Wenn eine Katastrophe eintritt: Sind Sie vorbereitet? Die Grundlagen von Business Continuity und Disaster Recovery

In der heutigen digitalen Landschaft sind Cyberangriffe eine allgegenwärtige Bedrohung, die im Schatten lauert und bereit ist, den Betrieb zu stören und sensible Daten zu kompromittieren. Selbst mit den ausgefeiltesten Sicherheitsmaßnahmen sind Sicherheitsverletzungen unvermeidlich. Wird Ihr Unternehmen im schlimmsten Fall in der Lage sein, den Sturm zu überstehen und gestärkt daraus hervorzugehen?

Die Antwort liegt in einem klar definierten Business Continuity (BC) und Disaster Recovery (DR)-Plan, der in einer Krise Ihre Lebensader ist. BC stellt sicher, dass Ihre kritischen Abläufe auch bei Widrigkeiten weiterlaufen, während sich DR auf die schnelle Wiederherstellung verlorener Daten und Infrastrukturen konzentriert.

Aber wo fängt man an, wenn man noch nie einen solchen Plan entwickelt hat? 

Lassen Sie uns den Prozess entmystifizieren und die wesentlichen Schritte erkunden, die Ihnen den Einstieg auf den Weg zur Resilienz erleichtern.

Schritt 1: Sammeln Sie Informationen: Sprechen Sie mit jeder Abteilung

Welche Abteilungsaktivitäten halten wir für am kritischsten und warum:

• Fangen Sie klein an . . . Wir wollen zu diesem Zeitpunkt nur die ersten zwei!
• Das sagt uns, was wir wiederherstellen müssen!

Welche Ressourcen werden benötigt, um diese kritischen Aktivitäten zu ermöglichen:

• Zugang zu unserem Netzwerk? Das Internet? Telefone, Schreibtische, Laptops, Software? 
• Brauchen wir Leute mit grundlegenden Fähigkeiten oder wichtigen Geschäftsunterlagen?
• Dies sagt uns, was benötigt wird, um die Wiederherstellung durchzuführen!

Nun fragen wir uns, was passiert, wenn wir diese Aktivitäten nicht durchführen können:

• Wann werden wir uns nicht an Gesetze, Vorschriften oder vertragliche Vorgaben halten?
• Wann werden sich die operativen Auswirkungen bemerkbar machen?
• Wann wird der Arbeitsrückstand unüberschaubar sein?
• Wann werden die finanziellen Auswirkungen realisiert?
• Wann werden wir einen Wettbewerbsnachteil haben?
• Auf einer Skala von 1 bis 5, wie stark sich der Verlust kritischer Funktionen innerhalb weniger Stunden, Tage oder sogar Wochen auf das Unternehmen auswirken wird.
• Aus betriebswirtschaftlicher Sicht sagt uns das, was wie schnell und in welcher Reihenfolge wiederhergestellt werden muss, wenn wir die Krise überleben wollen. Es ist jedoch Sache des Managements, letztendlich über die Hackordnung zu entscheiden!

Alternative Strategien:

• Gibt es manuelle Workarounds und wie lange würden sie noch praktikabel bleiben?
• Könnte die Arbeit aus der Ferne ausgeführt werden?
• Könnten Sie die Arbeitslast auf einen anderen Teil des Unternehmens oder einen Dritten verlagern?
• Welche Aktivitäten können sicher weggelassen werden?
• Hatten Sie schon einmal eine Störung und wenn ja, was ist passiert und welche Lehren wurden daraus gezogen?
• Das sagt uns, was getan werden kann, um uns in der Zwischenzeit mobil zu halten.

Schritt 2: Verwenden von Metriken für die Planung

Für jede kritische Aktivität sollten wir nun in der Lage sein, Folgendes zu berechnen:

DAS RECOVERY POINT OBJECTIVE (RPO):

Dies ist die Menge an Daten, die wir uns leisten können, vor dem Vorfall zu verlieren. 

Je weniger Daten wir uns jedoch leisten können, desto teurer wird das Leben. Zum Beispiel ist ein wöchentliches Backup auf Band eine relativ unkomplizierte und kostengünstige Lösung, die jede IT-Abteilung implementieren kann, wenn wir es uns leisten können, Daten im Wert von 6 Tagen zu verlieren. Eine Toleranz von nur 2 Stunden Verlust erfordert jedoch etwas in der Art von Disc-Mirroring oder Remote-Journaling! Dies ist ein ressourcenintensiverer Prozess, der im Laufe der Zeit konfiguriert, betrieben und gewartet werden muss.

FAZIT: ES IST EINE FRAGE DES KOSTEN-NUTZENS!

Das Management muss mit der IT sprechen! Welche Speicherlösung bietet den besten Schutz für den Geldbetrag, den wir bereit sind auszugeben, wenn man bedenkt, wie wichtig die Funktion ist?

Dieses Gespräch sollte auch einige praktikable Verfahren hervorrufen. Wie werden die Daten gespeichert? Wie wird es wiederhergestellt? Woher wissen wir, ob es überhaupt restauriert werden muss? Wer wird es retten? Wer wird es restaurieren? Wie können wir überprüfen, ob das Speichern und Wiederherstellen der Daten gut funktioniert? Wer sind die wichtigsten Ansprechpartner?

