Wanneer het noodlot toeslaat: Ben je voorbereid? Navigeren door de essentie van bedrijfscontinuïteit en noodherstel

In het digitale landschap van vandaag zijn cyberaanvallen een altijd aanwezige bedreiging, op de loer in de schaduw, klaar om operaties te verstoren en gevoelige gegevens in gevaar te brengen. Zelfs met de meest geavanceerde beveiligingsmaatregelen zijn inbreuken onvermijdelijk. Als het ergste gebeurt, zal uw bedrijf dan in staat zijn om de storm te doorstaan en er sterker uit te komen?

Het antwoord ligt in het hebben van een goed gedefinieerd Business Continuity (BC) en Disaster Recovery (DR) plan, uw reddingslijn in een crisis. BC zorgt ervoor dat uw kritieke activiteiten blijven draaien, zelfs bij tegenspoed, terwijl DR zich richt op het snel herstellen van verloren gegevens en infrastructuur.

Maar waar begin je als je nog nooit zo'n plan hebt ontwikkeld? 

Laten we het proces ontrafelen en de essentiële stappen verkennen om u op weg te helpen op weg naar veerkracht.

Stap 1: Verzamel informatie: Praat met elke afdeling

Welke afdelingsactiviteiten beschouwen we als het meest cruciaal en waarom:

• Begin klein . . . We willen op dit moment gewoon de top twee!
• Dit vertelt ons wat we moeten herstellen!

Welke middelen zijn nodig om deze kritieke activiteiten mogelijk te maken:

• Toegang tot ons netwerk? Het internet? Telefoons, bureaus, laptops, software? 
• Hebben we mensen nodig met essentiële vaardigheden of belangrijke zakelijke records?
• Dit vertelt ons wat er nodig is om het herstel uit te voeren!

Nu vragen we ons af wat er zal gebeuren als we deze activiteiten niet kunnen doen:

• Wanneer voldoen we niet meer aan wet- en regelgeving of contractuele mandaten?
• Wanneer zal de operationele impact worden gerealiseerd?
• Wanneer wordt de achterstand in het werk onbeheersbaar?
• Wanneer zullen de financiële gevolgen worden gerealiseerd?
• Wanneer hebben we een concurrentieachterstand?
• Op een schaal van 1-5 hoe erg zal het verlies van kritieke functionaliteit het bedrijf binnen een paar uur, een paar dagen of zelfs een paar weken beïnvloeden.
• Vanuit een zakelijk perspectief vertelt dit ons wat er moet worden hersteld, hoe snel en in welke volgorde, als we de crisis willen overleven. Het is echter aan het management om uiteindelijk de pikorde te bepalen!

Alternatieve strategieën:

• Zijn er handmatige oplossingen en hoe lang zouden deze levensvatbaar blijven?
• Kunnen de werkzaamheden op afstand worden uitgevoerd?
• Zou u de werklast kunnen verschuiven naar een ander onderdeel van het bedrijf of naar een derde partij?
• Welke activiteiten kunnen veilig worden gedropt?
• Heb je ooit eerder een verstoring gehad en zo ja, wat is er gebeurd en welke lessen zijn er geleerd?
• Dit vertelt ons wat er kan worden gedaan om ons in de tussentijd mobiel te houden.

Stap 2: Metrieken gebruiken voor de planning

Voor elke kritieke activiteit zouden we nu in staat moeten zijn om te berekenen:

DE HERSTELPUNTDOELSTELLING (RPO):

Dit is de hoeveelheid gegevens die we ons kunnen veroorloven te verliezen voordat het incident plaatsvindt. 

Maar hoe minder gegevens we ons kunnen veroorloven te verliezen, hoe duurder het leven wordt. Een wekelijkse back-up op tape is bijvoorbeeld een relatief eenvoudige en goedkope oplossing voor elke IT-afdeling om te implementeren als we het ons kunnen veroorloven om 6 dagen aan gegevens te verliezen. Een tolerantie van slechts 2 uur verlies vereist echter iets in de trant van schijfspiegeling of journaal op afstand! Dit is een arbeidsintensiever proces om in de loop van de tijd te configureren, te bedienen en te onderhouden.

KORTOM: HET IS EEN KWESTIE VAN KOSTENVOORDEEL!

Het management zal met IT moeten praten! Welke opslagoplossing biedt het beste beschermingsniveau voor de hoeveelheid geld die we bereid zijn uit te geven, gezien het kritieke karakter van de functie?

Dit gesprek moet ook een aantal werkbare procedures opleveren. Hoe worden de gegevens opgeslagen? Hoe zal het worden hersteld? Hoe weten we of het überhaupt gerestaureerd moet worden? Wie zal het bewaren? Wie gaat het herstellen? Hoe kunnen we controleren of het opslaan van de gegevens en het herstellen van de gegevens goed werkt? Wie zijn de belangrijkste aanspreekpunten?

