Kisvállalkozások folytonossági és katasztrófa utáni helyreállítási útmutató

A számítógépes támadások és a katasztrófák szerencsétlen valóság, amellyel minden vállalat valamilyen formában szembesül. Csak egy sebezhetőséget igényel, hogy egy opportunista támadó kihasználja a hálózatot vagy egy weboldalt, vagy egy természeti katasztrófa, például tűz, hogy egy társaság leálljon. Nem elegendő a védelem fenntartása; szükség van egy készenléti tervre, hogy megvédje magát a vírusoktól és más katasztrófáktól. Szüksége van egy üzleti folytonossági stratégiára.

Dióhéjban az üzletmenet-folytonossági stratégia vészhelyzeti terv, amelynek célja a rendes működés megóvása katasztrófa, például rosszindulatú program támadás vagy természeti katasztrófa után..

Bármely vállalkozás, amelynek nincs üzleti folytonossági stratégiája, dobja a kocka jövőjét. A kisvállalkozások negyven-hatvan százaléka, akik katasztrófa utáni helyreállítási terv nélkül elveszítik az operációs rendszerekhez és az adatokhoz való hozzáférést, örökre bezárják az ajtóikat. Azok a vállalkozások, amelyek nem rendelkeznek katasztrófa utáni helyreállítási tervvel vagy adatmentési tervvel, fennáll annak kockázata, hogy kiszállnak az üzletből.

Sok vállalkozásnak azt a benyomását kelti, hogy az üzletmenet-folytonossági terv (BCP) túl bonyolult, és nem teszik meg maguk védelmének lépéseit. Bár az üzleti folytonossági terv kidolgozása összetettnek tűnhet, a valóságban a katasztrófa utáni helyreállítási intézkedések végrehajtása egyszerű. Csak időt kell szednie az összeállításra.

Mi az üzleti folytonosság??

Az üzleti folytonosság olyan kifejezés, amelyet egy vészhelyzeti terv leírására használnak, amely lehetővé teszi az üzleti vállalkozás számára, hogy katasztrófa idején továbbra is működjön. A tervnek tartalmaznia kell egy sor megelőzési és helyreállítási lépést a katasztrófa által okozott károk minimalizálása érdekében. A BCP egyetlen dokumentumban van felvázolva, hogy az alkalmazottak tudják, hogyan kell reagálni a zavarokra.

A BCP-nek számos alapvető elemből kell állnia:

• Az üzleti hatás elemzése segítségével azonosíthatja a fő üzleti funkciókat és forrásokat
• Dokumentálja a kulcsfontosságú funkciókat, és hajtson végre egy tervet ezen funkciók események utáni helyreállítására
• Helyezze össze az üzleti folytonossági tervet az üzletmenet-folytonossági terv és az esetleges zavarok kezelésére
• Annak részletei, hová kell menniük az alkalmazottaknak egy katasztrófa idején (alternatív fizikai helyszín)
• Azonosítsa a vezetőség és más személyek elérhetőségét
• Dokumentációs információk az adatmentési megoldásokról
• Képzés és tesztelés annak ellenőrzésére, hogy az alkalmazottak tudják-e alkalmazni a helyreállítási stratégiát

Mi a katasztrófa utáni helyreállítás??

Az üzleti folytonosság és a katasztrófa utáni helyreállítás kifejezéseket gyakran felcserélhetően használják. Ugyanakkor nagy különbség van a kettő között. A katasztrófa utáni helyreállítás az üzletmenet-folytonossági terv egyik alkotóeleme, amelynek célja az üzleti működés egészének fenntartása.

A katasztrófa utáni helyreállítási terv szól a missziókritikus funkciók helyreállítása katasztrofális esemény után. A vállalkozások katasztrófa utáni helyreállítási tervet készítenek, amely meghatározza, hogyan kell reagálni állásidő esetén.

