Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάκαμψη από καταστροφή.

Παρουσίαση με θέμα: "Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός Ανάκαμψη από καταστροφή."— Μεταγράφημα παρουσίασης:

1 Πολιτικές & Διαχείριση Ασφάλειας Δρ. Γιώργος Αγγελινός gaggelinos@ssl-unipi.gr Ανάκαμψη από καταστροφή

2 Κύκλος ζωής διαχείρισης περιστατικού 2 Τμήμα Ψηφιακών Συστημάτων

3 Διαπιστώσεις  Η ανάκαμψη από καταστροφή είναι ένα γνήσιο υποσύνολο της επιχειρησιακής συνέχειας.  Η επιχειρησιακή συνέχεια, πλέον, περνάει μέσα από τη διατήρηση του ΠΣ σε λειτουργία.  Κάθε οργανισμός είναι εντελώς διαφορετικός ακόμη κι αν είναι ομοειδής.  Συνεπώς έχει διαφορετικές ανάγκες – απαιτήσεις. 3 Τμήμα Ψηφιακών Συστημάτων

4 Βασικοί ορισμοί…  Ο μέγιστος ανεκτός χρόνος εκτός λειτουργίας (Maximum Tolerable Downtime-MTD) είναι ο χρόνος εκτός λειτουργίας ή διακοπής παροχής υπηρεσίας που είναι ανεκτός από τον ιδιοκτήτη του συστήματος.  μετά την παρέλευση αυτού του χρόνου, οι επιπτώσεις της διακοπής της λειτουργίας ή της παροχής της συγκεκριμένης υπηρεσίας καθίστανται μη αποδεκτές από τον οργανισμό. 4 Τμήμα Ψηφιακών Συστημάτων

5 …Βασικοί ορισμοί…  Ο επιδιωκόμενος χρόνος ανάκαμψης (Recovery Time Objective-RTO) είναι ο μέγιστος χρόνος που θέτουμε ως στόχο για την ανάκαμψη κάποιου πόρου του συστήματος  ο πόρος μπορεί να παραμείνει μη διαθέσιμος στο διάστημα αυτό, χωρίς να υπάρξει μη αποδεκτή επίπτωση σε άλλους πόρους του συστήματος, στις επιχειρησιακές διεργασίες που υποστηρίζει ο πόρος ή στον MTD. 5 Τμήμα Ψηφιακών Συστημάτων

6 …Βασικοί ορισμοί  Το επιδιωκόμενο σημείο ανάκτησης (Recovery Point Objective-RPO) είναι εκείνο το χρονικό σημείο στο παρελθόν (πριν τη διακοπή λειτουργίας), στο οποίο τα δεδομένα των επιχειρησιακών διεργασιών είναι ανακτήσιμα, χρησιμοποιώντας το πιο πρόσφατο αντίγραφο ασφαλείας. 6 Τμήμα Ψηφιακών Συστημάτων

7 Σχεδιασμός & Υλοποίηση 7 Τμήμα Ψηφιακών Συστημάτων

8 Δήλωση πολιτικής…  Καθορίζει τους στόχους του σχεδίου ανάκαμψης από καταστροφή και εκφράζει τη δέσμευση του οργανισμού στην εφαρμογή του.  Η δέσμευση αυτή πρέπει να εκφράζεται με τον πλέον επίσημο τρόπο, συνήθως με την υπογραφή στελέχους του ανώτερου επιπέδου διοίκησης. 8 Τμήμα Ψηφιακών Συστημάτων

9 …Δήλωση πολιτικής  Περιέχει δεσμεύσεις σχετικά με  τους ρόλους και τις αρμοδιότητες του προσωπικού σε σχέση με το σχέδιο,  την έκταση εφαρμογής του σχεδίου,  τους απαιτούμενους για την υλοποίησή του πόρους,  την απαιτούμενη κατάρτιση και εκπαίδευση του προσωπικού,  το πρόγραμμα ασκήσεων και δοκιμών του σχεδίου και  το πρόγραμμα συντήρησης του σχεδίου. 9 Τμήμα Ψηφιακών Συστημάτων

10 Παράδειγμα Δήλωσης πολιτικής 10 Τμήμα Ψηφιακών Συστημάτων

11 Ανάλυση επιχειρησιακών επιπτώσεων (Business Impact Analysis – BIA)…  Στόχος: Ποσοτικός ή ποιοτικός προσδιορισμός των επιπτώσεων στη λειτουργικότητα του οργανισμού και ανάλυσή τους, έτσι ώστε να υπάρξει κατάλληλη αναγνώρισή τους και κατηγοριοποίησή τους ανάλογα με τις πραγματικές ανάγκες του οργανισμού, με τελικό στόχο τη μετάφραση των επιχειρησιακών απαιτήσεων σε απαιτήσεις διαθεσιμότητας πληροφοριακών πόρων. 11 Τμήμα Ψηφιακών Συστημάτων

12 …Ανάλυση επιχειρησιακών επιπτώσεων (Business Impact Analysis – BIA)…  Στάδια :  Αναγνώριση και αξιολόγηση των κρίσιμων λειτουργιών του οργανισμού,  Αναγνώριση των απαιτούμενων πληροφοριακών πόρων για την επιτέλεση αυτών των λειτουργιών και  Καθορισμός της προτεραιότητας ανάκαμψης των πόρων αυτών, μετά από καταστροφή, ούτως ώστε να ανακάμψουν και οι λειτουργίες. 12 Τμήμα Ψηφιακών Συστημάτων

13 Αναγνώριση και αξιολόγηση των κρίσιμων λειτουργιών του οργανισμού…  Συμμετοχή όλων των τμημάτων του οργανισμού και εξέταση από το ανώτατο επίπεδο διοίκησης.  Το αποτέλεσμα είναι η αναγνώριση αλλά και η προτεραιοποίηση όλων των επιχειρησιακών λειτουργιών που πρέπει να διασφαλιστούν, με βάση τον χρόνο MTD.  Χρήση ερωτηματολογίου το οποίο συμπληρώνεται από κάθε επιχειρησιακή μονάδα του οργανισμού. 13 Τμήμα Ψηφιακών Συστημάτων

