Jak przygotować sieć na wielką awarię
- 22.12.2011
Disaster recovery polega na utrzymaniu działania krytycznych procesów biznesowych, nawet w przypadku poważnych zdarzeń losowych, które przerywają pracę firmy.
W małych i średnich przedsiębiorstwach stan gotowości jest różny. Wyniki ankiety "2011 SMB disaster preparedness survey" przeprowadzonej przez firmę Symantec wskazują, że 57% badanych małych firm nie ma żadnego planu na wypadek poważnego zdarzenia losowego, w przypadku firm średniej wielkości odsetek ten wynosi 47%. Wśród dużych korporacji ankietowanych w ubiegłym roku przez firmę Forrester Research 66% zadeklarowało posiadanie rezerwowego ośrodka przetwarzania danych, przy czym aż 30% z nich informowało, że ma więcej niż jedną rezerwową lokalizację. Niestety, budżety związane z utrzymaniem ciągłości działania stopniały w porównaniu do roku 2008. W 2007 około 30% badanych przedsiębiorstw miało procedury i rozwiązania umożliwiające całkowite utrzymanie ciągłości działania, w ubiegłorocznej ankiecie mogło się tym pochwalić zaledwie 13% badanych firm.
Odsetek przedsiębiorstw posiadających plany awaryjne od 2007 do 2010 r. niezmiennie wynosi około 79%, przy czym firmy informowały o stosunkowo rzadkiej aktualizacji tych planów, zmniejszono także częstotliwość przeprowadzania testów. Obecnie blisko jedna czwarta firm deklaruje testy dwa razy do roku, a około połowy firm testuje plany raz do roku.
Pierwsze kroki
Zamiast koncentrować się na technologii, należy określić procesy biznesowe, a następnie przygotować się na najbardziej prawdopodobne przyczyny, które mogą zakłócić ich działanie. Najważniejszym krokiem jest jednak określenie dopuszczalnej długości przerwy w pracy. W przypadku instytucji finansowych długość ta zazwyczaj jest równa zeru, ale niektóre przedsiębiorstwa są mniej wrażliwe. Przy określaniu potrzeb należy zbadać i uwzględnić procesy biznesowe w przedsiębiorstwie, gdyż różny jest stopień ich wrażliwości na zaburzenia pracy.
Bez czego firma nie może działać?
W wielu organizacjach odpowiedź na pytanie o najważniejsze części infrastruktury i danych brzmi: ochronić wszystko. Jest to błąd, gdyż wiąże się z archiwizacją olbrzymiej ilości mało ważnych danych. Na to nie ma czasu w przypadku naruszenia ciągłości głównych procesów biznesowych w firmie. Dlatego należy wcześniej rozpoznać potrzeby i zasoby oraz sposób ich ochrony. Wykorzystywane technologie obejmują kopie na zewnętrzny zestaw dysków lub taśmy (asynchroniczna lub synchroniczna replikacja), a nawet klaster geograficzny obsługujący krytyczną aplikację biznesową.
Należy przy tym uwzględnić nie tylko sprzęt, ale także połączenia sieciowe, personel, procesy i pomieszczenia. Plan powinien obejmować uruchomienie funkcjonalności firmy w rezerwowej lokalizacji (czasami może być to nawet sala konferencyjna wynajęta w hotelu na potrzeby biura), przemieszczenie ludzi zgodnie z planem oraz przetestowaną, sprawdzoną procedurą.
Przy analizie zagrożeń nie wolno ignorować zagadnień związanych z lokalizacją i infrastrukturą. Należy sprawdzić, czy firmie grozi powódź, jakie jest prawdopodobieństwo takiego zdarzenia, czy występowały podobne zjawiska w przeszłości. Trzeba uwzględnić problemy z zasilaniem, możliwą awarię hydrauliczną skutkującą zalaniem sprzętu, a nawet wziąć pod uwagę ewakuację budynku spowodowaną alarmem bombowym.
Na podstawie: "Disaster recovery 101: What you need to know", Esther Shein, Computerworld 16 listopada 2011
Przestrzeganie kilku prostych reguł pomoże przygotować firmę na przetrwanie nawet najpoważniejszych awarii.
Niezbędne są ćwiczenia
Gdy tylko w firmie zostanie opracowany plan ciągłości działania określający przechowywanie danych, procesy biznesowe i działania w przypadku zdarzeń losowych, należy przeprowadzić ćwiczenia. Takie same ćwiczenia należy przeprowadzać nie rzadziej niż raz do roku i zaplanować je w budżecie firmy.
Nie czekać na to, co się wydarzy
Oczekiwanie na katastrofę kończy się katastrofą, szczególnie w przypadku małych firm. Dlatego należy zidentyfikować i ochronić systemy oraz procesy, które są naprawdę niezbędne do działania firmy.
Zabezpieczyć informację
Należy wdrożyć rozwiązania ochrony krytycznych systemów i informacji tam przetwarzanych, takich jak zapisy dotyczące klientów, pracowników oraz informacje finansowe. Dane te należy zapisać na zewnętrznym nośniku oraz w lokalizacji poza siedzibą przedsiębiorstwa.
Regularnie testować disaster recovery w dziale IT
Testy odtwarzania systemów oraz zapewnienia ciągłości działania należy przeprowadzać regularnie, wdrażając je także po każdej poważniejszej zmianie w środowisku IT firmy.
Oceniać plany i gotowość organizacji
Co najmniej raz do roku należy oceniać stan gotowości firmy i działania ochronne wprowadzane przez plany utrzymania ciągłości działania.
Źródło: firma Symantec oraz raporty Computerworld