6 koraka do disaster recovery plana

Mainstream

11.01.2024

Nije tajna da u današnjem digitalnom dobu sva uspešna preduzeća funkcionišu oslanjajući se na informacione tehnologije.

Bez obzira na veličinu, broj zaposlenih, industriju i tržište na kojem posluju – savremene kompanije postaju sve bolje u prepoznavanju prednosti ulaganja u razvitak svojih IT infrastruktura. Prema istraživanju kompanije Dell, čak 71% preduzeća razume ulogu tehnologije u kontekstu sticanja i održavanja konkurentne pozicije na tržištu.

Pored toga, ukoliko odluče da jedan deo budžeta posvete digitalnom unapređivanju postojećeg poslovanja, preduzetnici mogu da očekuju smanjenje troškova na duge staze. Poslovni procesi se optimizuju i delom automatizuju, što pospešuje i ukupan nivo produktivnosti.

Zvuči sjajno, zar ne?

Ipak, postoji i manje primamljiva strana priče, a tiče se ranjivosti IT infrastruktura i važnosti dobro definisanog plana oporavka u slučaju katastrofe, odnosno disaster recovery plana.

Šta je disaster recovery plan i zašto vam je potreban

Odgovorno poslovanje podrazumeva prevenciju kao strateški pristup, pogotovo kada je reč o čuvanju kompanijskih podataka od važnosti.

Međutim, prevencija nije svemoćna niti to može biti u svetu naprednih oblika sajber kriminala, ali i mnogobrojnih nepredviđenih okolnosti ili slučajnih propusta na radnom mestu koji se neminovno dešavaju.

Uprkos ulaganjima u visoku zaštitu kompanijskih podataka, nijedna IT infrastruktura nije 100% bezbednosno zaštićena od potencijalnih katastrofa. Uobičajene prakse poput upotrebe naprednih antivirus softvera, šifriranja informacija, uvođenja strogih pravila privatnosti, ograničavanja pristupa malom broju osoba od poverljivosti – ipak ne garantuju da se ništa loše ne može desiti, mada minimiziraju mogućnost narušavanja bezbednosti.

Nažalost, katastrofe se dešavaju. One mogu biti izazvane:

  • Ljudskom greškom ili svesnim, zlonamernim delovanjem grupe ili pojedinca
  • Iznenadnim kvarom na hardveru
  • Krađom IT opreme
  • Uspešnim hakerskim napadom
  • Bilo kakvim spoljnim uticajima (poput požara i poplava, ekstremnih vremenskih uslova, havarija) koji su doveli do nestanka struje ili fizičkog oštećenja infrastrukture u sklopu kolateralne štete

Prilično je jasno da katastrofu teško možete predvideti. Ono što možete da uradite je da mislite unapred i napravite detaljan plan oporavka (tj. disaster recovery plan), kako biste se u najkraćem mogućem roku i uz minimalne gubitke vratili u normalan ritam poslovanja.

Dobar plan podrazumeva sveobuhvatnu dokumentaciju koja jasno definiše protokol i procedure, te obezbeđuje kontinuitet u poslovanju i brzo sanira štetu.

Ali, kako doći do njega?  

Korak #1: Izlistajte sva IT sredstva koja posedujete i izvršite procenu rizika

Logičan početak za izradu disaster recovery plana podrazumeva popis i analizu važnih podataka koji su ključni za poslovanje, kao i popis hardvera i sistema koje vaše preduzeće poseduje i kojima upravlja. Na ovaj način možete jasno definisati elemente vašeg poslovnog IT okruženja i odrediti za šta je sve odgovoran IT menadžment.

Uobičajena IT sredstva čine:

  • Serveri
  • Različite vrste aplikacija i programa
  • Podaci (npr. kontakt podaci poslovnih partnera, poverljivi podaci mušterija i korisnika)
  • Mrežni prekidači i pristupne tačke
  • Konkretna oprema i uređaji za skladištenje podataka i sl.

Preporučljivo je da popišete sve elemente, njihovu fizičku lokaciju, kojoj mreži pripadaju, kao i na koji način zavise od drugih elemenata.

Trudite se da ova lista bude što iscrpnija. Obavezno pored svakog elementa ispišite i ime dobavljača/odgovorne osobe i njihov kontakt za korisničku podršku. Na ovaj način, informacije od suštinskog značaja su vam u svakom trenutku dostupne i jednostavne za pregled.

