Σωτήρης Παπιώτης, CISSP, CISA Technology & Security Risk Services Disaster Recovery 2002 Η Σημασία Μιας Ολοκληρωμένης Και Δομημένης Προσέγγισης Στη Διατήρηση Της Επιχειρησιακής Συνέχειας Σωτήρης Παπιώτης, CISSP, CISA Μάϊος 2002

Θέματα που θα συζητηθούν Ορισμός «καταστροφής», κίνδυνοι και επιπτώσεις στην επιχειρησιακή λειτουργία Καθορισμός της έννοιας της επιχειρησιακής συνέχειας, των στόχων της και των σχετικών αρμοδιοτήτων Ιστορική Αναδρομή του Σχεδιασμού Επιχειρησιακής Συνέχειας (Σ.Ε.Σ.) Σχέση Σ.Ε.Σ και Σχεδίου Αντιμετώπισης Καταστροφών (DRP) Σ.Ε.Σ. και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Βασικές Φάσεις Ανάπτυξης του Σ.Ε.Σ

Τι ορίζουμε ως «Καταστροφή»; Ως «Καταστροφή» θεωρούμε κάθε γεγονός που διαταράσσει σημαντικά ή καθιστά αδύνατη τη διατήρηση του συνηθισμένου/κανονικού περιβάλλοντος λειτουργίας μιας εταιρείας για χρονική περίοδο η οποία επηρεάζει δυσμενώς την περαιτέρω διεκπεραίωση των επιχειρησιακών διαδικασιών και την επίτευξη των επιχειρησιακών στόχων.

Κίνδυνοι που απειλούν την Επιχειρησιακή Συνέχεια Αστοχία λογισμικού ή υλικού πληροφορικής Αστοχία δικτύου Ιομορφικό Λογισμικό (Ιοί, Worms, κλπ. ) Εισβολή στο δίκτυο Δολιοφθορά Τρομοκρατικές Ενέργειες Απώλεια παροχής ρεύματος Ανθρώπινο λάθος Φυσικές καταστροφές Πλημμύρες Σεισμοί Πυρκαγιές Θύελλες

Αιτίες για τη μη διαθεσιμότητα κρίσιμων συστημάτων Πηγή: Παγκόσμια Έρευνα E&Y για την Ασφάλεια Πληροφοριών 2002

Επιπτώσεις στην επιχειρηματική δραστηριότητα Απώλεια πωλήσεων και άλλων εσόδων Επιπτώσεις στο όνομα και στη φήμη της εταιρίας Απώλεια ανταγωνιστικού πλεονεκτήματος Μείωση της εμπιστοσύνης των μετόχων / επενδυτών / πελατών Καθυστερήσεις στην εκτέλεση έργων / παραγγελιών / πληρωμών Αυξημένα ασφάλιστρα Νομικά / κανονιστικά προβλήματα Διοικητικές ευθύνες

Τι είναι ο Σχεδιασμός Επιχειρησιακής Συνέχειας (Σ.Ε.Σ) Μια συστηματική προσέγγιση η οποία Εξασφαλίζει: Την απαιτούμενη επιχειρησιακή επαγρύπνηση/ετοιμότητα για την πρόληψη αλλά και αντιμετώπιση καταστροφών Μείωση των επιπτώσεων της καταστροφής Αυξημένη ικανότητα ανάκτησης των επιχειρησιακών λειτουργιών Εστιάζει στις κρίσιμες επιχειρησιακές λειτουργίες Περιλαμβάνει την ανάκτηση των πληροφοριακών συστημάτων σε περίπτωση καταστροφής Εκπαιδεύει τους εργαζομένους στους αποτελεσματικούς τρόπους αντίδρασης σε καταστάσεις κρίσεων Περιλαμβάνει διαδικασίες αντιμετώπισης εκτάκτων αναγκών

Στόχοι του Σχεδιασμού Επιχειρησιακής Συνέχειας Μείωση της έκθεσης των εργαζομένων σε κίνδυνο Προστασία των περιουσιακών στοιχείων Ελαχιστοποίηση του χρόνου διακοπής των εργασιών Περιορισμό οικονομικών, λειτουργικών και άλλων επιπτώσεων Καθορισμό εναλλακτικών τρόπων διεκπεραίωσης εργασιών Εξειδικευμένο προσωπικό για διαχείριση κρίσεων & ανάκτηση εργασιών

Αρμοδιότητες και Επιμερισμός Ευθυνών στη Διατήρηση της Επιχειρησιακής Συνέχειας Η ευθύνη για τη συνέχεια των επιχειρησιακών λειτουργιών όταν κάποια κρίσιμη υπηρεσία δεν είναι διαθέσιμη, βαραίνει το χρήστη της υπηρεσίας. Η ευθύνη για την ανάκτηση κρίσιμων υπηρεσιών βαραίνει τον παροχέα των υπηρεσιών.

