Руководство по обеспечению непрерывности и аварийному восстановлению малого бизнеса

Кибератаки и катастрофы – это печальная реальность, с которой сталкивается каждая компания в той или иной форме. Оппортунистический злоумышленник может использовать только одну уязвимость, чтобы разрушить сеть или веб-сайт, или стихийное бедствие, такое как пожар, приведший компанию в тупик. Оставаться защищенным недостаточно; вам нужен план действий в чрезвычайных ситуациях, чтобы защитить себя от вирусов и других бедствий. Вам нужна стратегия непрерывности бизнеса.

Короче говоря, стратегия обеспечения непрерывности бизнеса – это план действий в чрезвычайных ситуациях, разработанный для того, чтобы помочь вам обеспечить нормальную работу после стихийного бедствия, такого как атака вредоносного ПО или стихийное бедствие..

Любой бизнес, у которого нет стратегии обеспечения непрерывности бизнеса, бросает вызов своему будущему. Сорок-шестьдесят процентов малых предприятий, которые теряют доступ к операционным системам и данным без плана аварийного восстановления, навсегда закрывают свои двери. Предприятия, у которых нет плана аварийного восстановления или плана резервного копирования данных, рискуют быть разоренными.

У многих предприятий сложилось впечатление, что План обеспечения непрерывности бизнеса (BCP) слишком сложен и не предпринимает шагов, чтобы защитить себя. Хотя разработка плана обеспечения непрерывности бизнеса может показаться сложной, в действительности реализация мер по восстановлению после аварии проста. Вам просто нужно время, чтобы собрать.

Что такое непрерывность бизнеса?

Непрерывность бизнеса – это термин, используемый для описания плана действий в чрезвычайных ситуациях, который позволит бизнесу оставаться в рабочем состоянии во время бедствия. План должен включать ряд мер по предотвращению и восстановлению, чтобы свести к минимуму ущерб, вызванный стихийным бедствием. ППГ обозначен в одном документе, чтобы сотрудники знали, как реагировать на сбои.

ППГ должен иметь ряд основных компонентов:

• Используйте анализ влияния на бизнес для определения ключевых бизнес-функций и ресурсов
• Документирование ключевых функций и реализация плана восстановления этих функций после события
• Соберите план непрерывности бизнеса, чтобы управлять планом непрерывности бизнеса и любыми сбоями
• Подробно, куда сотрудники должны идти во время бедствия (альтернативный физический сайт)
• Определить контактную информацию руководства и других лиц
• Документирование информации о решениях для резервного копирования данных
• Обучение и тестирование, чтобы убедиться, что сотрудники знают, как применять стратегию восстановления

Что такое аварийное восстановление?

Термины непрерывности бизнеса и аварийного восстановления часто используются взаимозаменяемо. Тем не менее, есть большая разница между ними. Аварийное восстановление является компонентом плана обеспечения непрерывности бизнеса, который заключается в поддержании бизнеса в целом.

План аварийного восстановления о восстановление критически важных функций после катастрофического события. Предприятия создадут план аварийного восстановления, чтобы определить, как реагировать в случае простоя.

План аварийного восстановления должен включать следующую информацию:

• Подготовьте заявление и наметьте цели плана
• Опишите действия по реагированию на чрезвычайные ситуации, которые необходимо выполнить после события
• Определите важные ИТ-активы и установите максимальное время простоя
• Каталог любого программного обеспечения или систем, которые будут использоваться в процессе восстановления
• Создайте команду аварийного восстановления и запишите их контактную информацию
• Сбор документации от поставщиков технологий по мерам восстановления и программного обеспечения

Основы ППГ

В этом разделе мы рассмотрим основные части реализации ППГ. Это включает:

• Создать анализ воздействия на бизнес (BIA)
• Найдите свой самый большой риск
• Создать план общения
• Проверьте страховое покрытие
• Резервное копирование ваших данных в облаке
• Проверьте свой план
• Установите Cyber ​​Security Tools – антивирусное, антивирусное и DDOS программное обеспечение для защиты
• Создайте физические копии вашего плана

Анализ воздействия на бизнес (BIA)

BIA это первый шаг, который вы должны предпринять при внедрении ППГ. BIA – это инвентаризация ваших текущих систем, выделение ключевых ресурсов, на которые вы полагаетесь, и разработка стратегии восстановления этих ресурсов в случае сбоя..

