Mainstream: Šest koraka do Disaster Recovery plana
Bez obzira na veličinu, broj zaposlenih, industriju i tržište na kojem posluju – savremene kompanije postaju sve bolje u prepoznavanju prednosti ulaganja u razvitak svojih IT infrastruktura. Prema istraživanju kompanije Dell, čak 71 odsto preduzeća razume ulogu tehnologije u kontekstu sticanja i održavanja konkurentne pozicije na tržištu
Pored toga, ukoliko odluče da jedan deo budžeta posvete digitalnom unapređenju poslovanja, preduzetnici mogu da očekuju smanjenje troškova na duge staze. Poslovni procesi se optimizuju i delom automatizuju, što pospešuje i ukupan nivo produktivnosti. Zvuči sjajno, zar ne?
Ipak, postoji i manje primamljiva strana priče, a tiče se ranjivosti IT infrastruktura i važnosti dobro definisanog plana oporavka u slučaju katastrofe, odnosno disaster recovery plana.
Šta je disaster recovery plan i zašto vam je potreban
Odgovorno poslovanje podrazumeva prevenciju kao strateški pristup, pogotovo kada je reč o čuvanju kompanijskih podataka od važnosti. Uprkos ulaganjima u visoku zaštitu kompanijskih podataka, nijedna IT infrastruktura nije 100 odsto bezbednosno zaštićena od potencijalnih katastrofa. Uobičajene prakse poput upotrebe naprednih antivirus softvera, šifriranja informacija, uvođenja strogih pravila privatnosti, ograničavanja pristupa malom broju osoba od poverenja – ipak ne garantuju da se ništa loše ne može desiti, mada minimiziraju mogućnost narušavanja bezbednosti.
Nažalost, katastrofe se dešavaju. One mogu biti izazvane:
- Ljudskom greškom ili svesnim, zlonamernim delovanjem grupe ili pojedinca
- Iznenadnim kvarom na hardveru
- Krađom IT opreme
- Uspešnim hakerskim napadom
Bilo kakvim spoljnim uticajima (poput požara i poplava, ekstremnih vremenskih uslova, havarija) koji su doveli do nestanka struje ili fizičkog oštećenja infrastrukture u sklopu kolateralne štete. Prilično je jasno da katastrofu teško možete predvideti. Ali možete da mislite unapred i napravite detaljan plan oporavka (tj. disaster recovery plan), kako biste se u najkraćem mogućem roku i uz minimalne gubitke vratili u normalan ritam poslovanja.
Dobar plan podrazumeva sveobuhvatnu dokumentaciju koja jasno definiše protokol i procedure, te obezbeđuje kontinuitet u poslovanju i brzo sanira štetu. Kako doći do njega?
Korak #1: Izlistajte sva IT sredstva koja posedujete i procenite rizik
Logičan početak za izradu disaster recovery plana podrazumeva popis i analizu važnih podataka koji su ključni za poslovanje, kao i popis hardvera i sistema koje vaše preduzeće poseduje i kojima upravlja. Na taj način možete jasno definisati elemente vašeg poslovnog IT okruženja i odrediti za šta je sve odgovoran IT menadžment.
Uobičajena IT sredstva čine:
- Serveri
- Različite vrste aplikacijai programa
- Podaci (npr. kontakt podaci poslovnih partnera, poverljivi podaci mušterija i korisnika)
- Mrežni uređaji i pristupne tačke sistemu
- Konkretna oprema i uređaji za skladištenje podataka i slično.
Nakon popisa, sledi procena rizika. Za svaki od elemenata koji ste uvrstili u svoju tabelu navedite potencijalne pretnje i rizike. Vaš stručni IT tim ili koordinator za bezbednost trebalo bi da proceni nivo rizika za svaku stavku.
Pokušajte da kontinuirano testirate vaš plan kroz obuku zaposlenih, slično kao s protivpožarnim vežbama. Ne samo da ćete kroz treninge dostići visok nivo uigranosti, već i usavršiti plan oporavka.
Korak #2: Organizujte elemente po faktoru kritičnosti
Glavna uloga disaster recovery plana je da vam omogući da u slučaju katastrofe, sistematično i hladne glave povratite svoju kompaniju na noge, uz najmanji mogući zastoj u poslovanju. Zbog toga je važno da napravite stručnu klasifikaciju svih elemenata unutar tabele i poređate ih po faktoru kritičnosti, to jest definišite koji su elementi od najveće važnosti za celokupno poslovanje firme.
U ovom procesu trebalo bi da učestvuju koordinatori iz različitih sektora kompanije kako bi se prilikom prioritetizacije uzela u obzir celokupna slika poslovanja, a ne subjektivni utisak pojedinaca.
Korak #3: Sastavite budžet i odaberite prave saveznike
Sasvim očekivano, nakon procene rizika, sledi procena troškova za saniranje potencijalne štete. Formiranje budžeta u okviru disaster recovery plana iziskuje vreme, ali je nužno radi što efektnijeg rukovođenja kompanijom u kriznoj situaciji.
Jedna od korisnih caka za formiranje budžeta jeste da prvo popišete najvrednije stvari (velike stavke poput održavanja softvera i hardvera, plata zaposlenih, prostora gde se skladište podaci i sl.) i da zatim unosite manje troškove.
Sve zavisi od rizika kojem ste izloženi. U svakom slučaju, cifre ćete najlakše definisati oslanjajući se na svoju prethodnu fiskalnu godinu, tj. uobičajene prihode i troškove.