Στάδια Εξέλιξης του Σχεδιασμού Επιχειρησιακής Συνέχειας Αρχικά... Batch processing, συστήματα χαμηλότερης κρισιμότητας Σχεδιασμός «αντιμετώπισης καταστροφών» Μεμονωμένη κάλυψη μηχανογραφικού κέντρου Μεγαλύτερα χρονικά περιθώρια ανάκτησης (RTO μέχρι και 3 ημέρες, RPO έως 24 ώρες) Υλοποίηση λόγω κανονισμών

Στάδια Εξέλιξης του Σχεδιασμού Επιχειρησιακής Συνέχειας Σήμερα…. Συστήματα νέας τεχνολογίας Client Server / Distributed Processing Κρισιμότερα Συστήματα - Μικρότεροι χρόνοι ανάκτησης On-line Processing Παγκόσμιος ανταγωνισμός Η επίδραση του Internet, αδιάκοπες συναλλαγές Μέγιστος χρόνος ανάκτησης 24 ώρες Το «πρόβλημα του 2000» αιτία δραστηριοποίησης Ανάκτηση χώρου εργασίας Ολοκληρωμένη προσέγγιση της «επιχειρησιακής συνέχειας»

Σχέση Σχεδιασμού Επιχειρησιακής Συνέχειας (BCP) και Αντιμετώπισης Καταστροφών (DRP) Σχεδιασμός ΕπιχειρησιακήςΣυνέχειας (BCP) Σχεδιασμός Αντιμετώπισης Καταστροφών (DRP) Κέντρο Πληροφορικής Δίκτυα - Φωνής - Δεδομένων Επιχειρησιακές Μονάδες - Διαδικασίες - Υπολογ. Συστήμ. Χρηστών - Χώρος Εργασίας

Αντιμετώπιση Καταστροφών Σχέση Σχεδιασμού Επιχειρησιακής Συνέχειας (BCP) και Αντιμετώπισης Καταστροφών (DRP) Αντιμετώπιση Καταστροφών (DRP) Technological Platforms Data X Communications Voice X Facilities Mkting Accting Sales Distrib. Raw Materials Ops. x X Σχέδιο Επιχειρησιακής Συνέχειας (BCP)

Ο Σχεδιασμός Επιχειρησιακής Συνέχειας Παγκοσμίως Μόλις το 50% των επιχειρήσεων δηλώνει ότι διαθέτει Σχέδιο Επιχειρησιακής Συνέχειας Η ιεράρχηση των λειτουργιών έχει πραγματοποιηθεί μόνο στο 40% των επιχειρήσεων, ενώ ένα 50% δεν έχει συμφωνήσει το χρονοδιάγραμμα επαναφοράς των κρίσιμων λειτουργιών Μόνο το 40% των επιχειρήσεων πραγματοποιεί Ανάλυση Επιχειρησιακών Επιπτώσεων κατά την ανάπτυξη του Σ.Ε.Σ. 71% των επιχειρήσεων διαθέτουν σχέδιο αντιμετώπισης καταστροφών για τα συστήματά τους, μόνο το 16% όμως έχει πραγματοποιήσει δοκιμές Πηγή: Ernst & Young Global Information Security Survey 2002

Σ.Ε.Σ και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Αρχικές Υλοποιήσεις… Διαχείριση Επιχειρησιακών Κινδύνων Σ.Ε.Σ Ασφάλεια Π.Σ. Pre 911 security, BCP and managing business risk by many companies were either Not considered necessary Done covertly (in the case of security) Not connected to each other or to an overall business strategy

Σ.Ε.Σ και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Σύγχρονες Τάσεις… Διαχείριση Επιχειρησιακών Κινδύνων Σ.Ε.Σ Ασφάλεια Π.Σ. Pre 911 security, BCP and managing business risk by many companies were either Not considered necessary Done covertly (in the case of security) Not connected to each other or to an overall business strategy

