Серия «Безопасность»: последние советы по обратному отсчету для аварийного восстановления и обеспечения непрерывности бизнеса (часть 6 из 6)
Содержание
- Глава 1: Тактика аварийного восстановления, обеспечивающая непрерывность бизнеса
- Глава 2: Цель аварийного восстановления
- Глава 3: Формулировка плана обеспечения непрерывности бизнеса
- Глава 4: Цели и этапы аварийного восстановления
- Глава 5: Подготовка здания
- Глава 6. Последние советы по обратному отсчету для аварийного восстановления и обеспечения непрерывности бизнеса
Еще не было организации, которая не пострадала от случайной потери данных в результате инцидента или стихийного бедствия. Кроме того, игнорирование этих фактов является незаконным, поскольку в Соединенных Штатах данные не защищаются, поскольку к информации относятся очень серьезно, и в настоящее время руководители подвергаются судебному преследованию за то, что не проявляют должной осмотрительности, необходимой для защиты данных. Данные — это уже не просто товар, а растущий актив и, более того, интеллектуальная собственность организации.
Важно, чтобы план выполнялся всеми участниками. План состоит из небольших задач, которые в конечном итоге объединяются для формирования полного плана обеспечения непрерывности и восстановления. Координация такого плана требует руководителя проекта или ИТ-специалиста, который хорошо разбирается в аварийном восстановлении ИТ, планировании и внедрении непрерывности. По этой причине важно убедиться, что выбранный человек имеет необходимый опыт, он будет нести частичную ответственность за успех такой имплантации.
Самая большая ошибка в аварийном восстановлении и обеспечении непрерывности бизнеса на сегодняшний день, несомненно, связана с отсутствием резервных копий или повреждением непроверенных резервных лент. Ленты, которые не восстанавливают данные, когда это необходимо, или отказ механизмов резервного копирования являются обычным явлением, и это часто является основной причиной сбоя. Вы не сможете восстановиться, если у вас нет резервных копий. Как бы очевидно это ни звучало, многие не понимают этого. Многие организации призвали операции по восстановлению, чтобы помочь восстановить удаленные данные и данные, потерянные из-за физической катастрофы и стихийного бедствия, которые препятствуют бизнесу. Можно было бы подумать, что жизненно важные файлы базы данных и жизненно важные документы будут сохранены, но многие организации придерживаются следующей позиции: если это работает, не реагируйте и не проявляйте инициативу; они реагируют только тогда, когда данные исчезают, а это, в свою очередь, стоит тысячи долларов убытков, поскольку ценны не только данные, но и время, затраченное на их создание.
Важно, чтобы все клиенты в сети были проинформированы о планах ИТ-специалиста по внедрению BC и аварийного восстановления. Клиенты должны быть проинформированы о том, что они должны хранить данные организации в центральном месте, которое будет частью стратегии резервного копирования. Если все клиенты будут следовать этому подходу, резервное копирование данных компании должно быть намного проще.
Необходимо разработать комплексную корпоративную программу информирования о процедурах процесса восстановления бизнеса. Это поможет формализовать политику аварийного восстановления и укрепить ее важность в сознании заинтересованных пользователей. Руководители групп и сотрудники, участвующие в процессе BCP, должны быть обучены, а это означает, что в бюджете должно быть предусмотрено содействие обучению.
Директора должны задать себе вопрос: может ли бизнес прожить хоть один день без доступа к критически важным технологическим системам, таким как электронная почта, база данных и файлы, связанные с платежной ведомостью? Если это так, организации, возможно, потребуется инвестировать в технологию восстановления. Однако имейте в виду, что лучшие инвестиции окупятся в долгосрочной перспективе, особенно в случае аварии или потери данных. Не стоит экономить, если план не соответствует потребностям вашего бизнеса. Рекомендуется, чтобы, если риск существенный, по крайней мере 1-5% стоимости данных были заложены в бюджет для их защиты.
Система, которую ИТ-специалист использует для бизнес-процессов и аварийного восстановления, должна быть решением, которое можно масштабировать в соответствии с будущими потребностями организации и которое не привязывает организацию к конкретной технологии или поставщику. Преимущества, реализуемые благодаря регулярным инновациям в технологиях серверов и хранилищ, будут сведены на нет из-за негибкой системы аварийного восстановления. По этой причине важно, чтобы технология пересматривалась ежегодно.
Назначение ответственного агента за выполнение плана обеспечения непрерывности бизнеса
Крайне важно, чтобы BCP обновлялся упорядоченно и чтобы команда была в курсе изменений каждый раз, когда он обновлялся. Тестирование BCP при выполнении параллельного теста или репетиции DR выделит области, которыми можно было пренебречь и которые необходимо добавить в BCP. Это, в свою очередь, должно привести к изменению документа, который утверждается и обновляется агентом, назначенным руководителем группы.
