Aus einer klassischen Monty Python-Skizze zu entlehnen: „Niemand erwartet die spanische Inquisition.“ Genauso wie sich niemand an die Arbeit macht und denkt: „Die heutige Katastrophe wird unser Netzwerk treffen, und ich werde die nächsten 48 Stunden damit verbringen, das Unternehmen wieder online zu bringen, bevor wir anderthalb Millionen Dollar Umsatz verlieren unserer größten Kunden. “
Katastrophen sind nicht geplant, aber Sie können sie planen. Aus diesem Grund sollte in jedem Business Continuity-Plan eines Unternehmens ein umfassender, aktueller und funktionierender Disaster Recovery-Plan enthalten sein.
Was ist ein Notfallwiederherstellungsplan?
Ein Disaster Recovery-Plan ist Ihre Schritt-für-Schritt-Anleitung, um Ihr Unternehmen und Ihre Betriebssysteme nach einem größeren Ausfall aufgrund einer Naturkatastrophe, eines Cyberangriffs, eines Brandes oder eines technischen Ausfalls schnell wieder in Betrieb zu nehmen.
Während sich Ihr Business Continuity-Plan darauf konzentriert, wie das Unternehmen während und nach einer Katastrophe den normalen täglichen Betrieb fortsetzt, konzentriert sich Ihr Disaster Recovery-Plan auf die Wiederherstellung von Systemfunktionen und die Aufbewahrung von Daten als Teil der umfassenderen Kontinuitätsstrategie.
Warum brauche ich einen Notfallwiederherstellungsplan?
Unternehmen mit Hauptsitz in Florida und Kalifornien - Gebiete, die von Naturkatastrophen wie Hurrikanen und Waldbränden betroffen sind - wissen, wie wichtig es ist, sich auf ein Worst-Case-Szenario vorzubereiten. Aber selbst wenn sich Ihr Unternehmens-Backbone in einem Bereich mit geringem Risiko befindet, können Sie es sich nicht leisten, bei der Planung und Vorbereitung Ihrer Wiederherstellung selbstgefällig zu sein.
Cyberthreats nehmen exponentiell zu, Wettermuster werden unvorhersehbarer, und Sie wissen nie, wann Jim aus der Buchhaltung vergessen wird, die Kaffeekanne an einem Freitagnachmittag auszuschalten und den Platz zu Asche zu machen.
Aus diesem Grund benötigt jedes Unternehmen einen Disaster Recovery-Plan, der eine hohe Verfügbarkeit für Benutzer gewährleistet, Betriebsstörungen verringert, vor Datenverlust schützt und eine gewisse Versicherung gegen Ransomware-Angriffe bietet.
Was sollte ich in meinen Notfallwiederherstellungsplan aufnehmen?
Jeder Disaster Recovery-Plan ist einzigartig für die Geschäftssysteme, regulatorischen Anforderungen, SLAs und Prioritäten des Unternehmens. Stellen Sie jedoch sicher, dass Ihr Disaster Recovery-Plan diese vier Kompetenzen erfüllt, um während Ihrer Wiederherstellungsbemühungen effektiv zu funktionieren.
Business Impact Analysis
Wenn Sie rechtzeitig vor einer Krise eine Analyse der Geschäftsauswirkungen durchführen, können Sie besser verstehen, worum es geht, wenn Ihre Technologiesysteme für einen längeren Zeitraum deaktiviert werden.
Es ist wichtig, alle Stakeholder in diesen Prozess einzubeziehen, um sicherzustellen, dass die Analyse die Auswirkungen auf alle internen Geschäftsbereiche sowie externe Faktoren wie Abhängigkeiten der Lieferkette genau widerspiegelt.
Ihre Analyse der Geschäftsauswirkungen sollte ermitteln, welche Anwendungen für das Unternehmen wesentlich sind, und diese Anwendungen dann der Infrastruktur zuordnen, die für ihre Unterstützung erforderlich ist. Sobald Sie wissen, welche Systeme und Anwendungen geschäftskritisch sind, können Sie die Reihenfolge der Wiederherstellung priorisieren.
Stellen Sie sicher, dass Sie in Ihre Analyse eine Schätzung der Ausfallkosten und Ihrer maximal tolerierbaren Ausfallzeit sowie der Ziele für die Wiederherstellungszeit (RTOs) und der Ziele für die Wiederherstellungspunkte (RPOs) einbeziehen.
