การกู้คืนจากภัยพิบัติและความต่อเนื่องของธุรกิจ

บทนำ

เราได้ยินคำว่า "การแสดงต้องดำเนินต่อไป" อย่างน้อยครั้งหนึ่งในชีวิตของเรา ในด้านความปลอดภัยทางไซเบอร์ ข้อความนี้มักถูกใช้เพื่ออธิบายความจำเป็นของแผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (BC&DR) อุบัติเหตุอาจเกิดขึ้นได้ แต่ไม่ควรเป็นเหตุผลให้คุณหยุดกิจกรรมของคุณหรือสูญเสียเงินมากเกินจำเป็น การป้องกันจากภัยเหล่านี้คุณต้องมีแผน (BC&DR) ในบทความนี้ ฉันจะอธิบายอย่างละเอียดเกี่ยวกับวิธีที่ทั้งสองทำงานร่วมกันและแนวทางบางประการในการนำไปใช้

Business Continuity และ Disaster Recovery คืออะไร?

แผนทั้งสองนี้สามารถผสานกันหรือแม้กระทั่งร่างในเอกสารเดียวกัน แต่ทั้งสองแผนนี้มีเป้าหมายในการจัดการด้านความปลอดภัยทางไซเบอร์และการบริหารองค์กรที่แตกต่างกัน:

การกู้คืนภัยพิบัติเป็นกระบวนการในการคืนค่าการดำเนินงานปกติหลังจากที่เกิดอุบัติเหตุ (ที่ร้ายแรง) ขึ้น ซึ่งรวมถึงการกู้คืนข้อมูล ฮาร์ดแวร์ ซอฟต์แวร์ และทรัพยากร IT อื่น ๆ กลับสู่สภาพที่ใกล้เคียงกับสถานะที่ดีที่สุดเท่าที่จะเป็นไปได้ แผนการกู้คืนภัยพิบัติมักจะพิจารณาหัวข้อต่าง ๆ เช่น การสำรองข้อมูล การสร้างและทดสอบขั้นตอนฉุกเฉิน และการฝึกอบรมพนักงานเกี่ยวกับวิธีการตอบสนองต่อเหตุการณ์ที่ร้ายแรง

ในทางกลับกัน ความต่อเนื่องทางธุรกิจคือกระบวนการในการรักษาหรือกู้คืนการดำเนินงานทางธุรกิจที่สำคัญอย่างรวดเร็วในระหว่างและหลังจากเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งโดยปกติจะต้องพัฒนาแผนการเพื่อลดการหยุดชะงักของธุรกิจ หลังจากที่ได้ระบุการดำเนินกิจกรรมที่สำคัญที่สุดและโครงสร้างพื้นฐาน/ทรัพยากรที่เกี่ยวข้องซึ่งไม่ควรได้รับผลกระทบจากอุบัติเหตุส่วนใหญ่ แผนความต่อเนื่องทางธุรกิจมักจะรวมกลยุทธ์ในการรักษาหรือกู้คืนการดำเนินงานที่สำคัญอย่างรวดเร็ว เช่น การบริการลูกค้า การผลิต และการดำเนินงานทางการเงิน

ความแตกต่างที่สำคัญระหว่างทั้งสองแนวทางนี้คือแผนการความต่อเนื่องของธุรกิจเป็นโซลูชันชั่วคราวในกรณีฉุกเฉินที่ง่ายต่อการนำมาใช้เพื่อให้สามารถตอบสนองต่อปัญหาที่เกิดขึ้นได้อย่างมีประสิทธิภาพ ขณะที่แผนการฟื้นฟูภาวะฉุกเฉินอาจช้าและซับซ้อน แต่มีเป้าหมายเพื่อกลับคืนข้อมูลและโครงสร้างพื้นฐานให้ใกล้เคียงกับสถานะก่อนเกิดเหตุการณ์มากที่สุด

ความสำคัญของการมีแผน Bc&dr

ความสำคัญของการมีแผนการดำเนินธุรกิจต่อเนื่องและการฟื้นฟูจากภัยพิบัติ (BC&DR) ได้รับการเน้นย้ำจากการตอบสนองของกลุ่มฟูจิตสึต่อแผ่นดินไหวครั้งใหญ่ที่ภาคตะวันออกของญี่ปุ่นในปี 2011 แม้ว่าจะประสบกับการสูญเสียประมาณ 100 ล้านดอลลาร์ แต่พวกเขาก็สามารถกู้คืนระบบที่สำคัญทั้งหมดได้ภายใน 24 ชั่วโมงและกลับมาใช้งานได้เต็มที่ภายในหนึ่งสัปดาห์โดยมีแผน BC&DR ที่เตรียมพร้อมดี พวกเขาไม่เพียงแค่กู้คืนระบบของตัวเอง แต่ยังสามารถให้ความช่วยเหลือและสนับสนุนแก่บริษัทและบุคคลอื่นๆ ที่ได้รับผลกระทบจากภัยพิบัติ การมีแผน BC&DR สามารถลดค่าใช้จ่ายที่อาจเกิดขึ้นจากภัยพิบัติธรรมชาติสำหรับบริษัทได้อย่างมาก กรณีศึกษาหลายกรณีรวมถึงเหตุการณ์ฟูจิตสึได้พิสูจน์เรื่องนี้ 