Nakon popisa, sledi procena rizika. Za svaki od elemenata koji ste uvrstili u svoju tabelu navedite potencijalne pretnje i rizike. Vaš stručan IT tim ili koordinator za bezbednost trebalo bi da definiše tri stvari:

1) koje pretnje su realne za svaki element infrastrukture

2) kolika je verovatnoća da se određena katastrofa zaista dogodi (npr. preduzeća u našem regionu ne moraju da brinu o ekstremnim vremenskim pojavama kao što su uragani ili cunami talasi, ali su ledene kiše i grad, kao i poplave realna opasnost u određeno doba godine; preporučljivo je kvantifikovati ovu procenu sa “mala verovatnoća”, “srednja verovatnoća”, “velika verovatnoća”)

3) koji su mogući stepeni štete koje određene katastrofe mogu da izazovu (preporučljivo je kvantifikovati ovu procenu sa “nizak nivo štete”, “srednji nivo štete”, “visok nivo štete”)

Nakon popisa elemenata celokupne IT infrastrukute i procene rizika, spremni ste za drugi korak.

Korak #2: Organizujte elemente po faktoru kritičnosti

Glavna uloga disaster recovery plana je da vam omogući da u slučaju katastrofe, sistematično i hladne glave povratite svoju kompaniju na noge, uz najmanji mogući zastoj u poslovanju. Zbog toga je važno da napravite stručnu klasifikaciju svih elemenata unutar tabele i poređate ih po faktoru kritičnosti, tj. definišite koji su elementi od najveće važnosti za celokupno poslovanje.

U ovom procesu bi trebalo da učestvuju koordinatori iz različitih sektora, kako bi se prilikom prioritetizacije uzela u obzir celokupna slika poslovanja, a ne subjektivni utisak pojedinaca.

Dakle, prvi korak podrazumeva popis IT sredstava i razumevanje na koji način su izlistani elementi međusobno zavisni, što vam omogućava da u drugom koraku na najbolji mogući način grupišete elemente i procenite njihov nivo važnosti.

Naravno, važno je da uspostavite jedinstven sistem vrednovanja pre samog grupisanja. 

U zavisnosti od toga čime se vaša kompanija bavi, podaci mogu imati manje ili veće važnu ulogu u procesu kriznog upravljanja nakon katastrofe.

Na primer, ukoliko ste kompanija koju je zadesila katastrofa, a bavi se e-trgovinom i ima na hiljade zakazanih porudžbina, za nastavak poslovanja ključni su podaci o vašim mušterijama koji su izvršili uplate, (imena i prezimena, adrese), kao i tačni podaci o tome kada je izvršena uplata, koje je očekivano vreme dostave koje se mora ispoštovati, kao i koji kupljeni proizvod pripada kom kupcu.

Kada klasifikujete sve elemente prema važnosti, nužno je da date deskriptivnu procenu koliko je svaki element kritičan za dalje poslovanje. Dovoljno je da odredite tri nivoa važnosti prema ovom faktoru:

  • Element je nužan za postizanje strateškog cilja poslovanja, ali nije neophodan u prvoj fazi oporavka od katastrofe
  • Element je nužan za postizanje strateškog cilja poslovanja i kompanija može nastaviti sa radom, mada u oštećenom stanju i smanjenom obimu poslovanja
  • Element je kritičan za obavljanje svih suštinskih poslovnih operacija i bez njega nije moguće nastaviti poslovanje

Nakon organizacije svih elemenata i proširene tabele, spremni ste za treći korak.

Korak #3: Sastavite budžet i odaberite prave saveznike

Sasvim očekivano, nakon procene rizika sledi procena troškova za saniranje potencijalne štete. Formiranje budžeta u okviru disaster recovery plana iziskuje vreme, ali je nužno radi što efektnijeg rukovođenja kompanijom u kriznoj situaciji.

Jedna od korisnih caka za formiranje budžeta je da najpre popišete stvari koje su od najveće vrednosti (dakle, velike stavke poput održavanja softvera i hardvera, plata zaposlenih, prostora gde se skladište podaci, i sl.) i da zatim unosite manje troškove.

