Disaster Recovery: Få företag beredda när olyckan är framme

Idag handlar cybersäkerhet om att vara väl förberedd när, inte om, en attack sker. Och när IT blir allt mer affärskritiskt är företag och myndigheter mer känsliga för alla typer av tekniska avbrott, oavsett orsak. Det gör att behovet av backup och Disaster Recovery (DR) ökar.

I två amerikanska undersökningar, 2016 Disaster Recovery and Business Continuity Survey och 2017 Disaster Recovery Survey Report, har knappt 800 företagsledare och IT-specialister intervjuats. Resultatet är minst sagt spretigt, där några företag sticker ut som väl förberedda medan andra (4,5 respektive åtta procent av de tillfrågade företagen) inte ens har någon DR-lösning på plats.

– All utveckling inom datacenter de senaste 15 åren har skett på primärsidan medan backup och DR har ansetts för osexigt. Företag har inte velat lägga pengar på att uppgradera sin DR-lösning, säger Rikard Stjernman som är sales engineer på cloud data management-företaget Rubrik.

Resultatet är att företagens backup- och DR-lösningar idag har blivit för komplexa att hantera, något som både medför en säkerhetsrisk och driver kostnad.

– Det är inte ovanligt att backuplösningen kostar lika mycket eller mer än primärdelen i datacentret, säger han. Och även om lösningarna fungerar hyfsat för sitt huvudsyfte så tar de mycket kraft.

– När jag frågar de som administrerar backuperna är ofta svaret att det är krångligt och dyrt, säger han. Det hör troligen ihop med att den mänskliga faktorn står för en så stor andel av alla incidenter (23 respektive 19 procent i de olika undersökningarna).

– När lösningen är komplex och krånglig att hantera finns mer utrymme för att göra misstag. Vi tror mer på automatisering; låt maskinerna göra så mycket som möjligt.

Länken mellan affär och IT

För att kunna jobba smart med Disaster Recovery behöver IT-chefen vara en länk mellan företagsledningen och IT-teknikerna. Först och främst måste IT-chefen prata med sina medarbetare för att få en bra bild av läget för företaget. Och därefter handlar det om att kunna prata med ledningen på ett sätt så att alla förstår vad det handlar om.

– Det behövs ett gemensamt språk för datahantering. Det gäller att överge de tekniska termerna och istället introducera ett enkelt sätt att definiera servicenivån i en SLA (Service Level Agreement). Den kan till exempel innehålla enkla frågor som ”hur länge vill vi spara vårt data?” och ”var vill vi att datan ska sparas, i serverhallen eller i molnet?”, säger Rikard Stjernman.

Något som många av de tillfrågade i undersökningarna månar om är att ha låg RPO, ”Recovery Point Objective”, alltså så kort tid som möjligt mellan varje säkerhetskopia. Men den verkliga prövningen för backup- och DR-lösningen är RTO, ”Recovery Time Objective”. Det säger hur snabbt systemen är uppe och rullar igen efter en incident. Knappt 30 procent av de svarande i den ena undersökningen har en RTO på över en arbetsdag, samtidigt som 36 procent av företagen beräknar att en dags nertid kostar mellan 10000-100000 dollar. En hög andel, 21 procent, svarade att de inte ens vet sin RTO.

– Det beror antagligen på att det är för krångligt att testa, eller att de bara har testat en gång när de implementerade DR-lösningen. För att veta din RTO måste du testa regelbundet, säger Rikard Stjernman.

En testad och väl fungerande DR-lösning innebär många fler fördelar än att bara vara räddaren i nöden när olyckan är framme.

– Du kan använda den för att migrera till en molnlösning eller till en ny plattform. Du kan köra dina tester mot äkta produktionsdata i ditt sekundärlager, eller så kan du leta avvikelser i datat för att på tidigt stadium upptäcka intrångsförsök.

Läs mer om Disaster recovery as a Service här