A katasztrófa utáni helyreállítási tervnek a következő információkat kell tartalmaznia:

• Készítsen nyilatkozatot és vázolja fel a terv céljait
• Vázolja az esemény utáni végrehajtandó vészhelyzeti intézkedéseket
• Azonosítsa a fontos informatikai eszközöket és állítsa be a maximális kiesési időt
• Katalogizáljon minden olyan szoftvert vagy rendszert, amelyet a helyreállítási folyamat során használnak
• Hozzon létre katasztrófa utáni helyreállítási csoportot és rögzítse kapcsolattartási adataikat
• Felhalmozhatja a technológiai gyártók dokumentációját a helyreállítási intézkedésekről és a szoftverekről

A BCP Essentials

Ebben a szakaszban közelebbről megvizsgáljuk a BCP végrehajtásának lényeges részeit. Ezek tartalmazzák:

• Hozzon létre egy üzleti hatásvizsgálatot (BIA)
• Keresse meg legnagyobb kockázati potenciálját
• Hozzon létre egy kommunikációs tervet
• Ellenőrizze a biztosítási fedezetét
• Biztonsági másolat készítése az adatokról a felhőben
• Tesztelje tervét
• Telepítse a számítógépes biztonsági eszközöket – víruskereső, kártevőirtó és DDOS védelmi szoftvert
• Készítsen fizikai másolatokat tervéről

Üzleti hatásvizsgálat (BIA)

A BIA az első lépés, amelyet meg kell tennie a BCP végrehajtásakor. A BIA célja a jelenlegi rendszerek leltárának felmérése, a kulcsfontosságú erőforrások felhívása a figyelmére, és stratégia kidolgozása ezeknek az erőforrásoknak a megszakítása esetén történő helyreállítására..

Az értékelésnek meg kell mérnie a rendszerek fontosságát, hogy prioritást élvezhessen ezeknek a missziókritikus rendszereknek az ASAP visszaállítása. Az alapos elemzés elvégzéséhez meg kell határoznia a következő információkat;

• Határozza meg, mely egységek, szolgáltatások és erőforrások vannak a leginkább veszélyeztetett és milyen szerepük van
• Azonosítsa a kritikus funkciókat, amelyek ezen egységek működését vezérlik
• Adja meg az állásleállás elfogadható szintjét
• A helyreállítási idő (fájlok, amelyeket vissza kell állítani stb.)
• Jelölje ki azt a hatást, amelyet a kudarcok gyakorolnak az üzletre
• Készítsen táblázatokat és diagramokat, hogy megmutatja a lehetséges veszteségeket, ha ezek az egységek meghibásodnak
• Készítse el az elemzés során összegyűjtött adatok módszertanát
• Határozza meg vagy jelölje ki a vészhelyzetben való reagálásért felelős alkalmazottakat és vegye fel a kapcsolatot velük

Ne feledje, hogy a BIA célja, hogy azonosítsa azokat a kulcsfontosságú rendszereket, amelyeket vissza kell állítania, és kiemelje a lehetséges károkat / hibákat. Az értékelésnek fel kell hívnia a figyelmet arra, hogy mely rendszereket vagy funkciókat kell prioritássá tenni, hogy az üzlet gyorsan visszatérhessen.

Keresse meg legnagyobb kockázati potenciálját

A szervezettel szembeni legnagyobb kockázatok katalogizálása segít csökkenteni annak valószínűségét, hogy megőrzésből kerülnek ki. Bár nem tudja irányítani a jövőt, megértheti azokat a problémákat, amelyekkel valószínűleg szembesül. Figyelembe kell vennie a helyben lévő fizikai kockázatokat és a technológiai kockázatokat, például a hibákat vagy a számítógépes támadásokat.

A kockázatok magukban foglalhatják:

• Áradások és vízkárosodások
• Áramkimaradások
• Tűzveszély
• Súlyos időjárási viszonyok
• Természeti katasztrófák, például földrengések
• DDoS támadások
• Vírusok vagy rosszindulatú programok
• Lopás / Sabotage
• Terrorizmus

Mindezek a kockázatok azt eredményezhetik, hogy néhány napra vagy hosszabb ideig le kell állnia. Ezen kockázati tényezők előzetes figyelembevétele lehetővé teszi azok kezelésére szolgáló intézkedések végrehajtását.

Például, ha olyan régióban tartózkodik, ahol a földrengések gyakran zajlanak, az adatok tárolása a felhőben segítheti az adatok rendelkezésre állását. Hasonlóképpen, a számítógépes fenyegetések elleni védelem érdekében telepíthet egy víruskereső vagy kártevőirtó eszközt.

