Ignorer kommandoer på båndet
Gå til hovedindhold
< BACK

Hvis dit it-system bryder ned – tjek din tekniske reetableringsplan

Af Thomas Hornbæk Svendsen & Søren Anderberg, NNIT Management Consulting

 

It-systemer er kritiske for enhver virksomhed. Planlægning, kvalitetssikring og kvalitetskontrol, produktion og logistik vil blive alvorligt påvirket, hvis det usandsynlige sker: et eller flere it-systemer er ude af drift i længere tid. Usandsynlige ting sker – ofte på de mest ubelejlige tidspunkter. For at være forberedt på en sådan situation er det nødvendigt med en teknisk reetableringsplan så systemerne kan komme online så hurtigt som muligt og for at sikre gendannelse af data.

Der skal mere til for at genetablere normal drift end blot at reetablere it-systemerne og de serviceydelser, de leverer – det er også altafgørende at gendanne data tilbage til et bestemt tidspunkt. Hvis der ikke er etableret planer til reetablering af systemer og gendannelse af data, vil det være vanskeligt at afgøre, om data i systemerne inkonsistente. Enten som et resultat af nedbruddet (f.eks. dataoverførsler, der ikke er gennemført eller tilbageført korrekt) eller forkert gendannelse af databaser, sikkerhedsindstillinger, revisionsspor m.v.

Planlægning er afgørende for vellykket system- og datareetablering. Uden dokumenterede planer vil det være held – kombineret med hårdt arbejde – som afgør, om reetableringen lykkes eller er besværlig og potentielt katastrofal. Men hvordan ser en rigtig reetableringsplan ud med hensyn til scope, handlingsforløb, detaljeringsgrad og organisatorisk opbygning?

Konsolider den tekniske reetableringsplan

For at opnå en vellykket reetablering af et it-system er det nødvendigt at udarbejde og vedligeholde en retableringsplan også kaldet Technical Recovery Plan (TRP). TRP'en skal indeholde en definition af omfanget af serviceydelser omfattet heraf, rækkefølgen af de aktiviteter, der er nødvendige for at genoprette normal drift, afhængighed af andre systemer og serviceydelser og en klar indikation af, hvornår reetableringen kan betragtes som gennemført. Det er også kritisk at definere den påkrævede organisatoriske opbygning, der dækker tekniske kompetencer, kommandovej og beslutningsdygtighed.

Baseret på et godt forarbejde og konsolidering gør planen det muligt at anvende metodik og procedurer. På den måde bliver virksomheden uafhængig af enkeltpersoner, når der er behov for reetablering af system og serviceydelser.

Definer TRP'ens omfang

Begynd med at definere omfanget – hvad skal dækkes, hvad skal ikke dækkes, og skal der tages hensyn til andre afhængige systemer. En fuld gendannelse af serviceydelserne afhænger af en grundig analyse af både system og informationsarkitektur. Forholdet mellem de enkelte komponenter i it-systemerne skal beskrives. Uden en korrekt definition af omfanget kan dataintegriteten bringes i fare.

Når man arbejder med at fastlægge TRP'en er det en god idé at finde den første version af systemoversigten frem. Ofte vil systemkomponenter og indbyrdes afhængighed, der i første omgang blev overset, blive afdækket, og det vil bidrage til at verificere integriteten af konfigurationsdatabasen, og om systemet har været genstand for passende konfiguration og ændringskontrol. Resultatet vil måske overraske, og der kan være behov for at tilpasse planen som et led i en iterativ proces.

Udover disse overvejelser er det vigtigt at definere, hvad man betragter som et nedbrud. Er det, når dele af systemet ikke er tilgængeligt, når systemet ikke kan give passende support til virksomheden eller kunderne, eller er det, når der slet ikke er nogen services til rådighed? Endvidere skal det overvejes, hvordan man etablerer passende procedurer, der sikrer, at genoprettelsesplanerne hele tiden er opdateret.

Gå efter den overordnede plan

TRP er en plan, som skal give koordinatoren overblik. Den skal ikke gå i detaljer med alle trinene til reetablering af normal drift. Sådanne oplysninger skal kun findes i procedurer, der i detaljer beskriver de trin, der skal til for at gendanne hver komponent i systemet. Det er en balance at definere detaljeringsgraden i en TRP, men listen nedenfor omfatter eksempler på de elementer, der skal medtages:

  • Omfang
  • Roller og ansvar
  • Succeskriterier
  • Systembeskrivelse og systemoversigt
  • Komponenter, herunder hardware, operativsystemer og afhængighed med andre serviceydelser
  • Procedure for reetablering af systemet,
  • Reetablering af integrationer til andre systemer
  • Reetablering af servere
  • Nøddrift
  • Verificering af reetablering
  • Forudsætninger
  • Referencer

Definer RPO og RTO

Hjørnestenene i enhver TRP er definition af mål og tid, dvs. Recovery Point Objective (RPO) og Recovery Time Objective (RTO). RPO og RTO er udtryk for henholdsvis den acceptable mængde af tabt data og den tid, det må tage at reetablere en service. Nedenstående figur illustrerer RPO- og RTO-begreberne:

Læg procedurerne i faste rammer

Udover at give mulighed for at undersøge dokumentation, procedurer og ansvar giver en TRP virksomheden faste procedurer til, hvad man skal gøre i tilfælde af systemnedbrud. En TRP giver også virksomheden mulighed for at reagere konstruktivt i tilfælde af et nedbrud og at reetablere serviceydelserne på et bestemt tidspunkt med et specificeret maksimalt tab af data og uden risiko for at erklære systemet genoprettet for tidligt. Derfor er TRP'er en god investering, som vil bidrage til hurtigere og nemmere at kunne genoptage normal drift, hvis det usandsynlige skulle ske, at dit it-system bryder ned.

 

 

 

 

 

 

Kontakt NNIT+45 7024 ​4242nnitcontact@nnit.com ​​https://dk.linkedin.com/company/nnitKontakt NNIT

 

 

Regulatory Compliancehttp://www.nnit.dk/cybersecurity/Sider/Regulatory Compliance.aspxRegulatory Compliance
Application Securityhttp://www.nnit.dk/cybersecurity/Sider/applikationssikkerhed.aspxApplication Security
Cyber Defense Centerhttp://www.nnit.dk/cybersecurity/Sider/nnit-cert.aspxCyber Defense Center
NNIT Security Insightshttp://www.nnit.dk/cybersecurity/Sider/nnit-security-insights.aspxNNIT Security Insights
Identitets- og adgangsstyringhttp://www.nnit.dk/cybersecurity/Sider/Identitets-og-adgangsstyring.aspxIdentitets- og adgangsstyring
Cybersecurity Consultinghttp://www.nnit.dk/cybersecurity/Sider/Sikkerhedsrådgivning.aspxCybersecurity Consulting
Sikkerhed og compliancehttp://www.nnit.dk/Raedgivning/Sider/sikkerhed-og-compliance.aspxSikkerhed og compliance
Produktionssikkerhedhttp://www.nnit.dk/cybersecurity/Sider/produktionssikkerhed.aspxProduktionssikkerhed
Cyberkriminalitet rammer os allehttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT_Cybercrime_DK_Article.aspxCyberkriminalitet rammer os alle
Implementering af EU Persondataforordningenhttp://www.nnit.dk/ArtiklerOgOfferings/Sider/NNIT_EU_Persondataforordning_artikel.aspxImplementering af EU Persondataforordningen