Σ.Ε.Σ και Μοντέλο Διαχείρισης Επιχειρησιακών Κινδύνων Μελλοντικές Τάσεις… Απειλές δικτυακών επιθέσεων Ανθρώπινο Δυναμικό Διαχείριση Επιχειρησιακών Κινδύνων Ανθρώπινο Λάθος Φυσικά Αγαθά Τρομοκρατία Σχεδιασμός Επιχειρησιακής Συνέχειας Επιχειρησιακές Λειτουργίες/ διαδικασίες Αστοχία λογισμικού υλικού Δολιοφθορά Ασφάλεια Οικονομικά Αγαθά Πληροφοριακά Αγαθά Essentially, security and BCP must be embedded into all aspects of a company, be it physical assets, financial assets, people, digital assets or day to day operations Τι θα πρέπει να έχουν οι εταιρείες για την ολοκληρωμένη, αποτελεσματική και αποδοτική αντιμετώπιση των επιχειρησιακών κινδύνων; Δια-επιχειρησιακό Πρόγραμμα Διαχείρισης Κινδύνων Ολοκληρωμένο και ενσωματωμένο στο ΔΠΔΚ Σχέδιο Επιχειρησιακής Συνέχειας Σχέδια Αντιμετώπισης Καταστροφών Σχέδια Επιχειρησιακής Συνέχειας για τις βασικές λειτουργίες Αλλαγές προσωπικού & σχεδιασμός συνέχειας Ολοκληρωμένο πλαίσιο ασφάλειας συστημάτων ενσωματωμένο στο ΔΠΔΚ Ομάδες διαχείρισης κρίσεων Κεντρικές & τοπικές ομάδες αντιμετώπισης συμβάντων IT incident management program Customer response teams Αξιολόγηση των προγραμμάτων αυτών από εσωτερικούς και εξωτερικούς ελεγκτικούς φορείς (Internal, External Audit) Πρόγραμμα δοκιμών & συντήρησης Αστοχία Δικτύων (φωνής, δεδομένων) Φυσικές καταστροφές Κακόβουλη χρήση της τεχνολογίας

Βασικές Φάσεις Ανάπτυξης του Σ.Ε.Σ. Επισκόπηση υφιστ. υποδομής Ενίσχυση πλαισίου διαχείρισης κινδύνων Κρίσιμες Επιχειρησιακές Λειτουργίες Σενάρια Καταστροφής Σχέδιο ανάκτησης Διαδικασίες και μέσα ανάκτησης Επικύρωση Αξιολόγηση Επιχειρησιακή Συνέχεια 5η Φάση Υλοποίηση & δοκιμή Σχεδίου 4η Φάση Σχέδιο Επιχειρησιακής Συνέχειας 3η Φάση Στρατηγική ανάκτησης 2η Φάση Ανάλυση Επιπτώσεων 1η Φάση Προετοιμασία, Εκτίμηση Κινδύνων

Δραστηριότητες 1ης Φάσης Επισκόπηση Επιχειρησιακών Λειτουργιών Ανάλυση παρούσας κατάστασης και υφιστάμενης υποδομής Επισκόπηση πλαισίου διαχείρισης κινδύνων Προτάσεις για την άμεση βελτίωση του παραπάνω πλαισίου

Δραστηριότητες 2ης Φάσης -Εκτίμηση οικονομικών επιπτώσεων -Εκτίμηση λειτουργικών και άλλων επιπτώσεων -Προσδιορισμός κρίσιμων επιχειρησιακών λειτουργιών -Προσδιορισμός ελάχιστου απαιτούμενου χρόνου ανάκτησης -Προσδιορισμός ελαχίστων πόρων ανάκτησης ανά επιχειρ. λειτουργία Κόστος Κόστος της διακοπής Μέγιστες Επιτρεπόμενες Απώλειες 0-8 ώρες 8-48 ώρες 2-5 ημέρες 5-10 ημέρες 10-30 ημέρες Χρόνος ανάκτησης Χρόνος

