Uanset hvilken form en katastrofe tager, er den bedste måde at håndtere den på at være forberedt ved at anvende en velgennemtænkt katastrofeberedskabsplan. Det er meget nemmere at bevare roen under pres, når du har en person (eller en ting) til at guide dig gennem en dårlig situation. Katastrofer kan antage mange former, lige fra naturkatastrofer til cyberangreb og ulykker.
Cyberangreb som f.eks. ransomware kan være katastrofale for en virksomhed og kan ofte standse arbejdet helt og holdent. Konsekvenserne af utilsigtede tab af dokumenter eller et ondsindet sikkerhedsbrud kan være alvorlige, herunder tab af omdømme, bøder i henhold til lovgivningen og nedetid for systemer og forretning. Ved at udarbejde en praktisk anvendelig forretningskontinuitetsplan får en organisation den bedst mulige chance for at minimere virkningerne af en katastrofe som f.eks. en oversvømmelse, en brand eller et cyberangreb og reducere genopretningstiden.
Her er vores guide til, hvad en katastrofeberedskabsplan er, og hvordan du skriver en sådan.
Hvad er en katastrofeberedskabsplan?
I Hitchhiker's Guide to the Galaxy begynder Encyclopaedia Galactica med ordene "Don't Panic" (gåikke i panik). En effektiv katastrofeberedskabsplan behøver ikke at have disse ord på forsiden, da den er en velovervejet guide til håndtering af en katastrofe. En DR-plan er en organisations dokumenterede vejledning i at reagere på hændelser, herunder naturkatastrofer som oversvømmelser, strømafbrydelser, cyberangreb, datatab osv. Planen indeholder en række strategier, der bidrager til at minimere virkningerne af en katastrofe, idet målet er at opretholde forretningsdriften og genoptage arbejdet så hurtigt som muligt.
Hvorfor skal du skrive en katastrofeberedskabsplan?
Der sker dårlige ting, og ofte uden varsel, hvilket resulterer i omfattende forstyrrelser. Stormene i Storbritannien i 2015-2016 resulterede f.eks. i en økonomisk påvirkning på 1,6 mia. pund, og virksomhederne brugte over 500 mio. pund på oversvømmelsesskader. Cyberangreb er også en katastrofe, der venter på at ske: i 2020 vil 65 % af de mellemstore virksomheder ifølge en DCMS-undersøgelse fra 2021 opleve et cyberangreb. Insidertrusler kan også være katastrofale, og ifølge Ponemon Institute er omkostningerne steget kraftigt: I de sidste 12 måneder er de gennemsnitlige årlige omkostninger ved et insiderbrud steget med 31 % til 11,45 millioner dollars (8,27 millioner pund).
Katastrofer er ofte uundgåelige, men de kan styres for at minimere deres konsekvenser - det er her, katastrofeplanen kommer ind i billedet. En DR-plan er udformet med henblik på at:
- Begrænse katastrofens indvirkning på virksomheden
- Minimere virkningen på forretningsprocesser og drift
- Minimere enhver fysisk skade eller cyberskade
- Reducere omkostningerne i forbindelse med katastrofen
- Uddannelse af personale, leverandører og interessenter i de processer, der er identificeret for at afbøde katastrofer
- Find ud af, hvordan man kan arbejde, mens katastrofen håndteres
- Procedurer for genopretning efter katastrofen
Sådan skriver du en plan for genopretning efter en katastrofe
Disaster Recovery-planer består typisk af fem hovedkomponenter:
- Roller og ansvarsområder
- Hvad er risikoområderne?
- Udføre en konsekvensanalyse af forretningsmæssige konsekvenser (BIA)
- Revision af aktiver
- Sikkerhedskopiering af data
Roller og ansvarsområder
Skab et DR-team, der skal være ansvarligt for at udvikle og vedligeholde DR-planen. Identificer det nøglepersonale, der er involveret i udførelsen af de opgaver, der er forbundet med håndtering og genopretning af en katastrofe. En effektiv formidling af oplysninger og solide kommunikationskanaler er afgørende for en effektiv katastrofeplan. Angiv personalets oplysninger, herunder kontakt- og reservekontaktoplysninger, i en let tilgængelig logbog i DR-planen. Dette vil være din hovedliste over kontakter. Du bør også oprette et backup-team af kontaktpersoner.