Оценка должна измерять важность систем, чтобы вы могли установить приоритетность восстановления этих критически важных систем как можно скорее. Для проведения тщательного анализа необходимо указать следующую информацию;

• Определите, какие подразделения, службы и ресурсы подвергаются наибольшему риску и каковы их роли
• Определите критические функции, которые контролируют работу этих устройств
• Укажите приемлемый уровень простоя
• Момент времени, в который необходимо восстановить (файлы, которые необходимо восстановить и т. Д.)
• Выделите влияние, которое неудачи будут иметь на бизнес
• Создайте диаграммы и диаграммы, чтобы показать потенциальные потери в случае отказа этих блоков
• Создайте свою методологию для данных, собранных в анализе
• Определить или назначить сотрудников, ответственных за реагирование в чрезвычайных ситуациях и способы связи с ними

Помните, что цель BIA состоит в том, чтобы определить ключевые системы, которые необходимо восстановить, и выделить потенциальный ущерб / стоимость отказа. Оценка должна повысить осведомленность о том, какие системы или функции следует расставить по приоритетам, чтобы быстро поставить бизнес на ноги..

Найдите свой потенциал наибольшего риска

Каталогизация наибольших рисков, с которыми сталкивается ваша организация, поможет снизить вероятность того, что вы будете застигнуты врасплох. Хотя вы не можете контролировать будущее, вы можете понять проблемы, с которыми вы, скорее всего, столкнетесь. Вы должны учитывать физические риски на месте и технологические риски, такие как неисправности или кибератаки.

Риски могут включать в себя:

• Наводнение и повреждение водой
• Перебои в подаче электроэнергии
• Пожароопасность
• Суровые погодные условия
• Стихийные бедствия, такие как землетрясения
• DDoS-атаки
• Вирусы или вредоносные программы
• Кража / саботаж
• терроризм

Все эти риски могут привести к тому, что вам придется отключиться на несколько дней или дольше. Учет этих факторов риска заранее позволяет реализовать меры по их устранению.

Например, если вы находитесь в регионе, где часто происходят землетрясения, хранение ваших данных в облаке может помочь сохранить ваши данные доступными. Аналогично, для защиты от киберугроз вы можете развернуть антивирусное или антивирусное ПО.

Создать план общения

Успех вашего ППГ зависит от сотрудников, которые его внедряют. Если нет ясности в том, кто за что отвечает, ваша способность реагировать во время кризиса будет серьезно ограничена. Создание плана коммуникации и выделение сотрудников, участвующих в реагировании на атаки, приведет к более эффективному реагированию.

Для обеспечения долгосрочной безопасности вы хотите составить план для передачи обновлений процесса восстановления и другой информации. Существует много эффективных способов общения, но то, что лучше, будет зависеть от культуры и предпочтений ваших сотрудников. Все перечисленные ниже являются эффективными способами общения:

• Через телефон и текстовые сообщения
• Используйте систему оповещений по электронной почте для предоставления обновлений
• Используйте инструмент для совместной работы, такой как Slack, чтобы сотрудники могли общаться в одном чате
• Используйте приложение типа WhatsApp и создайте групповой чат для удаленного общения сотрудников.

Чтобы вы могли общаться во время бедствия, вы должны обеспечить удаленный доступ к своему веб-сайту и учетным записям в социальных сетях. Таким образом, вы можете выпустить обновление для сотрудников (или клиентов), если есть проблема с сервисом.

Проверьте страховое покрытие

Даже если вы готовы, вы не сможете смягчить весь ущерб. Страхование имеет решающее значение для предоставления вам финансовой страховки, на которую вы можете рассчитывать, если вас выведут из строя. Страховой полис прерывания бизнеса покроет вас, если вы пострадали от катастрофического события.

Этот вид страхования покрывает пожар, штормы, воровство и другие вопросы, которые могут заставить вас закрыть свои двери. Ваша политика может покрывать прибыль, которую вы бы получили, если бы вы оставались в рабочем состоянии, операционные расходы, такие как заработная плата сотрудников, расходы на временное перемещение (расходы на переезд и аренду) и т. Д..

Однако есть некоторые ограничения, о которых следует знать. Как правило, страхование не распространяется на коммунальные услуги, недокументированный доход, частичное закрытие или не покрываемые бедствия, такие как землетрясения и закрытия из-за линий электропередачи..

Резервное копирование ваших данных в облаке

Один из самых простых способов защитить ваши данные от потери или повреждения – переместить их в облачную службу.. Хранение важных данных вне помещения означает, что если что-то случится с вашей локальной средой, ваши данные будут в безопасности. Вы также сможете получить доступ к этим данным удаленно, пока ваш бизнес-сайт не будет в рабочем состоянии.

