1 MNIE TO NIE DOTYCZY CZYŻBY?!

2 Marek Daniłowski Dyrektor Zarządzający

3 Czym jest DISASTER ? DISASTER = nieszczęście, katastrofa, chaos. Kto myśli o katastrofie ?... o 7:35 rano ?? Kto myślał o powodzi w 1997 i 2001 roku ? Kto myślał o 11 września ? Kto myślał o ?

4 Evil stars ? Poszukajmy Powodów... Dziwne, żyjemy w erze informacji/technologii, ale wciąż niewielu myśli o katastrofach... Disaster = evil star. Pozytywne społeczeństwo. Dominacja człowieka.

5 Co to jest disaster recovery? Z angielskiego oznacza to całość działań związanych z przewidywaniem, zapobieganiem utraty danych i strategią służącą przywrócenia ciągłości funkcjonowania przedsiębiorstwa, które stanęło w obliczu katastrofy-klęski. Jak łatwo się domyślić procedury wyłonione w ten sposób muszą brać pod uwagę wiele rodzajów zagrożeń i winny obejmować odpowiednią ich klasyfikację.

6 Planowanie Disaster Recovery w jednym slajdzie. Próba racjonalnego podejścia do irracjonalnego charakteru katastrof. Zasada no GURUs. Sukces warunkowany cyklicznymi testami, rozwijaniem świadomości pracowników i rozważnym podejściem do problemu. Ważniejsze dzisiaj niż kiedykolwiek.

7 Katastrofy nie występują teraz częściej, ale my jesteśmy bardziej na nie podatni. Nowoczesny biznes jest bardziej uzależniony od infrastruktury technologicznej niż kiedykolwiek. Pojedynczy incydent może mieć szeroko zakrojone konsekwencje. Rozwój technologii stworzył możliwości zaistnienia nowego rodzaju katastrof. Burza śnieżna (1998) Mapa szkieletu sieci Internet Budynek Federalny w Oklahoma City Powódź na Three Mile Island Dlaczego ?

8 Region Kompleks budynków Budynek Systemy Awaria energetyczna Trzęsienie ziemi Tajfun Powódź Burza, burza śnieżna Pożar Infrastruktura budownicza Terroryzm/Sabotaż Atak hackera/wirusa Błąd operatora Awaria hardwareu Oprogramowanie Oprogramowanie Zagrożenia - klasyfikacja

9 Generalnie dobrze pojmowane W zasadzie są zagrożone usunięciem lub zniszczeniem danych Rozwiązywane za pomocą procedur backup/restore Zapasowe kopie danych i aplikacji przechowywane w zdalnej lokalizacji Region Kompleks budynków Budynek Systemy Awaria energetyczna Trzęsienie ziemi Tajfun Powódź Burza, burza śnieżna Pożar Infrastruktura budownicza Terroryzm/Sabotaż Atak hackera/wirusa Błąd operatora Awaria hardwareu Oprogramowanie Oprogramowanie Oprogramowanie i Systemy

10 Region Kompleks budynków Budynek Systemy Awaria energetyczna Trzęsienie ziemi Tajfun Powódź Burza, burza śnieżna Pożar Infrastruktura budownicza Terroryzm/Sabotaż Atak hackera/wirusa Błąd operatora Awaria hardwareu Oprogramowanie Oprogramowanie Budynki, kompleksy, regiony Niezbyt dobrze rozumiane Wymagają rozważenia utworzenia drugiego centrum w innej lokalizacji geograficznej, replikacja danych Często postrzegane jako za drogie rozwiązania...ALE... Większość przedsiębiorstw dotkniętych katastrofą upada ! wg North American Emergency Management – 60% Ogromne koszty odtworzenia, strata zysków, strata reputacji, szkody dla marki produktu, strata pozycji lidera na rynku

11 ApplicationIndustry Average Hourly Loss Brokerage Operations Credit Card/Sales Auth. Pay-Per-View Home Shopping (TV) Catalog Sales Airline Reservations Tele-Ticket Sales Package Shipping ATM Fees Sources: Contingency Planning Research; Datamation Finance Media Retail Transportation Media Transportation Finance $7,840,000 $3,160,000 $183,000 $137,000 $109,000 $108,000 $83,000 $34,000 $18,000 Wymiar finansowy niedostępności danych

12 Cost of Downtime Web Site Daily Internet Commerce Revenue (as of 1/15/99) Lost Revenue per Hour of Downtime (as of 1/15/99) Intel.com (partner extranet site only) $33,000,000$275,000 Cisco.com$20,000,000$166,667 Dell.com$10,000,000$83,333 Amazon.com$2,700,000$22,500 Techdata.com$1,000,000$8,333

