Neprekinjeno poslovanje v primerjavi z obnovitvijo po katastrofi: kateri načrt je pravi za vas? – IBM-ov blog

Načrti neprekinjenega poslovanja in obnovitve po katastrofi so strategije za obvladovanje tveganja, na katere se podjetja zanašajo, da se pripravijo na nepričakovane incidente. Čeprav sta izraza tesno povezana, obstaja nekaj ključnih razlik, ki jih je vredno upoštevati pri izbiri tistega, ki je pravi za vas:

• Načrt neprekinjenega poslovanja (BCP): BCP je podroben načrt, ki opisuje korake, ki jih bo organizacija sprejela, da se v primeru katastrofe vrne k običajnim poslovnim funkcijam. Če se druge vrste načrtov lahko osredotočajo na en poseben vidik obnovitve in preprečevanja prekinitev (kot je naravna katastrofa ali kibernetski napad), BCP uporabljajo širok pristop in si prizadevajo zagotoviti, da se lahko organizacija sooči s čim širšim naborom groženj.
• Načrt za obnovitev po katastrofi (DRP): Bolj podrobne narave kot BCP, načrti za obnovo po katastrofi sestavljajo načrti ukrepov ob nepredvidljivih dogodkih, kako bodo podjetja posebej zaščitila svoje sisteme IT in kritične podatke med prekinitvijo. Poleg BCP načrti DR pomagajo podjetjem zaščititi podatke in sisteme IT pred številnimi različnimi scenariji nesreč, kot so množični izpadi, naravne nesreče, izsiljevalska in zlonamerna programska oprema napadi in mnogi drugi.
• Neprekinjeno poslovanje in obnovitev po katastrofi (BCDR): Neprekinjeno poslovanje in obnovitev po katastrofi (BCDR) se lahko lotimo skupaj ali ločeno, odvisno od poslovnih potreb. V zadnjem času se vse več podjetij usmerja k skupnemu izvajanju obeh disciplin in od vodstvenih delavcev zahteva sodelovanje pri praksah BC in DR, namesto da delajo ločeno. To je vodilo do združitve obeh izrazov v enega, BCDR, vendar bistveni pomen obeh praks ostaja nespremenjen.

Ne glede na to, kako se odločite pristopiti k razvoju BCDR v vaši organizaciji, je vredno omeniti, kako hitro se to področje širi po vsem svetu. Ker so posledice slabega BCDR, kot so izguba podatkov in izpadi, vedno dražje, številna podjetja dodajajo svoje obstoječe naložbe. Lansko leto so bila podjetja po vsem svetu pripravljena porabiti 219 milijard USD za kibernetsko varnost in rešitve, kar je 12 % več kot leto prej. glede na nedavno poročilo Mednarodne podatkovne korporacije (IDC) (povezava je zunaj ibm.com).

Zakaj so načrti za neprekinjeno poslovanje in obnovitev po katastrofi pomembni?

Načrti neprekinjenega poslovanja (BCP) in načrti za obnovitev po katastrofi (DRP) pomagajo organizacijam pri pripravi na širok nabor nenačrtovanih incidentov. Če je učinkovit načrt za reševanje težav, lahko zainteresiranim stranem pomaga bolje razumeti tveganja za redne poslovne funkcije, ki jih lahko predstavlja določena grožnja. Podjetja, ki ne vlagajo v obnovitev neprekinjenega poslovanja po katastrofi (BCDR), bodo zaradi nenačrtovanih incidentov bolj verjetno doživela izgubo podatkov, izpade, finančne kazni in škodo za ugled.

Tukaj je nekaj prednosti, ki jih lahko pričakujejo podjetja, ki vlagajo v načrte za neprekinjeno poslovanje in obnovo po katastrofi:

