Security

Co je Disaster Recovery plán a jak jej vytvořit?

Co je Disaster Recovery plán a jak jej vytvořit?

Katastrofa může podnik postihnout kdykoli a v různých formách – přírodní živly, hackerské útoky, selhání techniky, chyby zaměstnanců. Bez přípravy a ochrany dat hrozí, že takovou událost váš podnik nepřežije, anebo přežije jen s velkými ztrátami. Je tedy důležité zhodnotit vaši IT infrastrukturu a pochopit, jaká opatření pro zabezpečení informací můžete přijmout, abyste snížili škody způsobené katastrofou a rychle obnovili operace. Klíčovým pomocníkem je v těchto případech Disaster Recovery plán (obnova po havárii) – návod, jak postupovat po havárii, tzn. jaké akce postupně provést, aby byly obnoveny potřebné funkce IT infrastruktury, data a celkové fungování společnosti.

 

Disaster Recovery plán obvykle obsahuje:

  • Nouzové postupy, které má personál provést,
  • Kritická IT aktiva a jejich maximální povolenou dobu výpadku,
  • Nástroje nebo technologie, které by měly být použity pro obnovu,
  • Tým pro obnovu po havárii, jejich kontaktní údaje a komunikační postupy (např. kdo by měl být informován v případě havárie).

Proč je zpracování Disaster Recovery plánu tak důležité?

  • Minimalizujete přerušení: v případě katastrofy, i když je zcela neočekávaná, může váš podnik pokračovat v provozu s minimálním přerušením
  • Omezíte škody: katastrofa nevyhnutelně způsobí škody, ale rozsah způsobených škod můžete ovlivnit. Například v oblastech náchylných k hurikánům podniky plánují přesunout veškeré citlivé vybavení do místnosti bez oken.
  • Školení a příprava: zavedení programu obnovy po havárii znamená, že vaši zaměstnanci jsou vyškoleni, jak reagovat v případě katastrofy. Tato příprava sníží hladinu stresu a poskytne vašemu týmu jasný plán akce, když dojde k události.
  • Obnova služeb: mít solidní plán obnovy po havárii znamená, že můžete obnovit všechny kritické služby do jejich normálního stavu v krátké době. Váš cíl doby obnovení (RTO) určí nejdelší dobu, po kterou jste ochotni čekat, než bude služba obnovena.

Jaký je rozdíl mezi Business Continuity (BC) a Disaster Recovery (DR)?

Kontinuita podnikání (BC) a obnova po havárii (DR) jsou často seskupeny do jedné podnikové identity zvané BCDR. I když však oba pojmy sdílejí podobné cíle, které pomáhají zlepšit odolnost organizace, kontinuita podnikání a obnova po havárii se liší rozsahem.

Kontinuita podnikání je proaktivní přístup k minimalizaci rizik a zajištění toho, aby organizace mohla i nadále dodávat produkty a služby bez ohledu na okolnosti. Kontiunita podnikání se primárně zaměřuje na definování způsobů, jak zajistit, aby zaměstnanci mohli pokračovat ve své práci, a umožnit podniku pokračovat v provozu během katastrofických událostí.

Obnova po havárii je podmnožinou BC zaměřenou především na IT systémy potřebné pro kontinuitu podnikání. DR definuje konkrétní kroky potřebné k obnovení technologických operací poté, co dojde k události.

Stěžejní prvky kvalitního Disaster Recovery plánu

Zde je 5 nejdůležitějších bodů, které by v kvalitním Disaster Recovery plánu neměly chybět:

1. Poznejte své hrozby

Podle historie svého podnikání, odvětví a regionu a zmapujte hrozby, kterým budete s největší pravděpodobností čelit. Měly by zahrnovat přírodní katastrofy, geopolitické události, jako jsou války nebo občanské nepokoje, selhání kritického zařízení, jako jsou servery, připojení k internetu nebo software, a kybernetické útoky, které s největší pravděpodobností ovlivní váš typ podnikání. Zajistěte, aby byl váš plán obnovy po havárii účinný proti všem nebo alespoň těm nejpravděpodobnějším či nejvýznamnějším hrozbám. V případě potřeby vypracujte samostatné plány DR nebo samostatné oddíly v rámci svého plánu DR pro konkrétní typy katastrof.