14 ...Αναγνώριση και αξιολόγηση των κρίσιμων λειτουργιών του οργανισμού…  Στόχος του ερωτηματολογίου:  Η αναγνώριση όλων των λειτουργιών του οργανισμού που βασίζονται σε πληροφοριακά συστήματα,  η αναγνώριση των πληροφοριακών συστημάτων στα οποία βασίζεται κάθε λειτουργία, η εκτίμηση του δείκτη MTD,  η αναγνώριση και αξιολόγηση των επιπτώσεων μετά το πέρας του MTD, η αναγνώριση του δείκτη RPO και  η αναγνώριση ενδεχόμενων αλληλεξαρτήσεων μεταξύ λειτουργιών. 14 Τμήμα Ψηφιακών Συστημάτων

15 ...Αναγνώριση και αξιολόγηση των κρίσιμων λειτουργιών του οργανισμού  Οι επιπτώσεις αξιολογούνται ποιοτικά βάσει κατευθυντήριων γραμμών και κατηγοριοποιούνται ως χαμηλές, μέσες ή υψηλές, ή σε αντίστοιχη τρίβαθμη αριθμητική κλίμακα.  Το άθροισμα του βαθμού επίπτωσης σε όλες τις κατηγορίες επιπτώσεων αναφέρεται ως δείκτης κρισιμότητας (Criticality Index) της λειτουργίας. 15 Τμήμα Ψηφιακών Συστημάτων

16 Αξιολόγηση επιπτώσεων… 16 Τμήμα Ψηφιακών Συστημάτων Τύπος επιπτώσεων Βαθμός επίπτωσης ΧαμηλόςΜέσοςΥψηλός Νομικές-ΚανονιστικέςΔεν προκύπτει αθέτηση νομικών ή κανονιστικών υποχρεώσεων. Δεν υπάρχει κίνδυνος για πρόστιμα. Δεν υπάρχει κίνδυνος για αγωγές και νομικές κυρώσεις. Δεν προκύπτει αιτία για διεξαγωγή εισαγγελικής έρευνας. Προκύπτει αθέτηση κυρίως κανονιστικών υποχρεώσεων. Κίνδυνος για χαμηλά πρόστιμα. Περιορισμένος κίνδυνος για αγωγές και νομικές κυρώσεις. Δεν προκύπτει αιτία για διεξαγωγή εισαγγελικής έρευνας, αλλά μπορεί να υπάρξει κλήση για απολογία από επίσημη αρχή. Προκύπτει αθέτηση νομικών ή κανονιστικών υποχρεώσεων. Υπάρχει κίνδυνος για υψηλά πρόστιμα. Υπάρχει κίνδυνος για αγωγές και νομικές κυρώσεις. Προκύπτει αιτία για διεξαγωγή εισαγγελικής έρευνας.

17 …Αξιολόγηση επιπτώσεων… 17 Τμήμα Ψηφιακών Συστημάτων Τύπος επιπτώσεων Βαθμός επίπτωσης ΧαμηλόςΜέσοςΥψηλός ΟικονομικέςΕλάχιστη έως μηδενική, στιγμιαία, οικονομική απώλεια. Ελάχιστες επιπτώσεις στο λειτουργικό κόστος του οργανισμού. Ελάχιστη εως μηδενική απώλεια εσόδων. Αμελητέα επίδραση στα έσοδα του οργανισμού. Καμία επίπτωση στην οικονομική σταθερότητα του οργανισμού. Στιγμιαία οικονομική απώλεια. Αισθητές επιπτώσεις στο λειτουργικό κόστος του οργανισμού. Μερική απώλεια εσόδων. Αισθητή επίδραση στα έσοδα του οργανισμού. Αμελητέα επίπτωση στην οικονομική σταθερότητα του οργανισμού. Μεγάλη στιγμιαία οικονομική απώλεια. Έντονες επιπτώσεις στο λειτουργικό κόστος του οργανισμού. Υψηλή απώλεια εσόδων. Σημαντική επίπτωση στην οικονομική σταθερότητα του οργανισμού.

18 …Αξιολόγηση επιπτώσεων… 18 Τμήμα Ψηφιακών Συστημάτων Τύπος επιπτώσεων Βαθμός επίπτωσης ΧαμηλόςΜέσοςΥψηλός Λειτουργικές- Παραγωγικές Ελάχιστη έως μηδενική επίπτωση στην παραγωγικότητα του οργανισμού. Χαμηλή εξάρτηση λειτουργιών από πληροφοριακούς πόρους. Δυνατότητα απρόσκοπτης συνέχισης των λειτουργιών του οργανισμού με εναλλακτικό τρόπο ( π.χ. χειρογραφικά ). Μερική επίπτωση στην παραγωγικότητα του οργανισμού. Υψηλή εξάρτηση λειτουργιών από πληροφοριακούς πόρους. Δυνατότητα συνέχισης των λειτουργιών του οργανισμού με εναλλακτικό τρόπο ( π.χ. χειρογραφικά ) αλλά με μεγάλη καθυστέρηση. Καθοριστική επίπτωση στην παραγωγικότητα του οργανισμού. Υψηλή εξάρτηση λειτουργιών από πληροφοριακούς πόρους. Αδυναμία συνέχισης των λειτουργιών του οργανισμού σε ανεκτό επίπεδο.

19 …Αξιολόγηση επιπτώσεων 19 Τμήμα Ψηφιακών Συστημάτων Τύπος επιπτώσεων Βαθμός επίπτωσης ΧαμηλόςΜέσοςΥψηλός Φήμη Ελάχιστες επιπτώσεις. Απαιτείται ελάχιστη έως καθόλου προσπάθεια ανάκτησής της. Ελάχιστες ως μηδενικές απώλειες πελατών. Μέτριες επιπτώσεις. Απαιτείται προσπάθεια για την ανάκτησή της. Μερική απώλεια πελατών. Υψηλές επιπτώσεις. Η ανάκτησή της μπορεί να είναι μη αναστρέψιμη. Μαζική απώλεια πελατών. Υγεία & Σωματική Ακεραιότητα Δεν υπάρχει αξιόλογος κίνδυνος για τη ζωή, την υγεία ή τη σωματική ακεραιότητα πελατών και προσωπικού. Υπάρχει έμμεσος και περιορισμένος κίνδυνος για τη ζωή, την υγεία ή τη σωματική ακεραιότητα πελατών και προσωπικού. Υπάρχει άμεσος και ορατός κίνδυνος για τη ζωή, την υγεία ή τη σωματική ασφάλεια πελατών και προσωπικού.