Prema inostranim istraživanjima, neplaniran prestanak poslovanja (tzv. downtime) može da košta kompanije između $926 i $17,244 po minutu, što je ogromna cifra i dosta dobro podcrtava važnost prevencije. Druge statistike kažu da za disaster recovery budžet kompanije tipično izdvajaju između 2% i 8% ukupnog budžeta, mada stručnjaci preporučuju čak 15%.

Sve zavisi od rizika kojem ste izloženi. U svakom slučaju, cifre ćete najlakše definisati oslanjajući se na svoju prethodnu fiskalnu godinu, tj. uobičajene prihode i troškove.

Kada je reč o alatima i tehnikama koje vam mogu olakšati planiranje oporavka od katastrofe, danas je tržište preplavljeno različitim inovativnim rešenjima koja su dizajnirana da direktno odgovore na potrebe malih preduzeća ili srednjih kompanija ili pak velikih korporacija.

Česta greška u formiranju budžeta tiče se odabira rešenja koja pružaju nivo i vrstu zaštite koja, uzevši u obzir obim i tip poslovanja kompanije, zaista nije potrebna. Tada se budžet uzaludno troši i dolazi do narušavanja ravnoteže u pogledu raspodele troškova. Druga krajnost tiče se nedovoljne zaštite, jer se ključni donosioci odluka vode mišlju da je rizik zanemarljiv.

U današnje vreme, cloud usluge dobijaju sve značajnije mesto u kontekstu prevencije i osmišljavanja efektnog i pristupačnog disaster recovery plana. Uz cloud, podaci se čuvaju offsite odakle se bezbedno mogu preuzeti u slučaju katastrofe. Stepen zaštite IT sistema je visok, a ne postoje nikakvi skriveni niti uzaludni troškovi: kompanije plaćaju samo ono što zaista i potroše, što čini ulaganje u cloud mudrom poslovnom odlukom.  

Korak #4: Definišite period i tačku oporavka

Prilikom izrade disaster recovery plana, neophodno je definisati period oporavka (recovery time objective) i tačku oporavka (recovery point objective).

Period oporavka podrazumeva unapred definisan maksimalan vremenski period za sprovođenje disaster recovery plana. Naravno, ovde je u pitanju odokativna ocena, ali se ipak ne sme svesti na nagađanje. U proces definisanja perioda oporavka moraju biti uključeni članovi višeg menadžmenta koji bi trebalo da daju krajnje odobrenje.

Prilikom definisanja perioda oporavka, potrebno je imati u vidu uobičajene prihode koji su zavisni od određenih elemenata pogođenih katastrofom, i izvršiti procenu kada gubici postaju veoma opasni – toliko da ugrožavaju postojanje preduzeća.

Udruženi IT i finansijski stručnjaci, osobe nadležne za poslovno planiranje i ključni donosioci odluka se ovde susreću sa popriličnim izazovom, jer se od njih očekuje da pruže što precizniji odgovor na sledeće pitanje:

Koji je prihvatljiv vremenski period obustavljanja poslovanja koji naša kompanija može da priušti, bez da to nepovratno ostavi negativnog traga na finansije, poziciju na tržištu, ili čak – dovede nas do bankrota?

Tačka oporavka odnosi se na prihvatljivu količinu podataka koju kompanija može da izgubi, bez da to ozbiljno naruši ritam poslovanja. Od ove definisane vrednosti zavisi učestalost backup-a kako bi se svi ključni podaci sačuvali. Ukoliko kompanija pretrpi ozbiljan pad sistema, tačka oporavka omogućuje vraćanje podataka sačuvanih u sklopu najskorijeg backup-a. Njome se definiše i starost datoteka koje se moraju povratiti.

Korak #5: Definišite strateške aktivnosti i dodelite odgovornosti

Vratimo se na vašu Excel Sheet tabelu. Do sada ste izlistali sve elemente, sortirali ih po faktoru kritičnosti, definisali sve pretnje, nivo verovatnoće za svaki od rizika, kao i moguće nivoe štete.

Velik je to posao, svaka čast!

Sada je vreme da definišete tačan protokol, tj. strateške aktivnosti, i to:

  • Strategiju odgovora ili reagovanja (response strategy)
  • Strategiju oporavka (recover strategy)

Za obe strategije neophodno je da definišete jasne korake kako biste u slučaju katastrofe, staloženo odreagovali.

