Disaster recovery plan

Disaster Recovery en Business Contingency Planning

Disaster Recovery PlanNaarmate bedrijfsprocessen en systemen kritischer worden en meer afhankelijk van elkaar zijn zal het een grotere impact hebben op de organisatie indien een systeem of bedrijfsproces niet beschikbaar is. Hoe lang kan een organisatie zonder de ondersteunende processen en systemen? Dit verschilt per organisatie. Een pragmatisch Disaster Recovery Plan (DRP) of Business Continuity Plan (BCP) kent diverse escalatieniveau's die per organisatie zullen verschillen. In de praktijk worden de termen Disaster Recovery Plan en Business Continuity Plan door elkaar gebruikt er zijn echter wel degelijk verschillen.

Update (3 december 2020): Snelle transitie om te overleven (should I stay or should I go?); binnenkort beschikbaar als artikel

Update (21 maart 2020): Het Coronavirus gaat een grote impact hebben op de continuiteit van veel organisaties.

Update: (5 juli 2018): Disaster Recovery Plan MKB (behoefte aan pragmatisch en betaalbare oplossingen)

Update (25 mei 2018): Wat is de relatie met GDPR en AVG

De cruciale ICT vragen: Hoe lang mag u "eruit liggen" en hoeveel data mag u verliezen?

Helaas hebben veel organisaties geen, geen goede of helemaal geen disaster recovery plan. Heel vaak gaat het goed, maar als het fout gaat, dan zijn de gevolgen groot. Dit is goed verklaarbaar want de ICT afdelingen hebben het (te) druk en het ICT landschap verandert voortdurend. De tegenhangers: Zodra het disaster recovery plan af zou zijn, is hij alweer verouderd. Toch wordt het eenvoudiger met de juiste tools die de ICT professionals ontlasten bij routinewerkzaamheden en helpen bij een actuele situatie van de ICT omgevingen. Zonder deze tools geldt de uitspraak: 

"Who fails to plan, plans to fail"

Wilt u een pragmatische aanpak zonder de hele papierwinkel (het gedoe) en een gedegen awareness bij de ICT medewerkers, neem dan contact met ons op.

Disaster recovery is toch een beetje serieus voordat we verder gaan willen we u de volgende episode op Youtube niet onthouden (met een false alert trigger).

Vaak krijgt dit onderwerp pas aandacht als een organisatie een (kleine) ramp heeft overleeft. Dan komen er resources beschikbaar om een Business Contingency Plan op te zetten en te onderhouden.

  1. Achtergronden en feiten Disaster Recovery Planning
  2. Business Contingency en Disaster Recovery
  3. De risicoanalyse als basis van BCP
  4. Business Objectives
  5. Het disaster recovery plan opstellen
  6. Kleine disasters en grote disasters
  7. Beschikbaarheid en disaster recovery
  8. Het crisisteam
  9. De kosten van disaster recovery
  10. Kosten van een disaster recovery plan
  11. Testen
  12. Inbedding in de organisatie
  13. Mobilisatie calamiteitenteam en communicatie via SMS
  14. Conclusies
  15. Diensten van Abraxax mbt DRP
  16. GDPR en AVG
  17. Gerelateerde artikelen
  18. Abraxax in de media

2. Business Contingency en Disaster Recovery

Business Contingency en Disaster Recovery worden vaak door elkaar gebruikt. Disaster Recovery kan men het best vergelijken met een brand blussen via verschillende wegen (o.a. brandweer, blusapparatuur). Dit is in principe deels een "Post Mortum" benadering waarbij men kijkt naar schadebeperking.

Business Contingency gaat een stapje verder. De professionals praten dan ook liever over Business Contingency Management. Een scala aan maatregelen zorgt ervoor dat bedrijfsprocessen geen gevaar lopen en dat potentiële verstoringen binnen acceptabele grenzen blijven.

3. De risicoanalyse - "expect the unexpected"

De basis voor een disaster recovery plan is een gedegen risicoanalyse. Op basis van de uitkomst van deze analyse kan een prioriteitenlijst worden samengesteld. Externe auditers hebben een lijst van minimale eisen waaraan een organisatie moet voldoen.

