企業主必知的IT管理四面向(二):風險管理
企業主必知的IT管理四面向(二):風險管理篇
專題團隊 / Amy Chen, Daniel Chen, Mandy Lin
上一期談到管理四面向中的成本管理,根據資通訊生命週期,深入解析企業常常忽略的IT潛在成本,但了解IT各個面相成本,並在評估階段就納入完整的規畫,就可以讓企業免除所有的IT問題了嗎?答案當然為「否」,近幾年頻繁的資安攻擊、天災人禍和軟硬體問題,都非常有可能造成企業運營中斷的風險,因此今天將從「風險管理」的面相作深入的討論。
►資訊管理大補帖👉 訂閱自由系統電子報,領取企業主必知的資訊管理大補帖
不論是近幾年頻繁的資安攻擊或是天災人禍帶來的災害效應,以致機房停止運作、營運中斷的慘痛經歷,再再突顯出 BCP(Business Continuity Planning) 的重要性。BCP 目的主要是為了減少組織事件發生之衝擊,使組織在突發事件面前能夠迅速作出反應,以確保關鍵業務功能可以持續,降低財務損失、維持企業聲譽、保護企業人員、提高客戶滿意度,以及法律的需求。
企業 ,因為資訊安全的管理範疇較大,我們將不在本篇文章中詳細作討論,可以參考我們過去針對企業資安實務規劃的相關資訊。在本篇文章我們將以備份為主軸,探討企業在備份的現況與困境,並且透過系統性的規劃步驟,提供企業在備份風險管理的三步驟,讓企業在面臨緊急事件時,備份可以如期的派上用場,最小化風險帶來的潛在成本。
一、企業備份現況與困境
現今許多企業在備份機制的規劃上,仍然存在許多漏洞。可以簡單分成三個層次,從抱持僥倖心態完全不備份、備份方式極為危險,到備份機制看似完整,但進行還原演練卻發現漏洞百出,若是企業真的遇到營運中斷的狀況,上述三種若有似無的備份機制,不僅浪費平時備份的人事及財務成本,更對企業帶來極大營運損失。我們透過數年來備份規劃的經驗,歸納出企業備份的困境:
1. 風險意識不足
「應該沒這麼衰吧」—此類僥倖心態反映的其實是管理者對於災難風險意識的不足。普遍企業認為異機和異地備份就可以解決資料遺失的問題,但從我們過去的救援經驗發現,駭客直接加密備份檔案、天災人禍損毀File Server、硬體或機房老舊等原因,造成企業在最需要備份的時候往往派不上用場。深究根源會發現,其實就是管理者對於風險的掌握不足,從初期規劃的不足就種下未來高風險的後果。
2. 缺乏全面性評估
普遍企業在進行備份建置前,是缺乏縝密的討論和規劃的,什麼層級軟體或資料遭受影響,會造成企業營運的中斷;什麼程度的資料損失量是企業可以接受的;多久的營運中斷時間是企業可以接受的,上述問題大多都需要企業管理者與IT人員一同討論,共同訂定出最適合企業的備份機制。好的備份機制不僅可以提供組織完善的復原機制,更可以為氣省下不少的資源。
3. IT量能不足
自由系統在過去接觸許多客戶的過程中,就有許多客戶表示自己有定期的備份,一測之下才發現,原來備份已停止運行很長一段時間。備份就像買保險,沒用到的時候根本不會想到。但有別於保險的地方是,備份需要定期的管理和災難還原演練,確保備份機制可以如規畫的運作。許多企業IT人員平常花費大半時間處理使用者繁雜的問題,卻疏忽投入時間在管理既有的備份機制,而需要備份的時候才發現備份執行沒有落實,在這樣的狀況中往往都是IT人員要負起責任。
►資訊管理大補帖👉 訂閱自由系統電子報,領取企業主必知的資訊管理大補帖
二、企業備份管理三面向
其實要做好備份並不困難,自由系統綜合過去協助過不同規模、產業的經驗,整理出企業在面對備份規劃時需要顧慮的三個面向,分別為前期規劃、維運管理和災難處理。
1. 前期規劃
企業考量如何部署備份方案之前,需要了解兩個備份的基本概念,分別是32110原則,以及RTO & RPO。
32110原則,也就是檔案必須要有3份,以2種不同形式存放,並且有1份在異地,有1個數據離線備份或不可變備份,0復原錯誤能力。
除了上述提及的32110備份原則,企業也需要考量RTO & RPO,才能在符合成本效益的情況下滿足企業的備份需求。RTO (Recovery Time Objective),指事故發生之後,企業規劃多長的時間能讓服務恢復正常。當然企業會希望服務斷線的時間越短越好,但較短的RTO 在部署備份方案時會需要較高的成本,這是企業需要一併考量的。RPO (Recovery Point Objective),指事故發生當下,企業最近一次備份的時間點,也就是企業能忍受多少資料量的損失。企業在規劃備份時,應將以上兩個基本概念納入考量,才能做全面的規劃。
2. 維運管理
備份並非完成前期規劃與建置後就可以高枕無憂,要落實備份最重要的其實是完成建置後定期的維運管理,分別是監控告警與還原演練。IT人員需要定期監控備份機制是否有出現備份失敗等異常告警,並判斷告警原因進行修正。「買東西哪有不試用的?」但許多企業在備份上,卻犯了不試用的大忌。很多公司因為花大錢做了備份,但卻沒有模擬演練的規劃,真正遇到災害時,備份卻無法在可接受的時間範圍內回復,造成營業中斷造成巨大的損失。
3. 災難處理
天災人禍不可能完全避免,所以有一套完善的災難處理機制,如何讓系統繼續運作,才是備份真正派上用場的時候,撇除前期規畫不周,導致需要備份時才發現備份資料已經受損的狀況,其實傳統的災難復原方式都有一個共同的特點:必須「處理一場災難」,例如:多數企業著重在資料的備份,卻沒有顧及作業系統、應用程式等備份,導致災難處理的過程需耗費許多時間,才可以讓使用者重新上線。回歸到問題根本,企業如何全面的規劃備份機制並且IT人員擁有足夠的備份技術,才能在災難出現的時候,快速回復企業營運能力。
三、Backup as a Service — 自由系統一站式服務
自由系統在過去與數百間企業協作的過程中,發現企業內部IT人員平常需管理的面向以及使用者繁雜的問題,常常造成IT人員沒有足夠的心力投入在備份管理上。因此自由系統推出一站式備份管理服務,從上述前期規劃、維運管理到災難處理,協助企業平常可以省去管理備份所付出的時間、人力和試錯成本,在需要災難還原時,不用擔心備份無法回存,提供最高安全層級公司資料備份機制。
►資訊管理大補帖👉 訂閱自由系統電子報,領取企業主必知的資訊管理大補帖
►客戶成功案例👉 瑞昱半導體透過數位升級建立營建與資安韌性