Katastrofin palauttaminen: suunnitelman luominen

Ennen kuin voit toteuttaa IT-infrastruktuurillesi elvytysstrategian, sinun on luotava virallinen suunnitelma. Tämän kriittisen asiakirjan tulisi sisältää yksityiskohdat kaikista mahdollisista hätätilanteista, jotka voivat kohtuudella päästä organisaatiosi, tarkistaa operatiivisesti tärkeät sovellukset ja järjestelmät, ja kaikkien organisaation avainhenkilöiden - mukaan lukien toimeenpaneva johto, henkilöstöresurssit ja kiinteistöjen hallinnasta vastaavat henkilöt - voivat allekirjoittaa ne. Tämä artikkeli antaa sinulle yleiskatsauksen kyseisen suunnitelman luomiseen.

Kun olet tavannut keskeiset sidosryhmät ja tunnistanut mahdolliset katastrofi-skenaariot, kuten kriittisten sovellusten ja tietojen menetykset, jotka voivat johtaa organisaation pysähtymiseen (ja mahdolliseen häviämiseen), suunnitelmasi on silti dokumentoitava. On tärkeää, että henkilöstölle jaettavana on konkreettinen suunnitelma tiivistetyssä kirjallisessa muodossa, jotta kukaan ei jää pimeään tietäessään, mitä tehdä katastrofin sattuessa. Ohjeita suunnitelman luomiseen tässä on tarkistuslista siitä, mitä tehokkaan suunnitelman tulisi sisältää.

Tarkistuslista

• Tunnista kriittiset sovellukset, järjestelmät ja alustat

Sinun on leikattava liha rasvasta, kun tunnistetaan, mitkä infrastruktuurin osat on ehdottomasti oltava käytettävissä katastrofin aikana. Tämä korostaa laitteiden ja ohjelmistojen ajan tasalla olevan inventaarioarvioinnin merkitystä. Tunne kaikki infrastruktuurissa olevat ohjelmistot tai laitteistot, mukaan lukien kaikki virtualisoidut. Kannattaa paitsi sijoittaa hyvään omaisuudenhallintaratkaisuun myös pitää lokitiedosto kaikista ohjelmistoista ja päivityksistä. Tällä tavalla et vain tiedä, mikä koko IT-inventaario on, jos katastrofi katoaa, mutta voit myös koota luettelon ja tarkistaa, minkä järjestelmien on ehdottomasti pysyttävä toiminnassa kriisin aikana ja mitkä voit elää ilman väliaikaista käyttöä.

Keskustele siitä, mitä voidaan uhrata katastrofissa. Esimerkiksi tietokanta, jota käytetään myyntitapahtumien seuraamiseen, ei välttämättä ole ratkaisevan tärkeä katastrofissa, mutta terveydenhoitolaitoksen kannalta tietokanta, joka sisältää kaikki nykyiset potilaat, on. Sähköpostia saatetaan tarvita kommunikoidakseen henkilöstön tilan päivitysten ja menettelyjen kanssa, etenkin jos työntekijät pakotetaan pysymään ulkopuolella. Mitkä komponentit ovat tärkeitä, riippuvat liiketoiminnan luonteesta, mutta riippumatta siitä, mitkä ne ovat, ne olisi lueteltava ja sisällytettävä suunnitelmaan.

• Arviointi ja toteutus

Täältä sinun on alettava ajatella toteutusta. Mihin tietoihin pääsee muualla kuin tietokoneessa vaarantamatta tietoturvaa tai yrityksen noudattamista? Jos organisaatio ei ole koskaan siirtänyt mitään liiketoimintaprosesseja pilvipalvelumallille, tämä voi olla hyvä aika harkita tekemistä. Vaikka toimialasovellukset saattavat edellyttää enemmän suunnittelua tai ne voivat olla monimutkaisia ​​siirtyäkseen helposti pilveen, sähköposti ja tallennustila ovat hyviä ehdokkaita siirtymiseen pilveen.

Pilvipohjainen posti ja säilytys

Pilvipohjaisia ​​sähköpostipalveluita on saatavana, jotka eivät vain peilaa olemassa olevia sähköpostijärjestelmiä, mutta voivat myös noudattaa HIPAA: ta ja muita sähköpostisäännöksiä tarvittaessa. Monet näistä sähköpostipalveluntarjoajista voivat myös toteuttaa tietohallinnon sähköpostiviestinnässä yrityksille, kuten lakiasiaintoimistoille, jotka voivat joutua merkitsemään tietyt viestit luottamuksellisiksi tai erittäin arkaluontoisiksi tai joutua varmistamaan, että vain tietyt henkilökunnan jäsenet vastaanottavat tietyt sähköpostiviestit.