AKZEPTABLES UNTERBRECHUNGSFENSTER (AIW): 

Dies ist unsere zweite Kennzahl: Wie lange können wir maximal auf die Wiederherstellung eines kritischen Dienstes warten? Das Überschreiten dieser Kennzahl stellt eine existenzielle Bedrohung für das Unternehmen dar.

ZIEL DER WIEDERHERSTELLUNGSZEIT (RTO):

Jetzt, da wir den AIW kennen, können wir mit der IT-Abteilung zusammenarbeiten, um unsere eigenen Wiederherstellungsziele festzulegen. Dies wird als RTO bezeichnet und beinhaltet die Möglichkeit, den Dienst (oder beliebige Abhängigkeiten) hochzufahren, ihn zu konfigurieren, die Daten zu importieren und zu überprüfen, ob alles in Ordnung ist. 

Genau wie das RPO erfordert die sofortige Wiederherstellung hochgradig ausfallsichere Architekturen und kann mit hohen Kosten verbunden sein. Wenn das Unternehmen jedoch längere Verzögerungen zwischen dem Zeitpunkt der Katastrophe und der Wiederaufnahme des kritischen Pfads tolerieren kann, kann ein schwächeres SLA, das von einem Anbieter oder einem Drittanbieter angeboten wird, ausreichen.

FAZIT: ES IST IMMER NOCH EINE FRAGE DES KOSTEN-NUTZENS!

Nach wie vor müssen das Management und die IT über finanziell tragfähige Optionen sprechen. Welche Wiederherstellungszeiten sind leistbar und schützen uns vor zukünftigen Verlusten? Auch dies sollte Gespräche über Verfahren in Gang setzen. Wer macht was, wann und wie? Wie werden die Hauptakteure kommunizieren? Wie können wir einen Teil des Plans testen, um sicherzustellen, dass er reibungslos abläuft?

Tests können nichts anderes sein als mehrere Stakeholder, die eine Checkliste von Aktivitäten überprüfen, "Was-wäre-wenn-Szenarien" an der Spitze stehen oder sehr kleine Unterbrechungen durchführen, während wir Erfahrung und Vertrauen aufbauen.

Schauen wir uns unsere letzte Kennzahl an.

DIE MAXIMAL TOLERIERBARE AUSFALLZEIT (MTO):

Dies wirft die Frage auf; Wie lange können Sie in der Notfallvorsorge bleiben? 1 Woche? 2, 3?

Dies hängt zum Teil davon ab, wie viele kritische Funktionen Sie wiederherstellen können und ob es sich um eine vollständige Wiederherstellung oder nur um 20 % der Kapazität des Warp-Laufwerks handelt! Es hängt aber auch von den Problemumgehungen ab, die Sie in SCHRITT 1 entdeckt haben. Wenn diese umfassend und erfolgreich sind, können wir in der Regel etwas länger durchhalten.

Schritt 3: Dokumentation

Normalerweise erstellen wir einen Master-BCDR-Plan, der auf andere wichtige Dokumente verweist, aber denken Sie daran, dass wir nur die Grundlagen wollen.

• Behandeln Sie die Ziele des Dokuments.
• Erklären Sie klar, warum das Management vom Unternehmen verlangt, BC/DR ernst zu nehmen, z. B. aus Angst vor finanziellen Verlusten, Reputationsschäden, Compliance-Problemen, Verlust von Wettbewerbsvorteilen oder der Arbeitsmoral der Mitarbeiter.
• Erläutern Sie die Kriterien für die Einleitung des Plans und die Aufforderung zum Rücktritt.  Das ist kritischer, als Sie denken. Ein zu früher oder zu später Wechsel in BC/DR kann Sie finanziell ruinieren, was macht also eine Krise aus? Handelt es sich um eine Naturkatastrophe, einen großen IT-Ausfall, einen Cyberangriff, den Verlust von Schlüsselpersonal, eine Pandemie?
• Verweisen Sie auf alle Standards und Verfahren in Bezug auf Backup und Wiederherstellung von Daten (RPO).
• Verweisen Sie auf alle Standards und Verfahren zur Wiederherstellung kritischer Systeme (RTO).
• Beziehen Sie sich auf die Rollen und Verantwortlichkeiten der wichtigsten Akteure und stellen Sie sicher, dass sie über die Autorität und die Ressourcen verfügen, um zu handeln.

Die BC/DR-Planung mag entmutigend erscheinen, aber sie ist eine entscheidende Investition in die Zukunft Ihres Unternehmens. Die hier beschriebenen Schritte bieten eine solide Grundlage für die Erstellung eines Plans, der auf die individuellen Bedürfnisse Ihres Unternehmens abgestimmt ist.

Nach einer Katastrophe zeigt sich der wahre Wert der Vorsorge. Mit einem robusten BC/DR-Plan sind Sie gerüstet, um Herausforderungen zu meistern, Verluste zu minimieren und widerstandsfähig daraus hervorzugehen. "Wenn Sie sich nicht vorbereiten, bereiten Sie sich auf das Scheitern vor."

Schützen Sie Ihr Unternehmen mit Firebrand

In den letzten 13 Jahren in Folge wurden wir zu einem der 20 besten IT-Schulungsunternehmen der Welt ernannt.

Wir sind spezialisiert auf intensive Schulungen, die Ihnen helfen, in doppelter Geschwindigkeit kompetent, selbstbewusst und zertifiziert zu werden.

Könnte einer unserer intensiven Kurse das Richtige für Sie oder Ihr Team sein?

Sehen Sie sich alle unsere Kurse an.