Sie müssen auch alle gesetzlichen und behördlichen Compliance-Anforderungen Ihres Unternehmens dokumentieren, da diese Ihre Wiederherstellungsprioritäten berücksichtigen.
Risikoabschätzung
Wenn Sie wissen, wie hoch Ihr Risiko im Katastrophenfall ist, können Sie diese Risiken besser mindern.
Beginnen Sie mit einer Karte Ihrer IT-Infrastruktur - sowohl intern als auch cloud- / webbasiert - und suchen Sie nach Schwachstellen und Abhängigkeiten in diesen Infrastrukturen.
Identifizieren Sie mögliche Arten von Katastrophen und bewerten Sie Ihr Risiko von wahrscheinlich bis unwahrscheinlich. Dokumentieren Sie eine spezifische Wiederherstellungsreaktion für jede Art von Katastrophe. Zum Beispiel tun wir dies, wenn ein Tornado das Gebäude zerstört; Wir tun dies, wenn wir von einem Ransomware-Angriff betroffen sind.
Risikomanagement
Dank Ihrer Analyse der Geschäftsauswirkungen wissen Sie, worum es geht. Jetzt brauchen Sie einen Plan zum Schutz Ihres Vermögens.
Stellen Sie ein Katastrophenschutzteam zusammen, um den Wiederherstellungsprozess zu optimieren. Zusätzlich zu den ihnen zugewiesenen Wiederherstellungsaufgaben wird dieses Team für die Kommunikation während der Krise verantwortlich sein und eine Anlaufstelle für die Stakeholder sein. Das Katastrophenschutzteam wird auch für die Notfallschulung der Mitarbeiter verantwortlich sein, damit jeder über die Unternehmensrichtlinien und -verfahren während einer Katastrophe informiert ist.
Aus technologischer Sicht muss sich Ihr Disaster Recovery-Plan darauf konzentrieren, sicherzustellen, dass Daten und Anwendungen wiederherstellbar sind. Eine Möglichkeit, dies zu tun, besteht darin, sicherzustellen, dass für alle geschäftskritischen Systeme Redundanz besteht. Verschieben Sie beispielsweise Server in die Cloud, damit sie geounabhängig sind.
Stellen Sie außerdem sicher, dass Sie Ihre Systeme häufig sichern und dass diese Sicherungen an einem externen Ort gespeichert sind, aber leicht zugänglich sind. Beachten Sie, dass bestimmte Arten von Ransomware auf Ihre Backups zugreifen und diese verschlüsseln können. Halten Sie sie daher direkt vom Netzwerk aus unzugänglich.
Eine wichtige, aber häufig übersehene Best Practice für das Management besteht darin, Ihren Disaster Recovery-Plan in Klartext zu verfassen. Sie wissen nicht, wer nach einer Katastrophe die Führung übernehmen wird. Überspringen Sie daher den IT-Jargon, falls eine nichttechnische Person die Wiederherstellungsbemühungen einleiten muss.
Testen
Wie oben erwähnt, sind häufige Sicherungen unerlässlich, aber Ihre Wiederherstellungsbemühungen sind nur so gut wie die Daten, die Sie wiederherstellen. Testen Sie Ihre Sicherungen daher auch regelmäßig.
Eine allgemein anerkannte Faustregel besteht darin, eine Teilwiederherstellung zweimal pro Jahr und eine vollständige Wiederherstellung einmal pro Jahr zu testen, obwohl dies als Mindestanforderungen angesehen werden sollte.
Wenn Sie Ihren Disaster Recovery-Plan fertiggestellt haben, sollten Sie in ein Audit eines Drittanbieters investieren, um nach Lücken in Ihrem Plan zu suchen. Das Geld, das Sie jetzt ausgeben, könnte Sie später viel mehr sparen.
Die Welt hat gerade mit genug Unsicherheit zu tun. Stellen Sie sicher, dass Ihre Organisation bereit ist, sich schnell vom Unerwarteten zu erholen. Download „So erstellen Sie einen Notfallwiederherstellungsplan“, um mehr über bewährte Methoden zum Erstellen eines umfassenden Notfallwiederherstellungsplans zu erfahren.