|
Asigurarea continuităţii activităţilor şi recuperarea în caz de dezastru (Business Continuity and Disaster Recovery)
Pe masura creşterii gradului de informatizare şi integrare a activităţilor unei organizaţii, disponibilitatea sistemelor informatice afectează semnificativ performanţele de ansamblu ale organizaţiei. Întreruperile mai mult sau mai puţin aşteptate în funcţionarea sistemelor informatice vor trebui de aceea tratate cu atenţie şi responsabilitate.
Întreruperile pot avea cauze diferite: calamităţi naturale, incendii, întreruperi în furnizarea utilităţilor, atacuri informatice, defectări ale elementelor de infrastructură, s.a. şi se pot întinde pe perioade de timp de la minute până la zile şi chiar mai mult.
Asigurarea continuităţii activităţilor şi recuperare în caz dezastru (Business Continuity and Disaster Recovery – BC&DR) se realizează prin strategii şi soluţii care să permită continuarea sau cel puţin reluarea în cât mai scurt timp a operaţiunilor îin cazul unui eveniment care ar duce la o întrerupere parţială sau totală în funcţionarea infrastructurii care susţine procesele critice/vitale ale unei organizaţii.
Planul de recuperare a infrastructurii IT (IT Infrastructure Recovery Plan - IT IRP) este un set de proceduri destinat să reducă riscul la care este expusă organizaţia în cazul apariţiei unui eveniment neaşteptat, care ar duce la întreruperea operaţiunilor de bază. IT IRP este parte din strategia generală pentru BC&DR şi trebuie să fie consistent cu obiectivele ce au fost stabilite în cadrul acestei strategii: timp de revenire, nivel date recuperate, etc. Elaborarea şi punerea în practică a acestor obiective trebuie să se bazeze pe o metodologie adecvată, atestată şi recunoscută. În acest sens, ISACA (Information Systems Audit & Control Association) pune la dispoziţia membrilor săi un set de practici (best practices) şi proceduri privind controlul funcţionării sistemelor informatice, inclusiv din perspectiva BC&DR. Acest set de practici (COBIT – Control Objectives for Information and related Technology), împreună cu alte norme ale ISACA stau la baza metodologiei pentru elaborarea, implementarea şi evaluarea planurilor BC&DR. Pe baza metodologiei adoptate, elaborarea şi implementarea se defăşoară pe etape, urmărindu-se în principal:
- alinierea la obiectivele strategice ale organizaţiei
- evaluarea situaţiei curente şi identificarea solutiei adecvate
- elaborarea de proceduri de actualizare pe măsura dezvoltării infrastructurii
- testarea şi optimizarea periodică
Scop: identificarea ameninţărilor, a importanţei lor şi a nivelului de protecţie existent. Riscurile identificate şi care nu au fost luate încă în considerare pot impune măsuri imediate şi urgente, funcţie de prioritate, cost şi complexitate.
Pentru obţinerea de informaţii este utilizată tehnica chestionarelor şi a interviurilor. Este necesară implicarea persoanelor cheie din majoritatea departamentelor organizaţiei.
Livrabil: Lista riscurilor la care este supusă organizaţia.
Scop: determinarea perioadei de timp în care organizaţia îşi permite să nu poată executa un anumit proces de business fiind totuşi capabilă să îşi îndeplinească obiectivele.
Se determină durata acceptabilă de întrerupere pentru sistemele informatice, RTO (Recovery Time Objective) pentru fiecare proces, timpul de recuperare al sistemelor IT trebuind să fie mai mic sau cel mult egal decât RTO. De asemenea se determină ansamblul datelor care vor fi restaurate şi oferite utilizatorilor finali în intervalul de timp acceptat pentru întrerupere (Recovery Point Objective – RPO).
Livrabil: Analiza impactului asupra afacerii (BIA).
Scop: evaluarea măsurii în care nivelele stabilite în BIA (RTO & RPO) sunt asigurate de soluţiile existente de recuperare în caz de dezastru.
În cazul în care soluţiile curente nu satisfac obiectivele RTO & RPO, în fazele următoare se proiectează şi implementează o soluţie care să reducă la minimum diferenţa între existent şi necesar. În această fază se indentifică: datele vitale, aplicaţiile critice, sistemele şi legăturile de comunicaţie critice, capabilităţile curente de recuperare.
Livrabil: Raport privind capacităţile curente de recuperare.
Scop: adoptarea unei strategii şi soluţii IT pentru asigurarea continuităţii activităţii şi recuperare în caz de dezastru.
Se identifică soluţii alternative de diminuare a diferenţelor dintre obiectivele RTO & RPO şi capabilităţile curente de recuperare. Aceste soluţii sunt comparate din punct de vedere cost, efort, timp necesar pentru implementare, beneficii şi limitări, complexitate şi se prezintă un raport sintetic privind rezultatele analizei de soluţii şi detaliile referitoare la fiecare variantă. Clientul stabileşte care dintre soluţiile recomandate va fi proiectată în detaliu şi implementată.
Livrabile: Propuneri pentru optimizarea soluţiei de recuperare în caz de dezastru, cerinţe/specificaţii tehnice privind soluţia finală BC&DR.
Scop: stabilirea unui plan detaliat pentru implementarea soluţiei alese în etapa anterioară.
Se proiectează în detaliu soluţia precizându-se arhitecturile software, hardware şi de comunicaţii, utilităţile, personalul implicat, spaţiile şi clădirile, etc. Se întocmeşte planul de implementare cu etape, responsabilităţi, termene, criterii de acceptanţă/finalizare. Se implementează efectiv soluţia conform planului stabilit.
Livrabile: Arhitectura soluţie, Plan proiect implementare.
Scop: elaborarea unui plan care să controleze reacţia în caz de dezastru (IT Infrastructure Recovery Plan - IT IRP), în condiţiile implementării soluţiei adoptate.
Planul cuprinde descrierea soluţiei, rolurile şi responsabilităţile personalului implicat, criteriile şi procedurile de declarare a unei crize, proceduri tehnice de recuperare şi de revenire la modul normal de operare, procedurile de întreţinere/actualizare a planului, procedurile de testare periodică a planului. Planul va trebui revizuit şi verificat periodic şi ori de câte ori apar modificări în infrastructura IT a organizaţiei.
Livrabile: Planul de recuperare a infrastructurii IT (IT IRP).
|
