Les initiatives de la technologie de la reprise après sinistre (DR) fournissent des stratégies et des procédures qui peuvent aider les organisations à protéger les investissements dans les systèmes informatiques et les infrastructures.La mission essentielle pour la reprise après sinistre est de renvoyer les opérations informatiques à un niveau de performance acceptable le plus rapidement possible après un événement perturbateur.Le développement et l'acceptation rapide des technologies basées sur le cloud ont considérablement amélioré le processus IT DR.
Un plan de reprise après sinistre a une structure cohérente qui facilite l'organisation et l'activité de développement.Examinons le flux d'un programme.
Figure 1 is adapted from International Standard ISO 27031:2011, developed by the International Organisation for Standardisation (ISO), Information technology – security techniques – guidelines for information and communications technology readiness for business continuity.Il utilise le modèle Plan-Do-Check-ACT présent dans les normes ISO actuelles.
Comme on peut le voir sur la figure 1 ci-dessous, le processus de reprise après sinistre informatique (également appelé Information and Communications Technology / ICT Continuity) a un flux de processus standard, basé sur le modèle ISO Plan-Do-Check-ACT.
Les analyses d'impact commercial (BIA) sont généralement effectuées avant une évaluation des risques pour identifier les fonctions commerciales les plus importantes et les systèmes et actifs informatiques qui les soutiennent.
Ensuite, l'évaluation des risques (RA) examine les menaces et vulnérabilités internes et externes qui pourraient avoir un impact négatif sur les actifs informatiques.La disponibilité des services basés sur le cloud, qui sont généralement situés ailleurs en dehors du contrôle d'un service informatique, souligne l'importance d'effectuer ces deux activités analytiques.
Une fois les systèmes critiques, les fonctions commerciales critiques et les risques associés à chacun ont été définis, la prochaine étape consiste à définir des stratégies pour atténuer les risques et menaces pour ces actifs critiques.
Deux exemples de ces stratégies pourraient être de contracter pour le stockage hors site de données et de systèmes critiques à l'aide d'une entreprise de services cloud tiers tels que Amazon Web Services (AWS) ou Microsoft Azure, et pour trouver des actifs informatiques critiques tels que les serveurs et les routeursDe plusieurs fournisseurs.
Les plans DR fournissent un processus étape par étape pour répondre à un événement perturbateur - comme identifié dans l'évaluation des risques.Les étapes de réponse sont conçues pour fournir un processus facile à utiliser et reproductible pour récupérer les actifs informatiques endommagés et les rendre à un fonctionnement normal le plus rapidement possible.Cela présente un défi intéressant avec les services basés sur le cloud, en ce sens que le service informatique n'a pratiquement aucun contrôle pratique des services fournis et doit être particulièrement proactif lors de l'évaluation - et de la gestion par la suite - un fournisseur de services cloud.
Les exercices aident à déterminer si les procédures de reprise après sinistre fonctionnent comme prévu.Une variété d'exercices peuvent être effectués, allant d'un examen de table (généralement dans une salle de conférence) de plans et de leurs procédures de récupération associées, à un exercice de «fiche» à grande échelle qui examine ce qui se passe lorsque le système réel échoue.
Dans un environnement cloud, le fournisseur de services DR peut offrir sa propre version de l'exercice DR, et il est important d'examiner ce qui peut être fait avant de contracter un service cloud.Il est particulièrement important de découvrir quelles ressources le fournisseur utilisera, quelle quantité de données de performance de l'exercice peut être fournie et comment les utilisateurs activement impliqués peuvent être pendant un exercice.
La maintenance du plan garantit qu'un processus est établi qui s'adapte à la gestion du changement, aux changements de personnel et à d'autres situations qui peuvent affecter le contenu et l'efficacité du plan.La maintenance garantit que les plans sont adaptés à l'objectif et alignés sur les opérations actuelles de dotation et d'entreprise.
Les fournisseurs de DR basés sur le cloud peuvent offrir des types de services similaires aux clients et peuvent offrir une flexibilité pendant les activités de développement et de maintenance du plan.Il est très important d'étudier soigneusement tous les services disponibles auprès d'un fournisseur de cloud et de comparer les coûts de la gestion tiers par rapport à la gestion des utilisateurs.