Készítsen egy kommunikációs tervet

BCP sikere az alkalmazottakon múlik, akik végrehajtják. Ha nincs egyértelmű, hogy kiért miért felelős, akkor a válság idején való reagálás lehetősége súlyosan korlátozott lesz. Kommunikációs terv kidolgozása és a támadásokra reagáló alkalmazottak felvázolása eredményesebb reagálást eredményez.

A hosszú távú biztonság érdekében el kell készítenie egy tervet a helyreállítási folyamat frissítéseinek és egyéb információk közlésére. Számos hatékony módszer van a kommunikációra, de mi a legjobb, az alkalmazottak kultúrájától és preferenciáitól függ. A következők mindegyike hatékony kommunikációs módszer:

• Telefonon és sms-en keresztül
• Használjon e-mail figyelmeztető rendszert a frissítések biztosításához
• Használjon olyan együttműködési eszközt, mint a Slack, hogy az alkalmazottak egyetlen csevegőcsatornában kommunikálhassanak
• Használjon olyan alkalmazást, mint a WhatsApp, és hozzon létre egy csoportos csevegést az alkalmazottak távoli kommunikációjához

Annak biztosítása érdekében, hogy a katasztrófa ideje alatt kommunikálhasson, ellenőriznie kell, hogy távolról hozzáférhet-e webhelyéhez és közösségi média-fiókjaihoz. Ilyen módon frissítést bocsáthat ki az alkalmazottak (vagy az ügyfelek) számára, ha probléma merül fel a szolgáltatással.

Ellenőrizze a biztosítási fedezetét

Még akkor is, ha felkészültél, nem fogja tudni enyhíteni az összes károkat. A biztosítás elengedhetetlen ahhoz, hogy pénzügyi biztonságot biztosítson neked, amelyre visszatérhet, ha elhagyják a tevékenységet. A Üzleti megszakítás biztosítási kötvény fedezi Önt, ha katasztrófaes esemény sújtja Önt.

Ez a típusú biztosítás fedezi a tűz, viharok, lopások és egyéb problémákat, amelyek kényszeríthetik az ajtók bezárására. Politikája fedezheti azokat a nyereségeket, amelyeket akkor szerezne, ha működőképes maradna, a működési költségeket, például a munkavállalók béreit, az átmeneti áthelyezés költségeit (költözési és bérleti költségek) és egyebeket.

Vannak azonban bizonyos korlátok, amelyeket figyelembe kell venni. A biztosítás általában nem terjed ki a közművekre, a nem dokumentált jövedelemre, a részleges bezárásra vagy a nem fedezett katasztrófákra, például a földrengésekre és az elektromos vezetékek miatt bekövetkező bezárásokra..

Biztonsági másolat készítése a felhőben

Az egyik legegyszerűbb módszer az adatok elvesztésének vagy megrongálódásának megóvására az, hogy felhőalapú szolgáltatásra helyezze át. Fontos adatok tárolása telephelyen kívül azt jelenti, hogy ha történik valami a helyi környezettel, akkor az adatai továbbra is biztonságban vannak. Az adatok távolról is elérhetők lesznek, amíg vállalkozási webhelye működőképes lesz.

A felhőalapú biztonsági mentési megoldások használatának előnyei az, hogy nem kell fizetnie a saját adatközpontjának felépítéséért és karbantartásáért. Egyszerűen fizethet egy felhő-szolgáltatót a tároláshoz való hozzáférésért azon költségeinek töredékénél, amelyeket fizetne a saját adatközpontjának működtetése érdekében. Lehetőség van a költségek további csökkentésére is, csak a kritikus adatok mentésével.

Számos szolgáltató használhatja az adatok védelmét a felhőben:

• Dropbox vállalkozások számára
• Google Drive
• Karbonit biztonságos

Legjobb gyakorlatként válassza ki az adatközpontot, amely messze van az elsődleges telephelyétől, egy másik földrajzi területen. Ha a biztonsági mentés túl közel van a helyi telephelyhez, akkor egy esemény potenciálisan mindkettőt elérhetővé teszi offline állapotban! Egy hatalmas vihar vagy földrengés könnyen befolyásolhatja két helyet, ha nincs elég távolság.