20 Αποτέλεσμα 20 Τμήμα Ψηφιακών Συστημάτων α/α Επιχειρησιακή μονάδα ΛειτουργίαMTD Δείκτης κρισιμότητας RPO

21 Αναγνώριση απαιτούμενων πληροφοριακών πόρων  Οι πόροι αυτοί μπορεί να περιλαμβάνουν εξοπλισμό, ανθρώπους, προμηθευτές, τεχνολογική υποδομή και διαδικασίες.  Σε αυτό το στάδιο καθορίζουμε και τη μέγιστη ανοχή απώλειας δεδομένων από τα πληροφοριακά συστήματα που συσχετίζονται με κάθε κρίσιμη λειτουργία  Η ανοχή αυτή θα χρησιμοποιηθεί για να καθοριστεί ο δείκτης RPO για καθένα από τα συστήματα. 21 Τμήμα Ψηφιακών Συστημάτων

22 Αποτέλεσμα 22 Τμήμα Ψηφιακών Συστημάτων α/α Πληροφοριακό Σύστημα Πληροφοριακός πόρος MTD Δείκτης κρισιμότητας RPO

23 Καθορισμός της προτεραιότητας ανάκαμψης των πόρων…  Στόχος: ιεράρχηση της ανάκαμψης των πληροφοριακών μας πόρων, με κριτήριο την ικανοποίηση των απαιτήσεων ανάκαμψης των εξαρτώμενων απ’ αυτούς λειτουργιών.  Σύνθεση των αποτελεσμάτων των προηγούμενων σταδίων και καθορισμός των δεικτών RTO και RPO ως επιδιωκόμενων στόχων για την ανάκαμψη των πόρων. 23 Τμήμα Ψηφιακών Συστημάτων

24 …Καθορισμός της προτεραιότητας ανάκαμψης των πόρων  Βάσει του δείκτη MTD κάθε Πληροφοριακού Συστήματος, καθορίζουμε τον επιδιωκόμενο χρόνο ανάκαμψης (RTO) κάθε πόρου του συστήματος, έτσι ώστε η κρίσιμη διαδρομή στο σύνολο των RTO των πόρων που απαρτίζουν το σύστημα να μην ξεπερνά τον MTD του συστήματος. 24 Τμήμα Ψηφιακών Συστημάτων

25 Εντοπισμός προληπτικών μέτρων ασφάλειας…  Εντοπίζουμε τα μέτρα τα οποία μπορεί να λάβει ο οργανισμός ώστε είτε να προληφθούν οι καταστροφές είτε να διαγνωστούν εγκαίρως και να περιοριστούν οι συνέπειές τους.  Κατά κανόνα, τα προληπτικά μέτρα έχουν μικρότερο οικονομικό κόστος από εκείνο που έχουν τα μέτρα ανάκαμψης. 25 Τμήμα Ψηφιακών Συστημάτων

26 …Εντοπισμός προληπτικών μέτρων ασφάλειας…  Η πληροφορία αυτή παρέχεται από τη διεργασία ανάλυσης και εκτίμησης κινδύνων.  Ιδιαίτερη έμφαση δίνεται σε όσα μέτρα αφορούν στον περιορισμό εξωτερικών ή περιβαλλοντικών απειλών, καθώς αυτές σχετίζονται άμεσα με τον κίνδυνο των καταστροφών. 26 Τμήμα Ψηφιακών Συστημάτων

27 …Εντοπισμός προληπτικών μέτρων ασφάλειας  Μερικά από αυτά τα μέτρα είναι, ενδεικτικά:  εφεδρικά συστήματα ( αδιάλειπτης παροχής ενέργειας, γεννήτριες Η/Ζ, ψύξης ),  συστήματα υψηλής ανοχής σε ακραίες περιβαλλοντικές συνθήκες,  χρήση ανιχνευτών ( πυρασφάλειας, πλημμύρας, υπερθέρμανσης, διαρροής επικίνδυνων αερίων ),  συστήματα ελέγχου πρόσβασης και ελέγχου εγκαταστάσεων. 27 Τμήμα Ψηφιακών Συστημάτων

28 Επιλογή στρατηγικών ανάκαμψης  Οι επιλογές για κάθε κρίσιμη λειτουργία εξαρτώνται από τον MTD που σχετίζεται με τη λειτουργία, το κόστος υλοποίησης της στρατηγικής (ή των στρατηγικών) και τις συνέπειες της αδράνειας.  Οι στρατηγικές αφορούν  το ανθρώπινο δυναμικό,  τις εγκαταστάσεις,  τον τεχνολογικό εξοπλισμό,  τις πληροφορίες,  τα εφόδια,  τους μετόχους του οργανισμού και  τις καταστάσεις πολιτικής έκτακτης ανάγκης. 28 Τμήμα Ψηφιακών Συστημάτων

29 Στρατηγικές για το ανθρώπινο δυναμικό  Στόχος: διασφάλιση της διαθεσιμότητας των απαραίτητων δεξιοτήτων και γνώσεων.  Επιλογές στρατηγικών:  τεκμηρίωση του τρόπου εκτέλεσης κρίσιμων λειτουργιών,  κατάρτιση προσωπικού και εργολάβων σε πολλές δεξιότητες,  διαχωρισμός βασικών δεξιοτήτων, ώστε να μειωθεί η συγκέντρωση κινδύνων,  προγραμματισμός αντικατάστασης και  διατήρηση και διαχείριση της συλλογικής γνώσης. 29 Τμήμα Ψηφιακών Συστημάτων

