การกู้คืนจากภัยพิบัติและความต่อเนื่องของธุรกิจ

บทนำ

เราได้ยินคำว่า "การแสดงต้องดำเนินต่อไป" อย่างน้อยครั้งหนึ่งในชีวิตของเรา ในด้านความปลอดภัยทางไซเบอร์ ข้อความนี้มักถูกใช้เพื่ออธิบายความจำเป็นของแผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (BC&DR) อุบัติเหตุอาจเกิดขึ้นได้ แต่ไม่ควรเป็นเหตุผลให้คุณหยุดกิจกรรมของคุณหรือสูญเสียเงินมากเกินจำเป็น การป้องกันจากภัยเหล่านี้คุณต้องมีแผน (BC&DR) ในบทความนี้ ฉันจะอธิบายอย่างละเอียดเกี่ยวกับวิธีที่ทั้งสองทำงานร่วมกันและแนวทางบางประการในการนำไปใช้

Business Continuity และ Disaster Recovery คืออะไร?

แผนทั้งสองนี้สามารถผสานกันหรือแม้กระทั่งร่างในเอกสารเดียวกัน แต่ทั้งสองแผนนี้มีเป้าหมายในการจัดการด้านความปลอดภัยทางไซเบอร์และการบริหารองค์กรที่แตกต่างกัน:

การกู้คืนภัยพิบัติเป็นกระบวนการในการคืนค่าการดำเนินงานปกติหลังจากที่เกิดอุบัติเหตุ (ที่ร้ายแรง) ขึ้น ซึ่งรวมถึงการกู้คืนข้อมูล ฮาร์ดแวร์ ซอฟต์แวร์ และทรัพยากร IT อื่น ๆ กลับสู่สภาพที่ใกล้เคียงกับสถานะที่ดีที่สุดเท่าที่จะเป็นไปได้ แผนการกู้คืนภัยพิบัติมักจะพิจารณาหัวข้อต่าง ๆ เช่น การสำรองข้อมูล การสร้างและทดสอบขั้นตอนฉุกเฉิน และการฝึกอบรมพนักงานเกี่ยวกับวิธีการตอบสนองต่อเหตุการณ์ที่ร้ายแรง

ในทางกลับกัน ความต่อเนื่องทางธุรกิจคือกระบวนการในการรักษาหรือกู้คืนการดำเนินงานทางธุรกิจที่สำคัญอย่างรวดเร็วในระหว่างและหลังจากเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งโดยปกติจะต้องพัฒนาแผนการเพื่อลดการหยุดชะงักของธุรกิจ หลังจากที่ได้ระบุการดำเนินกิจกรรมที่สำคัญที่สุดและโครงสร้างพื้นฐาน/ทรัพยากรที่เกี่ยวข้องซึ่งไม่ควรได้รับผลกระทบจากอุบัติเหตุส่วนใหญ่ แผนความต่อเนื่องทางธุรกิจมักจะรวมกลยุทธ์ในการรักษาหรือกู้คืนการดำเนินงานที่สำคัญอย่างรวดเร็ว เช่น การบริการลูกค้า การผลิต และการดำเนินงานทางการเงิน

ความแตกต่างที่สำคัญระหว่างทั้งสองแนวทางนี้คือแผนการความต่อเนื่องของธุรกิจเป็นโซลูชันชั่วคราวในกรณีฉุกเฉินที่ง่ายต่อการนำมาใช้เพื่อให้สามารถตอบสนองต่อปัญหาที่เกิดขึ้นได้อย่างมีประสิทธิภาพ ขณะที่แผนการฟื้นฟูภาวะฉุกเฉินอาจช้าและซับซ้อน แต่มีเป้าหมายเพื่อกลับคืนข้อมูลและโครงสร้างพื้นฐานให้ใกล้เคียงกับสถานะก่อนเกิดเหตุการณ์มากที่สุด

ความสำคัญของการมีแผน Bc&dr

ความสำคัญของการมีแผนการดำเนินธุรกิจต่อเนื่องและการฟื้นฟูจากภัยพิบัติ (BC&DR) ได้รับการเน้นย้ำจากการตอบสนองของกลุ่มฟูจิตสึต่อแผ่นดินไหวครั้งใหญ่ที่ภาคตะวันออกของญี่ปุ่นในปี 2011 แม้ว่าจะประสบกับการสูญเสียประมาณ 100 ล้านดอลลาร์ แต่พวกเขาก็สามารถกู้คืนระบบที่สำคัญทั้งหมดได้ภายใน 24 ชั่วโมงและกลับมาใช้งานได้เต็มที่ภายในหนึ่งสัปดาห์โดยมีแผน BC&DR ที่เตรียมพร้อมดี พวกเขาไม่เพียงแค่กู้คืนระบบของตัวเอง แต่ยังสามารถให้ความช่วยเหลือและสนับสนุนแก่บริษัทและบุคคลอื่นๆ ที่ได้รับผลกระทบจากภัยพิบัติ การมีแผน BC&DR สามารถลดค่าใช้จ่ายที่อาจเกิดขึ้นจากภัยพิบัติธรรมชาติสำหรับบริษัทได้อย่างมาก กรณีศึกษาหลายกรณีรวมถึงเหตุการณ์ฟูจิตสึได้พิสูจน์เรื่องนี้ 

