BLOG GOV-IS

V digitalni ekonomiji se ne pogovarjamo več o tem, ali so vaši podatki varni na strežniku. Pogovarjamo se o digitalni odpornosti (Cyber Resilience). Vprašanje, ki je zelo na mestu in se ga v praksi marsikdo izogiba pa je: Koliko ur lahko vaše podjetje preživi brez dostopa do e-pošte, baze strank ali proizvodnih procesov, preden postane škoda nepopravljiva?

Mi vidimo Disaster Recovery Plan (DRP) kot nekakšno zavarovalno polico, ki je ne sklenete pri zavarovalnici, ampak pri svojem IT partnerju.

Kaj je Disaster Recovery Plan in zakaj "backup" ni dovolj?

Veliko podjetij živi v lažnem občutku varnosti, ker vsak večer kopirajo podatke na zunanji disk. To je varnostno kopiranje (Backup).

Disaster Recovery (DR) pa je celostna strategija, ki ne vključuje samo podatkov, ampak tudi:

• Infrastrukturo: Kje bodo tekli vaši programi, če vaša strojna oprema odpove?
• Povezljivost: Kako bodo zaposleni dostopali do sistemov od doma ali z druge lokacije?
• Procese: Kateri koraki so potrebni za ponoven zagon v pravilnem zaporedju?

Zlato pravilo: Backup je tisto, kar že imate. Disaster Recovery je tisto, kar boste naredili s tem, kar že imate, ko bo šlo vse narobe.

Arhitektura načrta: Ključne komponente

Dober DRP temelji na štirih stebrih:

A. Analiza vpliva na poslovanje (BIA - Business Impact Analysis)

Preden namestimo karkoli tehničnega, moramo razumeti poslovanje. BIA ugotavlja, katere funkcije so kritične. Ali je to računovodski program? Je to CRM? Ali morda krmiljenje proizvodne linije?

• Identifikacija "Kronskih draguljev": Kateri podatki so nenadomestljivi?
• Določitev odvisnosti: Kateri sistem potrebuje drugega, da sploh deluje?

B. Strategija okrevanja: RTO in RPO

V IT-ju operiramo z dvema ključnima enačbama, ki določata vašo investicijo:

1. RTO (Recovery Time Objective): Časovna komponenta. Kako hitro moramo biti spet "online"?
2. RPO (Recovery Point Objective): Količinska komponenta podatkov. Koliko dela smo pripravljeni izgubiti?

C. Tehnološka izvedba (Rešitve po meri)

Glede na potrebe podjetja se lahko implementirajo različne ravni zaščite:

• Replikacija v oblaku (DRaaS): Podatki se v realnem času kopirajo v varno okolje (npr. Microsoft Azure ali lastni datacentri).
• Hibridne rešitve: Kombinacija lokalne redundance in oddaljene hrambe.
• 3-2-1-1-0 pravilo: 3 kopije podatkov, 2 različna medija, 1 lokacija zunaj podjetja, 1 kopija (offline/immutable) in 0 napak pri testiranju.

3. Zakaj podjetje potrebuje DRP?

Direktiva NIS2 in zakonodaja

Evropska zakonodaja postaja vse strožja. Direktiva NIS2 zahteva od podjetij v kritičnih sektorjih (in seveda tudi njihovih dobaviteljev!), da imajo vzpostavljene jasne načrte za neprekinjeno poslovanje. DRP torej ni več le dobra praksa, ampak je za marsikoga postala zakonska obveza.

Ransomware

Kibernetski kriminalci ne kradejo podatkov, ampak jih zaklenejo (ugrabijo). Če imamo DRP, ki vključuje "Immutable Backups" (nespremenljive kopije), lahko preprosto obnovimo sistem na stanje pred napadom in se na ta način izognemo bolečim odkupninam.

4. Kako se lotiti izdelave?

Če se izdelave lotite sami, se hitro izgubite v tehničnih podrobnostih. Priporočen je nekakšen strukturiran pristop:

5. Človeški faktor: Najšibkejši člen ali največja moč?

V kriznem trenutku ljudje zamrznejo. DRP vsebuje jasen komunikacijski načrt:

• Kdo ima pooblastilo za aktivacijo rezervne lokacije?
• Kako zaposleni izvedo, da danes ne delajo v pisarni, ampak prek rezervnega sistema?
• Kdo komunicira s strankami, da podjetje ohrani svoj ugled?

Statistike so neusmiljene: podjetja, ki doživijo večji izpad podatkov in nimajo pripravljenega DRP-ja, imajo več kot 90-odstotno možnost, da v naslednjih dveh letih propadejo.

V podjetju GOV-IS d.o.o. ne prodajamo le programske opreme. Prodajamo kontinuiteto vašega posla. Naš cilj je, da vi mirno spite, medtem ko mi skrbimo, da so vaši digitalni procesi »bulletproof«.

Ali vaša trenutna strategija prenese realen test?