Pilvitallennus on nopeasti kasvava suuntaus kuluttajien kanssa, ja yritykset voivat myös hyödyntää pilvitallennuksen etuja osana katastrofisuunnitelmaa. Suurimmalla osalla organisaatioita on edelleen käytössä paikallisia varmuuskopioratkaisuja, joiden tiedot varmuuskopioidaan nauhalle tai RDX-medialle. Varmuuskopioidut tiedot lähetetään usein ulkopuolella ja kiertävät säännöllisesti, joten organisaation tiedoista on viimeisin kopio saatavana helposti järjestelmän vioista tai katastrofista.

Kuitenkin, jos nämä tiedot replikoidaan pilvitallennuspalvelujen tarjoajalle, voidaan säästää aikaa, joka muuten kuluu kyseisten tietojen hakemiseen fyysisestä sijainnista muualla ja palauttamalla ne sitten manuaalisesti palvelimille. Pilviratkaisun avulla kriittiseen tietoon pääsee lähes reaaliajassa - jos työntekijöillä on Internet-yhteys. On myös pilvitallennuspalvelujen tarjoajia, kuten Sarbanes-Oxley (SOX), jotka voivat varmistaa, että tallennettu tieto noudattaa yrityksen vaatimuksia.

Sovellukset, palvelimet ja virtualisointi

Suunniteltaessa katastrofien palautussuunnitelmaa kannattaa ajatella paitsi pilveen siirrettävien tietojen lisäksi myös kaikkia sovelluksia, joita voidaan siirtää. Palveluntarjoajien, kuten Amazon, Rackspace ja Google, kanssa yritys voi siirtää sovelluksia ja tietokantoja pilveen, jotta käyttö olisi käytettävissä hätätilanteessa.

On tapauksia, joissa yritys ei voi täysin varmuuskopioida tietoja pilveen tai ainakin voi toteuttaa vain hybridiratkaisun - joidenkin tietojen varmuuskopioinnin ja muiden tietojen ollessa paikallisia. Syyt voivat sisältää turvallisuusongelmia tai kustannuskieltoja. DP-suunnitelmaa luotaessa tämä on hyvä aika määrittää, kuinka infrastruktuuria voidaan virtaviivaistaa.

Hätätilanteessa, mitä erilaisempia ohjelmistoja käytetään useampaan laitteistoon, sitä todennäköisemmin kyse on laajalle levinneistä vaurioista ja järjestelmien palauttamiseen liittyvästä ajasta. Virtualisointi voi olla tehokas ratkaisu tällaiseen ongelmaan. Fyysisten palvelimien yhdistäminen virtuaalikoneisiin tarkoittaa, että IT voi luoda säännöllisiä otoksia palvelin esiintymistä ja palauttaa palvelimet helposti katastrofin jälkeen. Virtualisointiratkaisuissa, jotka tarjoavat ominaisuuksia, kuten suoraa siirtymistä, kriittisten infrastruktuurijärjestelmien palauttamiseen ei tarvitse olla pitkää seisokkeja.

Organisaatioille, jotka tarvitsevat edelleen tallettaa suurimman osan järjestelmistä ja tiedoista, voidaan suunnitella myös liikkuva datakeskus, joka määritetään turvallisena hätätilanteessa. Varmuuskopiopalvelimet, jotka voivat replikoida tietoja pääsivustosta varmuuskopiosivustoon, voivat ainakin tarjota tavan pitää kriittiset järjestelmät saatavana.

teho

Tietojen ja palvelimien lisäksi on olemassa muitakin perusnäkökohtia, joita on käsiteltävä katastrofien varautumisvalmiudessa. Yksi yleisimmistä katastrofitilanteista on sähkökatkos - katastrofi, johon jokaisella yrityksellä tulisi olla suunnitelmia, koska maan sähköinfrastruktuuri ei yleensä ole pysynyt kasvun tahdissa. Kaikkien kriittisten laitteistojen tulisi tietenkin toimia rajoittamattomilla virtalähteillä (UPS). UPS-ratkaisut voivat tarjota käyttöajan riittävän kauan sähkökatkoksen sattuessa, jotta organisaatio ainakin saadaan siirtymään vaihtoehtoisiin katastrofimenettelyihin. UPS-laitteiden säännölliset tarkastukset ja testaukset ovat kriittisiä.

Pidempien virtakatkojen vuoksi joidenkin organisaatioiden on ehkä myös työskenneltävä kiinteistöosaston kanssa vaihtoehtoisten virtalähteiden, kuten tietotekniikkalaitteille tarkoitettujen generaattoreiden, perustamiseksi.

