Wraz z transformacją cyfrową firmy stały się w olbrzymim stopniu uzależnione od technologii przy realizacji większości procesów biznesowych. Każdy problem uniemożliwiający dostęp do danych, systemów czy aplikacji sprawia, że firma nie jest w stanie wykonywać swoich codziennych działań, a co za tym idzie, ponosi negatywne konsekwencje, chociażby w postaci utraty klientów, spadku sprzedaży i rozpowszechniania złego wizerunku.
Wielu z tych incydentów można uniknąć. Oczywiście zdarzają się też takie, które całkowicie wymykają się spod kontroli, ale zawsze można zminimalizować ich wpływ na działanie firmy. Tutaj z pomocą przychodzą kopie zapasowe danych (backup) oraz plany odzyskiwania po awarii (DRP – Disaster Recovery Plan).
Zagrożenia bezpieczeństwa danych
W informatyce incydentem nazywamy nieplanowaną przerwę w usłudze lub obniżenie jakości usługi. Incydentem może być również awaria systemu, która nie została jeszcze zauważona podczas użytkowania usługi. Warto pamiętać, że awaria może mieć przyczynę naturalną, środowiskową (np. klęska żywiołowa, taka jak burza, powódź) lub być wynikiem działania człowieka. Działania człowieka mogą z kolei być wynikiem działań celowych (np. atak hackerski, włamanie) lub wypadku (np. przypadkowy pożar czy wypadki komunikacyjne).
Backup: chroń informacje o swojej firmie
Podstawowym zabezpieczeniem przed utratą danych jest backup, czyli wykonanie kopii zapasowej danych w celu szybkiego i łatwego ich odzyskania w razie potrzeby. Kopia taka może być przechowywana lokalnie lub online.
Backup lokalny
W pierwszym przypadku chodzi o przechowywanie kopii danych w Twojej firmie.
Istnieje wiele możliwości przechowywania danych lokalnie: począwszy od kopii na zewnętrznym dysku USB czy taśmach magnetycznych w połączeniu z ręcznym kopiowaniem danych lub wykorzystaniem odpowiednych programów. Inną z opcji jest wykorzystanie jednostki NAS (której pojemność dostosuje się do wielkości środowiska) oraz konfiguracji macierzy RAID. Zarówno NAS jak i macierz są rozwiązaniem generującym większe koszty, ale w dużym stopniu zabezpieczają dane przed skutkami awarii nośników. W przypadku problemów z dyskiem, dzięki możliwości działania pozostałych zainstalowanych dysków, dane są chronione przed utratą.
Za stosowaniem lokalnego backupu przemawia miedzy innymi stosunkowo niski koszt czy energooszczędność. Niemniej jednak wykonywanie wyłącznie lokalnych kopii zapasowych niesie za sobą ryzyko, ponieważ nośnik USB może ulec uszkodzeniu, zagubieniu. Ponadto istnieje wiele potencjalnych zagrożeń, takich jak pożar, kradzież lub awaria sprzętu. W przypadku korzystania z kopii lokalnej należy zadbać, by osoby nieautoryzowane nie miały dostępu do nośników backupu. Dobrą praktyką jest również przechowywanie co najmniej jednej kopii zapasowej w miejscu innym niż siedziba firmy np. w firmie specjalizującej się w przechowywaniu nośników backupu offline.
Backup online
W przypadku backupu online najważniejsze dane Twojej firmy są przechowywane na bezpiecznym, dedykowanym „zewnętrznym serwerze” (IaaS) lub przesyłane do „chmury” (modele PaaS, SaaS).
Za korzystaniem z repozytorium online przemawia wiele zalet tego rozwiązania. Główne z nich to: wygoda, ponieważ w ten sposób można przechowywać każdą ilość danych, oraz efektywność, bo dostęp do kopii jest możliwy z każdej lokalizacji. W przypadku korzystania z chmury, jesteśmy zwolnieni z martwienia się o przeglądy czy konserwację fizycznego urządzenia do magazynowania danych, musimy tylko dysponować dostępem do Internetu. Przy wykupie usługi przechowywania danych w chmurze, często możemy skorzystać z innych dodatków od dostawców tych rozwiązań. Przykładowo, do swojej chmury Google oferuje darmowo pakiet narzędzi biurowych w przeglądarce.
Jednocześnie backup online nie jest całkowicie pozbawiony wad. Chmury, pomimo coraz doskonalszych zabezpieczeń, wciąż narażone są na ataki hackerskie. Sama usługa tworzenia kopii zapasowych online może na pierwszy rzut oka wydawać się kosztowna, ale w ostatecznym rozrachunku może przynieść duże oszczędności – powinna być postrzegana jako inwestycja w bezpieczeństwo.
Jak skonfigurować bezpieczny system backupu?
