Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

# Technology & Security Risk Services 1 Disaster Recovery 2002 Η Σημασία Μιας Ολοκληρωμένης Και Δομημένης Προσέγγισης Στη Διατήρηση Της Επιχειρησιακής.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "# Technology & Security Risk Services 1 Disaster Recovery 2002 Η Σημασία Μιας Ολοκληρωμένης Και Δομημένης Προσέγγισης Στη Διατήρηση Της Επιχειρησιακής."— Μεταγράφημα παρουσίασης:

1 # Technology & Security Risk Services 1 Disaster Recovery 2002 Η Σημασία Μιας Ολοκληρωμένης Και Δομημένης Προσέγγισης Στη Διατήρηση Της Επιχειρησιακής Συνέχειας Σωτήρης Παπιώτης, CISSP, CISA Μάϊος 2002 Η Σημασία Μιας Ολοκληρωμένης Και Δομημένης Προσέγγισης Στη Διατήρηση Της Επιχειρησιακής Συνέχειας Σωτήρης Παπιώτης, CISSP, CISA Μάϊος 2002

2 # 2 Θέματα που θα συζητηθούν  Ορισμός «καταστροφής», κίνδυνοι και επιπτώσεις στην επιχειρησιακή λειτουργία  Καθορισμός της έννοιας της επιχειρησιακής συνέχειας, των στόχων της και των σχετικών αρμοδιοτήτων  Ιστορική Αναδρομή του Σχεδιασμού Επιχειρησιακής Συνέχειας (Σ.Ε.Σ.)  Σχέση Σ.Ε.Σ και Σχεδίου Αντιμετώπισης Καταστροφών (DRP)  Σ.Ε.Σ. και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων  Βασικές Φάσεις Ανάπτυξης του Σ.Ε.Σ  Ορισμός «καταστροφής», κίνδυνοι και επιπτώσεις στην επιχειρησιακή λειτουργία  Καθορισμός της έννοιας της επιχειρησιακής συνέχειας, των στόχων της και των σχετικών αρμοδιοτήτων  Ιστορική Αναδρομή του Σχεδιασμού Επιχειρησιακής Συνέχειας (Σ.Ε.Σ.)  Σχέση Σ.Ε.Σ και Σχεδίου Αντιμετώπισης Καταστροφών (DRP)  Σ.Ε.Σ. και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων  Βασικές Φάσεις Ανάπτυξης του Σ.Ε.Σ

3 # 3 Τι ορίζουμε ως «Καταστροφή»; Ως «Καταστροφή» θεωρούμε κάθε γεγονός που διαταράσσει σημαντικά ή καθιστά αδύνατη τη διατήρηση του συνηθισμένου/κανονικού περιβάλλοντος λειτουργίας μιας εταιρείας για χρονική περίοδο η οποία επηρεάζει δυσμενώς την περαιτέρω διεκπεραίωση των επιχειρησιακών διαδικασιών και την επίτευξη των επιχειρησιακών στόχων.

4 # 4 Κίνδυνοι που απειλούν την Επιχειρησιακή Συνέχεια  Αστοχία λογισμικού ή υλικού πληροφορικής  Αστοχία δικτύου  Ιομορφικό Λογισμικό (Ιοί, Worms, κλπ. )  Εισβολή στο δίκτυο  Δολιοφθορά  Τρομοκρατικές Ενέργειες  Αστοχία λογισμικού ή υλικού πληροφορικής  Αστοχία δικτύου  Ιομορφικό Λογισμικό (Ιοί, Worms, κλπ. )  Εισβολή στο δίκτυο  Δολιοφθορά  Τρομοκρατικές Ενέργειες  Απώλεια παροχής ρεύματος  Ανθρώπινο λάθος  Φυσικές καταστροφές –Πλημμύρες –Σεισμοί –Πυρκαγιές –Θύελλες