2. Poznejte svá aktiva

Je důležité být komplexní. Dejte dohromady svůj tým a vytvořte seznam všech aktiv, která jsou důležitá pro každodenní provoz vašeho podnikání. V IT sféře to zahrnuje síťová zařízení, servery, pracovní stanice, software, cloudové služby, mobilní zařízení a další. Jakmile budete mít svůj seznam, uspořádejte jej do kategorií:

  • Stěžejní (kritická) aktiva, bez kterých se vaše firma neobejde: například e-mailový server
  • Důležitá aktiva, která mohou vážně narušit některé činnosti: například projektor používaný pro prezentace
  • Další aktiva, která nebudou mít zásadní vliv na podnikání: například systém evidence obědových přestávek zaměstnanců

3. Definujte své RTO a RPO

Definujte svou cílovou dobu obnovy (RTO - Recovery time objective) pro stěžejní (kritická) aktiva. Jaké období výpadku dokážete vydržet? Například web elektronického obchodu s vysokou návštěvností utrpí velké finanční škody za každou minutu výpadku. Účetní firma může být schopna vydržet jeden nebo dva dny výpadku a obnovit normální provoz za předpokladu, že nedojde ke ztrátě dat. Vytvořte proces a získejte technologické prostředky, které vám pomohou vrátit operace zpět online v rámci RTO.

Pojem cílový bod obnovy (RPO - Recovery point objective) odkazuje na maximální stáří souborů, které musí organizace obnovit ze záložního úložiště, aby obnovila normální operace po havárii. Organizace používají RPO k určení minimální frekvence zálohování. Například čtyřhodinový RPO vyžaduje zálohování alespoň každé čtyři hodiny.

4. Nastavte místa obnovy po havárii

Základním kamenem téměř každého plánu obnovy po havárii je mít způsob, jak replikovat data mezi více místy pro obnovu po havárii. Zatímco mnoho podniků plánuje pravidelné zálohování dat, pro účely obnovy po havárii je preferovaným přístupem nepřetržitá replikace dat do jiného systému. Data mohou být replikována na:

Záložní zařízení ve vašem datovém centru. Redundantní operační jednotku ve vašem datovém centru, například sekundární server.
Záložní zařízení ve vzdáleném datovém centru nebo cloudové úložiště s vysokou latencí, které vyžaduje zpoždění nebo dodatečné náklady na načtení dat. Redundantní operační jednotku ve vzdáleném datovém centru nebo cloudové úložiště s nízkou latencí umožňující okamžitý přístup k datům.

Místní úložiště je méně odolné vůči katastrofě, ale poskytuje vám kratší RTO. Umožňuje vám také replikovat nebo zálohovat data častěji, čímž se zlepší váš cíl bodu obnovení (RPO) – což znamená, že svá data můžete obnovit téměř v každém okamžiku.

5. Testování zálohování a obnovy služeb

Stejně jako obchodní systémy mohou selhat při katastrofě, mohou selhat i zálohy. Existuje mnoho hororových příběhů organizací, které měly zálohovací systém, ale příliš pozdě zjistily, že zálohování ve skutečnosti nefunguje správně. Problém s konfigurací, chyba softwaru nebo selhání zařízení mohou způsobit, že vaše zálohy nebudou k ničemu, a možná se to nikdy nedozvíte, dokud je neotestujete.

Nedílnou součástí každého plánu obnovy po havárii je otestovat, zda jsou data správně replikována do cílového umístění. Stejně důležité je otestovat, zda je možné obnovit data zpět na vaše produkční místo. Tyto testy je třeba provést jednou, když nastavujete zařízení pro obnovu po havárii, a pravidelně je opakovat, aby bylo zajištěno, že nastavení stále funguje.

Ochraňte svůj podnik a buďte připraveni na případné hrozby. Naši konzultanti jsou zde pro vás.

Security

Zvyšte bezpečnost vašeho IT a vyhněte se kybernetickým hrozbám

Chci vědět více
  • Security
  • Security

Vložit komentář k článku

Přidejte komentář, abychom věděli, co si o tomto tématu myslíte.

Přidat komentář

Autor

Lucie Linhartova, SoftwareONE Blog Author

Lucie Linhartová

Associate Consultant

Související články

Bezpečnostní funkce Microsoft 365 | SoftwareONE Blog
  • 16 září 2022
  • Martin Trněný
  • Security

Bezpečnostní funkce Microsoft 365

Ani v době cloudových služeb nemůžeme opomíjet hledisko zabezpečení dat. V rámci služby Microsoft 365 najdeme řadu nástrojů a mechanismů, které možná nejsou všeobecně známé.

Azure Sentinel | SoftwareONE Blog
  • 16 srpna 2022
  • SoftwareONE Czech Republic
  • Security

Azure Sentinel

Začít bojovat s kyberútoky v okamžiku, kdy je už vaše síť napadena, je zoufale pozdě. Aby byla vaše obrana účinná, musí útok detekovat a zastavit ještě dříve, než se dokáže rozvinout. Pomůže s tím řešení, využívající pro detekci hrozeb analýzu dat.

Co přinese revize norem ISO 27001 a ISO 27002?
  • 11 srpna 2022
  • Lucie Linhartová
  • Security
  • Security, ISO

Co přinese revize norem ISO 27001 a ISO 27002?

Zavádíte či udržujete Systém řízení bezpečnosti informací – ISMS (Information Security Management System) dle norem řady ISO 27000? Nebo o zavedení uvažujete? V letošním roce nás čeká nová verze norem ISO 27001 a ISO 27002.