Het proces - "the bad, the good and the ugly"

The bad: Er zijn organisaties die een groepje mensen uit de organisatie bij elkaar zetten bestaande uit een mix van optimisten, realisten en pessimisten en vervolgens hopen op een oplossing: "hope for the best" . Hiervan is sprake als er onvoldoende of geen management buy-in is voor dit onderwerp.

The good: Het andere alternatief is gebruik te maken van een externe facilitator die het proces gaat begeleiden. De opzet van een disaster recovery plan is een project dat niet onderschat dient te worden. Het dient gedragen te worden door het management van een organisatie. Management buy-in is een absolute vereiste.

The Ugly (ofwel pragmatisch): Bij kleine incidenten worden maatregelen genomen om een vergelijkbaar incident in de toekomst te voorkomen. Hierbij is het proces ad hoc en reactief. Hier en daar worden een paar Quick and Dirty oplossingen gerealiseerd.

4. Business Objectives mbt calamiteiten en disasters

Bij de definitie van de ernst van een calamiteit wordt gebruik gemaakt van de zogeheten Recovery Point Objective (RPO). Dit houdt in hoeveel data / assets u kunt veroorloven om kwijt te geraken. Bij data dient u dit te interpreteren als één dag, 4 uur, 1 uur, 5 minuten of nog korter?

Een andere belangrijke parameter is de Recovery Time Objective (RTO). Hoe lang mag het duren vanaf het moment van een disaster totdat de processen (en systemen) weer helemaal operationeel zijn.

5. Het disaster recovery plan opstellen

Het disaster recovery plan bestaat uit verschillende niveau's afhankelijk van de risico's en mogelijke gevolgen. Het plan bestaat uit diverse te nemen maatregelen en een kostenoverzicht. Dit plan wordt onderbouwd door een gedegen risico inventarisatie en een impact analyse. Helaas kan een disaster recovery plan niet in zijn totaliteit direct worden gerealiseerd. Vaak is er een te groot verschil tussen de wensen en de huidige situatie. Hierbij zal een prioriteitenlijst helpen om delen van het discovery plan te projecteren  en te budgetteren over meerdere jaren. De verschillende maatregelen die men kan treffen kunnen worden onderverdeeld in de volgende categoriën:

  1. Voorkomen (preventie)
  2. Detectie
  3. Schade beperken (suppressie)
  4. Correctie

6. Kleine en grote disasters

Als men over disasters praat, dan denkt men vaak aan brand, sabotage, natuurrampen of andere invloeden van buitenaf. Deze disasters zijn minder waarschijnlijk dan de "kleine disasters" die worden veroorzaakt door de interne organisatie. De "kleine disasters" vormen het belangrijkste aandachtspunt voor disaster recovery planning. Het grootste deel van Business Contingency Planning (en de kosten) zit in het managen van de interne organisatie en systemen. Het in kaart brengen en verbeteren van de beschikbaarheid en veerkracht ("resiliance") van de interne processen en systemen vormt de basis voor een goed disaster recovery plan.

7. Beschikbaarheid en disaster recovery

De afhankelijkheid van computersystemen neemt toe en hiermee het belang voor de gehele organisatie. Indien informatiesystemen niet beschikbaar zijn, dan kan dit resulteren in hoge kosten (recovery) en het verlies van inkomsten. Een aantal organisaties treffen voorzieningen om de beschikbaarheid van informatiesystemen te verhogen. Hierbij worden redundante systemen aangebracht. Server clustering en failover systemen vormen op dit moment een belangrijke trend in het verhogen van de beschikbaarheid.

8. Het crisisteam

Dit wordt nader ingevuld op basis van terugkoppeling. Bij begeleidingstrajecten wordt dit pragmatisch ingevuld.

9. De kosten van disaster recovery

Bij een disaster recovery zijn er verschillende kosten. Een aantal van deze kosten zijn niet direct zichtbaar en deze zijn vaak de ijsbergen waarbij een organisatie veel ongeplande kosten kan maken.