30 Στρατηγικές για τις εγκαταστάσεις…  Στόχος: Μείωση των επιπτώσεων μιας δυνητικής μη διαθεσιμότητας των κανονικών εγκαταστάσεων.  Επιλογές στρατηγικών:  εναλλακτικές εγκαταστάσεις εντός του οργανισμού και μετακίνηση κάποιων δραστηριοτήτων,  εναλλακτικές εγκαταστάσεις που παρέχουν άλλοι οργανισμοί, με συμφωνία αμοιβαιότητας ή όχι,  εναλλακτικές εγκαταστάσεις παρεχόμενες από εξειδικευμένους τρίτους,  εργασία από το σπίτι ή από απομακρυσμένες θέσεις,  άλλες συμφωνημένες κατάλληλες εγκαταστάσεις και  χρήση εναλλακτικού προσωπικού σε άλλη, ήδη λειτουργούσα, θέση. 30 Τμήμα Ψηφιακών Συστημάτων

31 …Στρατηγικές για τις εγκαταστάσεις…  Τύποι εναλλακτικών εγκαταστάσεων:  Οι ψυχρές (cold) είναι συνήθως εγκαταστάσεις με επαρκή χώρο και υποδομές ( ηλεκτρικό ρεύμα, τηλεπικοινωνιακές συνδέσεις και κλιματισμό ).  Οι χλιαρές (warm) είναι μερικώς επιπλωμένοι χώροι γραφείων που ήδη περιέχουν όλο ή μέρος του υλικού και του λογισμικού του συστήματος, τηλεπικοινωνιακές συνδέσεις και ηλεκτρικό ρεύμα. 31 Τμήμα Ψηφιακών Συστημάτων

32 …Στρατηγικές για τις εγκαταστάσεις…  Οι θερμές (hot) είναι εγκαταστάσεις μεγέθους κατάλληλου για την υποστήριξη όλων των απαιτήσεων του συστήματος και ήδη εξοπλισμένες με όλο το απαραίτητο υλικό και λογισμικό του συστήματος, τις υποστηρικτικές υποδομές και το προσωπικό υποστήριξης. 32 Τμήμα Ψηφιακών Συστημάτων

33 …Στρατηγικές για τις εγκαταστάσεις…  Οι κινητές (mobile) είναι αυτόνομοι, μεταφερόμενοι, κενοί χώροι που μπορούν να διαμορφωθούν ανάλογα με τις τηλεπικοινωνιακές και υπολογιστικές απαιτήσεις του συστήματος.  Οι κατοπτρικές (mirrored) εναλλακτικές εγκαταστάσεις είναι πλήρως πλεονάζουσες εγκαταστάσεις με δυνατότητα αυτόματης, κατοπτρικής αποθήκευσης της πληροφορίας της πρωτεύουσας εγκατάστασης.  Οι εγκαταστάσεις αυτές είναι ακριβή αντίγραφα της πρωτεύουσας εγκατάστασης. 33 Τμήμα Ψηφιακών Συστημάτων

34 …Στρατηγικές για τις εγκαταστάσεις 34 Τμήμα Ψηφιακών Συστημάτων ΤύποςΚόστοςHWΤηλ/νίεςΧρόνοςΘέση ColdΧαμηλό--ΜεγάλοςΣταθερή WarmΜεσαίοΜερικώς Μερικώς / Πλήρως ΜέσοςΣταθερή Hot Μεσαίο / Υψηλό Πλήρως ΜικρόςΣταθερή MobileΥψηλόΕξαρτάται Εξαρτάται / μικρός Κινητή MirroredΥψηλόΠλήρως 0Σταθερή

35 Στρατηγικές για τον τεχνολογικό εξοπλισμό…  Στόχος: Σε περίπτωση καταστροφής, το απαραίτητο υλικό και λογισμικό θα πρέπει να ενεργοποιηθεί ή, αν δεν υπάρχει, να αποκτηθεί γρήγορα και να παραδοθεί στην εναλλακτική εγκατάσταση. 35 Τμήμα Ψηφιακών Συστημάτων

36 …Στρατηγικές για τον τεχνολογικό εξοπλισμό…  Επιλογές:  Να συνάψουμε κατάλληλες συμφωνίες με τους προμηθευτές, τύπου SLA.  Πρέπει να καθορίζουν ρητά σε πόσο χρόνο θα πρέπει να ανταποκριθεί ο προμηθευτής από τη λήψη της σχετικής ειδοποίησης, να δίνουν προτεραιότητα στην αποστολή ανταλλακτικού εξοπλισμού έναντι εξοπλισμού που αγοράζεται για την υποστήριξη της κανονικής λειτουργίας του οργανισμού και να καθορίζουν τι προτεραιότητα θα έχει ο οργανισμός στην περίπτωση που περισσότεροι από ένας πελάτες του ίδιου προμηθευτή υποστούν καταστροφή. 36 Τμήμα Ψηφιακών Συστημάτων

37 …Στρατηγικές για τον τεχνολογικό εξοπλισμό…  Δημιουργία αποθεματικού εξοπλισμού, αγοράζοντας εκ των προτέρων τον απαιτούμενο εξοπλισμό και αποθηκεύοντάς τον σε ασφαλή θέση μακριά από τις κύριες εγκαταστάσεις του οργανισμού. (Μέρος;).  Μειονεκτήματα: Δέσμευση οικονομικών πόρων και κίνδυνος ο εξοπλισμός να καταστεί παρωχημένος ή ακατάλληλος προς χρήση με την πάροδο του χρόνου.  Η χρήση υπάρχοντος συμβατού εξοπλισμού που είναι εγκατεστημένος στις (θερμές) εναλλακτικές εγκαταστάσεις ή χρησιμοποιείται αλλού, μέσα στον ίδιο τον οργανισμό 37 Τμήμα Ψηφιακών Συστημάτων

