재해 복구 및 비즈니스 연속성

소개

우리는 모두 최소한 한 번은 "쇼는 계속되어야 한다"는 말을 들은 적이 있을 것입니다. 사이버 보안에서 이 모토는 비즈니스 연속성 및 재해 복구 계획(BC&DR)의 필요성을 설명하는 데 자주 사용됩니다. 사건은 발생할 수 있지만, 그것이 당신의 활동을 중단하거나 불필요하게 많은 돈을 잃는 이유가 되어서는 안 됩니다. 이러한 위험으로부터 방어하려면 (BC&DR) 계획이 필요합니다. 이 글에서는 이 두 가지가 어떻게 함께 작동하는지에 대한 자세한 설명과 그것들을 구현하기 위한 몇 가지 가이드라인을 제공할 것입니다.

비즈니스 연속성과 재해 복구란 무엇입니까?

이 두 계획은 서로 얽히거나 동일한 문서에서 개요를 작성할 수 있지만, 두 가지 다른 사이버 보안 및 조직 관리 측면을 다룹니다:

재해 복구는 (치명적인) 사고가 발생한 후 정상적인 운영을 복원하는 과정입니다. 여기에는 데이터, 하드웨어, 소프트웨어 및 기타 IT 자산을 가능한 한 최적의 상태에 가까운 상태로 복원하는 것이 포함됩니다. 재해 복구 계획은 일반적으로 데이터 백업, 비상 절차의 작성 및 테스트, 직원 교육 등을 다룹니다.

한편, 비즈니스 연속성은 부정적인 사건이 발생한 동안이나 그 이후에 중요한 비즈니스 운영을 신속하게 유지하거나 복구하는 과정입니다. 이는 일반적으로 비즈니스의 중단을 최소화하는 계획을 개발하는 것이 필요하며, 가장 중요한 활동과 대부분의 사고가 영향을 미쳐서는 안 되는 관련 인프라/자원을 식별한 후 이루어집니다. 비즈니스 연속성 계획은 일반적으로 고객 서비스, 생산 및 재무 운영과 같은 중요한 비즈니스 기능을 유지하거나 신속하게 복구하는 전략을 포함합니다.

이 두 가지 실천의 주요 차이점은 비즈니스 연속성 계획이 긴급 상황에서 발생하는 문제에 대해 효율적인 대응을 제공하기 위해 쉽게 채택할 수 있는 임시 솔루션이라는 점입니다. 반면 재해 복구 계획은 느리고 복잡할 수 있지만 사고 이전의 상태로 정보와 인프라를 가능한 한 가깝게 복원하는 것을 목표로 합니다.

Bc&dr 계획의 중요성

비즈니스 연속성 및 재해 복구(BC&DR) 계획의 중요성은 2011년 일본 동부 대지진에 대한 후지쯔 그룹의 대응을 통해 강조되었습니다. 약 1억 달러의 손실에도 불구하고, 그들은 모든 중요한 시스템을 24시간 이내에 복구하고 1주일 이내에 완전히 운영 가능한 상태로 만들었습니다. 이는 그들의 잘 준비된 BC&DR 계획 덕분이었습니다. 그들은 자사 시스템을 복구했을 뿐만 아니라, 재해의 영향을 받은 다른 기업과 개인에게 지원과 도움을 제공할 수 있었습니다. BC&DR 계획을 갖추면 자연 재해로 인한 기업의 잠재적 비용을 크게 줄일 수 있습니다. 후지쯔 사건을 포함한 여러 사례 연구가 이를 입증했습니다. 

BC&DR 계획을 생성하거나 평가하려면 다음의 주요 단계를 고려하십시오.

Starting from Business Continuity:

