Disaster Recovery: Diese 10 Fragen sollten Sie sich stellen
Es gibt viele Faktoren, damit ein DR-Plan reibungslos funktioniert. Hier finden Sie zehn Fragen, die sich DR-Teams selbst, ihren Anbietern und ihrer Leitung stellen sollten.
Das Disaster Recovery (DR) von Technologien in einem Stör- oder Katastrophenfall ist für Unternehmen jeder Größe und jeder Art von Unternehmen unerlässlich. Der Schutz der technologischen Ressourcen vor ungeplanten Unterbrechungen stellt sicher, dass das Unternehmen weiterhin funktioniert.
Disaster-Recovery-Pläne geben den IT-Abteilungen die Richtlinien und Verfahren an die Hand, mit denen sie schnell auf Vorfälle reagieren, Abhilfemaßnahmen einleiten und kritische Systeme und Daten wiederherstellen können, damit das Unternehmen zum normalen Betrieb zurückkehren kann. Unternehmen und ihre Disaster-Recovery-Teams müssen viele verschiedene Aspekte eines umfassenden und umsetzbaren DR-Plans berücksichtigen.
Ein wichtiger Aspekt des technologischen DR besteht darin, die richtigen Fragen zu stellen. Dazu gehören allgemeine Fragen zur Notfallplanung, Fragen zu Dienstanbietern und Fragen an die Geschäftsleitung. Im Folgenden finden Sie zehn Fragen zum Disaster Recovery für das Jahr 2023 und darüber hinaus. Sie umfassen Überlegungen zur Technologie, zur Sensibilisierung für Bedrohungen und zur Vorbereitung sowie zur Feststellung, ob der Plan bestimmte Ereignisszenarien effektiv abdeckt.
1. Versteht die Geschäftsleitung das DR-Programm und seinen Wert für das Unternehmen?
Zwar möchte keine Führungskraft mit dem Verlust von IT-Ressourcen konfrontiert werden, doch müssen die leitenden Angestellten in allen wichtigen Geschäftsbereichen das Notfallprogramm kennen, wissen, was es leisten soll und wie es dazu beitragen kann, den Fortbestand des Unternehmens zu sichern. Die leitenden Angestellten sind wahrscheinlich regelmäßige Nutzer von Technologie und verschiedenen IT-Ressourcen, verstehen aber möglicherweise nicht, was erforderlich ist, um diese Ressourcen am Laufen zu halten.
Das DR-Team – und die C-Level-Führungskräfte – müssen in der Lage sein, die Bedeutung des Disaster-Recovery-Programms gegenüber anderen Führungskräften zu verdeutlichen. Die Leitung des DR-Teams muss also nicht nur die IT-Abteilung von DR überzeugen, sondern auch allen anderen Abteilungen den Wert von DR vermitteln.
2. Setzt das DR-Team Prioritäten bei den wichtigsten IT-Ressourcen für die Wiederherstellung?
Bevor ein Plan entwickelt werden kann, müssen die Teammitglieder eine Reihe von weiteren DR-Aktivitäten durchführen. Dazu gehören eine Business Impact Analysis (BIA) und eine Risikoanalyse.
Bei der Durchführung einer BIA sammelt das Unternehmen Informationen auf Prozessebene über die verschiedenen Geschäftsfunktionen, die das Unternehmen ausführt. Eine gründliche BIA muss Folgendes ermitteln:
Systeme, Daten und Datenbanken, Netzwerkdienste und andere IT-Ressourcen, die das Unternehmen zur Unterstützung der Geschäftsprozesse nutzt.
Interne und externe Abhängigkeiten, die jede Geschäftseinheit in Bezug auf Technologie hat.
Die Priorität der Wiederherstellung basierend auf der identifizierten Kritikalität jeder IT-Ressource.
Primäre und alternative Lieferantenressourcen.
Die Risikobewertung basiert auf den in der BIA gesammelten Informationen und untersucht die Risiken, Bedrohungen und Schwachstellen des Unternehmens, die den IT-Betrieb stören könnten. Risikobewertungen sind besonders wichtig für unternehmenskritische Funktionen und solche mit den kürzesten Wiederherstellungszeiträumen. Ein regelmäßig aktualisiertes Inventar der IT-Ressourcen kann für DR-Planer ebenfalls von Vorteil sein.
3. Wie sieht die Backup-Strategie für Systeme, Daten und andere kritische Ressourcen aus?
Vorausgesetzt, das Unternehmen verfügt über ein Datenverwaltungsprogramm, sollte ein Backup- und Recovery-Plan Teil dieser Prozesse sein. DR-Teams sollten in Zusammenarbeit mit anderen IT-Mitarbeitern den am besten geeigneten Ansatz für Backups ermitteln. Sie sollten festlegen, welche Daten gesichert werden müssen, wie häufig die Backups durchgeführt werden, wo die Datensicherungen gespeichert werden, welche Netzwerkbandbreite für die Wiederherstellung benötigt wird und wie die Daten abgerufen und anschließend für die Produktion wiederhergestellt werden sollen.