38 Στρατηγικές για τις πληροφορίες…  Στόχος: η προστασία και η δυνατότητα ανάκτησης, μέσα στα χρονικά πλαίσια που καθορίζει η ΒΙΑ, πληροφοριών ζωτικής σημασίας για τον οργανισμό.  Επιλογές: Αντίγραφα ασφαλείας.  Επιπλέον: Κάλυψη και του τρόπου που ανακτούμε πληροφορίες που δεν έχουν ακόμη αποτυπωθεί σε αντίγραφα ασφαλείας, καθώς και πληροφορίες που δεν βρίσκονται σε ηλεκτρονική, αλλά σε έγχαρτη μορφή. 38 Τμήμα Ψηφιακών Συστημάτων

39 …Στρατηγικές για τις πληροφορίες…  Τύποι αντιγράφων ασφαλείας:  Ένα πλήρες αντίγραφο ασφαλείας (full backup) περιέχει όλα τα αρχεία στο δίσκο ή στον κατάλογο που έχουμε επιλέξει προς αντιγραφή.  Ένα αυξητικό αντίγραφο ασφαλείας (incremental backup) περιέχει όλα τα αρχεία που δημιουργήθηκαν ή τροποποιήθηκαν μετά τη λήψη του τελευταίου αντιγράφου ασφαλείας, ανεξάρτητα από τον τύπο του.  Ένα διαφορικό αντίγραφο ασφαλείας (differential backup) περιέχει όλα τα αρχεία που δημιουργήθηκαν ή τροποποιήθηκαν μετά τη λήψη του τελευταίου πλήρους αντιγράφου ασφαλείας. 39 Τμήμα Ψηφιακών Συστημάτων

40 …Στρατηγικές για τις πληροφορίες…  Η πολιτική αντιγράφων ασφαλείας του οργανισμού πρέπει να απαντά στα ακόλουθα ερωτήματα:  Πού και πώς θα φυλάσσονται τα αποθηκεύονται μέσα;  Ποια δεδομένα πρέπει να περιέχουν τα αντίγραφα ασφαλείας και πόσο συχνά πρέπει να τα λαμβάνουμε;  Σε πόσο χρόνο θα πρέπει να ανακτώνται τα αντίγραφα ασφαλείας, σε περίπτωση ανάγκης; 40 Τμήμα Ψηφιακών Συστημάτων

41 …Στρατηγικές για τις πληροφορίες…  Ποιος είναι εξουσιοδοτημένος να ανακτά τα αντίγραφα ασφαλείας;  Πού θα παραδίδονται τα αντίγραφα και ποια είναι η συχνότητα ανακύκλωσης των μέσων αποθήκευσης;  Ποιος θα ανακτά τα δεδομένα από τα μέσα αποθήκευσης;  Ποιο σύστημα σήμανσης των αντιγράφων χρησιμοποιούμε;  Για πόσο χρόνο διατηρούμε τα αντίγραφα ασφαλείας;  Αν φυλάσσουμε τα αντίγραφα στις εγκαταστάσεις μας, τι μηχανισμούς ελέγχου περιβαλλοντικών συνθηκών πρέπει να έχουμε σε λειτουργία;  Ποιο είναι το κατάλληλο μέσο αποθήκευσης για κάθε τύπο αντιγράφων; 41 Τμήμα Ψηφιακών Συστημάτων

42 …Στρατηγικές για τις πληροφορίες  Παράγοντες διαμόρφωσης της πολιτικής:  ανάγκη διασφάλισης διαλειτουργικότητας του εξοπλισμού λήψης αντιγράφων ασφαλείας με τον λειτουργικό εξοπλισμό του συστήματος,  ανάγκη διασφάλισης επαρκούς αποθηκευτικού χώρου, ώστε να μπορούμε να λαμβάνουμε αντίγραφα όλων των απαιτούμενων δεδομένων,  χρόνος ζωής κάθε αποθηκευτικού μέσου και  λογισμικό λήψης αντιγράφων ασφαλείας. 42 Τμήμα Ψηφιακών Συστημάτων

43 Στρατηγικές για τα εφόδια…  Στόχος: Διασφάλιση εφοδίων απαραίτητων για τη λειτουργία  Επιλογές:  Αποθήκευση συμπληρωματικών ποσοτήτων σε κάποια άλλη θέση,  σύναψη συμβάσεων με προμηθευτές που θα αναλάβουν την παράδοση των εφοδίων σε μικρό χρονικό διάστημα,  εκτροπή προγραμματισμένων παραδόσεων σε άλλες θέσεις, 43 Τμήμα Ψηφιακών Συστημάτων

44 Στρατηγικές για τα εφόδια  διατήρηση εφοδίων σε αποθήκες,  μεταφορά μερικών από τις δραστηριότητες συναρμολόγησης σε εναλλακτικές εγκαταστάσεις που έχουν διαθέσιμα εφόδια και  καθορισμός εναλλακτικών ή υποκατάστατων εφοδίων. 44 Τμήμα Ψηφιακών Συστημάτων

45 Στρατηγικές για τους μετόχους  Στόχος: η προστασία των συμφερόντων των κύριων μετόχων.  Οι επιλογές αντιμετωπίζουν θέματα διαχείρισης σχέσεων με τους μετόχους, τους συνεργάτες και τους εργολάβους  κάθε μια από τις ομάδες αυτές ενδέχεται να έχει εντελώς διαφορετικές ανάγκες. 45 Τμήμα Ψηφιακών Συστημάτων

46 Στρατηγικές διαχείρισης καταστάσεων έκτακτης ανάγκης  Στόχος: διασύνδεση με τις τοπικές αρχές διαχείρισης καταστάσεων έκτακτης ανάγκης.  Οι αρχές έχουν τη δυνατότητα κήρυξης της περιοχής σε κατάσταση έκτακτης ανάγκης. 46 Τμήμα Ψηφιακών Συστημάτων

