Strategi pemulihan untuk kegagalan serius di lingkungan TI

Un Kegagalan TI yang serius biasanya tidak memberikan peringatan.Ransomware yang mengenkripsi server dalam hitungan menit, pemadaman listrik yang berkepanjangan, kesalahan manusia yang besar, atau kebakaran pusat data. Ketika hal seperti ini terjadi, pertanyaannya bukan lagi apakah Anda akan kehilangan data, tetapi Berapa lama Anda akan menganggur dan berapa biaya yang akan ditimbulkan bagi bisnis Anda? dalam hal pendapatan, reputasi, dan kepatuhan terhadap peraturan.

Dalam konteks ini, memiliki Strategi pemulihan jika terjadi kegagalan dan bencana TI yang serius. Hal ini telah menjadi sangat penting. Tidak cukup hanya "memiliki cadangan"; diperlukan pendekatan komprehensif yang menggabungkan teknologi, proses, sumber daya manusia, dan pengambilan keputusan yang jelas, sehingga organisasi Anda dapat terus berfungsi bahkan jika sebagian besar infrastruktur mengalami gangguan.

Apa sebenarnya pemulihan bencana itu, dan mengapa bukan hanya sekadar pencadangan?

La Pemulihan Bencana (DR) Ini adalah serangkaian strategi, teknologi, dan prosedur yang dirancang untuk Memulihkan sistem, aplikasi, dan data penting. menyusul insiden serius yang melampaui mekanisme ketersediaan tinggi atau pemulihan mandiri yang biasa terjadi.

Tidak seperti kegagalan kecil yang bersifat sementara (gangguan kecil pada komputasi awan yang biasanya hilang dengan sendirinya), bencana adalah peristiwa yang bersifat sementara. cakupan luas dan dampak parah: kegagalan total suatu wilayah cloud, hilangnya pusat data, serangan ransomware yang meluas, kerusakan data besar-besaran, atau kesalahan konfigurasi yang melumpuhkan produksi dan administrasi secara bersamaan.

Dalam skenario ini, pemulihan tidak diserahkan begitu saja, tetapi bergantung pada... rencana pemulihan bencana (DRP): sebuah dokumen formal, terperinci, dan dapat ditindaklanjuti yang menjelaskan siapa melakukan apa, dalam urutan apa, dengan alat apa, dan berdasarkan kriteria apa keputusan untuk melakukan failover dan kembali ke kondisi normal diambil.

Penting untuk memahami bahwa Backup dan DR (Pemulihan Bencana) bukanlah hal yang sama.Pencadangan data adalah bagian dari rencana, tetapi pemulihan bencana jauh melampaui itu: hal ini menentukan waktu pemulihan, kehilangan data yang dapat diterima, infrastruktur alternatif, prosedur, peran, komunikasi, dan pengujian rutin untuk memastikan semuanya berfungsi.

Cadangan data, RTO, RPO, dan indikator kunci lainnya yang mendorong strategi Anda.

Strategi pemulihan dalam menghadapi kegagalan serius bergantung pada beberapa hal. indikator kuantitatif yang menetapkan aturan mainJika Anda belum mendefinisikannya, Anda sebenarnya tidak memiliki strategi, melainkan hanya serangkaian niat baik.

Yang pertama adalah RTO (Tujuan Waktu Pemulihan), yang mewakili Waktu maksimum yang dapat diterima bagi suatu sistem atau layanan untuk tetap tidak berfungsi. sebelum dampaknya terhadap bisnis menjadi tidak terkendali. Ini diukur dalam detik, menit, atau jam, tergantung pada tingkat kritis beban kerja.

Yang kedua adalah RPO (Tujuan Titik Pemulihan), yang mendefinisikan jumlah maksimum data yang bersedia hilang oleh organisasi, dinyatakan sebagai waktu antara titik pemulihan valid terakhir dan waktu kejadian (misalnya, 5 menit, 1 jam, 24 jam…). Nilai ini diterjemahkan ke dalam frekuensi pencadangan, replikasi, dan kebijakan retensi.

Selain itu, disarankan untuk mengukur waktu henti nyata (waktu efektif di mana sistem tidak tersedia) dan RCO (Recovery Consistency Objective), yang berfokus pada Konsistensi data dan proses setelah pemulihanTidak ada gunanya mengaktifkan kembali layanan dengan cepat jika informasi yang dipulihkan tidak selaras atau rusak dan menimbulkan kesalahan, ketidakpatuhan, atau perbedaan.

Indikator-indikator ini memungkinkan evaluasi efektivitas DRP, membandingkan waktu dan kerugian aktual dengan tujuan yang telah ditetapkan, dan berfungsi untuk Prioritaskan investasi dan sesuaikan arsitektur. (misalnya, beralih dari pencadangan harian ke replikasi mendekati waktu nyata untuk sistem tertentu).

Jenis-jenis bencana teknologi yang dapat menghancurkan bisnis Anda

Strategi pemulihan untuk kegagalan serius harus mempertimbangkan berbagai macam hal. ancaman yang dapat mengganggu operasi, dari yang paling jelas hingga yang paling tidak intuitif, tetapi sama-sama berbahaya.

Di antara mereka adalah bencana alam (banjir, kebakaran, gempa bumi, badai hebat, dampak lingkungan), yang mampu melumpuhkan sepenuhnya pusat data, kantor pusat, atau penyedia layanan penting.

