Business Continuity Plan i Disaster Recovery Plan

Stale rosnące ilości danych stały się ogromnym wyzwaniem dla przedsiębiorstw. Każdego dnia zbierają, przetwarzają i przechowują ich coraz więcej. Analiza Big Data, czyli analiza wielkich zbiorów danych jest już w firmach niemal codziennością.

Procedura disaster recovery

Jednak wraz z rosnącą ilością danych rośnie także ryzyko ich utraty. W ostatnich latach przeprowadziliśmy wiele badań dotyczących utraty danych wśród użytkowników prywatnych i biznesowych. Wynika z nich jednoznacznie, że pomimo coraz lepszych rozwiązań programowych i sprzętowych, w pewnym momencie każdy będzie musiał zmierzyć się z utratą danych i jej konsekwencjami. Niezależnie od przyczyny – czy będzie to awaria dysku, pożar, powódź lub błąd ludzki – utrata danych może mieć poważne skutki zarówno dla zwykłych użytkowników, jak i dla przedsiębiorstw. Gdy dane są wykorzystywane w celach biznesowych, ich utrata w najgorszym wypadku może doprowadzić do bankructwa. Ostatnie badanie Ontrack pokazuje również, że nawet backup nie chroni przed konsekwencjami utraty danych. Dlatego też Business Continuity Plan (plan ciągłości działania) i Disaster Recovery Plan (plan działania na wypadek utraty danych) to coś więcej niż kolejne zbędne dokumenty.

Czym jest Business Continuity Plan (BCP) i co zawiera?

Plan ciągłości działania (BCP) ma za zadanie pomóc firmie w przypadku pojawienia się zakłóceń w prowadzeniu działalności. Wystąpienie zakłóceń przeważnie wiąże się z dodatkowymi kosztami. By zminimalizować straty, dokument powinien obejmować wszystkie niezbędne kroki, które należy podjąć oraz harmonogram działania, co pozwoli na ponowne uruchomienie niezbędnych zasobów, procesów i funkcji.

Czym jest Disaster Recovery Plan (DRP) i co zawiera?

Disaster Recovery Plan (DRP) można tłumaczyć jako plan odzyskiwania danych po awarii. Jest to dokument, który zawiera chłodną kalkulację ryzyka związanego z utratą danych. Jego podstawą jest założenie, że w każdej chwili może dojść do nieprzewidzianej awarii o dużym zasięgu, która skutkować będzie paraliżem infrastruktury IT i całego przedsiębiorstwa. Taka awaria może nastąpić w wyniku błędu człowieka, przyczyn naturalnych lub działania cyberprzestępców (o czym ostatnio było bardzo głośno, zwłaszcza w kontekście globalnych ataków ransomware). Gdy katastrofa dotyka całą firmę, to poszkodowane zostają także działy IT i ich zasoby, a utrata danych może być jednym z wielu jej skutków.

Co należy wziąć pod uwagę, opracowując BCP i DRP?

• Dobry plan powinien obejmować nie tylko „zwykłe” przyczyny utraty danych, takie jak awaria sprzętu czy błąd ludzki, ale także mniej powszechne sytuacje. Mowa tutaj np. o ataku hakerów czy ransomware. Każda firma powinna dostosować BCP i DRP do nowych zagrożeń.

• Omawiane dokumenty powinny być zawsze opracowywane z udziałem wszystkich osób zaangażowanych w proces. Im więcej pracowników uczestniczy w tworzeniu takiego planu, tym więcej potencjalnych zagrożeń można odkryć, dzięki czemu dokument będzie miał szerszy zakres i będzie po prostu lepszy.

• Specjaliści IT często twierdzą, że ocena ryzyka jest konieczna podczas tworzenia BCP i DRP. To prawda, jednak nie można zapominać, że zdefiniowanie skutków jest równie ważne, co zdefiniowanie przyczyn awarii.

• Aby oba plany zadziałały prawidłowo, konieczne są testy. Dlatego opracowanie planu testów jest integralną częścią procesu tworzeni BCP i DRP. Obniżanie kosztów poprzez przeprowadzanie ograniczonych testów może stworzyć fałszywe poczucie bezpieczeństwa.

• Częste i regularne aktualizacje nie powinny dotyczyć jedynie używanego oprogramowania, ale również obu planów. Niejednokrotnie BCP i DRP składają się ze stu lub więcej stron, pokazując krok po kroku niezbędne elementy i konieczne działania. Warto pamiętać, że technologia szybko się zmienia, dlatego na bieżąco trzeba do niej dostosowywać oba plany.

• Użytkownicy często pytają, czy naprawdę konieczne jest opracowywanie obszernych planów na wypadek katastrofy? Odpowiedź brzmi: nie. Czasami wystarczy kilkustronicowy dokument, w którym zostaną zawarte wszystkie niezbędne informacje. Jednak wszystko zależy od wielkości firmy, jej struktury oraz obowiązujących przepisów. Gdy konieczne jest opracowanie planu na 100 stron, warto stworzyć również jego skróconą wersję, aby ułatwić wszystkim pracownikom szybki dostęp do niezbędnych informacji.

PS: nadal nie wierzysz, że BCP i DRP są niezbędnymi dokumentami w każdym przedsiębiorstwie? Zobacz najnowszy raport opracowany przez IBM i Ponemon Institute w którym zostały porównane dwa scenariusze - gdy firma dysponuje BCP i gdy go nie posiada.