Изменить элементы управления для обновления плана
Настоятельно рекомендуется придерживаться официального контроля изменений. Это необходимо для покрытия любых необходимых изменений, внесенных в BCP. Управление изменениями — это добродетель, которую необходимо практиковать в любой организации, желающей соответствовать передовым методам ведения бизнеса. Сложные системы должны быть задокументированы на благо организации. Даже если человек, настраивающий систему, находится на постоянной должности, крайне важно, чтобы все шаги, относящиеся к BCP/DRP, были задокументированы и сохранены в безопасном удаленном месте.
Готовность к восстановлению
План DR и BC должен быть живым документом. Они должны отражать самую последнюю доступную информацию. Руководители проектов несут ответственность за пересмотр и обновление своих планов на регулярной основе, по крайней мере, каждый квартал после и перед каждым тестом.
Необходимо проводить регулярную проверку и аудит ваших резервных и непредвиденных обстоятельств, поскольку это является частью процесса должной осмотрительности. Это необходимо для обеспечения непрерывности вашей корпоративной ИТ, чтобы гарантировать, что вы сможете противостоять и восстанавливаться после крупного инцидента или аварии.
Документация и готовность
Некоторая документация делается для заполнения необходимой роли или для соответствия требованиям аудитора. Документация нужна для того, чтобы иметь возможность отследить и воссоздать систему без двусмысленности, быстро и эффективно. Другая причина состоит в том, чтобы защитить организацию от чрезмерной зависимости от одного человека или группы людей, которые могут погибнуть в результате стихийного бедствия или могут покинуть организацию в любое время.
Многие профессионалы чувствуют угрозу со стороны документации, но когда достигается уровень зрелости, при котором профессионал представляет собой нечто большее, чем задокументированная работа, угроза исчезает. Если ученый-ракетчик и астронавт могут задокументировать весь процесс доставки ракетного корабля на Луну и его посадки на Луну, то документирование DR или любой ИТ-системы может быть достигнуто. Как бы вы ни смотрели на эту жизненно важную часть аварийного восстановления, следует отметить, что документация не должна быть предназначена для того, чтобы кто-либо мог выполнить восстановление, и должна быть предназначена для ИТ-специалистов, обладающих внутренними знаниями. Это означает, что документация не должна быть слишком подробной, чтобы запутать человека, восстанавливающего систему, но должна быть достаточно подробной, чтобы устранить сомнения при восстановлении. Для этого типа документации прочитайте руководство.
Если все задокументировано и спланировано на случай стихийного бедствия, восстановление критически важных ИТ-систем должно пройти гладко, без особых обсуждений и выглядеть организованным и профессиональным. ИТ-специалист должен знать, что забвение простого факта, не включенного в план, может привести к сбою восстановления данных и, в свою очередь, может затруднить процесс обеспечения непрерывности. По этой причине важно использовать кого-то, кто имеет адекватные рекомендации и опыт в планировании аварийного восстановления.
Документация должна храниться в удаленном месте и даже в другом состоянии на случай землетрясений, цунами и других стихийных бедствий, охватывающих огромные территории. Удаленные пункты, которые находятся в филиалах, могут работать как регулярные перевозки внутренней почты между двумя сайтами.
Хорошая идея состоит в том, чтобы сформировать контрольный список, которому следует следовать после начала стихийного бедствия. Вы можете включить информацию и контактные данные поставщиков и организаций, которые смогут помочь в восстановлении поврежденных систем.
Советы по ДР и БК
- Устранение единых точек отказа.
- Убедитесь, что ваши пароли хранятся в документации и что документация находится в безопасном месте, желательно в запечатанном конверте.
- Убедитесь, что на месте имеется необходимое оборудование на случай инцидента или небольшой аварии.
- Используйте ИБП со схемой фильтра. ИБП = постоянная мощность. Некоторые не защищают от скачков напряжения, и это необходимо учитывать при покупке или планировании на случай непредвиденных обстоятельств.
- Физическая безопасность — хороший план на случай непредвиденных обстоятельств для обеспечения непрерывности бизнеса. Это уменьшит возможные потери, вызванные многими факторами, которым необходим физический доступ к вашим серверам и данным.
- Тушение пожара и защита всегда хорошая идея.
- Защитите критически важные системы с приоритетом.
- Храните ленты вне офиса и убедитесь, что поставщик может вернуть их по запросу. Попробуйте выбрать поставщика, который находится в другом географическом местоположении.
Резюме
Эта статья завершает серию, и мы рассмотрели многие аспекты, которые необходимо учитывать при разработке как плана аварийного восстановления, так и плана обеспечения непрерывности бизнеса. Эти статьи и электронная книга в целом должны использоваться в качестве руководства в помощь ИТ-специалисту по безопасности. В конечном счете, руководители несут ответственность за защиту данных организации, и никакие их действия не могут снять эту ответственность. Быть в безопасности! Убедитесь, что ваша организация уже сегодня приступает к DRP/BRP. Для получения дополнительной информации и консультаций вы можете связаться с Fastennet @www. fastnet.com