  1. De periode van herstel waarin weinig of geen inkomsten worden verkregen (inkomstenderving)
  2. De periode van (computer)uitwijk
  3. Kosten van herstel. Deze kosten nemen toe naarmate de systemen complexer zijn en er minder planmatig wordt gewerkt (vaak als gevolg van het ontbreken van een werkend calamiteiten plan).

Tijdens een uitwijk- en herstelperiode worden er veel resources onttrokken aan een organisatie. Naast dit feit is het heel waarschijnlijk dat er minder inkomsten zijn.

10. De kosten van een disaster recovery plan

De kosten van een disaster recovery plan vallen in de praktijki mee. Tijdens onze scan kijken we naar aspecten van risico's en proberen deze op korte termijn pragmatisch te reduceren. Dit zijn de QuickWins.

11. Testen

Dit wordt nader ingevuld op basis van terugkoppeling. Bij begeleidingstrajecten wordt dit pragmatisch ingevuld.

12. Inbedding in de organisatie

Dit wordt nader ingevuld op basis van terugkoppeling. Bij begeleidingstrajecten wordt dit pragmatisch ingevuld.

13. Mobilisatie calamiteitenteam en communicatie via SMS

Het activeren en mobiliseren van een calamiteitenteam vormt een van de aandachtspunten bij de implementatie van een disaster recovery plan. Hierbij kan men effectief gebruik maken van een berichtenservice op basis van SMS. Alarmering en activering van het calamiteitenteam via SMS biedt een groot aantal voordelen. Zie verder ons artikel SMS alarmering en notificatie. Een alarm via SMS is bij de preventie, correctie en suppressie van calamiteiten een belangrijk communicatiemechanisme.

Abraxax beschikt over een uitgebreid portfolio van alarmeringssystemen (communicatie systemen) om mensen te informeren en te mobiliseren.

 

14. Conclusies

Dit wordt nader ingevuld op basis van terugkoppeling. Bij begeleidingstrajecten wordt dit pragmatisch ingevuld.

15. Diensten Abraxax mbt Disaster Recovery Planning (DRP)

Abraxax levert diverse diensten mbt Disaster Recovery Planning en Business Continuity Planning.

  1. Opzet van een pragmatisch plan DRP
  2. Contra-expertise DRP
  3. Quick Scan DRP
  4. Jump Start DRP (een DRP framewerk binnen enkele weken)
  5. Risico-inventarisatie en risicoanalyse
  6. De Disaster Recovery coach
  7. De ICT scan mbt disaster recovery compliance
  8. Colocatie of co-locatie services

Disaster Recovery Planning en Business Contingency Planning bieden u de mogelijkheid om te blijven sturen in noodsituaties. Het is vergelijkbaar met een ABS voor auto's. Bent u bekend met de grenzen van ABS en heeft u een slipcursus gevolgd, dan is de kans groot dat u een moeilijke situatie overleeft terwijl anderen het niet na kunnen vertellen.

16. GDPR en AVG

GDPR en AVG behoren tot de risico's bij een business contingency plan. De risico's hangen af van welke persoonsgegevens worden verwerkt en bewerkt. Dit gedeelte wordt meegenomen in onze scan.

17. Gerelateerde artikelen op onze website(s)

In deze website vindt u een aantal artikelen gerelateerd aan disaster recovery en beschikbaarheid:

  1. ITIL en disaster recovery
  2. WLAN security audit
  3. Hoge beschikbaarheid met Cluster Server en failover
  4. Informatiebeveiliging
  5. Double Take datareplicatie en GeoCluster
  6. Backup en restore van data vaak onderschat
  7. Harddisk crash
  8. Temperatuurmonitoring met SNMP
  9. Temperatuurbewaking HACCP temperatuurregistratie
  10. Kostenreductie ICT
  11. Virusuitbraak computer, netwerken
  12. Disaster recovery plan MKB

18. Abraxax in de media

  1. Computerworld Disaster Recovery 
  2. Webwereld - VoIP en beveiliging