Zwykle stosuje się tworzenie kopii zapasowych na różnych nośnikach, aby zagwarantować, że zawsze istnieje dostępna kopia (na przykład kopia lokalna i inna w chmurze). W Support Online rekomendujemy zaprojektowanie systemu backupu w myśl zasady 3 – 2 – 1. Co oznaczają te cyfry? Wykonujemy przynajmniej 3 kopie zapasowe, na 2 osobnych nośnikach, z których jedna jest przechowywana fizycznie poza firmą. Poprawna konfiguracja kopii zapasowej gwarantuje, że po awarii infrastruktury IT właściciel nie poniesie strat w danych i ogranicza ryzyko popełnienia błędów przez człowieka.
Disaster Recovery Plan: niech nic Cię nie powstrzyma
Jeśli masz już bezpieczne dane, czy możesz być całkowicie spokojny? Odpowiedź brzmi: nie. Dobra kopia zapasowa to pierwszy krok do zagwarantowania ochrony Twojej firmy przed wszelkiego rodzaju problemami. Niemniej jednak warto pójść o krok dalej i posiadać także dobry plan po awarii lub incydencie.
Co to jest plan odzyskiwania po awarii? Znany również jako Disaster Recovery Plan (DRP), jest to formalny dokument, który opisuje procedury, których należy przestrzegać, aby przywrócić standardowe działanie w obszarze IT w przypadku wystąpienia awarii. Plan odzyskiwania po awarii jest częścią planu ciągłości działania (Bussines Continuity Plan – BCP), który zawiera procedury dla wszystkich obszarów firmy. DRP skupia się na przywróceniu działania obszaru IT.
Co obejmuje DRP?
Aby utworzyć plan odzyskiwania po awarii, należy najpierw zdefiniować zakres, cel oraz komponenty technologiczne, które zostaną uwzględnione w planie, czyli wszystkie te, które są krytyczne dla usług lub produktów firmy. Wskazane jest opracowanie kilku strategii dla różnych scenariuszy incydentów. Po określeniu strategii, należy opisać krok po kroku, jak należy postępować, aby odpowiedzialny zespół mógł przywrócić działanie po awarii.
Aby lepiej to zobrazować, przykładowym incydentem bezpieczeństwa może być awaria bazy danych. Jedną ze strategii może być odzyskanie poprawnej bazy z kopii zapasowej. Inna strategia może zakładać przełączenie firmy na zapasową infrastrukturę zsynchronizowaną ze środowiskiem produkcyjnym. Z kolei procedury odzyskiwania będą opisywać kolejne działania jak np. powiadomienie odpowiednich zespołów, sprawdzenie logów, przeprowadzenie testów w środowisku testowym itd.
Strategie i działania określone w planie Disaster Recovery pozwalają firmie wznowić działalność w możliwie najkrótszym czasie i przy jak najmniejszej utracie informacji. To, jakiej wartości mogą być te parametry również określa się w planie DR za pomocą dwóch wskaźników:
- Docelowy czas odzyskiwania (Recovery Time Objective – RTO) określa, ile maksymalnie potrwa przywrócenie po awarii działania kopii, usługi czy środowiska. Zwykle mierzony jest w godzinach, minutach lub nawet w sekundach. Im krótszy czas, tym wyższe koszty utrzymywania infrastruktury zapasowej, ale też większa stabilność działań biznesowych.
- Z kolei Cel Punktu Odzyskiwania (Recovery Point Objective – RPO) określa, ile maksymalnie danych może zostać utraconych w wyniku awarii wpływającej na środowisko czy aplikację.
Co da mi posiadanie DRP?
- Wdrożenie DRP pozwoli zminimalizować ryzyko utraty danych i zabezpieczyć się przed negatywnymi skutkami wystąpienia awarii Twojej infrastruktury podstawowej.
- Maksymalnie ogranicza przestoje w firmie, dzięki czemu można utrzymać dobre relacje handlowe z klientami i dostawcami nawet mimo wystąpienia incydentów bezpieczeństwa.
- Dodatkowo minimalizuje stres związany z podejmowaniem decyzji: w ekstremalnych sytuacjach ważne jest, aby każdy wiedział, jak postępować, od najniższego do najwyższego szczebla w zespole.
- Zapewnia spełnienie wymogów audytów bezpieczeństwa np. ISO 27001.
- Z marketingowego punktu widzenia awarie – nawet kilkuminutowe – mogą przynieść również straty wizerunkowe – DRP je ogranicza.
Żadna firma nie może sobie pozwolić na długie okresy bezczynności, dlatego też warto zawczasu zadbać o bezpieczeństwo danych. Wybierając dostawcę usług wsparcia IT, usług tworzenia kopii zapasowych czy odzyskiwania danych warto zwrócić uwagę na to, czy proponowane rozwiązania charakteryzują się skalowalnością i dostosowaniem do Twoich potrzeb.
Masz pytania? Zadzwoń lub napisz.
Paweł Jaroszewicz
IT Manager w Support Online