5 # 5 Αιτίες για τη μη διαθεσιμότητα κρίσιμων συστημάτων Πηγή: Παγκόσμια Έρευνα E&Y για την Ασφάλεια Πληροφοριών 2002

6 # 6 Επιπτώσεις στην επιχειρηματική δραστηριότητα –Απώλεια πωλήσεων και άλλων εσόδων –Επιπτώσεις στο όνομα και στη φήμη της εταιρίας –Απώλεια ανταγωνιστικού πλεονεκτήματος –Μείωση της εμπιστοσύνης των μετόχων / επενδυτών / πελατών –Καθυστερήσεις στην εκτέλεση έργων / παραγγελιών / πληρωμών –Αυξημένα ασφάλιστρα –Νομικά / κανονιστικά προβλήματα –Διοικητικές ευθύνες –Απώλεια πωλήσεων και άλλων εσόδων –Επιπτώσεις στο όνομα και στη φήμη της εταιρίας –Απώλεια ανταγωνιστικού πλεονεκτήματος –Μείωση της εμπιστοσύνης των μετόχων / επενδυτών / πελατών –Καθυστερήσεις στην εκτέλεση έργων / παραγγελιών / πληρωμών –Αυξημένα ασφάλιστρα –Νομικά / κανονιστικά προβλήματα –Διοικητικές ευθύνες

7 # 7 Τι είναι ο Σχεδιασμός Επιχειρησιακής Συνέχειας (Σ.Ε.Σ)  Μια συστηματική προσέγγιση η οποία –Εξασφαλίζει: Την απαιτούμενη επιχειρησιακή επαγρύπνηση/ετοιμότητα για την πρόληψη αλλά και αντιμετώπιση καταστροφών Μείωση των επιπτώσεων της καταστροφής Αυξημένη ικανότητα ανάκτησης των επιχειρησιακών λειτουργιών –Εστιάζει στις κρίσιμες επιχειρησιακές λειτουργίες –Περιλαμβάνει την ανάκτηση των πληροφοριακών συστημάτων σε περίπτωση καταστροφής –Εκπαιδεύει τους εργαζομένους στους αποτελεσματικούς τρόπους αντίδρασης σε καταστάσεις κρίσεων –Περιλαμβάνει διαδικασίες αντιμετώπισης εκτάκτων αναγκών  Μια συστηματική προσέγγιση η οποία –Εξασφαλίζει: Την απαιτούμενη επιχειρησιακή επαγρύπνηση/ετοιμότητα για την πρόληψη αλλά και αντιμετώπιση καταστροφών Μείωση των επιπτώσεων της καταστροφής Αυξημένη ικανότητα ανάκτησης των επιχειρησιακών λειτουργιών –Εστιάζει στις κρίσιμες επιχειρησιακές λειτουργίες –Περιλαμβάνει την ανάκτηση των πληροφοριακών συστημάτων σε περίπτωση καταστροφής –Εκπαιδεύει τους εργαζομένους στους αποτελεσματικούς τρόπους αντίδρασης σε καταστάσεις κρίσεων –Περιλαμβάνει διαδικασίες αντιμετώπισης εκτάκτων αναγκών

8 # 8 Στόχοι του Σχεδιασμού Επιχειρησιακής Συνέχειας  Μείωση της έκθεσης των εργαζομένων σε κίνδυνο  Προστασία των περιουσιακών στοιχείων  Ελαχιστοποίηση του χρόνου διακοπής των εργασιών  Περιορισμό οικονομικών, λειτουργικών και άλλων επιπτώσεων  Καθορισμό εναλλακτικών τρόπων διεκπεραίωσης εργασιών  Εξειδικευμένο προσωπικό για διαχείριση κρίσεων & ανάκτηση εργασιών  Μείωση της έκθεσης των εργαζομένων σε κίνδυνο  Προστασία των περιουσιακών στοιχείων  Ελαχιστοποίηση του χρόνου διακοπής των εργασιών  Περιορισμό οικονομικών, λειτουργικών και άλλων επιπτώσεων  Καθορισμό εναλλακτικών τρόπων διεκπεραίωσης εργασιών  Εξειδικευμένο προσωπικό για διαχείριση κρίσεων & ανάκτηση εργασιών

