Når katastrofen rammer

Hvorfor du skal ha en «Disaster Recovery Plan»

«Fail to plan – plan to fail» er det blitt sagt. Få steder er dette sannere enn når det gjelder drift av datasystemer. Vi er blitt så avhengige av teknologien at alt stopper når datasystemene stopper.

Da er det ganske bekymringsfullt å konstatere at svært mange selskap, særlig i segmentet små og mellomstore bedrifter, ikke har beredskaps- og katastrofeplaner ved driftsavbrudd.

Vi hører nesten daglig om virksomheter som rammes av cyberkriminelle, og mørketallene er store. De siste årene har det for eksempel vært mye oppmerksomhet omkring såkalt «ransomware», programvare som tar datasystemene som «gissel» inntil virksomheten betaler løsepenger.  

Sjansen for at det skal ramme din virksomhet er der, men det er nok ikke den største trusselen mot din virksomhets ve og vel. De «små» truslene – som menneskelige feil, maskinvare som feiler, strømstans, er langt mer sannsynlige, og de kan også ha svært store konsekvenser.

Det er nesten ikke til å tro, men svært mange av selskapene som rammes av slike hendelser, det være seg kriminalitet eller uhell, har ingen planer for gjenoppretting når katastrofen rammer.

En slik plan trenger ikke å være så komplisert. Det handler først og fremst om å ha tenkt gjennom mulighetene og alternativene, testet dem, og sikret at systemene er godt dokumentert.

Hva er en katastrofeplan?
Det er to hovedkomponenter i en god katastrofeplan, hver med sine utfordringer:

  1. Dokumentasjon: For å kunne foreta en vellykket gjenoppretting må du ha oppdatert dokumentasjon av løsningen og oppsettet. Den største utfordringen her er å holde dokumentasjonen oppdatert etter som selskapet vokser og systemets kompleksitet vokser i takt. IT-systemer i dag endres hyppig, ofte daglig, og disse endringene må fremkomme av dokumentasjonen. Manuell oppdatering er verken effektivt eller skalerbart for virksomhetskritiske tjenester.
  2. Testrutiner: Hyppig fullskala testing av katastrofeplanen er også en viktig suksessfaktor for å kunne lykkes med gjenoppretting. Utfordringen er ofte kompleksiteten og størrelsen på løsningen, spesielt de selskapene som har flere lokasjoner å forholde seg til. Ofte blir det ikke testet hvordan sluttbrukeren blir påvirket når det utføres testing som også burde være en viktig del av planen.

Dersom disse tingene er på plass øker sannsynligheten for en vellykket failover ­– gjenoppretting.

Tilsvarende synker sannsynligheten for vellykket gjenoppretting, enten den er planlagt eller ikke, hvis katastrofeplanen blir nedprioritert ved at man ikke legger nok finansielle muskler bak, ved at dokumentasjoner er utdatert, eller når testene ikke blir grundig utført.

De største utfordringene med en plan er å finne avhengigheter mellom ulike deler av systemet. Udokumenterte endringer, uidentifiserte prosesser og tjenester, manglende dokumentasjon av oppstartssekvenser for den enkelte applikasjon eller hele datasenteret er som regel blant årsakene til at gjenopprettingsprosedyrer ikke lykkes.

Når man vurderer en katastrofegjenoppretting er fokus først og fremst på å rette opp det som er feil. Det man ofte glemmer er at en gjenopprettingsprosedyre også kan ha store konsekvenser, ikke bare for brukerne, men også i forhold til myndighetene. Myndighetskravene til integritet og datatilgjengelighet varierer fra industri til industri. En ting gjelder for alle: manglende overholdelse er ikke et alternativ og medfører betydelig risiko, både for omdømmet og for selskapets økonomi.

Planlegg for det uforutsette

4Human IT er kjent for gode rutiner, et sikkert driftsmiljø og høy kompetanse på begge deler. Ta kontakt med oss i dag for en uforpliktende samtale om hvordan vi kan planlegge for det uforutsette.