• Skrajšan čas nedelovanja: Ko nesreča prekine običajne poslovne operacije, lahko podjetja stanejo stotine milijonov dolarjev, da ponovno začnejo delovati. Odmeven kibernetski napadi so še posebej škodljivi, saj pogosto pritegnejo neželeno pozornost in povzročijo, da vlagatelji in stranke pobegnejo h konkurentom, ki oglašujejo krajše zastoje. Izvedba močnega načrta BCDR lahko skrajša vaš časovni okvir okrevanja ne glede na vrsto katastrofe, s katero se soočate.
• Nižje finančno tveganje: Glede na IBM-ovo nedavno poročilo o stroških kršitve podatkov, povprečni strošek vdora podatkov je leta 4.45 znašal 2023 milijona USD – kar je 15-odstotno povečanje od leta 2020. Podjetja z močnimi načrti za neprekinjeno poslovanje so pokazala, da lahko te stroške znatno zmanjšajo s skrajšanjem izpadov ter povečanjem zaupanja strank in vlagateljev.
• Znižane kazni: Kršitve podatkov lahko povzročijo visoke kazni, kadar pricurljajo zasebni podatki o strankah. Podjetja, ki delujejo na področju zdravstva in osebnih financ, so izpostavljena večjemu tveganju zaradi občutljivosti podatkov, s katerimi obdelujejo. Za podjetja, ki delujejo v teh sektorjih, je nujna vzpostavljena močna strategija neprekinjenega poslovanja, ki pomaga ohranjati razmeroma nizko tveganje visokih finančnih kazni.

Kako zgraditi načrt za obnovitev neprekinjenega poslovanja po katastrofi

Načrtovanje neprekinjenega poslovanja po nesreči (BCDR) je najučinkovitejše, če podjetja uporabijo ločen, a usklajen pristop. Medtem ko so načrti za neprekinjeno poslovanje (BCP) in načrti za obnovitev po nesreči (DRP) podobni, obstajajo pomembne razlike, zaradi katerih je njihov ločen razvoj ugoden:

• Močne BCP se osredotočajo na taktike za ohranjanje normalnega delovanja pred, med in takoj po nesreči. 
• DRP-ji so ponavadi bolj reaktivni, opisujejo načine, kako se odzvati na incident in vzpostaviti vse znova in nemoteno.

Preden se poglobimo v to, kako lahko zgradite učinkovite BCP in DRP, si poglejmo nekaj izrazov, ki so pomembni za oba:

• Ciljni čas okrevanja (RTO): RTO se nanaša na količino časa, ki je potreben za obnovitev poslovnih procesov po nenačrtovanem incidentu. Vzpostavitev razumnega RTO je ena od prvih stvari, ki jih morajo podjetja narediti, ko ustvarjajo BCP ali DRP. 
• Ciljna točka obnovitve (RPO): Ciljna točka obnovitve (RPO) vašega podjetja je količina podatkov, ki si jih lahko privošči izgubiti v primeru katastrofe in jih še vedno obnoviti. Ker je varstvo podatkov temeljna zmogljivost mnogih sodobnih podjetij, nekatera nenehno kopirajo podatke na daljinsko upravljanje podatkovni center zagotoviti kontinuiteto v primeru velike kršitve. Drugi določijo sprejemljiv RPO nekaj minut (ali celo ur) za obnovitev poslovnih podatkov iz varnostnega sistema in vedo, da bodo lahko obnovili vse, kar je bilo v tem času izgubljeno.

Kako sestaviti načrt neprekinjenega poslovanja (BCP) 

Medtem ko bo imelo vsako podjetje nekoliko drugačne zahteve, ko gre za načrtovanje neprekinjenega poslovanja, obstajajo štirje pogosto uporabljeni koraki, ki prinašajo odlične rezultate ne glede na velikost ali panogo.

1. Izvedite analizo vpliva na poslovanje 

Analiza vpliva na poslovanje (BIA) pomaga organizacijam bolje razumeti različne grožnje, s katerimi se soočajo. Močan BIA vključuje ustvarjanje zanesljivih opisov vseh potencialnih groženj in morebitnih ranljivosti, ki bi jih lahko izpostavile. Poleg tega BIA oceni verjetnost vsakega dogodka, tako da jim lahko organizacija ustrezno razvrsti prednost.

2. Ustvarite potencialne odzive

Za vsako grožnjo, ki jo prepoznate v svojem BIA, boste morali razviti odgovor za svoje podjetje. Različne grožnje zahtevajo različne strategije, zato je za vsako nesrečo, s katero se lahko soočite, dobro ustvariti podroben načrt za morebitno okrevanje.