9 # 9 Αρμοδιότητες και Επιμερισμός Ευθυνών στη Διατήρηση της Επιχειρησιακής Συνέχειας Η ευθύνη για τη συνέχεια των επιχειρησιακών λειτουργιών όταν κάποια κρίσιμη υπηρεσία δεν είναι διαθέσιμη, βαραίνει το χρήστη της υπηρεσίας. Η ευθύνη για την ανάκτηση κρίσιμων υπηρεσιών βαραίνει τον παροχέα των υπηρεσιών. Η ευθύνη για τη συνέχεια των επιχειρησιακών λειτουργιών όταν κάποια κρίσιμη υπηρεσία δεν είναι διαθέσιμη, βαραίνει το χρήστη της υπηρεσίας. Η ευθύνη για την ανάκτηση κρίσιμων υπηρεσιών βαραίνει τον παροχέα των υπηρεσιών.

10 # 10 Στάδια Εξέλιξης του Σχεδιασμού Επιχειρησιακής Συνέχειας Αρχικά... Batch processing, συστήματα χαμηλότερης κρισιμότητας Σχεδιασμός «αντιμετώπισης καταστροφών» Μεμονωμένη κάλυψη μηχανογραφικού κέντρου Μεγαλύτερα χρονικά περιθώρια ανάκτησης (RTO μέχρι και 3 ημέρες, RPO έως 24 ώρες) Υλοποίηση λόγω κανονισμών

11 # 11 Συστήματα νέας τεχνολογίας n Client Server / Distributed Processing Κρισιμότερα Συστήματα - Μικρότεροι χρόνοι ανάκτησης n On-line Processing n Παγκόσμιος ανταγωνισμός n Η επίδραση του Internet, αδιάκοπες συναλλαγές Μέγιστος χρόνος ανάκτησης 24 ώρες Το «πρόβλημα του 2000» αιτία δραστηριοποίησης Ανάκτηση χώρου εργασίας Ολοκληρωμένη προσέγγιση της «επιχειρησιακής συνέχειας» Στάδια Εξέλιξης του Σχεδιασμού Επιχειρησιακής Συνέχειας Σήμερα….

12 # 12 Δίκτυα - Φωνής - Δεδομένων Κέντρο Πληροφορικής Επιχειρησιακές Μονάδες - Διαδικασίες - Υπολογ. Συστήμ. Χρηστών - Χώρος Εργασίας Σχεδιασμός Αντιμετώπισης Καταστροφών (DRP) Σχεδιασμός Αντιμετώπισης Καταστροφών (DRP) Σχεδιασμός Επιχειρησιακής Συνέχειας (BCP) Σχεδιασμός Επιχειρησιακής Συνέχειας (BCP) Σχέση Σχεδιασμού Επιχειρησιακής Συνέχειας (BCP) και Αντιμετώπισης Καταστροφών (DRP)

13 # 13 TechnologicalPlatforms Data X Communications Voice X Communications FacilitiesMktingAcctingSalesDistrib.RawMaterialsOps.xxxxxx xxxxxx xxxxxx xxxxxx X X Αντιμετώπιση Καταστροφών (DRP) Σχέδιο Επιχειρησιακής Συνέχειας (BCP) Σχέση Σχεδιασμού Επιχειρησιακής Συνέχειας (BCP) και Αντιμετώπισης Καταστροφών (DRP)