Alle medarbejdere skal informeres om DR-planen og om, hvem der er ansvarlig for at gennemføre planen i tilfælde af en katastrofe. Dette vil indgå i et bredere uddannelsesprogram i katastrofeplanlægning for alle medarbejdere, så de forstår, hvad der sker i tilfælde af en katastrofe.
Hvad er risikoområderne?
Definer de risikoområder, der er forbundet med en katastrofe. Dette opdeler typisk katastrofer i typer, f.eks. naturkatastrofer, menneskeskabte katastrofer og teknologirelaterede katastrofer. Hver type katastrofe vil typisk have sine egne afbødningsstrategier. Gør rede for, hvad disse afbødningsstrategier er, og hvordan de hver især gennemføres.
Udføre en konsekvensanalyse af forretningsmæssige konsekvenser (BIA)
En effektiv håndtering af en katastrofe kræver prioritering. I en vurdering af virksomhedens konsekvenser (Business Impact Assessment (BIA)) undersøges de forskellige typer af forretningsaktiviteter og kortlægges i forhold til risikoniveauer i forhold til, hvor kritiske de er for virksomhedens fortsatte drift. Dette kortlægges i forhold til ressourcekravene til kritiske forretningsaktiviteter, som er nødvendige for at sikre operationel modstandsdygtighed og kontinuitet, når forretningen afbrydes. Med hensyn til katastrofeplanlægning vil en katastrofeplan for genopretning typisk fokusere på vigtige forretningsområder som f.eks. indtjening og lønninger. Målet er dog at få fuld drift op at køre så hurtigt som muligt.
Revision af aktiver
Som en del af en bredere konsekvensanalyse bør DR-planen indeholde en revision af de mest påvirkelige applikationer, dokumenter, hardware osv. og deres kritiske betydning for forretningsdriften. Dette er en løbende proces, da disse elementer hurtigt kan ændre sig.
Sikkerhedskopiering
Sikkerhedskopiering af vigtige og følsomme dokumenter er en fejlsikret løsning. Dokumenter, der er vigtige for en virksomhed, kan gå tabt eller blive beskadiget i en katastrofe eller blive krypteret ved ransomware-angreb. Sørg for, at din politik omfatter en backup- og genoprettelsesstrategi, der dækker følgende tjekliste:
- Hvem er ansvarlig for sikkerhedskopiering af data?
- Hvad skal du gemme, og hvor ofte skal du lave sikkerhedskopier?
- Hvordan den skal gemmes (type backup-system, der anvendes - dette er især vigtigt for modstandsdygtighed over for ransomware)
- Hvordan og hvor ofte backup-systemet skal testes
- Sådan gendannes fra sikkerhedskopier
Det er også vigtigt at huske, at en datagendannelsesplan er et levende dokument, som bør opdateres regelmæssigt. Udarbejdelse af en robust DR-plan er en intensiv proces, der dykker ned i din virksomheds ukrudt, og hvordan du vil klare dig i det værst tænkelige tilfælde. Den har mange forretningskritiske dele, og samarbejde med tredjepartseksperter bør overvejes for at sikre en plan, der passer bedst muligt.
Er din katastrofeberedskabsplan klar?
Alle katastrofeberedskabsplaner er unikke for en organisation: en katastrofeberedskabsplan går ned i kernen af en organisations forretning og dens måde at fungere på. Men en katastrofeberedskabsplan har mennesker i centrum. Uddannelse af personalet i gennemførelsen af principperne i en katastrofeberedskabsplan er afgørende for at sikre, at planen gennemføres effektivt. Vores medarbejdere er midlet til at afværge en katastrofe, men de skal gøres fuldt ud opmærksomme på deres rolle med hensyn til at afværge eller minimere virkningerne af katastrofen.