3. Dodelite vloge in odgovornosti

Naslednji korak je ugotoviti, kaj se zahteva od vseh v vaši ekipi za obnovo po nesreči v primeru nesreče. Ta korak mora dokumentirati pričakovanja in upoštevati, kako bodo posamezniki komunicirali med nenačrtovanim incidentom. Ne pozabite, da številne grožnje onemogočijo ključne komunikacijske zmogljivosti, kot so mobilna omrežja in omrežja Wi-Fi, zato je pametno imeti nadomestne komunikacijske postopke, na katere se lahko zanesete.

4. Vadite in popravite svoj načrt

Za vsako grožnjo, na katero ste pripravljeni, boste morali nenehno vaditi in izpopolnjevati načrte BCDR, dokler ne bodo delovali gladko. Vadite čim bolj realističen scenarij, ne da bi koga dejansko ogrozili, tako da lahko člani ekipe zgradijo zaupanje in odkrijejo, kako bodo verjetno delovali v primeru prekinitve neprekinjenega poslovanja.

Kako sestaviti načrt za obnovitev po katastrofi (DRP)

Tako kot BCP tudi DRP določajo ključne vloge in odgovornosti ter jih je treba nenehno preizkušati in izpopolnjevati, da so učinkoviti. Tukaj je široko uporabljen postopek v štirih korakih za ustvarjanje DRP.

1. Izvedite analizo vpliva na poslovanje

Tako kot vaš BCP se tudi vaš DRP začne s skrbno oceno vsake grožnje, s katero bi se lahko soočilo vaše podjetje, in kakšne so lahko njene posledice. Upoštevajte škodo, ki bi jo lahko povzročila vsaka morebitna grožnja, in verjetnost, da bo motila vaše vsakodnevne poslovne operacije. Dodatni premisleki lahko vključujejo izgubo prihodka, izpade, stroške popravljanja ugleda (odnosi z javnostmi) ter izgubo strank in vlagateljev zaradi slabega tiska.

2. Popišite svoja sredstva

Učinkoviti DRP zahtevajo, da natančno veste, kaj ima vaše podjetje v lasti. Redno izvajajte te inventure, da boste lahko zlahka prepoznali strojno opremo, programsko opremo, infrastrukturo IT in vse ostalo, na kar se vaša organizacija zanaša pri kritičnih poslovnih funkcijah. Naslednje oznake lahko uporabite za kategorizacijo vsakega sredstva in prednostno razvrščanje njegove zaščite – kritično, pomembno in nepomembno.

• Kritično: Sredstva označite kot kritična, če ste od njih odvisni pri običajnem poslovanju.
• pomembno: Dajte to oznako vsemu, kar uporabljate vsaj enkrat na dan in bi, če bi bilo moteno, vplivalo na vaše kritične operacije (vendar jih ne zaustavite v celoti).
• nepomembno: To so sredstva, ki jih ima vaše podjetje, vendar jih uporablja dovolj redko, da so nepomembna za normalno delovanje.

3. Dodelite vloge in odgovornosti

Tako kot v vašem BCP boste morali opisati odgovornosti in zagotoviti, da imajo člani vaše ekipe vse, kar potrebujejo za njihovo opravljanje. Tukaj je nekaj pogosto uporabljenih vlog in odgovornosti, ki jih je treba upoštevati:

• Poročevalec incidenta: Nekdo, ki vzdržuje kontaktne podatke za ustrezne stranke in komunicira z vodji podjetij in deležniki, ko pride do motečih dogodkov.
• DRP nadzornik: Nekdo, ki zagotavlja, da člani ekipe opravljajo naloge, ki so jim bile dodeljene med incidentom. 
• Upravitelj sredstev: Nekdo, čigar naloga je zavarovati in zaščititi ključna sredstva, ko pride do nesreče. 

4. Vadite svoj načrt

Tako kot pri vašem BCP boste morali tudi svoj DRP nenehno vaditi in posodabljati, da bo učinkovit. Redno vadite in posodabljajte svoje dokumente v skladu z morebitnimi pomembnimi spremembami, ki jih je treba izvesti. Na primer, če vaše podjetje pridobi novo sredstvo po oblikovanju vašega DRP, ga boste morali vključiti v svoj načrt za naprej, sicer ne bo zaščiteno, ko pride do nesreče.