ในการสร้างหรือประเมินแผน BC&DR ของคุณ ให้พิจารณาขั้นตอนสำคัญดังต่อไปนี้

Starting from Business Continuity:

1. ระบุฟังก์ชันธุรกิจที่สำคัญ: ฟังก์ชันธุรกิจหมายถึงการผสมผสานของกิจกรรมและทรัพยากรที่จำเป็นในการแปลงข้อมูลเข้าเป็นข้อมูลออก ฟังก์ชันที่สำคัญในทางกลับกันคือกิจกรรมและบุคคลที่จำเป็นต่อการดำเนินธุรกิจของคุณ – หากไม่มีพวกเขา ธุรกิจของคุณจะไม่สามารถผลิตข้อมูลออกได้ ขั้นตอนแรกในการระบุฟังก์ชันที่สำคัญคือการระบุบุคคลสำคัญและทรัพย์สินที่ขาดไม่ได้สำหรับการอยู่รอดของธุรกิจของคุณ
2. ระบุการหยุดชะงักที่อาจเกิดขึ้น: เมื่อคุณระบุสินทรัพย์และทรัพยากรที่สำคัญต่อการดำเนินงานของคุณแล้ว สิ่งสำคัญคือต้องระบุภัยคุกคามที่อาจส่งผลกระทบต่อการทำงานของพวกเขา ภัยคุกคามเหล่านี้อาจรวมถึงภัยพิบัติทางธรรมชาติ เช่น แผ่นดินไหว ความไม่สงบทางการเมือง หรือการใช้ช่องโหว่ทางไซเบอร์ สิ่งสำคัญคือต้องไม่มองข้ามความสำคัญของการกำหนดอย่างชัดเจนว่าอุปสรรคเหล่านี้มีผลกับฟังก์ชันที่สำคัญบางอย่าง ทั้งหมด หรือไม่มีเลย สิ่งนี้จะช่วยให้คุณดำเนินการขั้นตอนถัดไปในกระบวนการจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ
3. พัฒนากระบวนการสำหรับการรักษาหรือฟื้นฟูฟังก์ชันธุรกิจที่สำคัญอย่างรวดเร็ว: เมื่อคุณได้ระบุฟังก์ชันที่สำคัญแล้ว การพัฒนากลยุทธ์ที่รับประกันว่า ฟังก์ชันเหล่านี้สามารถดำเนินการต่อได้ในกรณีที่เกิดภัยพิบัติเป็นสิ่งสำคัญ ซึ่งอาจรวมถึงการสร้างสถานที่รอง การจัดหาอุปกรณ์การสื่อสารสำรอง หรือการดำเนินการชุดคำแนะนำที่ฟังก์ชันอื่นๆ ควรปฏิบัติตามในกรณีที่เกิดการหยุดชะงัก ประสิทธิภาพของขั้นตอนนี้จะมีผลกระทบอย่างมากต่อความสามารถของคุณในการระบุวิธีการแก้ไขปัญหาที่ครอบคลุมสำหรับสาเหตุที่น่าจะเป็นไปได้ที่สุดของการหยุดชะงัก
4. พัฒนากลยุทธ์การสื่อสาร: แผนการดำเนินธุรกิจที่วางแผนมาอย่างดีจะไม่มีประสิทธิภาพหากไม่ได้รับการดำเนินการอย่างถูกต้อง จำเป็นต้องมีแผนการที่มีประสิทธิภาพในการแจ้งให้พนักงานและลูกค้าทราบเกี่ยวกับการหยุดชะงักใด ๆ ที่เกิดขึ้น เมื่อใดก็ตามที่เกิดขึ้น เพื่อให้มั่นใจว่าแผนการดำเนินธุรกิจของคุณจะได้รับการดำเนินการสำเร็จ จำเป็นต้องมีแผนการสื่อสารที่แข็งแกร่งและมีรายละเอียด แผนนี้ควรคำนึงถึงการหยุดชะงักที่อาจเกิดขึ้นที่ระบุในระหว่างกระบวนการวางแผน เพื่อให้แน่ใจว่าคุณสามารถเริ่มแผนการดำเนินธุรกิจได้อย่างรวดเร็วและมีประสิทธิภาพเมื่อเกิดความจำเป็น
5. พัฒนากระบวนการสื่อสาร: แผนการดำเนินธุรกิจต่อเนื่องที่ดีไม่สามารถใช้ได้หากไม่ได้รับการดำเนินการอย่างถูกต้อง การมีแผนเพื่อแจ้งให้พนักงานและลูกค้าทราบเกี่ยวกับความไม่สะดวกที่เกิดขึ้นเป็นสิ่งสำคัญ เพื่อให้การดำเนินการแผนการดำเนินธุรกิจต่อเนื่องของคุณสำเร็จ จำเป็นต้องมีแผนการสื่อสารที่แข็งแกร่งและละเอียด แผนนี้ควรพิจารณาความไม่สะดวกที่อาจเกิดขึ้นที่ได้รับการระบุในระหว่างกระบวนการวางแผน เพื่อให้คุณสามารถเริ่มต้นแผนการดำเนินธุรกิจต่อเนื่องได้อย่างรวดเร็วและมีประสิทธิภาพเมื่อเกิดความจำเป็น
6. กำหนดแผนการบำรุงรักษาและอัปเดตแผนความต่อเนื่องทางธุรกิจ: ระบุและบันทึกทรัพยากรที่ต้องได้รับการอัปเดตเป็นประจำเพื่อให้แผนความต่อเนื่องทางธุรกิจมีประสิทธิภาพ กำหนดกำหนดเวลาที่เฉพาะเจาะจงและมอบหมายบุคคลที่รับผิดชอบในการทำให้เอกสารเหล่านี้เป็นปัจจุบัน

