Przykłady planów odzyskiwania awaryjnego i najlepsze praktyki

Benjamin Franklin miał rację. ƒ„Kto nie planuje, ten planuje porażkę”. Dotyczy to zwłaszcza awarii, które grożą zakłóceniem działań biznesowych lub całkowitym jej zatrzymaniem. Dlatego potrzebna jest strategia i plan odzyskiwania awaryjnego.

Aby maksymalnie zwiększyć ochronę i zminimalizować zakłócenia, potrzebujesz jasnych, kompleksowych i praktycznych planów reagowania na różne rodzaje awarii. Każdy plan powinien być skonstruowany przy użyciu przykładowego prostego planu odzyskiwania awaryjnego, najlepiej zgodnie z szablonem wykorzystywanym w całej firmie. Ponadto format planu odzyskiwania awaryjnego powinien być zgodny ze sprawdzonymi najlepszymi praktykami i dostosowany do unikatowych potrzeb biznesowych i priorytetów.

W tym artykule omawiamy plany odzyskiwania awaryjnego i ich znaczenie oraz przedstawiamy przykłady, dzięki którym szybko podejmiesz działania na rzecz ochrony swojej firmy. Podajemy również wskazówki dotyczące najlepszych praktyk w zakresie odzyskiwania awaryjnego i zachęcamy do zapoznania się z funkcjami systemu Jira, które mogą uprościć i usprawnić działania związane z planowaniem odzyskiwania awaryjnego.

Na czym polega planowanie odzyskiwania awaryjnego

Różnego rodzaju potencjalne awarie mogą zagrozić firmie, a każda z nich może zakłócić lub całkowicie zatrzymać działania biznesowe. Koszt przestojów może wynosić nawet setki lub tysiące dolarów na minutę. Twoje plany odzyskiwania awaryjnego mają kluczowe znaczenie dla strategii ciągłości działalności biznesowej firmy oraz długofalowego przetrwania i sukcesu.

Twoje obecne procesy zarządzania usługami IT (ITSM) i procesy wsparcia DevOps mogą pomóc w tworzeniu skutecznych planów odzyskiwania awaryjnego. Funkcje wybranego oprogramowania ITSM mogą również pomóc w planowaniu odzyskiwania awaryjnego. Incydenty informatyczne mogą szybko przekształcić się w awarie, ale jeśli firma dobrze radzi sobie z reagowaniem na incydenty i komunikacją dotyczącą incydentów, w tym raportami post-mortem, może na tej podstawie uzyskać cenne informacje i sprawnie prowadzić działania związane z planowaniem odzyskiwania awaryjnego. 

Informacje uwzględnione w planach odzyskiwania awaryjnego zależą od rodzaju awarii, której dotyczy dany plan, oraz od unikatowych potrzeb firmy. Jednak wszystkie skuteczne plany odzyskiwania awaryjnego mają dwa wspólne cele: zapobieganie awariom, na ile jest to możliwe, i nakreślenie kroków mających na celu jak najszybsze odzyskanie w razie konieczności. Poniżej znajduje się przykład planu odzyskiwania awaryjnego dla każdego z najczęstszych i najtrudniejszych typów awarii. Twoja firma powinna opracować i utrzymywać plan dla każdego z nich.

5 przykładów planu odzyskiwania awaryjnego

Planowanie odzyskiwania awaryjnego powinno obejmować wiele rodzajów awarii, aby zmaksymalizować ochronę działań biznesowych. Poniżej przedstawiamy przykłady najczęściej występujących typów, ale może być konieczne zaplanowanie dodatkowych typów w zależności od unikatowych cech Twojej firmy.

Plan odzyskiwania po naruszeniu cyberbezpieczeństwa

Rozpoczynając tworzenie planu odzyskiwania awaryjnego po naruszeniu cyberbezpieczeństwa, należy dokładnie ocenić ryzyko i skutki naruszenia cyberbezpieczeństwa. Świetny plan cyberbezpieczeństwa obejmuje następujące elementy:

• Plan powinien określać cele odzyskiwania ze wskazaniem czasu potrzebnego na przywrócenie podstawowej, a następnie pełnej działalności operacyjnej, lub z podaniem maksymalnej akceptowalnej wielkości utraty danych. Są one znane odpowiednio jako „docelowy czas odzyskiwania” (RTO) i „docelowe stan odzyskiwania” (RPO).

• Powinien szczegółowo opisywać środki wykorzystywane do tworzenia kopii zapasowych i ochrony danych firmy, a także strategie i rozwiązania stosowane podczas odzyskiwania. 

• Powinien określać, co zespół ds. odzyskiwania powinien przekazać osobom, których dotyczy awaria, i osobom zaangażowanym, oraz jak należy rozpowszechniać te informacje. 

