Olipa katastrofi minkälainen tahansa, paras tapa selviytyä siitä on varautua siihen käyttämällä hyvin harkittua katastrofien palautussuunnitelmaa. Rauhallisena ja tyynenä pysyminen paineen alla on paljon helpompaa, kun sinulla on joku (tai jokin), joka opastaa sinua huonon tilanteen läpi. Katastrofeja on monenlaisia luonnonkatastrofeista kyberhyökkäyksiin ja onnettomuuksiin.
Kyberhyökkäykset, kuten lunnasohjelmat, voivat olla yritykselle tuhoisia, ja usein ne pysäyttävät työn kokonaan. Asiakirjojen tahattomasta katoamisesta tai ilkivaltaisesta tietoturvaloukkauksesta voi aiheutua vakavia seurauksia, kuten maineen menetys, sääntelyn mukaiset sakot sekä järjestelmä- ja liiketoimintahäiriöt. Toimivan liiketoiminnan jatkuvuussuunnitelman laatiminen antaa organisaatiolle parhaat mahdolliset mahdollisuudet minimoida tulvan, tulipalon tai verkkohyökkäyksen kaltaisen katastrofin vaikutukset ja lyhentää toipumisaikaa.
Tässä on oppaamme siitä, mitä katastrofien palautumissuunnitelma on ja miten se laaditaan.
Mikä on katastrofista palautumista koskeva suunnitelma?
Hitchhiker's Guide to the Galaxy -kirjassa Encyclopaedia Galactica alkaa sanoilla "Älä panikoi". Tehokkaassa katastrofista toipumista koskevassa suunnitelmassa ei tarvitse olla näitä sanoja kannessa, koska se on perusteltu opas katastrofin käsittelyyn. DR-suunnitelma on organisaation dokumentoitu ohjeistus, jolla reagoidaan häiriötilanteisiin, kuten luonnonkatastrofeihin, kuten tulviin, sähkökatkoksiin, verkkohyökkäyksiin, tietojen menetykseen ja niin edelleen. Suunnitelmassa esitetään joukko strategioita, joiden avulla katastrofin vaikutukset voidaan minimoida; tavoitteena on liiketoiminnan ylläpitäminen ja työn jatkaminen mahdollisimman pian.
Miksi sinun on laadittava katastrofista palautumista koskeva suunnitelma?
Pahoja asioita tapahtuu, ja usein ilman varoitusta, ja ne aiheuttavat laajoja häiriöitä. Esimerkiksi vuosien 2015-2016 myrskyt aiheuttivat Yhdistyneessä kuningaskunnassa 1,6 miljardin punnan taloudelliset vaikutukset, ja yritykset käyttivät yli 500 miljoonaa puntaa tulvavahinkoihin. Myös verkkohyökkäykset ovat katastrofi, joka odottaa tapahtuvan: vuonna 2020 65 prosenttia keskisuurista yrityksistä koki verkkohyökkäyksen DCMS:n vuonna 2021 tekemän tutkimuksen mukaan. Myös sisäpiirin uhat voivat olla tuhoisia, ja Ponemon-instituutin mukaan kustannukset nousevat: viimeisten 12 kuukauden aikana sisäpiirin tietoturvaloukkauksen keskimääräiset vuotuiset kustannukset ovat nousseet 31 prosenttia 11,45 miljoonaan dollariin (8,27 miljoonaan puntaan).
Katastrofit ovat usein väistämättömiä, mutta niitä voidaan hallita niiden vaikutusten minimoimiseksi - tässä kohtaa katastrofien palautumissuunnitelma tulee kyseeseen. DR-suunnitelman tarkoituksena on:
- rajoittaa katastrofin vaikutusta liiketoimintaan
- Minimoidaan vaikutukset liiketoimintaprosesseihin ja toimintoihin
- Minimoidaan fyysiset tai kybervahingot.
- Vähentää katastrofiin liittyviä kustannuksia
- Koulutetaan henkilöstöä, myyjiä ja sidosryhmiä katastrofien lieventämiseksi määritellyissä prosesseissa.
- Määritellään työskentelytapoja katastrofin käsittelyn ajaksi.
- Katastrofin jälkeiset toipumismenettelyt
Kuinka kirjoittaa katastrofien palautumissuunnitelma
Katastrofista toipumista koskevat suunnitelmat koostuvat yleensä viidestä keskeisestä osatekijästä:
- Roolit ja vastuualueet
- Mitkä ovat riskialueet?
- Yritysvaikutusten arvioinnin (BIA) tekeminen.