47 Σχέδιο ανάκαμψης: Περιεχόμενα…  Γενικά στοιχεία:  Το όνομα και η ιδιότητα του υπευθύνου για την επικαιροποίηση του σχεδίου,  η τελευταία ημερομηνία έγκρισης του σχεδίου και κατάλογος όλων των αλλαγών τις οποίες έχει υποστεί,  συνοπτική περιγραφή του οργανισμού και του αντικειμένου των εργασιών του, η νομική του μορφή και οι υποχρεώσεις του ως νομικό πρόσωπο,  σύντομη περιγραφή των Πληροφοριακών Συστημάτων τα οποία εξυπηρετούν τον οργανισμό και των λειτουργιών που αυτά υποστηρίζουν, 47 Τμήμα Ψηφιακών Συστημάτων

48 …Σχέδιο ανάκαμψης: Περιεχόμενα…  σύντομη περιγραφή των δυνατοτήτων των εναλλακτικών εγκαταστάσεων (αν υπάρχουν) και αναφέρονται τα απαραίτητα στοιχεία επικοινωνίας (τηλέφωνα, διεύθυνση) με τους οικείους υπευθύνους,  το σημείο και ο χρόνος συνάντησης των ομάδων ανάκαμψης μετά από την καταστροφή και  τα στοιχεία επικοινωνίας του καθ’ ύλην αρμόδιου για το σχέδιο. 48 Τμήμα Ψηφιακών Συστημάτων

49 …Σχέδιο ανάκαμψης: Περιεχόμενα…  Στόχοι:  Δηλώνονται οι στόχοι του σχεδίου, τόσο για τα επιμέρους Πληροφοριακά Συστήματα όσο και για το σύνολό τους.  Οι στόχοι αυτοί προκύπτουν από τη ΒΙΑ  εκφράζονται με τους δείκτες RTO, RPO, MTD καθώς και με την προτεραιοποίηση ανάκτησης των πόρων που προέκυψε απ’ αυτήν.  Αναφέρονται όλες οι παραδοχές που έγιναν κατά τη διαμόρφωση του σχεδίου. 49 Τμήμα Ψηφιακών Συστημάτων

50 …Σχέδιο ανάκαμψης: Περιεχόμενα…  Στρατηγικές:  Περιγράφονται οι στρατηγικές ανάκαμψης που επιλέχθηκαν για κάθε Πληροφοριακό Σύστημα και ο τρόπος εφαρμογής τους.  Είναι καλή πρακτική για κάθε Πληροφοριακό Σύστημα να έχει εξετασθεί, εκτός από την κύρια, και μια εναλλακτική στρατηγική, ώστε, αν για κάποιο λόγο αποδειχθεί ότι η κύρια στρατηγική είναι αναποτελεσματική, να μην προκύψει αδιέξοδο κατά τη διαδικασία ανάκτησης. 50 Τμήμα Ψηφιακών Συστημάτων

51 …Σχέδιο ανάκαμψης: Περιεχόμενα…  Ρόλοι και αρμοδιότητες:  Υπεύθυνος συντονισμού,  υπεύθυνος επικοινωνίας,  υπεύθυνος επικαιροποίησης του σχεδίου,  νομικός υπεύθυνος και  υπεύθυνος εκπαίδευσης. 51 Τμήμα Ψηφιακών Συστημάτων

52 Οργανωτική δομή 52 Τμήμα Ψηφιακών Συστημάτων

53 …Σχέδιο ανάκαμψης: Περιεχόμενα…  Ενέργειες αντιμετώπισης:  Φάση ενεργοποίησης του σχεδίου: από την κήρυξη του οργανισμού σε κατάσταση έκτακτης ανάγκης μέχρι τη λήψη της απόφασης ενεργοποίησης του σχεδίου,  Φάση εφαρμογής του σχεδίου: από την ενεργοποίηση του σχεδίου μέχρι την ολοκλήρωση της ανάκαμψης των κρίσιμων λειτουργιών του οργανισμού, στο ελάχιστο αποδεκτό επίπεδο, και  Φάση επαναφοράς σε κανονική λειτουργία: από την ανάκαμψη των λειτουργιών στο ελάχιστο αποδεκτό επίπεδο λειτουργικότητας, στις κύριες ή σε εναλλακτικές εγκαταστάσεις, μέχρι την πλήρη επαναφορά των λειτουργιών στην πρότερη του περιστατικού κατάσταση πλήρους λειτουργίας. 53 Τμήμα Ψηφιακών Συστημάτων

54 …Σχέδιο ανάκαμψης: Περιεχόμενα…  Αρχεία και Έντυπα:  όλα τα απαραίτητα στοιχεία επικοινωνίας με τα εμπλεκόμενα πρόσωπα και φορείς ( π.χ. υπευθύνους, πελάτες, προμηθευτές, τεχνικούς-συντηρητές, παρόχους υπηρεσιών, υπηρεσίες έκτακτης ανάγκης ),  επιμέρους σχέδια έκτακτης ανάγκης πληροφοριακών συστημάτων, τα οποία περιέχουν οδηγίες αποκατάστασης και χρήσιμα στοιχεία για τα επιμέρους συστήματα ( π.χ. οδηγίες χρήσης εξοπλισμού, άδειες χρήσης λογισμικού, τεχνικά εγχειρίδια, διαγράμματα δικτύου και διασυνδέσεων ),  όλους τους απαραίτητους κωδικούς πρόσβασης σε επίπεδο διαχειριστή, 54 Τμήμα Ψηφιακών Συστημάτων

55 …Σχέδιο ανάκαμψης: Περιεχόμενα…  διαγράμματα ροής εργασιών τα οποία με σαφή και σύντομο τρόπο παρουσιάζουν την ακολουθητέα ροή ενεργειών,  συμβόλαια ασφάλισης για εξοπλισμό ή άλλους πόρους, εφόσον υπάρχουν,  συμβόλαια εγγυημένου επιπέδου υπηρεσιών (SLAs), αν υπάρχουν,  τα αποτελέσματα της ανάλυσης επιπτώσεων (BIA),  κατάλογος προτεραιοτήτων για την ανάκαμψη πόρων, όπως έχει προκύψει από την ΒΙΑ, 55 Τμήμα Ψηφιακών Συστημάτων