ในการสร้างหรือประเมินแผน BC&DR ของคุณ ให้พิจารณาขั้นตอนสำคัญดังต่อไปนี้

Starting from Business Continuity:

1. ระบุฟังก์ชันธุรกิจที่สำคัญ: ฟังก์ชันธุรกิจหมายถึงการผสมผสานของกิจกรรมและทรัพยากรที่จำเป็นในการแปลงข้อมูลเข้าเป็นข้อมูลออก ฟังก์ชันที่สำคัญในทางกลับกันคือกิจกรรมและบุคคลที่จำเป็นต่อการดำเนินธุรกิจของคุณ – หากไม่มีพวกเขา ธุรกิจของคุณจะไม่สามารถผลิตข้อมูลออกได้ ขั้นตอนแรกในการระบุฟังก์ชันที่สำคัญคือการระบุบุคคลสำคัญและทรัพย์สินที่ขาดไม่ได้สำหรับการอยู่รอดของธุรกิจของคุณ
2. ระบุการหยุดชะงักที่อาจเกิดขึ้น: เมื่อคุณระบุสินทรัพย์และทรัพยากรที่สำคัญต่อการดำเนินงานของคุณแล้ว สิ่งสำคัญคือต้องระบุภัยคุกคามที่อาจส่งผลกระทบต่อการทำงานของพวกเขา ภัยคุกคามเหล่านี้อาจรวมถึงภัยพิบัติทางธรรมชาติ เช่น แผ่นดินไหว ความไม่สงบทางการเมือง หรือการใช้ช่องโหว่ทางไซเบอร์ สิ่งสำคัญคือต้องไม่มองข้ามความสำคัญของการกำหนดอย่างชัดเจนว่าอุปสรรคเหล่านี้มีผลกับฟังก์ชันที่สำคัญบางอย่าง ทั้งหมด หรือไม่มีเลย สิ่งนี้จะช่วยให้คุณดำเนินการขั้นตอนถัดไปในกระบวนการจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ
3. พัฒนากระบวนการสำหรับการรักษาหรือฟื้นฟูฟังก์ชันธุรกิจที่สำคัญอย่างรวดเร็ว: เมื่อคุณได้ระบุฟังก์ชันที่สำคัญแล้ว การพัฒนากลยุทธ์ที่รับประกันว่า ฟังก์ชันเหล่านี้สามารถดำเนินการต่อได้ในกรณีที่เกิดภัยพิบัติเป็นสิ่งสำคัญ ซึ่งอาจรวมถึงการสร้างสถานที่รอง การจัดหาอุปกรณ์การสื่อสารสำรอง หรือการดำเนินการชุดคำแนะนำที่ฟังก์ชันอื่นๆ ควรปฏิบัติตามในกรณีที่เกิดการหยุดชะงัก ประสิทธิภาพของขั้นตอนนี้จะมีผลกระทบอย่างมากต่อความสามารถของคุณในการระบุวิธีการแก้ไขปัญหาที่ครอบคลุมสำหรับสาเหตุที่น่าจะเป็นไปได้ที่สุดของการหยุดชะงัก
4. พัฒนากลยุทธ์การสื่อสาร: แผนการดำเนินธุรกิจที่วางแผนมาอย่างดีจะไม่มีประสิทธิภาพหากไม่ได้รับการดำเนินการอย่างถูกต้อง จำเป็นต้องมีแผนการที่มีประสิทธิภาพในการแจ้งให้พนักงานและลูกค้าทราบเกี่ยวกับการหยุดชะงักใด ๆ ที่เกิดขึ้น เมื่อใดก็ตามที่เกิดขึ้น เพื่อให้มั่นใจว่าแผนการดำเนินธุรกิจของคุณจะได้รับการดำเนินการสำเร็จ จำเป็นต้องมีแผนการสื่อสารที่แข็งแกร่งและมีรายละเอียด แผนนี้ควรคำนึงถึงการหยุดชะงักที่อาจเกิดขึ้นที่ระบุในระหว่างกระบวนการวางแผน เพื่อให้แน่ใจว่าคุณสามารถเริ่มแผนการดำเนินธุรกิจได้อย่างรวดเร็วและมีประสิทธิภาพเมื่อเกิดความจำเป็น
5. พัฒนากระบวนการสื่อสาร: แผนการดำเนินธุรกิจต่อเนื่องที่ดีไม่สามารถใช้ได้หากไม่ได้รับการดำเนินการอย่างถูกต้อง การมีแผนเพื่อแจ้งให้พนักงานและลูกค้าทราบเกี่ยวกับความไม่สะดวกที่เกิดขึ้นเป็นสิ่งสำคัญ เพื่อให้การดำเนินการแผนการดำเนินธุรกิจต่อเนื่องของคุณสำเร็จ จำเป็นต้องมีแผนการสื่อสารที่แข็งแกร่งและละเอียด แผนนี้ควรพิจารณาความไม่สะดวกที่อาจเกิดขึ้นที่ได้รับการระบุในระหว่างกระบวนการวางแผน เพื่อให้คุณสามารถเริ่มต้นแผนการดำเนินธุรกิจต่อเนื่องได้อย่างรวดเร็วและมีประสิทธิภาพเมื่อเกิดความจำเป็น
6. กำหนดแผนการบำรุงรักษาและอัปเดตแผนความต่อเนื่องทางธุรกิจ: ระบุและบันทึกทรัพยากรที่ต้องได้รับการอัปเดตเป็นประจำเพื่อให้แผนความต่อเนื่องทางธุรกิจมีประสิทธิภาพ กำหนดกำหนดเวลาที่เฉพาะเจาะจงและมอบหมายบุคคลที่รับผิดชอบในการทำให้เอกสารเหล่านี้เป็นปัจจุบัน