1. 중요한 비즈니스 기능 식별: 비즈니스 기능은 입력을 출력으로 변환하는 데 필요한 활동과 자원의 조합을 의미합니다. 중요한 기능은 반면에 귀하의 비즈니스 운영에 필수적인 활동과 개인들입니다. 이들이 없으면 귀하의 회사는 출력을 생성할 수 없습니다. 중요한 기능을 식별하는 첫 번째 단계는 귀하의 비즈니스 생존에 필수적인 핵심 인물과 자산을 결정하는 것입니다.
2. 잠재적 중단 사항 식별: 운영에 중요한 자산과 자원을 식별한 후, 그것들의 기능에 영향을 미칠 수 있는 잠재적 위협을 식별하는 것이 중요합니다. 이러한 위협에는 지진과 같은 자연 재해, 정치적 불안, 또는 사이버 보안 취약점의 악용이 포함될 수 있습니다. 이러한 중단 사항이 일부, 모두 또는 아무런 중요한 기능에도 적용되지 않는지 명확하게 정의하는 것의 중요성을 간과하지 않는 것이 중요합니다. 이는 리스크 관리 프로세스의 다음 단계를 효율적으로 수행하는 데 도움이 됩니다.
3. 중요한 비즈니스 기능을 유지하거나 신속하게 복원하는 절차 개발: 중요한 기능을 식별한 후, 재해 발생 시 이러한 기능이 계속 운영될 수 있도록 보장하는 계획을 개발하는 것이 중요합니다. 이는 대체 위치를 만들거나, 백업 통신 장비를 갖추거나, 다른 기능들이 중단 시 따를 수 있는 지침을 구현하는 것을 포함할 수 있습니다. 이 단계의 효과는 중단의 가장 가능성이 높은 원인에 대한 포괄적인 해결책을 식별할 수 있는 능력에 큰 영향을 미칠 것입니다.
4. 커뮤니케이션 계획 개발: 잘 작성된 비즈니스 연속성 계획은 적절하게 실행되지 않으면 효과가 없습니다. 발생하는 중단에 대해 직원과 고객에게 효과적으로 알릴 수 있는 계획이 필요합니다. 비즈니스 연속성 계획의 성공적인 실행을 보장하려면 강력하고 세부적인 커뮤니케이션 계획이 있어야 합니다. 이 계획은 계획 과정 중에 식별된 잠재적인 중단을 고려하여 필요할 때 비즈니스 연속성 계획을 신속하고 효율적으로 시작할 수 있도록 해야 합니다.
5. 커뮤니케이션 계획 개발: 잘 작성된 비즈니스 연속성 계획은 적절히 실행되지 않으면 효과적이지 않습니다. 직원과 고객에게 발생하는 중단 사항에 대해 효과적으로 알릴 수 있는 계획이 필요합니다. 비즈니스 연속성 계획의 성공적인 실행을 보장하기 위해서는 강력하고 상세한 커뮤니케이션 계획이 필수적입니다. 이 계획은 계획 과정에서 식별된 잠재적인 중단 사항을 고려하여 필요할 때 비즈니스 연속성 계획을 신속하고 효율적으로 시작할 수 있도록 해야 합니다.
6. 비즈니스 연속성 계획을 유지하고 업데이트하기 위한 계획 수립: 비즈니스 연속성 계획이 효과적이기 위해 정기적으로 업데이트해야 하는 리소스를 식별하고 문서화하십시오. 특정 기한을 설정하고 이 문서를 최신 상태로 유지할 책임이 있는 사람을 지정하십시오.

반면, 재해 복구 계획에는 다음을 포함해야 합니다:

1. Identify Critical Systems and Data for Recovery: 손실 발생 시 복구가 필요한 고우선순위의 인프라와 리소스를 식별하는 것이 중요합니다.
2. 잠재적인 재해 시나리오 식별: 다양한 재해 시나리오는 복구 비용이 다를 수 있습니다. 예를 들어, 24시간 동안 침수된 서버 룸은 1시간 미만 동안 침수된 서버 룸과 다른 복구 비용을 가질 것입니다.
3. 데이터 및 시스템 백업 및 복원 절차 개발: 1단계에서 식별된 리소스를 복구하기 위한 자세한 계획을 작성하고, 2단계에서 개발된 시나리오를 기반으로 합니다.
4. Test and Regularly Update the Disaster Recovery Plan: Ensure that employees are informed of the disaster recovery procedures and trained to follow them. If the procedures involve the involvement of third parties, make sure to have appropriate agreements in place.
5. 재해 복구 계획을 유지하고 업데이트하는 계획 수립: 복구 프로세스에 필요한 리소스와 공급업체를 식별하고 문서화한 후 해당 목록을 최신 상태로 유지하세요. 또한 필요한 경우 시나리오와 예산을 업데이트하는 것을 잊지 마세요.

재해 복구 및 비즈니스 연속성 계획을 개발할 때 선택하는 접근 방식은 전적으로 귀하와 귀하의 회사의 선호도에 달려 있습니다. 일부 회사는 단순화를 위해 하나의 포괄적인 문서를 선호하는 반면, 다른 회사는 각 측면을 별도로 다루는 것을 선호합니다. 어떤 접근 방식을 선택하든, 어느 것도 본질적으로 다른 것보다 특별한 장점이나 단점을 제공하지 않는다는 점을 기억하는 것이 중요합니다.

결론

재해 복구 또는 비즈니스 연속성 계획을 개발할 때 열린 마음을 유지하고 경계를 늦추지 않는 것이 중요합니다. 그렇게 해야 하는 이유는 규제 준수가 아니라 전략적이고 경쟁적인 고려 사항일 수 있습니다. 정치적 혼란, 사이버 공격 및 자연 재해와 같은 예기치 않은 사건은 모든 산업에 심각한 영향을 미칠 수 있습니다. 이러한 사건에 대비하고 빠르게 회복할 수 있는 기업은 위기를 기회로 바꿀 수 있는 기업입니다. 계획 부족이 당신을 가로막는 요소가 되지 않도록 하세요.