• Powinien zawierać informacje o odpowiedniej dokumentacji, działaniach konserwacyjnych, szkoleniach pracowników i interesariuszy oraz regularnym testowaniu samego planu.

Plan odzyskiwania po zakłóceniach w łańcuchu dostaw

Zapobieganie, gotowość, reagowanie i odzyskiwanie (prevention, preparedness, response and recovery, PPRR) to popularne podejście do zarządzania ryzykiem związanym z łańcuchem dostaw. Plan odzyskiwania po zakłóceniach w łańcuchu dostaw musi uwzględniać wszystkie cztery elementy, aby zapewnić maksymalną skuteczność i minimalne zakłócenia działalności biznesowej.

Zapobieganie i gotowość wymagają zmapowania każdego krytycznego łańcucha dostaw, z zaznaczeniem, dla których dostawców istnieją alternatywy, a dla których nie.  Jeśli alternatywy są dostępne, Twój plan musi szczegółowo opisywać, jak wdrożyć te alternatywy i których interesariuszy powiadomić.

W sytuacji gdy alternatywy nie są dostępne, Ty i Twoi współpracownicy musicie zadbać, aby plan zawierał szczegółowe informacje na temat tego, których działań i zespołów to dotyczy. Musisz również zadbać, aby Twój plan zawierał kroki mające na celu poinformowanie osób, których dotyczą zakłócenia, i wskazanie konkretnych czynności, które należy podjąć w odpowiedzi na nie. Twój plan powinien również zawierać wskazówki dotyczące szybkiego odzyskiwania po przywróceniu połączenia z dostawcą.

Plan odzyskiwania po awarii infrastruktury

Twój plan odzyskiwania po awarii infrastruktury IT powinien odzwierciedlać i uzupełniać plan odzyskiwania po naruszeniu cyberbezpieczeństwa. Musi określać krytyczne elementy infrastruktury oraz zawierać aktualne, dokładne i kompletne szczegóły dotyczące konfiguracji sprzętu, oprogramowania i sieci.

Plan ten powinien zawierać informacje o alternatywach, obejściach i działaniach pracowników w przypadku awarii infrastruktury. Należy również dołączyć informacje o odzyskiwaniu po awarii fizycznej infrastruktury innej niż informatyczna.

Plan odzyskiwania po awariach centrów danych

Firmy często wyznaczają krytyczne centra danych jako kopie zapasowe typu „hot spare” wywoływane automatycznie lub typu „warm spare” dostępne do uruchamiania ręcznego. Plan odzyskiwania po awariach centrów danych musi szczegółowo opisywać dostępne kopie zapasowe dla krytycznych centrów danych i wyjaśniać, jak uzyskać dostęp do tych kopii zapasowych.

Plan odzyskiwania awaryjnego po klęskach żywiołowych

Każdy plan odzyskiwania awaryjnego po klęskach żywiołowych powinien zaczynać się od szczegółowych informacji o tym, jak i gdzie przechowywane są i aktualizowane kopie zapasowe danych krytycznych. Twoja firma powinna przechowywać co najmniej jedną kopię zapasową poza siedzibą, najlepiej na tyle daleko, aby klęska żywiołowa dotykająca Twoją firmę nie wpłynęła również na kopię zapasową. Musisz mieć możliwość bezpiecznego zdalnego dostępu do kopii zapasowych poza siedzibą, ponieważ klęski żywiołowe mogą utrudniać podróżowanie.

Określ rodzaje klęsk żywiołowych, które najprawdopodobniej wpłyną na Twoją działalność, i opracuj plany na wypadek ich wystąpienia. Dane agencji samorządowych oraz internetowe zasoby dotyczące pogody i klimatu mogą być cennymi źródłami informacji w procesie planowania.

Najlepsze praktyki dotyczące planowania odzyskiwania awaryjnego

Niezależnie od rodzaju tworzonego planu należy go oprzeć na tych najlepszych praktykach.

• Określ i ustal priorytety awarii i zagrożeń, na które Twoja firma jest najbardziej narażona.

• Nadaj priorytet najbardziej krytycznym działaniom biznesowym, aby wysiłki związane z odzyskiwaniem skupiły się w pierwszej kolejności na przywróceniu tych działaniach.

• Określ akceptowalne cele odzyskiwania. Można je wyrazić w kategoriach akceptowalnej utraty danych i zakłóceń w działalności (docelowe stan odzyskiwania) lub czasu na przywrócenie działalności operacyjnej (docelowy czas odzyskiwania).

• Wdrażaj niezawodne procesy tworzenia kopii zapasowych i odzyskiwania krytycznych danych biznesowych. Zachowaj co najmniej jedną kopię zapasową w bezpiecznej lokalizacji poza siedzibą i dostosuj procesy dostępu i odzyskiwania do celów odzyskiwania.