Преимущества использования облачных решений для резервного копирования заключаются в том, что вам не нужно платить за создание и обслуживание собственного центра обработки данных. Вы можете просто заплатить облачному провайдеру за доступ к хранилищу за часть стоимости, которую вы заплатили бы за эксплуатацию собственного центра обработки данных. Существует также возможность дальнейшего сокращения расходов за счет резервного копирования только важных данных..

Существует ряд провайдеров, которых вы можете использовать для защиты своих данных в облаке:

• Dropbox для бизнеса
• Гугл драйв
• Карбонит Сейф

Рекомендуется выбирать центр обработки данных, который находится далеко от вашего основного помещения, в другом географическом районе. Если ваша резервная копия находится слишком близко к вашему локальному помещению, то одно событие потенциально может перевести их обоих в автономный режим! Сильный шторм или землетрясение могут легко повлиять на два местоположения, если не будет достаточного расстояния.

Проверьте свой план

После того, как вы создали план, важно проверить это тщательно. Вы должны проверить план, чтобы увидеть, как он функционирует для каждого потенциального сценария. Во время тестов вы должны выяснить, сколько времени занимает выполнение плана, работают ли ваши меры реагирования на практике, насколько осведомлены первые контакты и сотрудники о своих обязанностях и сколько времени простоя позволит вам ваш план..

Протестировав план, вы сможете найти проблемы, которые вы пропустили на бумаге. Например, если ваша резервная копия не удалась или вы не можете связаться с важным сотрудником. Выявив эти проблемы заранее, вы сможете внести изменения, чтобы ваш ПП был готов к работе, когда придет время..

Во время тестирования вы захотите уделить особое внимание целевым показателям времени восстановления и точкам восстановления, чтобы измерить успех плана. Вы должны проводить учения по вашему плану с сотрудниками не реже одного раза в год, чтобы убедиться, что они ознакомились с процедурами реагирования; раньше, если у вас есть большое количество новых сотрудников.

Установите Cyber ​​Security Tools – антивирусное, антивирусное и DDOS программное обеспечение для защиты

Кибератаки являются одним из наиболее распространенных рисков, с которыми сталкиваются предприятия. Вирусы, вредоносные программы и DDOS-атаки могут привести к остановке вашего бизнеса и нанести ущерб в десятки тысяч долларов.. Установка программных агентов На устройствах и серверах защита от вирусов и вредоносных программ необходима для сокращения точек входа в вашу сеть. Антивирусные решения обеспечивают оповещения, когда программа обнаруживает вирус.

Для предотвращения DDoS-атак можно использовать множество решений для защиты от DDoS, включая инструменты управления журналами, анализаторы сети, брандмауэры веб-приложений и управляемые службы защиты от DDoS. Например, инструмент управления журналом отправит вам уведомление, когда обнаружит вредоносный трафик. Принятие пошагового подхода к кибербезопасности позволит вам создать более комплексную защиту в долгосрочной перспективе.

Создайте физические копии вашего плана

наконец, храните физические копии вашего ППГ под рукой. Наличие отчета о мерах реагирования абсолютно неоценимо во время кризиса. Если ваш план доступен только в виде цифрового документа, вы не сможете получить к нему доступ в случае потери функциональности. Отсутствие плана означает, что если ваша команда не запомнит шаги наизусть, вы не сможете эффективно реагировать на бедствие!

Во избежание путаницы распечатайте текущие версии BCP и раздайте их всем соответствующим сотрудникам и партнерам. Наличие бумажной копии даст сотрудникам необходимое руководство для эффективного реагирования после события.

Непрерывность бизнеса: действовать сейчас!

ППГ является необходимым шагом для признания и защиты вашего бизнеса от любых недостатков. Наличие дальновидности для точного определения систем, на которые вы полагаетесь, позволяет вам расставлять приоритеты, когда наступает хаос.

Наличие документированного процесса обеспечения непрерывности, о котором сотрудники знают, может сократить ваше время отклика и предотвратить дальнейшее нарушение работы вашего сервиса. В конечном итоге, чем меньше времени у вашего сервиса, тем меньше денег вы потеряете.

Вам не обязательно составлять комплексный план обеспечения непрерывности, чтобы получить выгоду. Небольшой организованный план с хорошо продуманным ответом в сто раз лучше, чем импровизация после мероприятия. Заранее планируя, вы даете сотрудникам возможность продуктивно и быстро реагировать на перебои в обслуживании..