Jak se správně připravit na havárii IT

Podnikové sítě a přístup k datům může bez varování postihnout zkáza z důvodu katastrofy způsobené přírodou či člověkem. Nemůžete samozřejmě zabránit, aby se něco z toho stalo, ale s dobrým plánem obnovy po havárii můžete být lépe připraveni na nečekané.

Jak se správně připravit na havárii IT


Tornáda, zemětřesení, ale především požáry, povodně, teroristické útoky či kybernetické útoky. Víte, že se některá z těchto událostí může vaší firmě přihodit kdykoli. A pravděpodobně už také máte zavedený plán obnovy po havárii (DR), který chrání podniková data, zaměstnance a samotné podnikání.

Ale jak důkladný je ten váš plán DR? Kdy se naposledy aktualizoval a testoval? Zohlednili jste v něm nové technologie a služby, které vám mohou usnadnit obnovu po katastrofě? Uvádíme sedm oblastí, které by váš plán obnovy po IT haváriích měl obsahovat.

 

1. Analýza všech potenciálních hrozeb a možných reakcí na ně

Váš DR plán by měl zohlednit celé spektrum „potenciálních narušení“ vašeho podnikání, radí Phil Goodwin, ředitel výzkumu pro ochranu, dostupnost a obnovu dat v IDC.

Poté byste podle něj měli definovat plán obnovy pro každý scénář. Goodwin uvádí příklad: „Pokud nastane kybernetický útok, který vypne servery datového centra, máte pro tento scénář vhodný plán?“

Samozřejmě že všechny scénáře nejsou stejně pravděpodobné. Zkuste tedy co nejlépe předvídat, které potenciální případy narušení jsou nejpravděpodobnější.

„Kybernetické útoky se bohužel v současné době stávají nejpravděpodobnějším scénářem,“ poznamenává Goodwin. Možná tedy budete chtít upřednostnit plány pro případy kybernetických útoků před přírodními katastrofami, vysvětluje.

 

2. Analýza dopadů na činnost firmy

Chcete-li efektivně určit priority DR, udělejte analýzu dopadů na činnost firmy (BIA, Business Impact Analysis) pro každý důležitý informační systém, doporučuje Mark Testoni, výkonný ředitel společnosti SAP National Security Services.

BIA „identifikuje a vyhodnocuje potenciální dopady (finanční, životní, bezpečnostní, regulační, právní, smluvní, na pověst atd.) přírodních a lidmi vyvolaných událostí na firemní provoz“, uvádí studie Gartneru.

„Kompletní BIA pro hlavní systémy IT umožní identifikaci systémových priorit a závislostí,“ připomíná Testoni.

Podle něj to pomáhá stanovit priority systémů a přispívá k vytvoření strategií a priorit obnovy pro minimalizaci ztrát. BIA přezkoumává tři bezpečnostní cíle: důvěrnost, integritu a dostupnost.

Testoni dodává, že BIA pomáhá stanovit priority pro obnovu po havárii, zajistit nepřetržitý provoz a kontinuitu provozních plánů.

„Standardním přístupem k vytvoření komplexního plánu obnovy po havárii je nejprve vytvořit zásady a poté udělat BIA,“ popisuje Testoni. „Po zjištění priorit pomocí BIA se vytvoří strategie nouzových situací a tyto strategie se zformalizují do plánu pro takové situace.“

Šablony a dotazníky BIA jsou k dispozici on-line od NIST (Národního institutu pro standardy a technologie).

 

3. Lidé

Společná chyba, kterou mnohé organizace ve svých plánech DR dělají, je „nadměrné soustředění na technologie a malá pozornost věnovaná lidem a procesům“, říká Goodwin. „IT jsou prostředek. Nikdy nezapomínejte, že neobnovujete jen data a servery.“

Doporučuje uvažovat nad vytvářením plánu DR v kontextu celé vaší organizace. „Jaké chování budete potřebovat od komunity vašich uživatelů? Co potřebují, aby po katastrofě začali opět pracovat normálně?“

Zjistěte si také jména důležitých osob odpovědných za reakci na krizi, radí John Iannarelli, bezpečnostní konzultant a bývalý člen kybernetické divize FBI.