14 # 14 Ο Σχεδιασμός Επιχειρησιακής Συνέχειας Παγκοσμίως  Μόλις το 50% των επιχειρήσεων δηλώνει ότι διαθέτει Σχέδιο Επιχειρησιακής Συνέχειας  Η ιεράρχηση των λειτουργιών έχει πραγματοποιηθεί μόνο στο 40% των επιχειρήσεων, ενώ ένα 50% δεν έχει συμφωνήσει το χρονοδιάγραμμα επαναφοράς των κρίσιμων λειτουργιών  Μόνο το 40% των επιχειρήσεων πραγματοποιεί Ανάλυση Επιχειρησιακών Επιπτώσεων κατά την ανάπτυξη του Σ.Ε.Σ.  71% των επιχειρήσεων διαθέτουν σχέδιο αντιμετώπισης καταστροφών για τα συστήματά τους, μόνο το 16% όμως έχει πραγματοποιήσει δοκιμές  Μόλις το 50% των επιχειρήσεων δηλώνει ότι διαθέτει Σχέδιο Επιχειρησιακής Συνέχειας  Η ιεράρχηση των λειτουργιών έχει πραγματοποιηθεί μόνο στο 40% των επιχειρήσεων, ενώ ένα 50% δεν έχει συμφωνήσει το χρονοδιάγραμμα επαναφοράς των κρίσιμων λειτουργιών  Μόνο το 40% των επιχειρήσεων πραγματοποιεί Ανάλυση Επιχειρησιακών Επιπτώσεων κατά την ανάπτυξη του Σ.Ε.Σ.  71% των επιχειρήσεων διαθέτουν σχέδιο αντιμετώπισης καταστροφών για τα συστήματά τους, μόνο το 16% όμως έχει πραγματοποιήσει δοκιμές Πηγή: Ernst & Young Global Information Security Survey 2002

15 # 15 Σ.Ε.Σ και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Διαχείριση Επιχειρησιακών Κινδύνων Σ.Ε.Σ Ασφάλεια Π.Σ. Αρχικές Υλοποιήσεις… Αρχικές Υλοποιήσεις…

16 # 16 Σ.Ε.Σ και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Διαχείριση Επιχειρησιακών Κινδύνων Σ.Ε.Σ Ασφάλεια Π.Σ. Σύγχρονες Τάσεις…

17 # 17 Αστοχία λογισμικού υλικού Τρομοκρατία Απειλές δικτυακών επιθέσεων Διαχείριση Επιχειρησιακών Κινδύνων Σχεδιασμός Επιχειρησιακής Συνέχειας Ασφάλεια Φυσικά Αγαθά Επιχειρησιακές Λειτουργίες/ διαδικασίες Πληροφοριακά Αγαθά Οικονομικά Αγαθά Ανθρώπινο Δυναμικό Σ.Ε.Σ και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Μελλοντικές Τάσεις… Αστοχία Δικτύων (φωνής, δεδομένων) Κακόβουλη χρήση της τεχνολογίας Φυσικές καταστροφές Ανθρώπινο Λάθος Δολιοφθορά

18 # 18 Επισκόπηση υφιστ. υποδομής Ενίσχυση πλαισίου διαχείρισης κινδύνων Κρίσιμες Επιχειρησιακές Λειτουργίες Σενάρια Καταστροφής Σχέδιο ανάκτησης Διαδικασίες και μέσα ανάκτησης Επικύρωση Αξιολόγηση 1η Φάση Προετοιμασία, Εκτίμηση Κινδύνων 2η Φάση Ανάλυση Επιπτώσεων 3η Φάση Στρατηγική ανάκτησης 4η Φάση Σχέδιο Επιχειρησιακής Συνέχειας 5η Φάση Υλοποίηση & δοκιμή Σχεδίου Επιχειρησιακή Συνέχεια Βασικές Φάσεις Ανάπτυξης του Σ.Ε.Σ.

