Obnova po nesrečah: izdelava načrta

Preden lahko implementirate strategijo za obnovo po nesreči za svojo informacijsko infrastrukturo, morate ustvariti uradni načrt. Ta kritični dokument bi moral podrobno opisati vse možne izredne razmere, ki bi lahko razumno vplivale na vašo organizacijo, natančno določiti aplikacije in sisteme, ki so kritični za poslanstvo, in jih podpisati vse ključne osebe v vaši organizaciji - vključno z izvršnim vodstvom, človeškimi viri in osebami, odgovornimi za upravljanje objektov. Ta članek vam bo dal oris za oblikovanje tega načrta.

Ko se srečate s ključnimi zainteresiranimi stranmi in ugotovite morebitne scenarije nesreč, na primer izgubo kritičnih aplikacij in podatkov, ki bi lahko ustavili organizacijo (in morebitno zaustavitev), morate svoj načrt še vedno dokumentirati. Pomembno je imeti konkreten načrt v jedrnati, pisni obliki, ki ga bomo razdelili osebju, tako da nihče ne ostane v temi, ko ve, kaj storiti v primeru nesreče. Za vodenje pri ustvarjanju načrta je tukaj seznam, kaj naj bi vseboval učinkovit načrt.

Kontrolni seznam

• Prepoznajte aplikacije, sisteme in platforme, ki so kritične za poslanstvo

Ko določite, katere komponente infrastrukture morajo biti v času katastrofe na voljo, morate meso odrezati iz maščobe. To opozarja na pomembnost posodobljene ocene zalog strojne in programske opreme. Poznajte vsak del programske ali strojne opreme, ki deluje v infrastrukturi, vključno z vsem, kar je virtualno. Plača se, da ne samo vlagate v dobro rešitev za upravljanje premoženja, temveč tudi hranite datoteko dnevnika za vso programsko opremo in posodobitve. Tako ne le veste, kakšen je celoten seznam IT v primeru izgube zaradi nesreče, ampak lahko sestavite seznam in preverite, kateri sistemi morajo med krizo absolutno ostati operativni in od katerih lahko začasno živite.

Premišljeno nad tem, kaj lahko žrtvujemo v nesreči. Na primer, podatkovna zbirka, ki se uporablja za sledenje prodajnih potencialov, v nesreči morda ni ključnega pomena, za zdravstveno ustanovo pa je baza podatkov, v kateri so navedeni vsi trenutni bolniki. Morda bo potreben e-poštni naslov za komunikacijo s posodobitvami in postopki statusa zaposlenih, zlasti če so zaposleni prisiljeni, da ostanejo zunaj kraja. Kateri sestavni deli so pomembni, je odvisno od narave podjetja, vendar jih je treba navesti in vključiti v načrt.

• Ocenjevanje in izvajanje

Tukaj morate začeti razmišljati o izvajanju. Kateri podatki so dostopni zunaj kraja, ne da bi pri tem ogrozili varnost ali skladnost podjetja? Če organizacija še nikoli ni preusmerila nobenih poslovnih procesov na model računalništva v oblaku, je morda pravi čas, da to razmislite. Medtem ko aplikacije za poslovna podjetja morda zahtevajo več načrtovanja ali pa so morda zapletene, da se lahko preprosto premaknete v oblak, sta e-pošta in shramba dobra kandidata za prehod v oblak.

E-pošta in shranjevanje v oblaku

Na voljo so e-poštne storitve v oblaku, ki ne samo da lahko zrcalijo obstoječe e-poštne sisteme, ampak lahko po potrebi izpolnjujejo tudi HIPAA in druge e-poštne predpise. Mnogi od teh ponudnikov e-pošte lahko izvajajo tudi upravljanje podatkov prek e-poštnih komunikacij za podjetje, kot je odvetniška družba, ki bo morda nekatere komunikacije moralo označiti kot zaupno ali zelo občutljivo ali bo morda moralo zagotoviti, da bodo le nekateri zaposleni prejeli določena e-poštna sporočila.