Tesztelje tervét

Miután elkészítette a tervet, fontos az gondosan tesztelje. Meg kell próbálnia a tervet, hogy megtudja, hogyan működik minden lehetséges forgatókönyv esetén. A tesztek során meg kell tudnia, hogy mennyi ideig tart a terv végrehajtása, hogy a reagálási intézkedések a gyakorlatban működnek-e, mennyire tisztában vannak az első kapcsolatok és az alkalmazottak felelősségükkel, és mekkora leállási időt nyújt Önnek a terv.

A terv tesztelésével olyan kérdéseket találhat, amelyek papíron elmulasztottak. Például, ha a biztonsági mentés sikertelen, vagy ha nem tud elérni egy alapvető alkalmazottat. Ha ezeket a kérdéseket előre megtudja, akkor változtatásokat hajthat végre úgy, hogy BCP-jére jó legyen, amikor esik az idő.

A tesztelés során különös figyelmet kell fordítania a helyreállítási idő céljára és a helyreállítási pont céljára a terv sikerének mérésére. Évente legalább egyszer el kell végeznie a terv fúrásait az alkalmazottakkal, hogy megbizonyosodjon arról, hogy megismerik-e a reagálási eljárásokat; ha sok új bérlő van.

Telepítse a számítógépes biztonsági eszközöket – víruskereső, kártevőirtó és DDOS védelmi szoftvert

A számítógépes támadások az egyik leggyakoribb kockázat, amellyel a vállalkozások szembesülnek. A vírusok, rosszindulatú programok és DDOS támadások mind leállíthatják vállalkozását, és több tízezer dolláros kárt okozhatnak Önnek. Szoftverügynökök telepítése az eszközökön és a kiszolgálókon a vírusok és a rosszindulatú programok elleni védelem érdekében szükség van a hálózati belépési pontok csökkentésére. Az antivírusos megoldások riasztásokat adnak, amikor a program vírust fedez fel.

A DDoS támadások megelőzésére számos DDoS védelmi megoldás használható, ideértve a naplókezelő eszközöket, a hálózati elemzőket, a webes alkalmazás tűzfalait és a kezelt DDoS védelmi szolgáltatásokat. A naplókezelő eszköz például értesítést küld Önnek, ha rosszindulatú forgalmat észlel. A kiberbiztonság lépésről lépésre történő megközelítése hosszú távon lehetővé teszi az átfogóbb védelem felépítését.

Készítsen fizikai másolatokat tervéről

Végül, tartsa kéznél a BCP fizikai másolatait. A válság ideje alatt felbecsülhetetlen értékű a reagálási intézkedések nyilvántartása. Ha a terv csak digitális dokumentumként érhető el, akkor nem fogja tudni elérni, ha elveszíti a funkcionalitást. Ha nincs kéznél a terv, az azt jelenti, hogy ha a csapata szívből nem veszi észre a lépéseket, akkor nem lesz képes hatékonyan reagálni egy katasztrófára!

A félreértések elkerülése érdekében nyomtassa ki a BCP jelenlegi verzióit, és adja át minden releváns alkalmazottnak és partnernek. Ha papírmásolat áll rendelkezésére, az iránymutatást ad az alkalmazottaknak ahhoz, hogy hatékonyan reagáljanak egy esemény következményeire.

Üzleti folytonosság: Most cselekedjen!

A BCP szükséges lépés az üzleti vállalkozás elismeréséhez és védelméhez minden gyengeség ellen. Az előrelátás, hogy pontosan meghatározzuk azokat a rendszereket, amelyekre támaszkodik, lehetővé teszi a rangsorolást a káosz esetén.

Ha az alkalmazottak tisztában vannak egy dokumentált folytonossági folyamattal, akkor csökkentheti a válaszidejét és megakadályozhatja a szolgáltatás további zavarását. Végül, minél rövidebb idő alatt szolgálatot vesz igénybe, annál kevesebb pénzt fog veszíteni.

A haszon érdekében nem feltétlenül kell összeállítania egy komplex folyamatossági tervet. Egy kicsit szervezett terv, átgondolt reakcióval, százszor jobb, mint az esemény utáni improvizálás. Előzetes tervezéssel lehetővé teszi az alkalmazottak számára, hogy hatékonyan és gyorsan reagáljanak a szolgáltatási zavarokra.