U današnje vreme, cloud usluge dobijaju sve značajnije mesto u kontekstu prevencije i osmišljavanja efektnog i pristupačnog disaster recovery plana. Uz cloud, podaci se čuvaju offsite odakle se bezbedno mogu preuzeti u slučaju katastrofe. Stepen zaštite IT sistema je visok, a ne postoje nikakvi skriveni niti uzaludni troškovi: kompanije plaćaju samo ono što zaista i potroše, što čini ulaganje u cloud mudrom poslovnom odlukom.
Korak #4: Definišite period i tačku oporavka
Prilikom izrade disaster recovery plana, neophodno je definisati period oporavka (recovery time objective) i tačku oporavka (recovery point objective). Period oporavka podrazumeva unapred definisan maksimalan period za sprovođenje disaster recovery plana. Naravno, ovde je u pitanju odokativna ocena, ali se ipak ne sme svesti na nagađanje. U proces definisanja perioda oporavka moraju biti uključeni članovi višeg menadžmenta koji bi trebalo da daju krajnje odobrenje.
Manje primamljiva strana IT priče tiče se ranjivosti IT infrastrukture i postojanja dobro definisanog disaster recovery plana, odnosno oporavka u slučaju katastrofe
Tačka oporavka odnosi se na prihvatljivu količinu podataka koju kompanija može da izgubi, a da to ozbiljno ne naruši ritam poslovanja. Od ove definisane vrednosti zavisi učestalost backup‑a kako bi se svi ključni podaci sačuvali. Ukoliko kompanija pretrpi ozbiljan pad sistema, tačka oporavka omogućuje vraćanje podataka sačuvanih u sklopu najskorijeg backup‑a. Njome se definiše i starost datoteka koje se moraju povratiti.
Korak #5: Definišite strateške aktivnosti i dodelite odgovornosti
Vratimo se na vašu Excel Sheet tabelu. Do sada ste izlistali sve elemente, sortirali ih po faktoru kritičnosti, definisali sve pretnje, nivo verovatnoće za svaki od rizika, kao i moguće nivoe štete. Sada je vreme da definišete tačan protokol, tj. strateške aktivnosti, i to:
- Strategiju odgovora ili reagovanja (response strategy)
- Strategiju oporavka (recover strategy)
Za obe strategije neophodno je da definišete jasne korake kako biste u slučaju katastrofe staloženo odreagovali. Pogledajmo to na pojednostavljenom primeru podataka o iznosima obaveza kompanije, elementa koji će se sasvim sigurno naći u vašoj tabeli.
Kako su u pitanju ključni podaci koji se tiču finansija, oni se negde moraju skladištiti, te ćemo kao potencijalni rizik staviti pad servera. Kao strategiju odgovora možemo staviti backup servera, a koraci bi uključivali sledeće:
- Potvrditi da je server pao
- Potvrditi da su podaci bezbedno sačuvani na backup‑u
- Prebaciti podatke na privremeni server
Kao strategiju oporavka možemo staviti popravku ili zamenu primarnog servera koji je u nekom trenutku otkazao, a koraci bi uključivali sledeće:
- Utvrditi razlog pada servera
- Instalirati novi server
- Testirati novi server
- Prebaciti podatke na novi server
Pisanje operativnih procedura možda nije najzabavnija stvar na svetu, ali je ključna u sklopu formulisanja disaster recovery plana. Katastrofe ostavljaju za sobom visokostresnu atmosferu i često su pod nabojem panike. Imati jasno uputstvo koje vas, korak po korak, podseća šta bi trebalo da radite – od neprocenjive je vrednosti.
Korak #6: Dokumentujte, testirajte i evaluirajte svoj plan
Poslednji korak podrazumeva jasno dokumentovanje disaster recovery plana, kao i njegovo testiranje. Potom sledi evaluacija i eventualne prepravke onoga što ste zabeležili.
Pokušajte da kontinuirano testirate vaš plan kroz obuku zaposlenih, slično kao s protivpožarnim vežbama. Ne samo da ćete kroz radionice i treninge dostići odličan nivo uigranosti već ćete, takođe, identifikovati manjkavosti vašeg plana i stoga ga usavršiti. Uz to, vaše poslovanje će se s vremenom menjati, kao i IT sredstva koja koristite i kojima upravljate, te disaster recovery plan nužno mora da prati sve promene.
Korisna adresa: mainstream.rs
Primer iz prakse: AIK Banka
Kompanija Mainstream ima bogat portfolio klijenata koji uključuje ugledne kompanije iz različitih industrija, kao što su AIK banka, NIS, Sberbanka, KupujemProdajem, Gomex, Limundo, Televizija PRVA, Gigatron, B92, Tehnomanija i mnogi drugi. Jedan od zahtevnijih projekata bilo je unapređenje i optimizacija disaster recovery rešenja za AIK Banku.
Ljubiša Radivojević, CEO Mainstream‑a, ističe da je ovo bio izazovan projekat, ali da su zahvaljujući dobroj i prisnoj saradnji sa AIK bankom rezultati bili odlični: „Disaster recovery podrazumeva rešenje koje obezbeđuje kontinuitet poslovanja u slučaju nepredviđenih okolnosti (npr. iznenadni kvar na hardveru, ljudska greška, hakerski napad ili fizičko oštećenje infrastrukture). AIK banka, kao jedna od vodećih u Srbiji, uživa veliko poverenje svojih klijenata, te bi svaki minut nedostupnosti sistema predstavljao rizik za realizaciju prihoda i izgrađenu reputaciju. Iz IT ugla, Mainstream je odigrao važnu ulogu u procesu spajanja AIK banke i Alpha banke (kasnije preimenovane u Jubanku) – budući da smo izveli integraciju IT sistema dveju banaka i uspeli da unapredimo infrastrukturu zarad najvišeg stepena bezbednosti. Pored toga, ispoštovali smo postojeće tehnologije i topologije i uspeli da smanjimo IT troškove za više od 40 odsto.“