Primeri močne kontinuitete poslovanja in načrtov za obnovitev po katastrofi

Ne glede na to, ali potrebujete načrt neprekinjenega poslovanja (BCP), načrt za obnovitev po katastrofi (DRP) ali oba, ki delujeta skupaj ali ločeno, vam lahko pomaga pogledati, kako so druga podjetja pripravila načrte za povečanje svoje pripravljenosti. Tukaj je nekaj primerov načrtov, ki so podjetjem pomagali tako pri pripravi BC kot DR.

• Načrt kriznega upravljanja: Dober načrt za obvladovanje kriznih razmer bi lahko bil del načrtovanja neprekinjenega poslovanja ali načrtovanja obnove po katastrofi. Načrti kriznega upravljanja so podrobni dokumenti, ki opisujejo, kako boste obvladovali določeno grožnjo. Zagotavljajo podrobna navodila o tem, kako se bo organizacija odzvala na določeno vrsto krize, kot je izpad električne energije, kibernetski kriminal ali naravna katastrofa; natančneje, kako se bodo spopadali s pritiski iz ure v uro in iz minute v minuto, medtem ko se dogodek odvija. Številni koraki, vloge in odgovornosti, ki se zahtevajo pri načrtovanju neprekinjenega poslovanja in obnove po katastrofi, so pomembni za dobre načrte kriznega upravljanja.
• Komunikacijski načrt: Komunikacijski načrti (ali komunikacijski načrti) enako veljajo za prizadevanja za neprekinjeno poslovanje in obnovitev po katastrofi. Opišejo, kako bo vaša organizacija posebej obravnavala vprašanja PR med nenačrtovanim incidentom. Za izgradnjo dobrega komunikacijskega načrta se vodje podjetij običajno usklajujejo s strokovnjaki za komunikacije, da oblikujejo svoje komunikacijske načrte. Nekateri imajo pripravljene posebne načrte za nesreče, ki se štejejo za verjetne in hude, tako da natančno vedo, kako se bodo odzvali.
• Načrt za obnovitev omrežja: Načrti za obnovitev omrežja pomagajo organizacijam obnoviti prekinitve omrežnih storitev, vključno z dostopom do interneta, mobilnimi podatki, lokalnimi omrežji (LAN) in prostranimi omrežji (WAN). Načrti za obnovitev omrežja so običajno širokega obsega, saj se osredotočajo na osnovno in nujno potrebo – komunikacijo – in jih je treba obravnavati bolj na strani neprekinjenega poslovanja kot na obnovitev po katastrofi. Glede na pomen številnih omrežnih storitev za poslovne operacije se načrti za obnovitev omrežja osredotočajo na korake, potrebne za hitro in učinkovito obnovitev storitev po prekinitvi.
• Podatkovno središče obnovitveni načrt: Načrt obnovitve podatkovnega centra je bolj verjetno vključen v BCP kot DRP, ker se osredotoča na varnost podatkov in grožnje infrastrukturi IT. Nekatere pogoste grožnje varnostnemu kopiranju podatkov vključujejo preobremenjeno osebje, kibernetske napade, izpade električne energije in težave pri izpolnjevanju zahtev skladnosti. 
• Načrt virtualizirane obnovitve: Tako kot načrt podatkovnega centra je verjetneje, da bo načrt virtualizirane obnovitve del BCP kot DRP, ker je BCP osredotočen na IT in podatkovne vire. Virtualizirani obnovitveni načrti temeljijo na navidezni stroj (VM) primerki, ki lahko začnejo delovati v nekaj minutah po prekinitvi. Virtualni stroji so predstavitve/emulacije fizičnih računalnikov, ki zagotavljajo kritično obnovitev aplikacij prek visoke razpoložljivosti (HA) ali zmožnosti sistema, da neprekinjeno deluje brez napak.

Rešitve za neprekinjeno poslovanje in obnovitev po katastrofi 

Že manjša motnja lahko ogrozi vaše podjetje. IBM ima široko paleto načrtov ukrepov ob nepredvidljivih dogodkih in rešitev za obnovitev po katastrofi, ki vam pomagajo pripraviti vaše podjetje na soočenje z različnimi grožnjami, vključno z zmogljivostmi varnostnega kopiranja v oblaku in obnovitve po katastrofi ter storitvami varnosti in odpornosti.

Zaščitite podatke in pospešite obnovitev z IBM-ovimi rešitvami za načrtovanje neprekinjenega poslovanja