- Omaisuuden tarkastus
- Tietojen varmuuskopiot
Roolit ja vastuualueet
Luo DR-ryhmä, joka vastaa DR-suunnitelman kehittämisestä ja ylläpidosta. Määrittele avainhenkilöt, jotka osallistuvat katastrofin käsittelyyn ja siitä toipumiseen liittyvien tehtävien suorittamiseen. Tehokas tiedonjakelu ja vankat viestintäkanavat ovat olennaisen tärkeitä tehokkaan katastrofivalmiussuunnitelman kannalta. Henkilöstön tiedot, mukaan lukien yhteystiedot ja varayhteystiedot, on tallennettava DR-suunnitelmaan helposti saatavilla olevaan lokiin. Tästä tulee yhteystietojen pääluettelo. Sinun tulisi myös muodostaa varayhteyshenkilöistä koostuva vararyhmä.
Kaikille työntekijöille on tiedotettava DR-suunnitelmasta ja siitä, kuka on vastuussa suunnitelman toteuttamisesta katastrofitilanteessa. Tämä on osa laajempaa katastrofisuunnittelua koskevaa koulutusohjelmaa, jonka avulla kaikki työntekijät ymmärtävät, mitä katastrofitilanteessa tapahtuu.
Mitkä ovat riskialueet?
Määrittele katastrofiin liittyvät riskialueet. Tällöin katastrofit jaetaan tyypillisesti tyyppeihin, esimerkiksi luonnonkatastrofeihin, ihmisen aiheuttamiin katastrofeihin ja teknologiaan liittyviin katastrofeihin. Kullekin katastrofityypille on tyypillisesti omat lieventämisstrategiansa. Hahmottele, mitä nämä lieventämisstrategiat ovat ja miten kukin niistä toteutetaan.
Yritysvaikutusten arvioinnin (BIA) tekeminen.
Katastrofin tehokas hallinta edellyttää priorisointia. Liiketoiminnan vaikutusten arvioinnissa (BIA) tarkastellaan liiketoimintatyyppejä ja kartoitetaan niiden riskitasot sen mukaan, kuinka kriittisiä ne ovat yrityksen toiminnan jatkumisen kannalta. Tämä suhteutetaan kriittisten liiketoimintojen resurssivaatimuksiin, joita tarvitaan toiminnan häiriön sietokyvyn ja jatkuvuuden varmistamiseksi liiketoiminnan häiriötilanteessa. Katastrofisuunnittelun kannalta katastrofivalmiussuunnitelmassa keskitytään tyypillisesti keskeisiin liiketoiminta-alueisiin, kuten tulonmuodostukseen ja palkanlaskentaan. Tavoitteena on kuitenkin saada kaikki toiminnot toimimaan mahdollisimman nopeasti.
Omaisuuden tarkastus
Osana laajempaa vaikutustenarviointia DR-suunnitelmassa olisi esitettävä tarkastelu vaikutuksiltaan merkittävimmistä sovelluksista, asiakirjoista, laitteistoista jne. ja niiden kriittisyydestä liiketoiminnalle. Tämä on jatkuva prosessi, koska nämä kohteet voivat muuttua nopeasti.
Varmuuskopiot
Tärkeimpien ja arkaluonteisten asiakirjojen varmuuskopiointi on vikasietoinen keino. Yritykselle välttämättömät asiakirjat voivat kadota tai vahingoittua katastrofissa tai salata lunnasohjelmahyökkäyksissä. Varmista, että käytäntösi sisältää varmuuskopiointi- ja palautusstrategian, joka kattaa seuraavan tarkistuslistan:
- Kuka vastaa tietojen varmuuskopioinnista?
- Mitä tallennetaan ja kuinka usein varmuuskopioita tehdään?
- Miten se tallennetaan (käytetyn varmuuskopiointijärjestelmän tyyppi - tämä on erityisen tärkeää lunnasohjelmia vastaan suojautumisen kannalta).
- Miten varmuuskopiointijärjestelmä testataan ja kuinka usein se testataan?
- Kuinka palautua varmuuskopioista
On myös tärkeää muistaa, että tietojen palautussuunnitelma on elävä asiakirja, jota on päivitettävä säännöllisesti. Vankan DR-suunnitelman laatiminen on intensiivinen prosessi, jossa syvennytään organisaation syvälle ja selvitetään, miten selviydytään pahimmassa tapauksessa. Siinä on monia liiketoimintakriittisiä osia, ja yhteistyötä kolmansien osapuolten asiantuntijoiden kanssa olisi harkittava, jotta voidaan varmistaa, että suunnitelma sopii parhaiten.
Onko katastrofista palautumista koskeva suunnitelmasi valmis?
Jokainen Disaster Recovery -suunnitelma on ainutlaatuinen organisaatiolle: DR-suunnitelma ulottuu organisaation liiketoiminnan ytimeen ja toimintatapoihin. Katastrofivalmiussuunnitelman ytimessä ovat kuitenkin ihmiset. Henkilöstön koulutus katastrofivalmiussuunnitelman periaatteiden toteuttamisesta on elintärkeää sen varmistamiseksi, että suunnitelma toteutetaan tehokkaasti. Henkilöstö on keino torjua katastrofi, mutta heille on annettava täysi tietoisuus heidän roolistaan katastrofin vaikutusten torjumiseksi tai minimoimiseksi.