Normes de biais et de Ras
L'ISO a une norme pour effectuer une analyse d'impact commercial qui fournit des directives utiles pour la planification et l'exécution d'une BIA. It is called ISO 22317:2015, Societal security – business continuity management systems – business impact analysis. When conducting a risk assessment, a useful standard is available from the US National Institute for Standards and Technology (NIST). The standard is NIST SP 800-30 (2012), Guide for conducting risk assessments.
Analyse de l'impact commercial (BIA)
L'étape analytique initiale est l'analyse de l'impact commercial, qui identifie les processus métier les plus importants (critiques) et le soutien aux actifs informatiques.
La BIA aide à identifier des conséquences supplémentaires à une organisation si les fonctions commerciales clés sont perturbées, y compris la perte de clients, les mauvaises performances financières, les dommages à la réputation et les impacts sur les employés et les chaînes d'approvisionnement.Une fois les activités commerciales les plus importantes et les systèmes et les données qui les soutiennent sont identifiés, l'étape suivante est l'analyse des risques.
Une BIA utilise une série de questions présentées aux dirigeants et aux experts en matière de chaque unité d'exploitation de l'entreprise, y compris l'informatique.Les questions doivent résoudre les problèmes suivants, au minimum:
Les résultats de la BIA présentent une image claire des impacts réels sur l'entreprise, en termes de problèmes potentiels et de coûts probables.Les résultats de la BIA aident à déterminer quelles zones nécessitent une protection, le montant de la tolérance aux entreprises aux perturbations, le niveau de service informatique minimum nécessaire à l'entreprise et le montant maximum du temps d'arrêt avant le début de l'entreprise à échouer.
Évaluation des risques (RA)
Le monde informatique se concentre généralement sur un ou plusieurs des scénarios de risque suivants, dont la perte aurait très certainement un impact négatif sur la capacité de l'organisation à mener des affaires:
La disponibilité des services basés sur le cloud signifie que la perte de contrôle est un risque certain pour les services informatiques.La planification et la gestion du DR sur place peuvent être gérées de bout en bout.Mais avec le nuage, le contrôle de nombreuses fonctions se retire au tiers.Le leadership informatique doit décider si le risque inhérent à l'utilisation du cloud vaut la peine d'être pris.
Les évaluations des risques identifient et analysent les risques, les menaces et les vulnérabilités qui peuvent conduire aux résultats ci-dessus.Bien que de nombreuses façons d'effectuer une analyse des risques soient disponibles, le tableau 1 fournit une approche simple qui peut être facilement mise en œuvre.Le défi consiste à valider les hypothèses du facteur de risque avec la haute direction.
Le tableau 1 fournit des exemples réalistes d'événements de risque sur place et basés sur le cloud.Sur la base de l'expérience et des statistiques disponibles, comme des compagnies d'assurance ou des données actuarielles, il est possible d'estimer la probabilité d'événements spécifiques survenant sur une échelle de 0 à 1 (0.0 = ne se produira jamais, et 1.0 = se produira toujours).Faites ensuite de même avec l'impact de l'événement, en utilisant une plage de 0 à 1 (0.0 = aucun impact du tout, et 1.0 = perte totale d'opérations).La dernière colonne répertorie le produit de vraisemblance multiplié par l'impact.Cela devient un «facteur de poids du risque».Les situations avec les facteurs de poids le plus à risque deviennent les événements à régler par les plans DR.
Les traitements à risque comprennent les éléments suivants:
La relation entre BIA et RA
Lorsque l'analyse de l'impact commercial et l'évaluation des risques ont été terminées, l'étape suivante consiste à corréler les données de chaque activité dans un tableau (ou un autre format) qui présente les risques critiques et les impacts commerciaux causés par les risques qui se produisent.
Le tableau suivant comprend également l'objectif de temps de récupération (RTO), une métrique développée à partir de la BIA qui indique la durée de la durée d'un système / processus avant que l'organisation ne soit en mesure de fonctionner normalement.Le tableau 2 illustre un moyen de cartographier les résultats de la BIA et de la RA dans un rapport pour Top Management.
Sommaire
Les analyses d'impact commercial et les évaluations des risques sont des activités clés associées à la création et à la gestion des programmes de reprise après sinistre technologique.La disponibilité des services basés sur le cloud introduit de nouvelles variations dans les analyses traditionnelles basées sur le centre de données.Une compréhension claire des risques informatiques, en particulier en ce qui concerne les services cloud, et leur relation avec les opérations commerciales est essentielle lors de l'élaboration d'un plan de reprise après sinistre.