• Zbierz zespół, aby wdrożyć każdy plan odzyskiwania. Upewnij się, że w każdym zespole są osoby, które mają umiejętności niezbędne do szybkiego i skutecznego odzyskiwania nawet po najpoważniejszych awariach. Uwzględnij również osoby, które mogą komunikować się z interesariuszami i informować ich o przebiegu odzyskiwania.

• Regularnie testuj i aktualizuj swoje plany. Plan odzyskiwania awaryjnego, który leży na półce, prawdopodobnie nie spełni Twoich celów odzyskiwania. Regularnie sprawdzaj i testuj swoje plany, aby zawsze odzwierciedlały zmieniające się zagrożenia i potrzeby biznesowe. Ponadto uwzględnij w stosownych przypadkach plany częstych i regularnych działań edukacyjnych i szkoleniowych dla interesariuszy.

Korzystanie z Jiry do planowania odzyskiwania awaryjnego

Jak wspomnieliśmy powyżej, planowanie odzyskiwania awaryjnego jest trudnym, krytycznym, wieloaspektowym elementem planowania ciągłości działalności biznesowej. Wiele funkcji Jiry może uprościć planowanie odzyskiwania awaryjnego i zwiększyć jego efektywność dla Ciebie, Twoich współpracowników i Twojej firmy.

Jira służy jako centralna platforma śledzenia zadań, incydentów i wniosków związanych z procesem odzyskiwania awaryjnego. Może to przyspieszyć współpracę między członkami zespołu ds. odzyskiwania awaryjnego i poprawić komunikację z interesariuszami. Funkcje śledzenia i raportowania zgłoszeń pomagają monitorować wszystkie starania związane z odzyskiwaniem i modyfikować je w razie potrzeby. Jira umożliwia również tworzenie baz wiedzy o odzyskiwaniu awaryjnym, umożliwiając wszystkim członkom zespołu szybki dostęp do informacji.

Przykłady planów odzyskiwania awaryjnego: Często zadawane pytania

Jak napisać plan odzyskiwania awaryjnego?

Poniżej znajduje się kilka podstawowych kroków tworzenia planu odzyskiwania dla każdego typu awarii istotnego dla Twojej firmy.

1. Współpracuj z osobami podejmującymi decyzje z zakresu IT i innymi interesariuszami w celu rozpoznania, oceny i ustalania priorytetów ewentualnych awarii i związanych z nimi zagrożeń.

2. Dopasuj je do najważniejszych działań biznesowych — dokumentuj cele odzyskiwania dla każdej z nich.

3. Opisz, w jaki sposób tworzenie kopii zapasowych i odzyskiwanie stanowią odpowiedź na te zagrożenia i cele. Podkreśl wszelkie znane luki lub niedociągnięcia w obecnych praktykach lub rozwiązaniach dotyczących tworzenia kopii zapasowych i odzyskiwania.

4. Wymień i krótko opisz członków zespołu ds. odzyskiwania awaryjnego oraz rolę każdego z członków.

5. Opisz harmonogram testowania planu odzyskiwania i sposób pomiaru wydajności testów w przypadku każdego planu.

6. Udostępnij plan wszystkim zainteresowanym stronom, a także poproś o wkład i opinie podczas tworzenia i testowania planu, jak również po tym etapie.

Co powinien zawierać plan odzyskiwania awaryjnego?

W każdym planie odzyskiwania danych po awarii należy uwzględnić co najmniej następujące elementy.

• Utwórz listę priorytetów obejmujących najważniejsze operacje biznesowe i stojące przed nimi zagrożenia związane z awarią.

• Napisz krótki opis aktualnych zasad, procesów i technologii dotyczących tworzenia kopii zapasowych i odzyskiwania danych po awarii, podkreślając wszelkie znane braki lub luki.

• Opisz, w jaki sposób obecne praktyki i rozwiązania usuwają zidentyfikowane luki w zabezpieczeniach.

• Utwórz listę członków zespołu ds. odzyskiwania danych po awarii z krótkim opisem każdego członka i jego roli.

• Opracuj harmonogram regularnych testów planu i krótko opisz, w jaki sposób rozwiążesz wszelkie zidentyfikowane problemy.

• Zachęcaj kluczowych interesariuszy do zgłaszania pytań, komentarzy i sugestii.

Jakie zdarzenia powinien obejmować plan odzyskiwania danych po awarii?

Plany odzyskiwania danych po awarii powinny uwzględniać jak największą liczbę scenariuszy awarii zagrażających działalności biznesowej. Ten artykuł dotyczy obszarów, które Ty i Twoi współpracownicy powinniście uważać za obowiązkowe dla Twojej firmy. W zależności od charakterystyki Twojej firmy i rynków, może być również konieczne planowanie pod kątem innych rodzajów awarii.