Der Zugang zu Cloud-basierten Sicherungs- und Wiederherstellungsdiensten vereinfacht den gesamten Prozess, doch müssen DR-Teams bei der Einführung von Cloud-Prozessen auch Aspekte wie die Geschwindigkeit des Abrufs und der Wiederherstellung berücksichtigen. Überprüfen und testen Sie regelmäßig die Primär- und Backup-Stromversorgungssysteme, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Halten Sie sich mit Patches auf dem Laufenden, insbesondere bei Systemen, die mit Sicherheits- und anderen Schutzressourcen zu tun haben. Eine umfassende Sicherungs- und Wiederherstellungsstrategie mit den dazugehörigen Richtlinien und Verfahren ist eine wichtige Ressource, die vor der Entwicklung eines Notfallplans festgelegt werden sollte.
4. Hat die Organisation Katastrophenszenarien identifiziert und validiert?
Während der Risikoanalyse identifizieren die DR-Teams Risiken, Bedrohungen und Schwachstellen und bewerten deren Auswirkungen auf die Organisation. Auf der Grundlage dieser Arbeit können die DR-Teams spezifische Szenarien entwickeln, die bei der Modellierung von Verfahren helfen, die beim Eintreten solcher Ereignisse zu befolgen sind. Zu den Risiken mit hoher Eintrittswahrscheinlichkeit gehören beispielsweise Unwetter wie Schnee, Eis, Tornados und Überschwemmungen. Liegt der Standort des Unternehmens dagegen nicht in einem Erdbebengebiet, kann dieses Szenario auf der Liste nach unten verschoben werden.
Szenarien, bei denen eine gewisse Vorwarnung möglich ist, wie beispielsweise Wetterereignisse, bieten ein Zeitfenster, um sich auf mögliche technische Störungen vorzubereiten. Das Wichtigste bei der Szenarienplanung ist, die Situationen zu ermitteln, die für das Unternehmen die größten negativen Folgen haben. Diese stehen ganz oben auf der Liste und sollten ein Hauptaugenmerk bei der Entwicklung von DR-Verfahren sein.
5. Wer ist für die Ausführung von DR-Plänen verantwortlich?
Obwohl die Antwort logischerweise das DR-Team ist, können und sollten auch andere Mitarbeiter daran beteiligt sein. Zu diesen Mitgliedern können leitende Angestellte in unternehmenskritischen Abteilungen oder Mitarbeiter gehören, die für wichtige Geschäftsfunktionen verantwortlich sind.
Jeder dieser benannten Mitarbeiter muss einen oder mehrere Stellvertreter benennen, die einspringen können, wenn die primären Mitarbeiter nicht verfügbar sind. Alle Beteiligten müssen in den DR-Plan eingewiesen werden, insbesondere in die Systeme und Ressourcen, die für den Betrieb benötigt werden. Ein oder mehrere leitende Mitarbeiter müssen als die Person(en) benannt werden, die befugt ist (sind), einen Katastrophenfall auszurufen und DR-Aktivitäten einzuleiten. Dieselben Personen müssen befugt sein, Business-Continuity-Pläne in die Wege zu leiten, falls das Ereignis über die IT hinaus eskaliert und das gesamte Unternehmen bedroht.
6. Wie werden Anbieter und andere Dritte in den DR-Plan einbezogen?
Da die meisten IT-Abteilungen für so gut wie alles in ihren Rechenzentren mit mehreren Anbietern zusammenarbeiten, sollten Disaster-Recovery-Teams auch Fragen für Dienstleister bereithalten. Je nachdem, wie die IT-Infrastruktur aufgebaut ist, können Anbieter bei einer Katastrophe unterschiedliche Rollen spielen. Wenn beispielsweise Cloud-Anbieter für die Speichersysteme, Datensicherung, Datenabfrage und -wiederherstellung zuständig sind, muss das DR-Team die Verantwortlichkeiten der Anbieter sowie seine eigenen Verantwortlichkeiten im Katastrophenfall kennen.
Häufig sind diese Verantwortlichkeiten in einem Service Level Agreement (SLA) festgelegt. Wenn IT-Teams eine größere Kontrolle über die Wiederherstellungsaktivitäten haben wollen, dürfen sie diese Aktivitäten nicht an Dritte delegieren. Ein Beispiel für die Datensicherung und -wiederherstellung ist eine hybride Konfiguration, bei der kritische Systeme und Daten sowohl lokal auf NAS- oder RAID-Geräten als auch in einem Cloud-Dienst gesichert werden. Die lokalen NAS/RAID-Daten werden zur primären Wiederherstellungsressource, da die Wiederherstellungszeit wahrscheinlich schneller ist als bei einer Cloud-Lösung.