ACCEPTABEL ONDERBREKINGSVENSTER (AIW): 

Dit is onze tweede maatstaf: hoe lang kunnen we maximaal wachten op het herstel van een kritieke service? Het overschrijden van deze maatstaf vormt een existentiële bedreiging voor het bedrijf.

DOELSTELLING HERSTELTIJD (RTO):

Nu we de AIW kennen, kunnen we samenwerken met IT, om onze eigen hersteldoelen te stellen. Dit staat bekend als de RTO en het omvat de mogelijkheid om de service (of eventuele afhankelijkheden) op te starten, te configureren, de gegevens te importeren en te controleren of alles koek en ei is. 

Net als bij de RPO vereist onmiddellijk herstel zeer veerkrachtige architecturen en kan dit hoge kosten met zich meebrengen. Als het bedrijf echter langere vertragingen kan tolereren tussen het punt van de ramp en de hervatting van het kritieke pad, kan een zwakkere SLA die door een leverancier of derde partij wordt aangeboden, voldoende zijn.

KORTOM: HET IS NOG STEEDS EEN KWESTIE VAN KOSTENVOORDEEL!

Net als voorheen moeten management en IT financieel haalbare opties bespreken. Welke hersteltijden zijn betaalbaar en beschermen ons tegen toekomstige verliezen? Ook dit zou het gesprek over procedures op gang moeten brengen. Wie gaat wat, wanneer en hoe doen? Hoe zullen de belangrijkste spelers communiceren? Hoe kunnen we een deel van het plan testen om er zeker van te zijn dat het soepel verloopt?

Testen is misschien niets meer dan meerdere belanghebbenden die een checklist met activiteiten doornemen, 'wat als-scenario's' aan tafel leggen of zeer kleinschalige onderbrekingen uitvoeren terwijl we ervaring en vertrouwen opbouwen.

Laten we eens kijken naar onze laatste metriek. . .

DE MAXIMAAL TOELAATBARE UITVAL (MTO):

Dit stelt de vraag; Hoe lang kunt u in onvoorziene omstandigheden blijven? 1 week? 2, 3?

Voor een deel hangt dit af van hoeveel kritieke functies u kunt herstellen en of we het hebben over volledig herstel of slechts 20% van de warp-drivecapaciteit! Maar het hangt ook af van de workarounds die je mogelijk hebt gezien tijdens STAP 1. Als deze uitgebreid en succesvol zijn, kunnen we het meestal wat langer volhouden.

Stap 3: Documentatie

Meestal maken we een Master BCDR-plan dat verwijst naar andere kritieke documenten, maar vergeet niet dat we alleen de basis willen.

• Bespreek de doelstellingen van het document.
• Leg duidelijk uit waarom het management vereist dat het bedrijf BC/DR serieus neemt, zoals de angst voor financiële verliezen, reputatieschade, nalevingsproblemen, verlies van concurrentievoordeel of het moreel van de werknemers.
• Leg de criteria uit om het plan te initiëren en de oproep om af te treden.  Dit is kritischer dan je denkt. Te vroeg of te laat naar BC/DR verhuizen kan je financieel ruïneren, dus wat is een crisis? Is het een natuurramp, een grote IT-storing, een cyberaanval, het verlies van belangrijk personeel, een pandemie?
• Raadpleeg eventuele normen en procedures met betrekking tot back-up en het herstel van gegevens (RPO).
• Verwijs naar eventuele normen en procedures met betrekking tot het herstel van kritieke systemen (RTO).
• Verwijs naar de rollen en verantwoordelijkheden van de belangrijkste spelers en zorg ervoor dat ze de autoriteit en middelen hebben om op te treden.

BC/DR-planning lijkt misschien ontmoedigend, maar het is een cruciale investering in de toekomst van uw bedrijf. De stappen die hier worden beschreven, bieden een solide basis voor het opstellen van een plan dat aansluit bij de unieke behoeften van uw organisatie.

In de nasleep van een ramp komt de echte waarde van paraatheid naar voren. Met een robuust BC/DR-plan bent u uitgerust om uitdagingen aan te gaan, verliezen te minimaliseren en veerkrachtig te worden. "Door je niet voor te bereiden, bereid je je voor om te falen."

Bescherm uw bedrijf met Firebrand

De afgelopen 13 jaar op rij zijn we uitgeroepen tot een van de 20 beste IT-trainingsbedrijven ter wereld.

Wij zijn gespecialiseerd in versnelde training die u helpt om twee keer zo snel bekwaam, zelfverzekerd en gecertificeerd te worden.

Zou een van onze cursussen geschikt kunnen zijn voor jou of je team?

Bekijk al onze cursussen.