September 21
Con la recente proliferazione di disastri in tutto il mondo, la pianificazione di disaster recovery è diventato più critico per la maggior parte delle imprese e delle organizzazioni. L'analisi del rischio è una parte significativa della pianificazione del disaster recovery, e procedure di raccolta dati buoni aumentare l'accuratezza dell'analisi dei rischi.
L'analisi del rischio è costituito principalmente da raccolta dei dati e l'analisi dei dati. Il processo prevede l'individuazione di potenziali minacce a un business, determinare la probabilità di ogni materializzazione minaccia e l'assegnazione di un valore agli effetti di una minaccia materializzato. Alcuni rischi sono inerenti alla posizione geografica di una società. Alcuni sono inerente i dipendenti che una società assunzioni. Ancora altri rischi sono una parte di un'organizzazione & rsquo; s particolare funzione. Per esempio, una ditta che produce esplosivi comporta alcuni rischi definiti ogni giorno solo in funzione di ciò che fa. Il processo di assegnazione valore del dollaro per l'impatto di un determinato rischio si chiama analisi di impatto sul business.
Per un'organizzazione per determinare dove investire le proprie risorse di mitigazione del rischio, si deve determinare l'impatto di perdere una particolare funzione di business per un determinato periodo di tempo. Il processo di BIA utilizza in genere un questionario per raccogliere questi dati. Ogni reparto deve rispondere a una serie di domande circa la sua funzione e l'impatto di perdere la capacità di svolgere tale funzione. Alcune delle domande tipiche sono i seguenti:
How long can this department function with no equipment or information technology access?
List the most critical tasks this department performs, both automated and manual.
Identify the frequency of the tasks listed.
Does this department use documentation that should be stored offsite?
Could this department function without the primary application/data servers? For how long?
Do you back up the department computers?
Is departmental computer backup media stored offsite?
Has a restore of the backups been tested?
What critical interdepartmental dependencies exist?
What compliance issues would arise from an inability to perform business functions?
What staffing is required to perform the critical business functions of this department?
Are job descriptions for these positions maintained?
Is there a cross-training plan in place for this department?
What supplies would this department need in the event of a disaster?
What equipment is required to perform the critical business functions of this department?
Does this department maintain a vendor contact list?
Are the department’s contingency plans documented?
Naturalmente, questo elenco non è completo, e un questionario dovrebbe essere adattata ad una particolare organizzazione & rsquo; s esigenze e circostanze. L'elenco delle domande deve essere il più completo possibile per raccogliere le informazioni richieste.
Spesso le domande sono distribuiti ai vari reparti (tra cui IT) sulla carta, e faccia a faccia interviste sono a volte necessari. Inoltre, un'organizzazione può utilizzare un rilevamento elettronico per raccogliere i dati. Gli utenti sono più qualificati per rispondere alle domande che riguardano la loro particolare reparto e sono quindi la migliore fonte di informazioni. L'obiettivo è quello di garantire che il processo non è tanto di un onere per il ramo d'azienda che il questionario viene data la priorità bassa, o peggio, è frettolosamente e impropriamente risposto per rimuoverlo dalla lista delle attività.
Dopo le risposte a queste domande sono raccolti, la vera analisi del rischio può iniziare. Il team di analisi di rischio può procedere per risolvere i dati e ottenere una maniglia su ciò che il reale impatto di un disastro avrebbe sui vari reparti e l'azienda nel suo complesso. Il team realizza questo classificando i dati che sono stati raccolti, l'assegnazione di valori e misurare l'impatto riportato. Questo può essere tradotto in un dollaro effetto sul business, che dà la direzione aziendale su dove spendere dollari di mitigazione del rischio. L'avvertenza è che i risultati sono solo accurato come le informazioni fornite nella risposta al questionario. Così, è di estrema importanza che le varie unità di business di un'organizzazione riflettere attentamente e rispondere con onestà e precisione. Anche se la tentazione è vero dire che ogni downtime a tutti è inaccettabile, questo non è certo il caso per la maggior parte delle funzioni aziendali.
Come l'azienda utilizza i dati raccolti per investire in strategie di mitigazione del rischio, come il backup, l'archiviazione fuori sede, accordi sito di ripristino e di formazione, il piano per il recupero da un disastro si sviluppa. Questo piano dovrebbe essere documentato bene, ei dati raccolti dalla BIA è di estrema importanza nel piano. Tali informazioni individua le funzioni aziendali più critiche che diventano la priorità al recupero in caso di catastrofe. È inoltre indispensabile che l'azienda a sviluppare un buon programma di formazione per comunicare il piano e che la società mette alla prova il piano periodicamente e rende miglioramenti.
Se i dati precisi è stato raccolto, l'analisi è stata approfondita e un piano solido è stato sviluppato, sperimentato e raffinato, un'organizzazione è in una posizione molto migliore nel caso di qualche disastro. I piani elaborati in base ai dati raccolti possono essere attivate, le funzioni critiche possono essere recuperati con priorità adeguata e il business possono rimanere in attività.