7. Wie werden die Mitarbeiter den IT-Betrieb verwalten, wenn das Rechenzentrum nicht zugänglich ist?
Die COVID-19-Pandemie hat gezeigt, wie wichtig und strategisch wertvoll der Fernzugriff auf IT-Ressourcen ist. Fortschritte bei der Netzwerkkonnektivität, wie VPNs und größere Bandbreiten, haben die Arbeit an entfernten Standorten stark vereinfacht.
Regelmäßige Tests sind vielleicht der wichtigste Teil der DR-Planung. Ein unbekannter Plan hat eine größere Chance, Probleme zu verursachen, als ein Plan, der häufig getestet wird.
Dies gilt auch für die Fernverwaltung von Rechenzentren. Wenn zum Beispiel ein Cloud-Service IT-Ressourcen sichert – insbesondere kritische Daten und Anwendungen oder VMs – sollte es einfach sein, sich aus der Ferne in die in der Cloudbereitgestellten Systeme einzuloggen. Die Benutzer sollten in der Lage sein, die Produktionssysteme und E-Mails wie gewohnt aus der Ferne zu verwalten, vorausgesetzt, dass keine Netzwerkausfälle aufgetreten sind.
8. Wie wird der Plan die Einhaltung von Standards, Vorschriften und anderen Anforderungen erfüllen?
Je nach Art des Unternehmens kann es erforderlich sein, zu dokumentieren, dass alle IT-Datensicherungs- und Betriebswiederherstellungsaktivitäten mit den geltenden Normen und Vorschriften übereinstimmen. Diese können auf lokaler, staatlicher, bundesweiter und internationaler Ebene gelten. Es ist nicht nur wichtig, die geltenden Normen zu kennen, sondern die Nichteinhaltung kann zu Rechtsstreitigkeiten, Geldbußen und anderen Strafen führen.
Sie ist auch aus Sicht der Rechnungsprüfung wichtig, da die Prüfer den Nachweis der Einhaltung der geltenden Normen verlangen. Regelmäßige Überprüfungen und Beurteilungen von DR-Plänen müssen eine Prüfung umfassen, inwieweit die Pläne mit den Standards und Vorschriften übereinstimmen.
9. Wie kann das DR-Team sicherstellen, dass der Plan bei der Ausführung seine Ziele erreicht?
Allzu oft werden Disaster-Recovery-Pläne erstellt und wahrscheinlich einmal getestet, aber das DR-Team ist sich nicht sicher, dass der Plan erfolgreich ausgeführt wird, wenn es zu einer Störung kommt. Regelmäßige Tests sind vielleicht der wichtigste Teil der DR-Planung. Ein unbekannter Plan hat eine größere Chance, Probleme zu verursachen, als ein Plan, der häufig getestet wird. DR-Teams müssen sich immer fragen: Kann dieser Plan ausgeführt werden, und wird er bei seiner Aktivierung die gewünschten Ergebnisse liefern?
Das Testen von Szenarien ist eine weitere Möglichkeit, die Wirksamkeit von Notfallplänen zu prüfen. Der Test basiert auf dem Eintreten eines bestimmten Ereignisses, zum Beispiel eines Brandes, einer Überschwemmung oder eines Unwetters. Gehen Sie die Schritte des Plans durch, um festzustellen, wie gut er das Szenario abdeckt.
Einige Unternehmen verfolgen beim Testen einen All-Hazard-Ansatz. Dies führt zwar zu einem robusteren und anpassungsfähigeren Plan, kann aber auch zusätzliche Kosten verursachen, beispielsweise für zusätzliche Backup-Ressourcen und Cloud-Recovery-Funktionen. Die beste Strategie besteht darin, mindestens zweimal im Jahr oder vierteljährlich zu testen, die Wiederherstellung kritischer Systeme häufiger zu testen und DR-Pläne nach Abschluss der Tests zu aktualisieren.
10. Stehen Mittel zur Verfügung, um IT-Notfallmaßnahmen zu finanzieren?
Bei all den verschiedenen Initiativen, die im Rahmen des Disaster Recoverys ergriffen werden können, kommt fast alles auf die Kosten zurück, um die gewünschten Ergebnisse zu erzielen. Technologieinvestitionen wurden hier bereits erörtert, aber DR-Teams müssen auch Personalkosten, Anbieterkosten, Kosten für externe Hilfe, Testkosten und sogar Notfallmittel für die Beschaffung von Geräten in einer kritischen Situation berücksichtigen. Bei der Erstellung eines Budgets für DR-Aktivitäten kann es sinnvoll sein, die Genehmigung von Notfallmitteln durch die Geschäftsleitung im Voraus einzuholen.