Shranjevanje v oblaku je pri porabnikih hitro naraščajoč, podjetja pa lahko izkoristijo tudi prednost shranjevanja v oblaku kot del načrta za nesreče. Pretežno število organizacij ima še vedno nameščene lokalne varnostne rešitve, ki so varnostno kopirani na trak ali RDX. Varnostno kopirani podatki se pogosto pošiljajo zunaj kraja in se redno vrtijo, tako da je nedavna kopija podatkov organizacije takoj na voljo v primeru okvar sistema ali katastrofe.

Če pa se ti podatki replicirajo na ponudnika shranjevanja v oblaku, lahko prihranite čas, ki bi ga sicer porabili za iskanje teh podatkov s fizičnega mesta zunaj kraja in ga nato ročno obnovili na strežnike. Z uporabo rešitve v oblaku lahko do kritičnih podatkov dostopate skoraj v realnem času - če imajo zaposleni internet. Obstajajo tudi ponudniki za shranjevanje v oblaku, ki lahko zagotovijo, da se shranjeni podatki držijo skladnosti s podjetji, kot je Sarbanes-Oxley (SOX).

Aplikacije, strežniki in virtualizacija

Pri predstavitvi načrta za obnovo po nesrečah se splača razmišljati ne le o podatkih, ki se selijo v oblak, ampak tudi o vseh aplikacijah, ki bi jih bilo mogoče premakniti. S ponudniki, kot so Amazon, Rackspace in Google, lahko podjetje preusmeri aplikacije in baze podatkov v oblak, tako da bo dostop v nujnih primerih na voljo.

Obstajajo primeri, ko podjetje ne more popolnoma varnostno kopirati podatkov v oblak ali vsaj implementirati samo hibridne rešitve - pri čemer so nekateri podatki varnostno kopirani, drugi podatki pa lokalni. Razlogi lahko vključujejo pomisleke glede varnosti ali prepovedi stroškov. Pri izdelavi načrta DP je to pravi čas, da določimo, kako je mogoče infrastrukturo racionalizirati.

V nujnih primerih, bolj razpršena programska oprema je nameščena na več strojne opreme, večja je verjetnost, da gre za široko škodo in čas, potreben za obnovo sistemov. Virtualizacija je lahko močna rešitev za tovrstne težave. Konsolidacija fizičnih strežnikov na virtualne stroje pomeni, da lahko IT ustvari redne posnetke primerkov strežnika in jih po katastrofi enostavno obnovi. Z virtualizacijskimi rešitvami, ki ponujajo funkcije, kot so migracija v živo, za obnovo kritičnih infrastrukturnih sistemov ni treba dolgotrajno prekiniti.

Za organizacije, ki morajo še vedno shraniti večino sistemov in podatkovnih prostorov, je mogoče načrtovati tudi tekoči mobilni podatkovni center na lokaciji, za katero je določeno, da je v nujnih primerih varna. Rezervni strežniki, ki lahko posnemajo podatke z glavnega mesta na varnostno kopijo, lahko vsaj zagotovijo, da so kritični sistemi na voljo.

Moč

Poleg podatkov in strežnikov obstaja še več osnovnih dejavnikov, ki jih je treba obravnavati pri pripravljenosti za obnovo po nesrečah. Eden najpogostejših scenarijev nesreč je izpad električne energije - katastrofa, za katero bi moralo imeti vsako podjetje svoje načrte, saj nacionalna električna infrastruktura na splošno ni sledila rasti. Vsa kritična strojna oprema bi morala seveda delovati na neomejenih napajalnikih (UPS). Rešitve UPS lahko v primeru izpada električne energije zagotovijo čas delovanja, ki je dovolj dolgo, da organizacija vsaj preide na nadomestne postopke ob nesrečah. Redno preverjanje in testiranje UPS naprav je ključnega pomena.