ในทางกลับกัน แผนฟื้นฟูภัยพิบัติควรรวมสิ่งต่อไปนี้:

1. Identify Critical Systems and Data for Recovery: การระบุโครงสร้างพื้นฐานและทรัพยากรที่มีความสำคัญสูงและจำเป็นต้องฟื้นฟูในกรณีที่เกิดการสูญเสียเป็นสิ่งสำคัญ
2. ระบุสถานการณ์ภัยพิบัติที่อาจเกิดขึ้น: สถานการณ์ภัยพิบัติต่างๆ อาจมีต้นทุนการกู้คืนที่แตกต่างกัน ตัวอย่างเช่น ห้องเซิร์ฟเวอร์ที่ท่วมขังเป็นเวลา 24 ชั่วโมงจะมีต้นทุนการกู้คืนที่แตกต่างจากที่ท่วมขังน้อยกว่า 1 ชั่วโมง
3. พัฒนาขั้นตอนในการสำรองข้อมูลและการกู้คืนข้อมูลและระบบ: สร้างแผนรายละเอียดสำหรับการกู้คืนทรัพยากรที่ระบุในขั้นตอนที่หนึ่ง โดยอ้างอิงจากสถานการณ์ที่พัฒนาในขั้นตอนที่สอง
4. Test and Regularly Update the Disaster Recovery Plan: Ensure that employees are informed of the disaster recovery procedures and trained to follow them. If the procedures involve the involvement of third parties, make sure to have appropriate agreements in place.
5. จัดทำแผนสำหรับการบำรุงรักษาและอัปเดตแผนการกู้คืนจากภัยพิบัติ: ระบุและบันทึกทรัพยากรและผู้จำหน่ายที่จำเป็นสำหรับกระบวนการกู้คืน และเก็บรายการเหล่านี้ให้อัปเดต นอกจากนี้อย่าลืมอัปเดตสถานการณ์และงบประมาณตามความจำเป็น

เมื่อพูดถึงการพัฒนาแผนการกู้คืนจากภัยพิบัติและการดำเนินธุรกิจอย่างต่อเนื่อง วิธีที่คุณเลือกนั้นขึ้นอยู่กับคุณและความชอบของบริษัทคุณโดยตรง บางบริษัทอาจชอบที่จะมีเอกสารฉบับเดียวที่ครอบคลุมเพื่อความสะดวก ในขณะที่บางบริษัทอาจชอบที่จะจัดการแต่ละด้านแยกกัน ไม่ว่าจะเลือกวิธีใด สิ่งสำคัญคือต้องจำไว้ว่าไม่มีวิธีใดที่มีข้อดีหรือข้อเสียมากกว่ากันโดยเนื้อแท้

สรุป

สิ่งสำคัญคือต้องรักษาจิตใจที่เปิดกว้างและระมัดระวังเมื่อพัฒนาหรือแผนการฟื้นฟูภัยพิบัติหรือแผนความต่อเนื่องของธุรกิจ เหตุผลในการทำเช่นนี้อาจไม่ได้เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ แต่เป็นการพิจารณาด้านกลยุทธ์และการแข่งขัน เหตุการณ์ที่ไม่คาดคิด เช่น ความปั่นป่วนทางการเมือง การโจมตีทางไซเบอร์ และภัยพิบัติทางธรรมชาติสามารถส่งผลกระทบอย่างมากต่ออุตสาหกรรมใดๆ บริษัทที่เตรียมพร้อมในการรับมือกับเหตุการณ์เหล่านั้นและฟื้นตัวได้อย่างรวดเร็วคือบริษัทที่จะสามารถเปลี่ยนวิกฤตให้กลายเป็นโอกาสได้ อย่าปล่อยให้การขาดแผนเป็นปัจจัยที่ยับยั้งคุณ