13 Savings ($) VAI A V A I L A B I L I T Y %uptime 450+ hours 180+ hours 87.6 hours 43.7 hours 8.75 hours 52 minutes 5 minutes 30 seconds AnnualdowntimeAnnualBrokerage System Cost $3+ billion $1+ billion $560 million $280 million $56 million $5,590,000 $537,500 $53,750 AnnualHome Shopping Cost $50+ million $20+ million $10 million $5 million $988,750 $98,000 $9,417 $950

14 Strategia: Połączenie punktów poniżej w formie dokumentacji Dane: Wyszczególnione aplikacje, backupowane i magazynowane off-site. Ludzie: Kompetentny personel, który rozumie procedury Disaster Recovery. Miejsce: Odrębna lokalizacja, wystarczająco duża, z możliwością wykonywania testów. Sprzęt: Hardware, software, dostęp do sieci. Procedury:Precyzyjne plany awaryjne dla wszystkich jednostek firmy. Co powinno znaleźć się w Planie Disaster Recovery ?

15 Plany powinny być zwięzłe Nikt nie użyje planu który wymaga bindera. Muszą być precyzyjne, dotyczyć konkretnego elementu/systemu koniecznego do funkcjonowania firmy Muszą być poręczne i dostępne Na tyle małe by mieściły się w teczce Możliwość odczytu na urządzeniach przenośnych (PDA,palmtop) Znajdować się w ustalonych miejscach Procedury powinny być elastyczne Nie da się przewidzieć każdej sytuacji, i sztywno dopasować postępowania Powinny zawierać wskazówki i informacje pozwalające ogarnąć sytuację. Zbyt głęboka analiza => Paraliż w działaniu Jak stworzyć użyteczne plany DR ?

16 3 punkty DR warte zapamiętania Musimy wiedzieć jak będziemy się komunikować z Pracownikami Klientami Innymi oddziałami firmy Plany powinny być precyzyjne, przenośne, definiujące działania mające na celu przywrócenie poszczególnych systemów mission-critical, w odpowiedniej kolejności Procedury Disaster Recovery MUSZĄ BYĆ CYKLICZNIE TESTOWANE przez ludzi którzy mają ich używać

17 Kadra zarządzająca i jej zadania Ustalenie poziomu ważności grup informacji i stopnia sprawności /szybkości/ ich przetwarzania Współtworzenie planu ratunkowego i pełna akceptacja powstałych w ten sposób procedur przy założeniu maksymalnego pesymizmu co do wielkości katastrofy Analiza i budowa infrastruktury Umowy ubezpieczeniowe Umowy na dostawę sprzętu i awaryjne przetwarzanie danych w przypadku katastrofy Zasady przechowywania danych Ustalenie stopnia odpowiedzialności i zakresu działań osobistych w przypadku klęski

18 Nasze centrum danych Posiadanie pełnej dokumentacji dotyczącej sprzętu, oprogramowania, konfiguracji, kopii archiwalnych dokumentacji i oprogramowania /w tym również przechowywanych w innej lokalizacji/, bazy kontaktowej z dostawcami Określenie poziomu ryzyka awarii i sposobów ich minimalizacji Ustalenie poziomów ważności danych i przygotowanie odpowiednich procedur ich zabezpieczenia Gospodarka zasobami ludzkimi Rozkład odpowiedzialności Odpowiedni dobór sprzętu i oprogramowania pozwalający na uzyskanie maksymalnej spójności i kompatybilności Przeszkolenie osób włączonych w działania w przypadku katastrofy

19 Systemy komputerowe – co im zagraża Awaria zasilania Uszkodzenie systemu operacyjnego Uszkodzenie sprzętu Uszkodzenie silnika bazy danych Uszkodzenie bazy danych Uszkodzenie serwera Destrukcja sieci Błędy oprogramowania Destrukcja macierzy dyskowej Zniszczenie szafy z zapisanymi nośnikami Itd..

20 Podsumowanie Korzystając z doświadczeń w zakresie planowania awaryjnego, analizujemy potencjalne zagrożenia dla przedsiębiorstwa, aby ustalić hierarchię ważności poszczególnych systemów dla jego funkcjonowania Na podstawie wymagań dotyczących odtwarzania najbardziej newralgicznych aplikacji i procesów, formułujemy strategię ciągłości Z pełnej gamy pamięci masowych i technik zarządzania nimi wybieramy dla nas najodpowiedniejsze Zabezpieczamy się przed wszystkimi zagrożeniami dla ciągłości funkcjonowania, włącznie z lokalnymi awariami sprzętu i oprogramowania oraz zdarzeniom o zasiegu regionalnym Testujemy plan, organizujemy ćwiczenia i doskonalimy plan

21

22 Oby nigdy nie trzeba było z nich korzystać...