19 # 19 Δραστηριότητες 1ης Φάσης  Επισκόπηση Επιχειρησιακών Λειτουργιών  Ανάλυση παρούσας κατάστασης και υφιστάμενης υποδομής  Επισκόπηση πλαισίου διαχείρισης κινδύνων  Προτάσεις για την άμεση βελτίωση του παραπάνω πλαισίου  Επισκόπηση Επιχειρησιακών Λειτουργιών  Ανάλυση παρούσας κατάστασης και υφιστάμενης υποδομής  Επισκόπηση πλαισίου διαχείρισης κινδύνων  Προτάσεις για την άμεση βελτίωση του παραπάνω πλαισίου

20 # 20 Χρόνος Μέγιστες Επιτρεπόμενες Απώλειες Χρόνος ανάκτησης Κόστος της διακοπής Κόστος 8-48 ώρες 0-8 ώρες 5-10 ημέρες 2-5 ημέρες ημέρες Δραστηριότητες 2ης Φάσης -Εκτίμηση οικονομικών επιπτώσεων -Εκτίμηση λειτουργικών και άλλων επιπτώσεων -Προσδιορισμός κρίσιμων επιχειρησιακών λειτουργιών -Προσδιορισμός ελάχιστου απαιτούμενου χρόνου ανάκτησης -Προσδιορισμός ελαχίστων πόρων ανάκτησης ανά επιχειρ. λειτουργία -Εκτίμηση οικονομικών επιπτώσεων -Εκτίμηση λειτουργικών και άλλων επιπτώσεων -Προσδιορισμός κρίσιμων επιχειρησιακών λειτουργιών -Προσδιορισμός ελάχιστου απαιτούμενου χρόνου ανάκτησης -Προσδιορισμός ελαχίστων πόρων ανάκτησης ανά επιχειρ. λειτουργία

21 # 21 Κόστος Διακοπής Χρόνος αντίδρασης Κόστος Δραστηριότητες 3ης Φάσης Ασφαλιστική Κάλυψη και Προμήθεια πόρων και εξοπλισμού μετά το συμβάν Συμφωνίες αμοιβαίας υποστήριξης Recovery Site (κινητή / στατική λύση) Παράλληλο σύστημα, σε εγκαταστάσεις της εταιρείας 8-48 ώρες 0-8 ώρες 5-10 ημέρες 2-5 ημέρες ημέρες -Διερεύνηση των εναλλακτικών στρατηγικών ανάκτησης των: –Επιχειρησιακών Μονάδων –Τεχνολογικών Πλατφορμών –Δικτύων (φωνής, δεδομένων) -Επιλογή της πιο αποτελεσματικής στρατηγικής ανάκτησης και λεπτομερής τεκμηρίωσή της Συμφωνίες με προμηθευτές εξοπλισμού

22 # 22 Δραστηριότητες 4ης Φάσης  Τεκμηρίωση Σ.Ε.Σ. –Ομάδες ανάκτησης, ρόλοι και αρμοδιότητες –Κρίσιμες επιχειρησιακές λειτουργίες, εφαρμογές και δίκτυα –Διαδικασίες ανάκτησης επιχειρησιακών μονάδων, συστημάτων και δικτύων –Διαδικασίες αντιμετώπισης εκτάκτων αναγκών –Κατάλογοι/λίστες επαφών και αντικειμένων (ανθρώπων, λογισμικού, υλικού, κρίσιμων εντύπων/ εγγράφων, συστατικών δικτύου κλπ.)  Τεκμηρίωση Σ.Ε.Σ. –Ομάδες ανάκτησης, ρόλοι και αρμοδιότητες –Κρίσιμες επιχειρησιακές λειτουργίες, εφαρμογές και δίκτυα –Διαδικασίες ανάκτησης επιχειρησιακών μονάδων, συστημάτων και δικτύων –Διαδικασίες αντιμετώπισης εκτάκτων αναγκών –Κατάλογοι/λίστες επαφών και αντικειμένων (ανθρώπων, λογισμικού, υλικού, κρίσιμων εντύπων/ εγγράφων, συστατικών δικτύου κλπ.)

