canjoena - stock.adobe.com
So aktualisieren Sie Ihren Business-Continuity-Plan
Nicht immer entspricht der bestehende Business-Continuity-Plan den Veränderungen im Rechenzentrum. Ein Update des Plans erfordert einen DR-Test und die Anpassung der eigenen Ziele.
In den letzten zehn Jahren hat es in Rechenzentren massive Veränderungen gegeben, aber haben die Business-Continuity-Pläne hier Schritt gehalten? Es passiert leicht, dass Pläne zur Geschäftskontinuität und Notfallwiederherstellung (Disaster Recovery) mit dem, was im Rechenzentrum vor sich geht, ins Hintertreffen geraten.
Schließlich muss ein Unternehmen eine Business-Continuity-Strategie erst nach einer Katastrophe umsetzen, und da die meisten Unternehmen nicht jedes Jahr eine Katastrophe erleben, scheint die Notwendigkeit, die Pläne auf dem neuesten Stand zu halten, nicht so dringend zu sein.
Katastrophen und Störfälle können jedoch unmöglich vorhergesagt werden, so dass ein aktueller Geschäftskontinuitätsplan als Priorität betrachtet werden sollte. Niemand möchte warten, bis eine Katastrophe eintritt, um zu erkennen, dass sein Plan funktionieren muss.
Business Continuity (BC)- und Disaster Recovery (DR)-Pläne enthalten viele Facetten und kritische Elemente, so dass die Aktualisierung eines bestehenden Plans ein komplexer Prozess sein kann. Unabhängig davon, ob der Plan erhebliche Änderungen erfordert oder ganz ersetzt werden muss, ist ein neues Jahr oder Geschäftsjahr eine hervorragende Gelegenheit für Organisationen, ihren BC-Plan zu überdenken.
Aktualisieren oder neu erstellen?
Der erste Schritt bei der Aktualisierung eines Geschäftsfortführungsplans besteht darin, festzustellen, ob der aktuelle Plan überhaupt eine Aktualisierung wert ist oder ob ein Neuanfang die bessere Vorgehensweise ist.
Die Technologien entwickeln sich schnell weiter, wenn also der Plan in den letzten Jahren keine wesentlichen Aktualisierungen erfahren hat, dann könnte es sinnvoller sein, einen neuen zu erstellen. Ein Neuanfang ist nicht unbedingt schwer, und in einigen Fällen kann ein Neuanfang von einer leeren Tafel zu einem qualitativ besseren Plan führen.
Wenn jedoch die IT-Abteilung das aktuelle Projekt in den letzten Jahren auf dem neuesten Stand gehalten hat, kann eine Auffrischung ausreichend sein.
Der beste Weg, um festzustellen, ob eine Organisation einen bestehenden BC-Plan aktualisieren muss, ist die Durchführung eines Disaster-Recovery-Tests, wobei der Plan in seinem aktuellen Zustand als Leitfaden dient.
Alle Schritte, die die IT zur Aufrechterhaltung der Geschäftskontinuität unternimmt und die nicht im bestehenden Plan enthalten sind, sind Schritte, die die IT hinzufügen muss. Diese Aktualisierungen können neue Anwendungen umfassen, die das Unternehmen seit der letzten Aktualisierung übernommen hat, sowie neue Schritte, die die IT-Abteilung zur Wiederherstellung bereits dokumentierter Anwendungen ergreifen kann.
Das Wiederherstellungsteam sollte dann die Recovery-Ergebnisse mit dem Rest der Organisation teilen, um die Wiederherstellungszeiten zu kommentieren, damit die Erwartungen richtig gesetzt werden.
Überprüfung der Service-Level-Ziele
Unabhängig davon, ob eine Organisation einen alten Business-Continuity-Plan aktualisiert oder von Grund auf neu erstellt, ist dies ein ausgezeichneter Ausgangspunkt die Überprüfung bestehender Service-Level-Ziele (Service Level Objectives, SLOs) mit den Anwendungsbeteiligten.
Es ist auch sinnvoll, sicherzustellen, dass der Plan neue Anwendungen abdeckt, die die IT-Abteilung seit der letzten Aktualisierung bereitgestellt hat. Selbst wenn Anwendungen nicht geschäftskritisch sind, muss der Plan diese berücksichtigen, damit sie nicht versehentlich in den frühen Phasen der Planausführung wiederhergestellt werden.