ในทางกลับกัน แผนฟื้นฟูภัยพิบัติควรรวมสิ่งต่อไปนี้:

1. Identify Critical Systems and Data for Recovery: การระบุโครงสร้างพื้นฐานและทรัพยากรที่มีความสำคัญสูงและจำเป็นต้องฟื้นฟูในกรณีที่เกิดการสูญเสียเป็นสิ่งสำคัญ
2. ระบุสถานการณ์ภัยพิบัติที่อาจเกิดขึ้น: สถานการณ์ภัยพิบัติต่างๆ อาจมีต้นทุนการกู้คืนที่แตกต่างกัน ตัวอย่างเช่น ห้องเซิร์ฟเวอร์ที่ท่วมขังเป็นเวลา 24 ชั่วโมงจะมีต้นทุนการกู้คืนที่แตกต่างจากที่ท่วมขังน้อยกว่า 1 ชั่วโมง
3. พัฒนาขั้นตอนในการสำรองข้อมูลและการกู้คืนข้อมูลและระบบ: สร้างแผนรายละเอียดสำหรับการกู้คืนทรัพยากรที่ระบุในขั้นตอนที่หนึ่ง โดยอ้างอิงจากสถานการณ์ที่พัฒนาในขั้นตอนที่สอง
4. ทดสอบและอัปเดตแผนการกู้คืนจากภัยพิบัติอย่างสม่ำเสมอ: ตรวจสอบให้แน่ใจว่าพนักงานได้รับข้อมูลเกี่ยวกับขั้นตอนการกู้คืนจากภัยพิบัติและได้รับการฝึกอบรมให้ปฏิบัติตาม หากขั้นตอนเกี่ยวข้องกับบุคคลที่สาม ตรวจสอบให้แน่ใจว่ามีข้อตกลงที่เหมาะสม.
5. จัดทำแผนสำหรับการบำรุงรักษาและอัปเดตแผนการกู้คืนจากภัยพิบัติ: ระบุและบันทึกทรัพยากรและผู้จำหน่ายที่จำเป็นสำหรับกระบวนการกู้คืน และเก็บรายการเหล่านี้ให้อัปเดต นอกจากนี้อย่าลืมอัปเดตสถานการณ์และงบประมาณตามความจำเป็น

เมื่อพูดถึงการพัฒนาแผนการกู้คืนจากภัยพิบัติและการดำเนินธุรกิจอย่างต่อเนื่อง วิธีที่คุณเลือกนั้นขึ้นอยู่กับคุณและความชอบของบริษัทคุณโดยตรง บางบริษัทอาจชอบที่จะมีเอกสารฉบับเดียวที่ครอบคลุมเพื่อความสะดวก ในขณะที่บางบริษัทอาจชอบที่จะจัดการแต่ละด้านแยกกัน ไม่ว่าจะเลือกวิธีใด สิ่งสำคัญคือต้องจำไว้ว่าไม่มีวิธีใดที่มีข้อดีหรือข้อเสียมากกว่ากันโดยเนื้อแท้

สรุป

สิ่งสำคัญคือต้องรักษาจิตใจที่เปิดกว้างและระมัดระวังเมื่อพัฒนาหรือแผนการฟื้นฟูภัยพิบัติหรือแผนความต่อเนื่องของธุรกิจ เหตุผลในการทำเช่นนี้อาจไม่ได้เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ แต่เป็นการพิจารณาด้านกลยุทธ์และการแข่งขัน เหตุการณ์ที่ไม่คาดคิด เช่น ความปั่นป่วนทางการเมือง การโจมตีทางไซเบอร์ และภัยพิบัติทางธรรมชาติสามารถส่งผลกระทบอย่างมากต่ออุตสาหกรรมใดๆ บริษัทที่เตรียมพร้อมในการรับมือกับเหตุการณ์เหล่านั้นและฟื้นตัวได้อย่างรวดเร็วคือบริษัทที่จะสามารถเปลี่ยนวิกฤตให้กลายเป็นโอกาสได้ อย่าปล่อยให้การขาดแผนเป็นปัจจัยที่ยับยั้งคุณ