Perencanaan pemulihan bencana era cloud: Pemeliharaan dan peningkatan berkelanjutan

Perencanaan pemulihan bencana era cloud: Pemeliharaan dan peningkatan berkelanjutan

Artikel sebelumnya dalam seri ini telah menawarkan panduan tentang cara membuat rencana pemulihan bencana TI (DR) untuk lingkungan cloud dan menerapkannya.

Pada bagian pertama, kami memeriksa risiko dan dampak bisnis penilaian sebagai blok bangunan awal. Kami melihat pengembangan rencana DR secara rinci di bagian kedua. Yang ketiga melihat kesadaran staf tentang DR, pelatihan, dan bagaimana mengelola sebuah insiden.

Dalam artikel terakhir ini, kita melihat mempertahankan rencana pemulihan bencana dan bagaimana meninjau dan mengauditnya dalam suatu proses dari perbaikan terus-menerus.

Langkah terakhir dalam perencanaan DR

Langkah terakhir dalam proses perencanaan pemulihan bencana TI adalah:

  • Menetapkan proses untuk menjaga Rencana TI dan semua aktivitas TI terkait terkini.
  • Audit dan tinjau rencana untuk memastikan rencana tersebut masih sesuai dengan tujuan dan konsisten dengan standar dan kontrol manajemen yang berlaku.
  • Menetapkan proses untuk perbaikan berkelanjutan dari keseluruhan program IT DR.

Penggunaan teknologi cloud membuat langkah terakhir ini sama pentingnya dengan yang disebutkan di artikel sebelumnya karena layanan cloud banyak digunakan untuk sistem TI produksi serta strategi dan perencanaan DR TI.

Standar yang dirujuk dalam perencanaan DR

Setiap artikel dalam seri ini telah mengacu pada standar internasional yang penting – ISO/IEC 27031:2011, Teknologi informasi – Teknik keamanan – Pedoman kesiapan teknologi informasi dan komunikasi untuk kelangsungan bisnis. Ini dianggap sebagai standar global untuk pemulihan bencana TI yang berlaku untuk pengguna.

Standar ISO lainnya, ISO/IEC 24762 :2008, membahas pemulihan bencana TI dari perspektif penyedia layanan dan harus ditinjau dengan cermat saat layanan cloud sedang dipertimbangkan. Kedua standar dapat membantu mengembangkan dan mengimplementasikan program DR.

Bagian 8 (Memantau dan Meninjau ) dan 9 (Peningkatan IRBC ) dalam ISO 27031 mengatasi masalah yang dijelaskan dalam artikel ini. Di antara poin-poin kuncinya adalah sebagai berikut:

  • Manajemen puncak harus terlibat secara aktif dalam proses TI/DR.
  • Tes dan latihan harus dilakukan untuk memastikan rencana mutakhir dan sesuai dengan tujuan.
  • Rencana dan program harus ditinjau dan diperbarui secara berkala, terutama setelah menyelesaikan latihan.
  • Infrastruktur operasi TI harus dipantau untuk mendeteksi kemungkinan ancaman.
  • Rencana dan program harus diperiksa oleh auditor internal (atau auditor eksternal jika diperlukan) untuk memastikan kepatuhan terhadap standar dan peraturan yang sesuai.
  • Kesiapan organisasi untuk potensi gangguan TI harus dipantau dan dinilai secara teratur.
  • Sebagai bagian dari proses peninjauan, kegiatan peningkatan berkelanjutan memastikan bahwa TI DR inisiatif akan berjalan sesuai kebutuhan.

Pemeliharaan, audit, dan peningkatan berkelanjutan dalam proses perencanaan DR

    Artikel sebelumnya dalam seri ini dijelaskan bagaimana strategi dan prosedur DR membantu organisasi melindungi investasi mereka dalam sistem TI dan infrastruktur operasi. Misi utama pemulihan bencana adalah mengembalikan operasi TI ke tingkat kinerja yang dapat diterima secepat mungkin setelah peristiwa yang mengganggu.

    Penggunaan layanan cloud dapat sangat meningkatkan kemampuan organisasi untuk bertahan dari gangguan terhadap TI operasi dengan mencadangkan aplikasi dan data penting, melindungi konektivitas jaringan penting menggunakan sumber daya keamanan yang ditingkatkan, dan menjadi peserta aktif dalam tes dan latihan DR.

    Namun, sebelum berinvestasi dalam solusi cloud, penting untuk melakukan uji tuntas yang ekstensif, tidak hanya pada calon pemasok cloud tetapi juga pada layanan yang mereka tawarkan dan kebijakan mereka terkait aktivitas dukungan pelanggan DR, seperti berpartisipasi dalam pengujian DR.

    Gambar 1 menggambarkan TI siklus hidup pemulihan bencana, dan diadaptasi dari ISO 27031. Ini menunjukkan di mana pemeliharaan dan audit cocok dengan siklus hidup IT DR secara keseluruhan. Perbaikan berkelanjutan idealnya terjadi di semua titik dalam siklus hidup perencanaan DR, dan dapat diimplementasikan melalui manajemen program yang efektif serta tinjauan dan penilaian program berkala.

    Gambar 1: Tahapan siklus hidup pemulihan bencana TI

    Aktivitas yang ditunjukkan pada Gambar 1 harus disesuaikan dengan teknologi dan layanan cloud saat diimplementasikan dalam organisasi. Perbedaan utama adalah bahwa layanan cloud terletak di tempat lain dan tidak dapat dikelola secara aktif oleh pengguna. Keberhasilan penggunaan teknologi cloud bergantung pada pemasok dan seberapa baik pengguna bekerja dengan mereka.