Zajistěte, abyste měli jejich e-mail a mobilní a domácí telefonní čísla. Ujasněte, kdo bude povolán do práce během krize. Promyslete si, koho budete žádat o pomoc, jako například orgány činné v trestním řízení, a pokud je to možné, vytvořte si vztah s úřady ještě před výskytem katastrofy.

Předem rovněž rozhodněte, kdo bude v případě katastrofy hovořit za vaši společnost s oběťmi, klienty a zaměstnanci. „Promyslete si, co máte v úmyslu říci, kolik toho hodláte sdělit a jak uklidíte ty, kdo se mohou obávat budoucích dnů ve vaší firmě,“ dodává Iannarelli.

 

4. Aktualizace

Další velkou chybou organizací bývá zanedbání aktualizací jejich plánů obnovy po změnách jejich interních systémů, jako jsou například významné aktualizace softwaru, uvádí Mark Jaggers, šéf výzkumu v Gartneru zaměřený na strategie infrastruktury IT.

Váš plán není úplný, pokud nezohledňuje všechny technologie, systémy a aplikace, které se aktuálně používají, tvrdí Jaggers.

Navíc mohou existovat nové technologie nebo nabídky, které byste mohli začlenit do svých plánů DR. Plány DR se zakládají na předpokladech o procesech a nástrojích dostupných v době dokončení plánů.

„Tyto předpoklady se však mohou výrazně změnit, protože vývoj technologií je rychlejší než v minulosti a inovace se vynořují z nečekaných oblastí,“ popisuje Milind Kulkarni, viceprezident produktového managementu společnosti Veriflow, která se zaměřuje na odolnost sítí.

„Pokrok v oblasti počítačové vědy, prediktivní algoritmy a dostupnost obrovské výpočetní kapacity za přijatelnou cenu umožňují vznik nových přístupů a řešení, které zaručí odolnost, provozuschopnost, dostupnost a obnovu systémů IT,“ dodává Kulkarni.

Například služby jako AWS Snowball společnosti Amazon mohou pomoci organizacím přenést petabajty firemních dat do vyhrazeného a zabezpečeného zařízení v jejich lokalitě.

Jakmile je přenos dokončen, zašlete zařízení do vámi vybraného centra AWS, kde se vaše data přenesou do cloudu.

AWS Snowball a další podobné služby poskytují organizacím inovativní a cenově dostupné nové způsoby, jak zajistit datovou redundanci, říká Kulkarni, což je podle něj základ jakéhokoli plánu DR.

 

5. Priority

„Zjistěte, co je nejdůležitější,“ doporučuje Iannarelli. „Ne všechno ve vaší firmě stojí za ukládání a je potřebné chránit. Vaše vlastní data samozřejmě ano.“

Ale všechny informace určené pro veřejnost už tak důležité nejsou. Přemýšlejte o tom, jako by hořel váš dům. Co byste popadli, když byste ho museli opustit?

 

6. Pravidelný nácvik

„Nestačí jen mít plán DR,“ varuje Kulkarni. „Plán se musí pravidelně testovat a lidé potřebují nacvičovat postupy, podobně jako škola připravuje studenty pomocí pravidelných cvičení na případy požáru či nouzových situací. Pokud nedochází k pravidelnému nácviku, je plán neúčinný.“

 

7. Uvážení DRaaS

Rostoucí praxe přesunů práce s daty do cloudu napomohla vzestupu služby DRaaS (obnova po havárii jako služba). Tyto služby na vyžádání od různých poskytovatelů usnadnily a zlevnily DR, což v důsledku umožňuje více organizacím lepší přípravu na katastrofy, prohlašuje Goodwin.

Při zvažování technologie DRaaS se ptejte, jak poskytovatel vyzkouší a ověří obnovu vašich dat a pracovních postupů, radí Goodwin, protože některé testy jsou mnohem rozsáhlejší než jiné.

 

Tento příspěvek vyšel v Securityworldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © Hewlett-Packard










Komentáře