Televiestintä ja etäkäyttö

Internet-palveluntarjoajat ja matkapuhelinoperaattorit kokevat usein pitkiä seisokkeja katastrofeissa. Vaikka liikeyrityksellä ei ole paljon tekemistä vakavan onnettomuuden sattuessa, joka voi vaikuttaa tietoliikenteeseen lähialueilla ja sitä ympäröivillä alueilla, kannattaa hankkia tarpeettomia Internet-yhteyksiä eri Internet-palveluntarjoajilta. Tällä tavoin, jos yhden Internet-palveluntarjoajan verkko on katkennut, toinen Internet-palveluntarjoaja voi silti olla verkossa. Hyvä pelastussuunnitelma dokumentoi, kuinka infrastruktuuri epäonnistuu yhdestä Internet-yhteydestä toiseen, tarpeeton yhteys. Suunnitelmassa tulisi hahmotella kyseisen vikayhteyden säännöllinen testaus.

Suunnitelmassa olisi myös otettava huomioon, kuinka loppukäyttäjät pääsevät järjestelmiin hätätilanteessa. Monilla loppukäyttäjillä on yrityksen myöntämiä tai henkilökohtaisia ​​mobiililaitteita, jotka voidaan määrittää pääsemään etäyhteyteen yritysverkkoon. Useimmissa organisaatioissa on jo jonkinlainen VPN (Virtual Private Network) -ratkaisu, joka sallii etäkäynnin yritysverkkoon. Toimiiko tämä VPN-järjestelmä todella ja ovatko muut kuin tekniset työntekijät koulutettu käyttämään sitä ilman intensiivistä IT-tukea, jota ei välttämättä ole saatavana katastrofin aikana? Voiko tämä VPN- tai etäkäyttöratkaisu kestää katastrofin? VPN: n varmuuskopiointia tulisi myös harkita. Tämä voi olla VPN-palvelin toisessa sivustossa tai pääsy tietoihin ja järjestelmiin pilvipalveluntarjoajan kautta tavallisen VPN-järjestelmän sijaan.

Joillakin organisaatioilla voi olla etäkäyttöratkaisu, joka antaa etälaitteelle pääsyn yritysverkkoon vasta sen jälkeen, kun se on tarkistanut tietyt vaadittavat vaatimukset. Esimerkiksi Windows-asiakaslaitteelta, jolla ei ole tarvittavaa Service Pack- tai virustorjuntamääritystiedostoa, voidaan estää pääsy yrityksen verkkoon. Et halua tämänkaltaisia ​​yllätyksiä hätätilanteessa. Katkaise katastrofivalmiuden yksityiskohdat siitä, miten ja mitkä asiakaslaitteet pääsevät verkkoon hätätilanteessa. Tarkista nämä laitteet säännöllisesti varmistaaksesi, että ne pääsevät verkkoon. Tässä organisaatio saattaa haluta harkita MDM-ratkaisua mobiililaitteiden hallintaan, joka mahdollistaa yritysverkkoon pääsyä käyttävien mobiililaitteiden keskitetyn hallinnan.

Yhtiö on saattanut myöntää älypuhelimia työntekijöille. Jos yritys käyttää yhtä tiettyä operaattoria työntekijöiden puhelimiin, harkitse eri matkapuhelinten saatavana olevia puhelimia jakelua varten avainhenkilöille hätätilanteessa. Jos yhden operaattorin verkko on katkos katastrofissa, toisen verkko voi olla käytettävissä. Älä luota katastrofissa samaan operaattoriin Internetissä ja tietoliikenteessä.

• Asiakirja

Kun katastrofien palautussuunnitelma on dokumentoitu, varmista, että kaikki avainhenkilöt, johto ja muu katastrofivalmiuden päätöksentekoon osallistuva henkilöstö on tarkistanut ja allekirjoittanut asiakirjan. Tämä tekee asiakirjasta virallisen politiikan, ja se tulisi sisällyttää osaksi organisaation politiikkaa.

Pelastussuunnitelma on elävä asiakirja, jota olisi päivitettävä säännöllisesti. Jos testausmenettelyt ovat osa kyseistä asiakirjaa, testauksen päivämäärä ja tulokset olisi dokumentoitava ja liitettävä katastrofin palautussuunnitelmaan.

Tämän sarjan seuraavassa osassa tarkastellaan pelastussuunnitelmien toteuttamista ja ratkaisuja, jotka voivat auttaa sinua toimittamaan katastrofin palauttamisstrategian.