Δραστηριότητες 3ης Φάσης -Διερεύνηση των εναλλακτικών στρατηγικών ανάκτησης των: Επιχειρησιακών Μονάδων Τεχνολογικών Πλατφορμών Δικτύων (φωνής, δεδομένων) -Επιλογή της πιο αποτελεσματικής στρατηγικής ανάκτησης και λεπτομερής τεκμηρίωσή της Παράλληλο σύστημα, σε εγκαταστάσεις της εταιρείας Κόστος Recovery Site (κινητή / στατική λύση) Κόστος Διακοπής Συμφωνίες αμοιβαίας υποστήριξης Συμφωνίες με προμηθευτές εξοπλισμού Ασφαλιστική Κάλυψη και Προμήθεια πόρων και εξοπλισμού μετά το συμβάν 0-8 ώρες 8-48 ώρες 2-5 ημέρες 5-10 ημέρες 10-30 ημέρες Χρόνος αντίδρασης

Δραστηριότητες 4ης Φάσης Τεκμηρίωση Σ.Ε.Σ. Ομάδες ανάκτησης, ρόλοι και αρμοδιότητες Κρίσιμες επιχειρησιακές λειτουργίες, εφαρμογές και δίκτυα Διαδικασίες ανάκτησης επιχειρησιακών μονάδων, συστημάτων και δικτύων Διαδικασίες αντιμετώπισης εκτάκτων αναγκών Κατάλογοι/λίστες επαφών και αντικειμένων (ανθρώπων, λογισμικού, υλικού, κρίσιμων εντύπων/ εγγράφων, συστατικών δικτύου κλπ.)

Ενδεικτικά Περιεχόμενα του Σ.Ε.Σ Σχέδιο Συνέχειας Προκαθορισμένα Σενάρια καταστροφής Επιστροφή σε κανονικές συνθήκες Πιθανά σχέδια ανάκτησης Ανακατασκευή εγκαταστάσεων Διαδικασίες ανάκτησης λειτουργιών Ενδεικτικά Περιεχόμενα Ενός Σχεδίου Συνέχειας Επιχειρησιακών Λειτουργιών: Ομάδες Ανάκτησης και αρμοδιότητες αυτών Διαδικασίες Ενεργοποίησης / Ειδοποίησης Διαδικασίες Διαχείρισης Κρίσης Διαδικασίες Κέντρου Συντονισμού Διαδικασίες Εκτίμησης Ζημιών Διαδικασίες εξωτερικής αποθήκευσης δεδομένων Διαδικασίες Προγραμματισμού Μετάπτωσης Διαδικασίες Ανάκτησης Πλατφόρμας Πληροφορικής Διαδικασίες Ανάκτησης Δικτύων Διαδικασίες εναλλακτικών τρόπων/μεθόδων διεκπεραίωσης εργασιών Διαδικασίες Ανάκτησης Χώρου Εργασίας Διαδικασίες επισκευής εγκαταστάσεων Σχέδιο αντιμετώπισης εκτάκτων αναγκών Διαχείριση κρίσεων & αρμοδιότητες

Δραστηριότητες 5ης Φάσης Έλεγχος και δοκιμή του Σχεδίου Επιχειρησιακής Συνέχειας (Αρχικά κάθε σχέδιο ανάκτησης ξεχωριστά και στη συνέχεια σε συνδυασμούς) Συντήρηση και συνεχή ενημέρωση του Σ.Ε.Σ. Ανάθεση σχετικών αρμοδιοτήτων Καθορισμός διαδικασιών αλλαγής και ενημέρωσης του Σ.Ε.Σ. Διατήρηση αρχείου αλλαγών και ενημερώσεων

Κάποιες τελικές σκέψεις… Υφίσταται τυπική, τεκμηριωμένη και εγκεκριμένη από τη Διοίκηση πολιτική σχεδιασμού επιχειρησιακής συνέχειας; Έχει γίνει ανάλυση κινδύνων / αξιολόγηση επιπτώσεων; Υπάρχει στρατηγική ανάκτησης; Είναι σωστές οι προτεραιότητες; Έχουν καλυφθεί οι νομικές υποχρεώσεις; Ο σχεδιασμός καλύπτει όλη την επιχείρηση ή μόνο την πληροφορική;

Κάποιες τελικές σκέψεις… Έχουν ληφθεί αποτρεπτικά μέτρα; Υπάρχει αντικειμενική ασφαλιστική κάλυψη; Υφίστανται και ακολουθούνται οι διαδικασίες συντήρησης & δοκιμών του σχεδίου;

Σχεδιασμός Επιχειρησιακής Συνέχειας ΕΡΩΤΗΣΕΙΣ; Σωτήρης Παπιώτης, CISSP, CISA Ernst & Young Τηλ: 010 4291 111 Εmail: Sotiris.Papiotis@gr.eyi.com