56 …Σχέδιο ανάκαμψης: Περιεχόμενα  περιγραφή ρόλων και αρμοδιοτήτων των εμπλεκομένων, τόσο πριν την καταστροφή όσο και μετά την εκδήλωσή της,  κατάλογο με τον απαραίτητο για την ανάκαμψη εξοπλισμό,  κοστολόγια υπηρεσιών και πόρων,  στοιχεία εναλλακτικών εγκαταστάσεων ( στοιχεία επικοινωνίας με τους οικείους υπεύθυνους, διαγράμματα, κλπ ),  έντυπα ελέγχου ορθής λειτουργίας. 56 Τμήμα Ψηφιακών Συστημάτων

57 Δοκιμές και εκπαίδευση…  Πρόγραμμα δοκιμών, το οποίο διαμορφώνει ο υπεύθυνος συντονισμού του σχεδίου.  Το πρόγραμμα αυτό περιλαμβάνει τους στόχους κάθε δοκιμής και τα κριτήρια επιτυχίας της, το χρονοδιάγραμμα εκτέλεσης της δοκιμής και τους συμμετέχοντες σ’ αυτήν.  Επιπλέον, περιγράφει με σαφήνεια την έκταση και το σενάριο της δοκιμής, καθώς και τις λεπτομέρειες της απαιτούμενης για τη δοκιμή διοικητικής μέριμνας.  Το σενάριο μπορεί να είναι είτε η χειρότερη δυνατή καταστροφή είτε η περισσότερο αναμενόμενη καταστροφή. 57 Τμήμα Ψηφιακών Συστημάτων

58 Ασκήσεις 58 Τμήμα Ψηφιακών Συστημάτων Πολυπλοκότη τα Τύπος άσκησηςΔιεργασίαΠαραλλαγές Συνιστώμενη συχνότητα Μικρή Έλεγχος στο γραφείο Επανεξέταση του περιεχομένου του σχεδίου Αναθεώρηση/επικύρωση Τουλάχιστον μια φορά τον χρόνο Αμφισβήτηση του περιεχομένου του σχεδίου Έλεγχος/επαλήθευσηΜια φορά τον χρόνο Μέτρια Άσκηση επί χάρτου Αμφισβήτηση του περιεχομένου του σχεδίου Διάδραση με τους συμμετέχοντες και επικύρωση των ρόλων τους Μια φορά τον χρόνο Προσομοίωση Χρήση τεχνητής κατάστασης καταστροφής ώστε να διαπιστωθεί η επάρκεια του σχεδίου Χρήση και άλλων συσχετισμένων σχεδίων Μια ή δύο φορές τον χρόνο Άσκηση κρίσιμων δραστηριοτήτων Ενεργοποίηση του σχεδίου σε ελεγχόμενη κατάσταση που δεν επηρεάζει τη λειτουργία του οργανισμού Υλοποίηση συγκεκριμένων λειτορυγιών από την ενεαλλακτική θέση για συγκεκριμένο χρόνο Μια φορά τον χρόνο ή λιγότερο συχνά ΜεγάληΠλήρης δοκιμή του σχεδίου Πλήρης δοκιμή σε όλο το πεδίο εφαρμογής του σχεδίου Μια φορά τον χρόνο ή λιγότερο συχνά

59 Συντήρηση και επικαιροποίηση  Καθορίζεται η συχνότητα επανάληψης των παραπάνω φάσεων για την εκ νέου διαμόρφωση ή επικαιροποίησή του.  Παράλληλα, περιγράφεται η διαδικασία αυτή και ανατίθεται ως αρμοδιότητα σε συγκεκριμένο άτομο ή άτομα, ώστε να διασφαλιστεί η συντήρηση – επικαιροποίηση του σχεδίου εκτάκτως, κάθε φορά που επέρχονται σημαντικές αλλαγές. 59 Τμήμα Ψηφιακών Συστημάτων

60 Πόσο πρέπει να επενδύσουμε;…  Η υλοποίηση μέτρων συνεπάγεται κόστος, το οποίο ονομάζουμε κόστος ανάκαμψης (Cost of Recovery- CoR).  Ακόμη και αν ληφθούν μέτρα, η καταστροφή θα επιφέρει κάποιο κόστος στον οργανισμό, λόγω της μη διαθεσιμότητας των Πληροφοριακών Συστημάτων μέχρι να αποκατασταθεί η λειτουργία τους, ως αποτέλεσμα της εφαρμογής των μέτρων. Ονομάζουμε το κόστος αυτό κόστος υπολοίπου επιπτώσεων (Cost of Remaining Impact-CoRI).  Το συνολικό κόστος της καταστροφής (Total Cost of Destruction-TCD), είναι το άθροισμα των δύο παραπάνω ποσοτήτων (CoR και CoRI). 60 Τμήμα Ψηφιακών Συστημάτων

61 …Πόσο πρέπει να επενδύσουμε; 61 Τμήμα Ψηφιακών Συστημάτων

62 Μελέτη περίπτωσης σε φορέα υγείας 62 Τμήμα Ψηφιακών Συστημάτων

63 Χαρακτηριστικά του φορέα  Φορέας παροχής πρωτοβάθμιων υπηρεσιών υγείας  Προσωπικό ~100 άτομα  Ετήσιος κύκλος εργασιών ~2 Μ€  ~200 k€ ετησίως σε ΤΠΕ  Βασικός σχεδιασμός BC με χειρόγραφο σύστημα παραγωγικότητας ~50%  Εφαρμογή προτύπων ποιότητας ISO 9001, ISO 27001 63 Τμήμα Ψηφιακών Συστημάτων

64 Οργάνωση – μοντέλο λειτουργίας (1/2)  Ιατρικές υπηρεσίες  Κλινική φροντίδα  Ιατρικές απεικονίσεις  Βιοπαθολογικά εργαστήρια  Αποκατάσταση-αποθεραπεία  Διοικητικές υπηρεσίες  Οικονομικές υπηρεσίες 64 Τμήμα Ψηφιακών Συστημάτων