Seit der letzten Aktualisierung des Plans sind die Ziele für die Recovery Point Objectives und die Recovery Time Objectives mit ziemlicher Sicherheit herausfordernder geworden. Die Toleranz für Ausfallzeiten hat sich erst mit der Zeit verringert, und je kleiner das Zeitfenster für die Wiederherstellung ist, desto häufiger müssen Datensicherungsprozesse auftreten und desto schneller müssen geschützte Kopien zur Verfügung gestellt werden.
Für einige Organisationen erfordert die Erfüllung dieser immer enger werdenden Wiederherstellungsziele eine neue Datensicherungsanwendung, die Funktionen wie inkrementelle Backups auf Blockebene oder Replikation bereitstellen kann.
Es kann auch erforderlich sein, dass die Organisation die Speicherhardware verbessert, um schnellere Wiederherstellungen zu ermöglichen. Die Reduzierung der Wiederherstellungsfenster erfordert häufig ein Restore auf dem Backup-Speicher, anstatt darauf zu warten, dass die Daten über das Netzwerk kopiert werden. Wenn der Backup-Speicher vorübergehend als Produktionsspeicher dienen soll, müssen sowohl seine Leistung als auch seine Zuverlässigkeit verbessert werden.
Die Verschärfung der SLOs kann die Organisation auch dazu zwingen, für einige Anwendungen ein niedrigeres Wiederherstellungsniveau zu akzeptieren. Es muss unbedingt erkannt werden, dass nicht alle Anwendungen und Datensätze gleichzeitig erstellt werden und nicht alle eine sofortige Wiederherstellung benötigen.
Wichtige Updates bringen Automatisierung und Schutz vor Ransomware
Die IT-Abteilung erstellt in der Regel Pläne zur Aufrechterhaltung des Geschäftsbetriebs, damit sich das Unternehmen von natürlichen oder von Menschen verursachten Katastrophen erholen kann, die dazu geführt haben, dass die gesamte Rechenzentrumseinrichtung oder Teile davon nicht mehr verfügbar waren.
Zwar sollte man darauf nach wie vor vorbereitet sein, jedoch sollten aktuelle Business-Continuity-Pläne auch mögliche Cyberattacken wie durch Ransomware berücksichtigen. Ransomware ist unter den potenziellen Katastrophenursachen einzigartig, da es auf eine bestimmte Organisation und bestimmte Datensätze abzielt. Im Gegensatz zu einer Naturkatastrophe versuchen die neuesten Ransomware-Varianten auch, einer Entdeckung zu entgehen.
Diese Schadsoftware kann oft wochenlang, wenn nicht gar monatelang untätig bleiben. Einmal ausgelöst, verschlüsseln sie Daten schrittweise. Infolgedessen befindet sich die Ransomware-Auslösedatei dann auch auf mehreren Sicherungskopien, und die verschiedenen Sicherungskopien weisen unterschiedliche Verschlüsselungsstufen auf. Organisationen müssen einen Ransomware-Angriff planen und üben. Sie müssen verstehen, wie ihre Sicherungsanwendung dabei helfen kann, zu erkennen, welche Dateien aus welcher Sicherung wiederhergestellt werden sollen.
Einige der führenden Anbieter von Data-Protection-Systemen fügen auch die Automatisierung und Orchestrierung der Disaster Recovery in den Geschäftsfortführungsprozess ein und erwecken den Plan zum Leben. Mit der DR-Automatisierung kann die IT-Abteilung den Geschäftsfortführungsprozess vorprogrammieren und Anwendungsabhängigkeiten berücksichtigen.
Der Beginn eines neuen Jahres oder Geschäftsjahres ist der ideale Zeitpunkt, um die BC/DR-Pläne einer Organisation zu überprüfen und zu aktualisieren. Der beste Ort, um damit zu beginnen, ist die Durchführung eines Disaster Recovery-Tests, um Mängel in den Plänen gegenüber der Realität der Ausführung zu dokumentieren.
Kurz vor einem vollständigen Test sollte die IT-Abteilung eine umfassende Bewertung eines Geschäftsfortführungsplans durchführen, die Wiederherstellungsverpflichtungen überprüfen und diese Verpflichtungen mit den Fähigkeiten vergleichen. In vielen Fällen verfügt die vorhandene Software über die notwendigen Aktualisierungen, damit die IT mit den Erwartungen des Unternehmens Schritt halten kann. Dennoch kann es einige neue oder zusätzliche Hardwareanforderungen geben, damit die einzigartigen Funktionen der Software ihrem Wiederherstellungspotenzial gerecht werden können.