteți folosi următoarele etichete pentru a clasifica fiecare activ și pentru a prioritiza protecția acestuia – critic, important și neimportant.

• Critic: Etichetați activele critice dacă depindeți de ele pentru operațiunile dvs. normale de afaceri.
• Important: Dați această etichetă oricărui lucru pe care îl utilizați cel puțin o dată pe zi și, dacă este întrerupt, va afecta operațiunile critice (dar nu le-ar opri complet).
• Neimportant: Acestea sunt activele pe care le deține afacerea dvs., dar le folosește suficient de rar pentru a le face neesențiale pentru operațiunile normale.

3. Atribuiți roluri și responsabilități

Ca și în BCP, va trebui să descrieți responsabilitățile și să vă asigurați că membrii echipei au ceea ce au nevoie pentru a le îndeplini. Iată câteva roluri și responsabilități utilizate pe scară largă de luat în considerare:

• Reporter de incident: Cineva care păstrează informațiile de contact pentru părțile relevante și comunică cu liderii de afaceri și părțile interesate atunci când apar evenimente perturbatoare.
• DRP supraveghetor: Cineva care se asigură că membrii echipei îndeplinesc sarcinile care le-au fost atribuite în timpul unui incident. 
• Manager de active: Cineva a cărui sarcină este să asigure și să protejeze activele critice atunci când se produce un dezastru. 

4. Repetați-vă planul

La fel ca în cazul BCP, va trebui să exersați și să actualizați constant DRP pentru ca acesta să fie eficient. Exersați în mod regulat și actualizați-vă documentele în funcție de orice modificări semnificative care trebuie făcute. De exemplu, dacă compania dvs. achiziționează un nou activ după ce DRP a fost format, va trebui să îl încorporați în planul dvs. de viitor sau nu va fi protejat atunci când se produce un dezastru.

Exemple de planuri puternice de continuitate a afacerii și de recuperare în caz de dezastru

Indiferent dacă aveți nevoie de un plan de continuitate a afacerii (BCP), un plan de recuperare în caz de dezastru (DRP) sau ambele lucrând împreună sau separat, vă poate ajuta să vedeți cum alte companii au pus în aplicare planuri pentru a-și spori pregătirea. Iată câteva exemple de planuri care au ajutat companiile atât cu pregătirea pentru BC, cât și pentru DR.

• Plan de management al crizei: Un plan bun de gestionare a crizelor ar putea face parte fie din planificarea continuității afacerii, fie din planificarea recuperării în caz de dezastru. Planurile de gestionare a crizelor sunt documente detaliate care descriu modul în care veți gestiona o anumită amenințare. Acestea oferă instrucțiuni detaliate despre modul în care o organizație va răspunde la un anumit tip de criză, cum ar fi o întrerupere a curentului electric, infracțiunea cibernetică sau un dezastru natural; în special, cum vor face față presiunilor oră cu oră și minut cu minut în timp ce evenimentul se desfășoară. Mulți dintre pașii, rolurile și responsabilitățile necesare în planificarea continuității activității și a recuperării în caz de dezastru sunt relevanți pentru planuri bune de gestionare a crizelor.
• Plan de comunicare: Planurile de comunicații (sau planurile de comunicații) se aplică în mod egal și eforturilor de continuitate a activității și de recuperare în caz de dezastru. Acestea descriu modul în care organizația dvs. va aborda în mod specific preocupările de PR în timpul unui incident neplanificat. Pentru a construi un plan de comunicații bun, liderii de afaceri se coordonează de obicei cu specialiștii în comunicare pentru a-și formula planurile de comunicare. Unii au planuri specifice pentru dezastre care sunt considerate atât probabile, cât și grave, ca să știe exact cum vor răspunde.
• Plan de recuperare a rețelei: Planurile de recuperare a rețelei ajută organizațiile să recupereze întreruperile serviciilor de rețea, inclusiv accesul la internet, datele celulare, rețelele locale (LAN) și rețelele de zonă largă (WAN). Planurile de recuperare a rețelei sunt de obicei extinse, deoarece se concentrează pe o nevoie de bază și esențială - comunicarea - și ar trebui luate în considerare mai mult din partea continuității afacerii decât a recuperării în caz de dezastru. Având în vedere importanța multor servicii în rețea pentru operațiunile de afaceri, planurile de recuperare a rețelei se concentrează pe pașii necesari pentru restabilirea rapidă și eficientă a serviciilor după o întrerupere.
• Centru de date plan de recuperare: Este mai probabil ca un plan de recuperare a centrului de date să fie inclus într-un BCP decât într-un DRP, din cauza concentrării sale asupra securității datelor și a amenințărilor la adresa infrastructurii IT. Unele amenințări comune la adresa backupului de date includ personalul supraîncărcat, atacurile cibernetice, întreruperile de curent și dificultățile în urma cerințelor de conformitate. 
• Plan de recuperare virtualizat: La fel ca un plan de centru de date, un plan de recuperare virtualizat este mai probabil să facă parte dintr-un BCP decât dintr-un DRP, din cauza concentrării BCP pe IT și resursele de date. Pe care se bazează planurile de recuperare virtualizate mașină virtuală (VM) cazuri care pot intra în funcțiune în câteva minute de la o întrerupere. Mașinile virtuale sunt reprezentări/emulații ale computerelor fizice care asigură recuperarea aplicațiilor critice prin disponibilitate înaltă (HA) sau capacitatea unui sistem de a funcționa continuu fără a eșua.

Soluții de continuitate a afacerii și de recuperare în caz de dezastru 

Chiar și o întrerupere minoră vă poate pune afacerea în pericol. IBM are o gamă largă de planuri de urgență și soluții de recuperare în caz de dezastru pentru a vă ajuta să vă pregătiți afacerea pentru a face față unei varietăți de amenințări, inclusiv capabilități de backup în cloud și de recuperare în caz de dezastru și servicii de securitate și rezistență.

Protejați datele și accelerați recuperarea cu soluțiile IBM de planificare a continuității afacerii