65 Οργάνωση – μοντέλο λειτουργίας (2/2)  Τεχνικές υπηρεσίες  Υπηρεσίες πληροφορικής  Υπηρεσίες βιοϊατρικής τεχνολογίας  Υπηρεσίες ολικής ποιότητας  Υπηρεσίες εσωτερικού ελέγχου  Νομική υπηρεσία 65 Τμήμα Ψηφιακών Συστημάτων

66 Πληροφοριακά συστήματα 66 Τμήμα Ψηφιακών Συστημάτων

67 Πηγές  Βιβλιογραφική έρευνα  Συνέντευξη με πρόσωπα-κλειδιά  Αρχειακή έρευνα – ανασκόπηση  Παρατήρηση  Ερωτηματολόγια  Πρακτική εμπειρία 67 Τμήμα Ψηφιακών Συστημάτων

68 Προκαταρκτικός έλεγχος (1/2) 68 Τμήμα Ψηφιακών Συστημάτων

69 Προκαταρκτικός έλεγχος (2/2) 69 Τμήμα Ψηφιακών Συστημάτων

70 Προκαταρκτικός έλεγχος (2/2) 70 Τμήμα Ψηφιακών Συστημάτων

71 Σύνοψη μέχρι τώρα συμπερασμάτων 71 Τμήμα Ψηφιακών Συστημάτων

72 BIA: Αναγνώριση και αξιολόγηση κρίσιμων λειτουργιών (1/6) RPO = Recovery Point Objective: H ανεκτή παλαιότητα των δεδομένων μετά από την ολοκλήρωση της διαδικασίας ανάκτησης. MTD = Maximum Tolerable Downtime- MTD): O μέγιστος αποδεκτός χρόνος δυσλειτουργίας RTO = Recovery Time Objective: Ο χρόνος που χρειαζόμαστε για να ανακάμψουμε από μια καταστροφή 72 Τμήμα Ψηφιακών Συστημάτων

73 BIA: Αναγνώριση και αξιολόγηση κρίσιμων λειτουργιών (2/6)  Διαδικασία μέσω ερωτηματολογίου.  Στόχοι του ερωτηματολογίου  Η αναγνώριση όλων των λειτουργιών του οργανισμού που βασίζονται σε ΠΣ και αντίστροφα  Η εκτίμηση του μέγιστου ανεκτού χρόνου συνέχισης των λειτουργιών (MTD) χωρίς τα απαραίτητα ΠΣ, και μετά το πέρας του οποίου αναμένεται να εμφανιστούν οι επιπτώσεις  Η αναγνώριση και αξιολόγηση των επιπτώσεων μετά το πέρας του παραπάνω χρόνου  Η αναγνώριση του μέγιστου ανεκτού χρόνου απώλειας δεδομένων (RPO)  Η αναγνώριση τυχών αλληλεξαρτήσεων ορισμένων λειτουργιών 73 Τμήμα Ψηφιακών Συστημάτων

74 BIA: Αναγνώριση και αξιολόγηση κρίσιμων λειτουργιών (3/6)  Κλιμάκωση MTD  ≤ 4 ώρες  ≤ 1 ημέρα  ≤ 3 ημέρες  ≤ 1 εβδομάδα  Κλιμάκωση RPO  ≤ 1 ώρα  ≤ 1 ημέρα  ≤ 1 εβδομάδα 74 Τμήμα Ψηφιακών Συστημάτων

75 BIA: Αναγνώριση και αξιολόγηση κρίσιμων λειτουργιών (4/6) 75 Τμήμα Ψηφιακών Συστημάτων

76 BIA: Αναγνώριση και αξιολόγηση κρίσιμων λειτουργιών (5/6) 76 Τμήμα Ψηφιακών Συστημάτων

77 BIA: Αναγνώριση και αξιολόγηση κρίσιμων λειτουργιών (6/6) 77 Τμήμα Ψηφιακών Συστημάτων

78 BIA: Αντιστοίχιση λειτουργιών με ΠΣ και προτεραιοποίηση ανάκαμψης (1/2) Σε κάθε ΠΣ επιλέγουμε την υψηλότερη απαίτηση 78 Τμήμα Ψηφιακών Συστημάτων

79 BIA: Αντιστοίχιση λειτουργιών με ΠΣ και προτεραιοποίηση ανάκαμψης (2/2) Στη συγκεκριμένη περίπτωση: Για τον CI, τη μεγαλύτερη τιμή Για το MTD, τη μικρότερη Για το RPO, τη μικρότερη 79 Τμήμα Ψηφιακών Συστημάτων

80 BIA: Αναγνώριση πόρων ΠΣ και καθορισμός απαιτήσεων ανάκαμψης (1/2) 80 Τμήμα Ψηφιακών Συστημάτων

81 BIA: Αναγνώριση πόρων ΠΣ και καθορισμός απαιτήσεων ανάκαμψης (2/2) 81 Τμήμα Ψηφιακών Συστημάτων

82 Αναγνώριση και αξιολόγηση πιθανότητας καταστροφών 82 Τμήμα Ψηφιακών Συστημάτων

83 Αξιολόγηση προληπτικών μέτρων 83 Τμήμα Ψηφιακών Συστημάτων

84 Αξιολόγηση πιθανών καταστροφών και προληπτικών μέτρων (1/2) 84 Τμήμα Ψηφιακών Συστημάτων

85 Αξιολόγηση πιθανών καταστροφών και προληπτικών μέτρων (2/2) 85 Τμήμα Ψηφιακών Συστημάτων

86 Συγκεντρωτικός πίνακας Αντιμέτρων – Κόστους 86 Τμήμα Ψηφιακών Συστημάτων

87 Επιλογή στρατηγικής (1/3) 87 Τμήμα Ψηφιακών Συστημάτων

88 Επιλογή στρατηγικής (2/3) 88 Τμήμα Ψηφιακών Συστημάτων

89 Επιλογή στρατηγικής (3/3) 89 Τμήμα Ψηφιακών Συστημάτων

90 Ρόλοι 90 Τμήμα Ψηφιακών Συστημάτων

91 Δοκιμές και εκπαίδευση 91 Τμήμα Ψηφιακών Συστημάτων

92 92 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!