Diese Faktoren sollten in die DR-Strategie einfließen
Es gibt verschiedene Messgrößen, um einen geeigneten DR-Plan zu erstellen. Quantitative und qualitative Auswirkungen sind zwei hilfreiche Metriken für eine erfolgreiche Strategie.
Wie wägt man die Auswirkungen eines Ereignisses, das unmittelbare finanzielle Folgen hat, gegen solche ab, die dauerhafte Auswirkungen haben könnten? Unternehmen, die sowohl eine quantitative als auch eine qualitative Auswirkungsanalyse durchführen, erhalten umfassende Informationen, mit denen sie eine abgerundete und vollständige Strategie für das Disaster Recovery umsetzen können.
Die quantitativen Auswirkungen werden durch die finanziellen Verluste bestimmt, einschließlich des Verlusts von Einnahmen, Vermögenswerten oder Produktionseinheiten und der Gehaltszahlungen an die ausgefallene Belegschaft. Die quantitativen Auswirkungen nehmen in der Regel mit der Zeit zu: Je länger eine Betriebsunterbrechung oder ein Störungsereignis andauert, desto größer sind die kumulierten Verluste.
Die qualitativen Auswirkungen hingegen sind viel weniger greifbar als die quantitativen Auswirkungen und schwieriger zu bewerten. Sie umfassen unter anderem Faktoren wie den öffentlichen Ruf, den Firmenwert, den Wert der Marke und entgangene Chancen. Qualitative Auswirkungen können im Laufe der Zeit zu finanziellen Verlusten führen, zum Beispiel durch den Verlust des Kundenvertrauens. Es ist jedoch oft unpraktisch oder sogar unmöglich, langfristige finanzielle Verluste mit Sicherheit abzuschätzen.
Trotz ihres immateriellen Charakters können Unternehmen die qualitativen Auswirkungen dennoch messen. Bei einer Analyse der Auswirkungen auf das Geschäft (Business Impact Analysis, BIA) werden die qualitativen Auswirkungen eines Risikos in der Regel anhand einer numerischen Skala bewertet, die auf dem Ausmaß der Auswirkungen auf einen bestimmten Bereich basiert. Ein Unternehmen könnte beispielsweise eine Skala von 1-10 verwenden und sich auf Bereiche wie den Ruf des Unternehmens konzentrieren.
Bewertung der quantitativen Auswirkungen bei DR
Aus quantitativer Sicht besteht das Hauptziel bei der Notfallwiederherstellung darin, die Anzahl der Vorfälle zu minimieren, die den Geschäftsbetrieb stören. Bei der Wiederherstellung von Technologien im Katastrophenfall spielen zahlreiche Messgrößen eine Rolle. Dazu gehören das Ziel der Wiederherstellungszeit, das Ziel des Wiederherstellungspunkts, die mittlere Zeit zwischen zwei Ausfällen und die mittlere Zeit bis zur Reparatur. Jede dieser Kennzahlen wird in der Regel durch einen numerischen - quantitativen - Wert ausgedrückt.
Sowohl Risikobewertungen als auch BIAs verwenden quantitative Werte, um DR-Planer bei der Festlegung von Strategien für den Umgang mit bestimmten Vorfällen zu unterstützen.
In den Tabellen 1 und 2 sind Beispiele für eine BIA und eine Risikobewertung mit Beispielwerten dargestellt. In diesen Tabellen ist 1 der niedrigste Wert und 10 der höchste.
Jede Tabelle verwendet quantitative Werte, um verschiedene Elemente des Risikos und der geschäftlichen Tragfähigkeit zu bewerten. Anhand dieser Daten können IT-Manager die am stärksten gefährdeten Komponenten der Infrastruktur und ihre Bedeutung für das Unternehmen ermitteln. Die quantitativen Auswirkungen bilden den Ausgangspunkt für Unternehmen, um Strategien zu entwickeln, die sicherstellen, dass sie im Falle einer Unterbrechung betriebsbereit bleiben.
Bewertung der qualitativen Auswirkungen für das DR
Im Gegensatz dazu können die Tabellen 1 und 2 auch auf eine qualitative Perspektive angewendet werden, da die einbezogenen Ereignisse auch länger anhaltende Auswirkungen auf das Unternehmen und seine Betriebsfähigkeit haben können. Die Tabellen 3 und 4 sind an die Tabellen 1 und 2 angepasst und führen eine qualitative Bewertung der jeweiligen Situation im Falle einer Unterbrechung oder eines Verlusts des Prozesses/Systems ein.
Zu den qualitativen Auswirkungen gehören neben der Beeinträchtigung des Rufs eines Unternehmens auch Geschäftseinbußen oder Verstöße gegen Branchenvorschriften.
Die Bedeutung quantitativer und qualitativer Werte für das DR
Unternehmen müssen sowohl quantitative als auch qualitative Beweise prüfen und bewerten, wenn sie Entscheidungen über DR-Aktivitäten und potenzielle DR-Investitionen treffen. Wenn quantitative Auswirkungswerte aus Risikobewertungen und BIAs mathematisch nachweisen, dass das Risiko für das Unternehmen durch einen zweiten Server gesenkt werden kann, fällt die Entscheidung, in diesen Server zu investieren, leichter. Qualitativ können die DR-Teams dem Management die Auswirkungen eines Serverausfalls auf das Unternehmen – wie Rufschädigung – erklären.