23 # 23 Επιστροφή σε κανονικές συνθήκες Ενδεικτικά Περιεχόμενα του Σ.Ε.Σ Σχέδιο αντιμετώπισης εκτάκτων αναγκών Διαχείριση κρίσεων & αρμοδιότητες Διαδικασίες ανάκτησης λειτουργιών Πιθανά σχέδια ανάκτησης Προκαθορισμένα Σενάρια καταστροφής Ανακατασκευή εγκαταστάσεων Σχέδιο Συνέχειας

24 # 24 Δραστηριότητες 5ης Φάσης  Έλεγχος και δοκιμή του Σχεδίου Επιχειρησιακής Συνέχειας ( Αρχικά κάθε σχέδιο ανάκτησης ξεχωριστά και στη συνέχεια σε συνδυασμούς )  Συντήρηση και συνεχή ενημέρωση του Σ.Ε.Σ. –Ανάθεση σχετικών αρμοδιοτήτων –Καθορισμός διαδικασιών αλλαγής και ενημέρωσης του Σ.Ε.Σ. –Διατήρηση αρχείου αλλαγών και ενημερώσεων  Έλεγχος και δοκιμή του Σχεδίου Επιχειρησιακής Συνέχειας ( Αρχικά κάθε σχέδιο ανάκτησης ξεχωριστά και στη συνέχεια σε συνδυασμούς )  Συντήρηση και συνεχή ενημέρωση του Σ.Ε.Σ. –Ανάθεση σχετικών αρμοδιοτήτων –Καθορισμός διαδικασιών αλλαγής και ενημέρωσης του Σ.Ε.Σ. –Διατήρηση αρχείου αλλαγών και ενημερώσεων

25 # 25 Κάποιες τελικές σκέψεις…  Υφίσταται τυπική, τεκμηριωμένη και εγκεκριμένη από τη Διοίκηση πολιτική σχεδιασμού επιχειρησιακής συνέχειας;  Έχει γίνει ανάλυση κινδύνων / αξιολόγηση επιπτώσεων;  Υπάρχει στρατηγική ανάκτησης;  Είναι σωστές οι προτεραιότητες;  Έχουν καλυφθεί οι νομικές υποχρεώσεις;  Ο σχεδιασμός καλύπτει όλη την επιχείρηση ή μόνο την πληροφορική;  Υφίσταται τυπική, τεκμηριωμένη και εγκεκριμένη από τη Διοίκηση πολιτική σχεδιασμού επιχειρησιακής συνέχειας;  Έχει γίνει ανάλυση κινδύνων / αξιολόγηση επιπτώσεων;  Υπάρχει στρατηγική ανάκτησης;  Είναι σωστές οι προτεραιότητες;  Έχουν καλυφθεί οι νομικές υποχρεώσεις;  Ο σχεδιασμός καλύπτει όλη την επιχείρηση ή μόνο την πληροφορική;

26 # 26 Κάποιες τελικές σκέψεις…  Έχουν ληφθεί αποτρεπτικά μέτρα;  Υπάρχει αντικειμενική ασφαλιστική κάλυψη;  Υφίστανται και ακολουθούνται οι διαδικασίες συντήρησης & δοκιμών του σχεδίου;  Έχουν ληφθεί αποτρεπτικά μέτρα;  Υπάρχει αντικειμενική ασφαλιστική κάλυψη;  Υφίστανται και ακολουθούνται οι διαδικασίες συντήρησης & δοκιμών του σχεδίου;

27 # 27 Σχεδιασμός Επιχειρησιακής Συνέχειας ΕΡΩΤΗΣΕΙΣ; Σωτήρης Παπιώτης, CISSP, CISA Ernst & Young Τηλ: Εmail:


Κατέβασμα ppt "# Technology & Security Risk Services 1 Disaster Recovery 2002 Η Σημασία Μιας Ολοκληρωμένης Και Δομημένης Προσέγγισης Στη Διατήρηση Της Επιχειρησιακής."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google