Membangun rencana pemeliharaan IT DR

    Saat membuat rencana pemeliharaan DR teknologi, pastikan untuk mendapatkan tinjauan dan persetujuan manajemen senior. Mungkin juga tepat untuk mengundang pemasok layanan cloud untuk berpartisipasi dalam aktivitas pemeliharaan, jika mereka memberikan tingkat dukungan tersebut.

    Aktivitas utama untuk pemeliharaan rencana DR yang berhasil mencakup daftar periksa berikut.

    Menetapkan jadwal pemeliharaan rencana kegiatan yang berkelanjutan. Sertakan pembaruan untuk:

    • Penilaian risiko yang ada (RA).
    • Analisis dampak bisnis (BIA) – dan pembaruan terhadap BIA yang ada.
  • Rencana ulasan.
  • Rencana latihan.
  • Daftar kontak.
  • Rencanakan pelatihan dan kegiatan penyadaran.
  • Program pemeliharaan dapat dimulai menggunakan spreadsheet dengan judul yang ditunjukkan pada Gambar 2.

    Gambar 2: Judul spreadsheet rencana pemeliharaan DR

    Tugas pemeliharaan DR harus mencakup kebutuhan untuk:

    • Mengkoordinasikan kegiatan pemeliharaan DR dengan TI yang ada aktivitas seperti manajemen perubahan, pemeliharaan perangkat keras dan perangkat lunak, dan operasi meja bantuan. Berkoordinasi dengan pemasok cloud jika memungkinkan.
    • Dokumentasikan semua tindakan pemeliharaan, termasuk tanggal dan waktu pemeliharaan dilakukan, ringkasan kegiatan pemeliharaan, aktivitas layanan cloud, dan persetujuan sesuai kebutuhan.
    • Manfaatkan sumber daya internal yang ada, seperti intranet perusahaan, untuk menyediakan repositori yang aman untuk kegiatan pemeliharaan. Koordinasikan aktivitas ini dengan pemasok cloud.
    • Buat laporan berkala – triwulanan, misalnya – kepada manajemen, yang menyoroti status pemeliharaan kegiatan dan masalah yang perlu ditangani.
    Membangun rencana audit TI/DR

      Audit berkala atas rencana TI DR, baik oleh departemen audit internal atau perusahaan audit eksternal, membantu memastikan mereka tetap sesuai dengan tujuan dan sesuai dengan standar industri dan kebijakan TI perusahaan. Pertimbangkan tip berikut untuk proses ini:

      • Siapkan rencana audit untuk pemulihan bencana TI dengan mendefinisikan dan mendokumentasikan kriteria audit , ruang lingkup, metode dan frekuensi (audit tahunan, misalnya).
      • Pastikan hanya auditor yang memenuhi syarat yang ditunjuk untuk audit . Periksa untuk memastikan firma audit memiliki keahlian dalam kelangsungan bisnis, pemulihan bencana, dan layanan cloud.
      • Pilih dan libatkan auditor dan lakukan audit untuk memastikan objektivitas dan keberpihakan selama proses audit.
      • Menetapkan proses untuk memastikan bahwa kekurangan yang diidentifikasi dalam audit dikoreksi dalam jangka waktu yang disepakati.
      • Pastikan audit menangani organisasi internal dan eksternal (misalnya, mengaudit pemasok layanan cloud untuk memastikan kemampuan mereka mendukung strategi dan rencana pemulihan bencana TI organisasi). Periksa terlebih dahulu dengan pemasok cloud tentang kebijakan mereka terkait partisipasi dalam audit pengguna.
      • Lakukan audit ketika ada perubahan signifikan pada Layanan IT DR, layanan berbasis cloud, kelangsungan bisnis dan/atau persyaratan pemulihan bencana.
      • Dokumentasikan hasil audit dan laporkan kepada manajemen puncak, yang harus meninjau hasil dan mendukung tindakan korektif tindak lanjut.
      • ISO 27031 dapat membantu mempersiapkan audit karena mengidentifikasi masalah audit yang relevan.

    Membangun kemampuan peningkatan berkelanjutan

    Setelah program IT DR selesai, Anda dapat meluncurkan proses perbaikan berkelanjutan yang berkelanjutan. Pastikan bahwa aktivitas di bagian proses ini berkoordinasi dengan pemasok cloud dan penawaran layanan mereka.

    Tahap ini terkait dengan aktivitas pemeliharaan dan audit yang telah dibahas sebelumnya, dan memanfaatkan hasil keduanya.

    Pastikan untuk mengamankan otorisasi manajemen puncak saat mengorganisir program perbaikan berkelanjutan.

    Terus meningkatkan kegiatan bencana dan kelangsungan bisnis DR dengan memantau program secara keseluruhan dan menerapkan tindakan pencegahan dan korektif, seperti tinjauan berkala terhadap kinerja program.

    Pertahankan kesadaran akan setiap perubahan dalam bisnis, seperti merger atau akuisisi atau perubahan dalam penawaran layanan dari pemasok cloud, dan pastikan perubahan ini dimasukkan ke dalam rencana dan dukungan DR program. Sangat penting bahwa program DR secara akurat mencerminkan keadaan organisasi saat ini dan operasinya.

    Ringkasan

      Artikel ini telah menjelaskan cara menetapkan aktivitas pemeliharaan, audit, dan peningkatan berkelanjutan untuk memastikan program IT DR dan rencana terkait tetap terkini, aktivitasnya konsisten dengan praktik DR yang baik serta standar yang berlaku, rencana tersebut selaras dengan tujuan dan strategi organisasi, dan bahwa program tersebut terus dipantau dan dievaluasi untuk perbaikan.

    Baca selengkapnya