Nekatere organizacije bodo morda morale pri daljših izpadih električne energije sodelovati tudi z oddelkom za opremo, da bi vzpostavile nadomestne vire energije, kot so generatorji, namenjeni za opremo IT.

Telekomi in oddaljeni dostop

Internetni ponudniki in mobilni operaterji v nesrečah pogosto doživijo daljši izpad. Medtem ko podjetje ne more veliko storiti v primeru resne nesreče, ki bi lahko prizadela telekomunikacije v neposrednih in okoliških krajih, je vredno imeti odvečne internetne povezave različnih ponudnikov internetnih storitev. Tako je, če je eno od ponudnikov internetnih storitev prekinjeno, lahko drugi ponudnik internetnih storitev še vedno deluje na spletu. Dober načrt za obnovo po nesrečah dokumentira, kako infrastruktura ne bo prešla iz ene internetne povezave v drugo, odvečno povezavo. Načrt bi moral opisovati redno preskušanje te preklopne povezave.

Načrt bi moral upoštevati tudi, kako bodo končni uporabniki v nujnih primerih dostopali do sistemov. Številni končni uporabniki imajo podjetniške ali osebne mobilne naprave, ki jih je mogoče konfigurirati za oddaljeni dostop do korporativnega omrežja. Večina organizacij že ima nekakšno rešitev navideznega zasebnega omrežja (VPN), ki omogoča oddaljen vstop v poslovno omrežje. Ali sistem VPN dejansko deluje in so netehnični zaposleni ustrezno usposobljeni za njegovo uporabo brez intenzivne podpore IT, ki med katastrofo morda ne bo na voljo? Ali lahko ta rešitev VPN ali oddaljeni dostop zdrži katastrofo? Upoštevati je treba tudi varnostno kopijo v VPN. To je lahko strežnik VPN na drugem mestu ali dostop do podatkov in sistemov prek ponudnika oblakov namesto običajnega sistema VPN.

Nekatere organizacije imajo morda rešitev za oddaljeni dostop, ki bo oddaljeni napravi omogočila dostop do korporacijskega omrežja šele po pregledu določenih potrebnih skladnosti. Na primer, lahko Windows odjemalca, ki nima potrebnega servisnega paketa ali protivirusne datoteke z definicijo, zavrne dostop do poslovnega omrežja. V nujnih primerih ne želite takšnih presenečenj. Kot del pripravljenosti na nesreče podrobno navedite, kako in katere odjemalske naprave bodo v sili dostopale do omrežja. Redno preverjajte te naprave, da zagotovite, da lahko dostopajo do omrežja. Tu bo organizacija morda želela razmisliti o rešitvi za upravljanje mobilnih naprav (MDM), ki omogoča centralizirano upravljanje mobilnih naprav, ki dostopajo do korporativnega omrežja.

Podjetje je morda zaposlenim izdalo pametne telefone. Če podjetje uporablja enega posebnega operaterja za telefone zaposlenih, razmislite o tem, ali bi morali v nujnih primerih na razpolago imeti telefone, ki so na voljo pri drugem prevozniku. Če je omrežje enega prevoznika v nesreči propadlo, je morda na voljo drug. V nesreči se ne zanašajte na istega prevoznika za internet in telekomunikacije.

• dokument

Po dokumentiranju načrta za obnovo po naravnih nesrečah preverite in podpišite dokument vseh ključnih vodstvenih delavcev, vodstva in drugega osebja, ki sodeluje pri odločanju o pripravljenosti na nesreče. Zaradi tega je dokument uradna politika in ga je treba vključiti kot del politik organizacije.

Načrt za obnovo po nesrečah je živi dokument, ki ga je treba redno posodabljati. Če so postopki testiranja del tega dokumenta, je treba datum in rezultate preskusov dokumentirati in povezati z načrtom za obnovo po nesreči.

V naslednjem delu te serije si bomo ogledali izvajanje načrtov za obnovo po nesrečah in rešitve, ki vam bodo pomagale pri zagotavljanju strategije za obnovo po nesrečah.