Pogledajmo to na pojednostavljenom primeru podataka o iznosima obaveza kompanije, elementa koji će se sasvim sigurno naći u vašoj tabeli.

Kako su u pitanju ključni podaci koji se tiču finansija, oni se negde moraju skladištiti, te ćemo kao potencijalni rizik staviti pad servera.

Kao strategiju odgovora možemo staviti backup servera, a koraci bi uključivali sledeće:

  1. Potvrditi da je server pao
  2. Potvrditi da su podaci bezbedno sačuvani na backup-u
  3. Prebaciti podatke na privremeni server

Kao strategiju oporavka možemo staviti popravku ili zamenu primarnog servera koji je zakazao, a koraci bi uključivali sledeće:

  1. Utvrditi razlog pada servera
  2. Instalirati novi server
  3. Testirati novi server
  4. Prebaciti podatke na novi server 

Pisanje operativnih procedura možda nije najzabavnija stvar na svetu, ali je ključna u sklopu formulisanja disaster recovery plana. Katastrofe ostavljaju za sobom visokostresnu atmosferu i često su pod nabojem panike. Imati jasno uputstvo koje vas, korak po korak, podseća šta bi trebalo da radite – od neprocenjive je vrednosti.

U tom smislu, veoma je važno jasno naznačiti ko je od zaposlenih odgovoran za šta u slučaju katastrofa, pa čak razmotriti i opciju rezervnog osoblja u slučaju da ključni sprovodioci disaster recover plana nisu prisutni. Samo u slučaju kada su uloge jasno podeljene i definisane, šteta može biti efektno sanirana. U suprotnom, neće se znati šta je u čijoj nadležnosti, čime samo rizikujete da izgubite vreme.

Korak #6: Dokumentujte, testirajte i evaluirajte svoj plan

Poslednji korak podrazumeva jasno dokumentovanje disaster recovery plana, kao i njegovo testiranje. Potom sledi evaluacija i eventualne prepravke onoga što ste zabeležili.

Spomenuli smo Google Sheets kao zgodan način da započnete izradu svog disaster recovery plan. Verovatno ste već upoznati sa njim, ali ne škodi ukratko objasniti: u pitanju je besplatan, web-based program koji je lako dostupan preko Gmail naloga. Ipak, korisno je da plan oporavka imate sačuvano na više različitih lokacija, pa možda i u štampanoj formi, kako bi vam uvek bio pri ruci.

Složićete se: nema mnogo poente imati plan oporavka od katastrofe ako on nestane sa ostatkom IT infrastrukture, zar ne?

Uz to, pokušajte da kontinuirano testirate vaš plan kroz obuku zaposlenih, slično kao sa protivpožarnim vežbama. Ne samo da ćete kroz radionice i treninge dostići odličan nivo uigranosti, već ćete  takođe identifikovati manjkavosti vašeg plana i stoga ga usavršiti.

Uz to, vaše poslovanje će se vremenom menjati, kao i IT sredstva koja koristite i kojima upravljate, te disaster recovery plan nužno mora da isprati sve promene. Evaluacija plana se najbolje odigrava kroz praksu. Posvetite vreme edukaciji zaposlenosti o važnosti planiranja i ključnoj ulozi koju imaju kao članovi vašeg kolektiva.

Da li ste se već pripremili na najgore? Ukoliko niste, nadamo se da vas je naš tekst podstakao da formulišete sjajan disaster recovery plan i sačuvate svoju kompaniju!

Prijavite se na newsletter

Ukoliko želite da dobijate relevantne vesti i nove blog tekstove ostavite svoj kontakt.


    AI FOMO kao pokretač cloud transformacije

    Veštačka inteligencija je u fokusu kompanija, a sa njom i primena cloud tehnologija. Koje mogućnosti otvara AI i cloud simbioza i kako da ih najbolje iskoristite?

    Aws

    Kako da razvijate svoj startup na cloud-u uz AWS kredite 

    Saznajte kako da se prijavite za AWS kredite, maksimalno ih iskoristite i optimizujete svoju AWS infrastrukturu uz stalnu kontrolu troškova.

    Ograničenja upotrebe resursa pomoću Kubernetes-a: Rešavanje ograničenja kapaciteta CPU i memorije primenom mača sa dve oštrice

    Kubernetes CPU and memory limits are essential for managing resources, but setting them too low can lead to throttling…