Nykyään kyberturvallisuudessa on kyse valmiina olemisesta silloin kun, ei jos, hyökkäys tapahtuu. Ja kun IT-ympäristöistä tulee liiketoiminnan kannalta yhä tärkeämpiä, yritykset ja viranomaiset ovat aiempaa haavoittuvaisempia erilaisille teknisille ongelmille syystä huolimatta. Tästä syystä varmuuskopiointi- ja Disaster Recovery (DR) -palveluiden tarve on kasvussa.
Kahdessa amerikkalaisessa tutkimuksessa ("2016 Disaster Recovery and Business Continuity Survey" ja "2017 Disaster Recovery Survey Report" ) haastateltiin noin 800 yritysjohtajaa ja IT-asiantuntijaa. Tilanne osoittautui erittäin monijakoiseksi, sillä jotkin yritykset ovat valmistautuneet erittäin hyvin mutta toisilla (toisessa tutkimuksessa 4,5 ja toisessa kahdeksan prosenttia osallistuneista yrityksistä) ei ole minkäänlaista DR-ratkaisua.
– Kaikki konesaleissa viimeisten 15 vuoden aikana tapahtunut kehitys on tapahtunut tuotantopuolella. Varmuuskopiointia ja DR:ää ei ole pidetty riittävän seksikkäinä. Yritykset eivät ole halunneet käyttää rahaa DR-ratkaisun päivittämiseen, sanoo Rikard Stjernman, joka työskentelee Sales Engineerinä Cloud Data Management -yritys Rubrikissa.
Sen vuoksi yritysten varmuuskopiointi- ja DR-ratkaisuista on tullut liian monimutkaisia, mikä johtaa sekä turvallisuusriskeihin että kasvaneisiin kustannuksiin.
– Ei ole epätavallista, että varmuuskopiointiratkaisu maksaa yhtä paljon tai jopa enemmän kuin konesalin ensisijainen järjestelmä, hän sanoo.
Ja vaikka ratkaisut hoitaisivatkin hommansa kunnolla, ne vaativat paljon tehoa.
– Varmuuskopioista vastuussa olevat sanovat minulle monesti, että varmuuskopiointi on hankalaa ja kallista, hän sanoo.
Tämä on todennäköisesti yhteydessä siihen, että niin suuri osuus kaikista ongelmatilanteista (23 ja 19 prosenttia eri tutkimuksissa) johtuu inhimillisestä erehdyksestä.
– Monimutkainen ja hankala ratkaisu jättää enemmän tilaa virheille. Me uskomme automatisointiin – annetaan koneiden tehdä niin paljon kuin mahdollista.
Linkki liiketoiminnan ja IT:n välillä
Disaster Recoverystä huolehtiminen fiksulla tavalla edellyttää sitä, että IT-päällikkö toimii linkkinä yrityksen johdon ja IT-teknikoiden välillä. IT-päällikön on juteltava työntekijöidensä kanssa ja hankittava hyvä kuva yrityksen tilasta. Sen jälkeen hänen on juteltava johtokunnan kanssa siten, että kaikki ymmärtävät, mistä on kyse.
– Tarvitsemme yhteistä kieltä tietojen hallinnasta puhumiseen. Tekniset termit kannattaa unohtaa. Niiden sijaan tulee pyrkiä määrittämään SLA:n (Service Level Agreement) palvelutaso yksinkertaisella tavalla. Siinä voi hyödyntää yksinkertaisia kysymyksiä, kuten "miten pitkään haluamme tallentaa tiedot?" ja "minne haluamme tallentaa tiedot, konesaliin vai pilveen?", Rikard Stjernman sanoo.
Monet tutkimukseen vastanneista kaipaavat alhaista RPO:ta (”Recovery Point Objective”) eli mahdollisimman lyhyttä varmuuskopioiden välistä aikaa. Varmuuskopiointi- ja DR-ratkaisun todellinen testi on kuitenkin RTO, ”Recovery Time Objective”. Se osoittaa, miten nopeasti järjestelmä on taas käyttövalmis ongelmatilanteen jälkeen. Noin 30 prosenttia toiseen kyselyyn vastanneista ilmoitti, että yrityksen RTO on ylittää yhden työpäivän. Samalla 36 prosenttia yrityksistä arvioi, että päivän seisokkiaika maksaa 10000–100000 dollaria. Peräti 21 prosenttia ilmoitti, että ei edes tiedä yrityksensä RTO:ta.
– Se johtuu luultavasti siitä, että sen testaaminen on liian hankalaa, tai siitä, että testi on suoritettu vain kerran, DR-ratkaisun käyttöönoton yhteydessä. RTO:n tietäminen edellyttää säännöllisiä testejä, Rikard Stjernman sanoo.
Testattu ja toimiva DR-ratkaisu tuo mukanaan paljon muitakin etuja kuin pelastuksen onnettomuuden sattuessa.p>
– Sitä voi käyttää siirtymisessä pilviratkaisuun tai uuteen alustaan. Testit voi suorittaa todellisten tuotantotietojen perusteella toissijaisessa ympäristössä. Lisäksi voit etsiä tiedoissa olevia poikkeamia ja havaita tietomurtoyritykset aikaisessa vaiheessa.p>
Lue lisää Disaster recovery as a Servicesta täältä
Näin IT-katastrofi ehkäistään
- Kaikkein tärkeintä on valmistautuminen. Varmuuskopiointi- ja Disaster Recovery -ratkaisu on testattava. Parasta olisi toteuttaa säännöllisiä harjoituksia, niin että kaikki tietävät, mitä ongelmatilanteen tapahtuessa pitää tehdä. Neljäsosa 2016 Disaster Recovery and Business Continuity Survey -kyselyyn vastanneista kertoi joutuneensa muuttamaan rutiinejaan viimeisen ongelmatilanteen jälkeen.
- Tutkimusten mukaan lähes 70 % kaikista CEO:ista, CFO:ista ja COO:ista pitää yritystään "hyvin valmistautuneena" palautumaan katastrofista, mutta vain 44 % IT-henkilöstöstä on samaa mieltä (tiedot 2016 Disaster Recovery and Business Continuity Survey -tutkimuksesta). Linkkinä liiketoiminnan ja IT:n välillä CIO:lla on tärkeä rooli huolehtia siitä, että johtokunnan odotukset vastaavat todellisuutta onnettomuuden sattuessa.
- Vähennä inhimillisen erehdyksen riskiä. Tee hyvien varmuuskopiointi- ja Disaster Recovery -rutiinien omaksumisesta helppoa ja automatisoi niin suuri määrä prosesseja kuin mahdollista.