Ditambah dengan hal ini adalah masalah infrastrukturPemadaman listrik berkepanjangan tanpa cadangan yang memadai, kegagalan perangkat keras besar-besaran, masalah pendinginan, kerusakan jaringan, serta gangguan pada konektivitas internet atau antar lokasi yang menyebabkan sistem-sistem penting tidak dapat diakses, meskipun sistem tersebut terus berfungsi secara lokal.

Blok penting lainnya adalah cyberattacks: Ransomware yang mengenkripsi server dan cadangan data.Malware yang merusak data, serangan DDoS yang melumpuhkan seluruh situs web, intrusi yang mencuri informasi sensitif atau memanipulasi pengaturan sistem secara jahat.

Jangan lupakan kesalahan manusia (penghapusan basis data secara tidak sengaja, penyebaran yang salah, perubahan konfigurasi yang tidak terkontrol) maupun kesalahan perangkat lunak (pembaruan yang gagal, bug, ketidakcocokan) yang dapat membuat aplikasi penting tidak dapat beroperasi setelah perubahan yang tampaknya kecil.

Terakhir, ada risiko seperti ancaman internal yang disengaja (karyawan yang tidak puas atau mantan karyawan dengan kredensial aktif) dan bencana kesehatan atau geopolitik yang menyebabkan bangunan tidak dapat digunakan atau seluruh staf harus tinggal di rumah, sehingga memaksa diaktifkannya sistem kerja dan layanan jarak jauh darurat dari lokasi lain.

Sektor dan organisasi di mana pemulihan bencana (DR) bukan merupakan pilihan.

Meskipun setiap perusahaan seharusnya memiliki rencana pemulihan bencana dasarAda sektor-sektor di mana ketahanan merupakan kewajiban de facto, baik karena regulasi, dampak langsung pada kehidupan masyarakat, atau ketergantungan yang ekstrem pada layanan digital.

Pertama-tama ada layanan keuangan (perbankan, asuransi, fintech), dengan kerangka peraturan yang ketat yang mewajibkan rencana yang kuat, terbukti, dan dapat diauditGangguan atau kehilangan data dapat memicu denda, tuntutan hukum, dan hilangnya kepercayaan secara langsung.

La kesehatan Ini adalah kasus penting lainnya: rekam medis, sistem pencitraan, platform darurat, dan janji temu harus tersedia hampir setiap saat; kegagalan yang berkepanjangan dapat berdampak langsung pada kesehatan pasien dan membawa implikasi hukum yang kuat.

Sektor-sektor seperti telekomunikasi, industri TI, e-commerce, ritel, manufaktur, utilitas, administrasi publik, universitas dan pusat penelitianmedia, serta sektor tersebut kedirgantaraan dan pertahananDi banyak kasus, keberlanjutan layanan bukan hanya tujuan yang diinginkan, tetapi persyaratan kontraktual atau peraturan.

Meskipun demikian, penelitian menunjukkan bahwa Sejumlah besar UKM masih belum memiliki Rencana Pemulihan Bencana (DRP) formal.Lebih dari separuh usaha kecil di beberapa pasar Eropa beroperasi tanpa rencana yang terdokumentasi dan teruji, mengandalkan cadangan tradisional dan berharap "tidak mengalami nasib buruk".

Komponen-komponen penting dari strategi pemulihan kegagalan

Strategi pemulihan bencana (DR) yang solid menggabungkan beberapa elemen yang, secara bersama-sama, memungkinkan hal tersebut terjadi. mengurangi dampak bencana dan melanjutkan operasi dalam jangka waktu yang wajar.Ini bukan sekadar satu alat tunggal, melainkan ekosistem teknis dan organisasi yang terintegrasi dengan baik.

Pilar pertama adalah cadangan. Kami berbicara tentang duplikasi data dan konfigurasi secara berkala Disimpan di lokasi yang aman dan terpisah dari sistem utama: disk lokal, penyimpanan cloud, brankas eksternal, atau kombinasi dari semua hal di atas.

Sebagai praktik yang baik, hal ini biasanya diterapkan pada Aturan 3-2-1Setidaknya tiga salinan data (produksi ditambah dua salinan), pada dua jenis media yang berbeda, dan salah satunya di luar lokasi. Ini juga termasuk penggunaan foto-foto pada titik waktu tertentuyang memungkinkan Anda memulihkan status terkini tanpa harus memulihkan cadangan lengkap.

Pilar kedua adalah infrastruktur redundanIni termasuk server duplikat, penyimpanan yang direplikasi, jaringan alternatif, pusat data sekunder, atau wilayah cloud tambahan. Idenya adalah untuk dapat memindahkan beban kerja dengan cepat ke lingkungan lain (aktif-aktif, aktif-pasif hangat atau dingin) jika lingkungan utama jatuh.

Komponen ketiga adalah pengujian rutin terhadap rencana tersebutMenulis prosedur saja tidak cukup: Anda harus mensimulasikan bencana, melakukan failover sebagian atau total, memvalidasi waktu yang dicapai terhadap target RTO/RPO, dan mendeteksi kesalahan atau celah sebelum terlambat.

Selain itu, strategi yang baik mencakup hal-hal berikut: penilaian risiko berulangyang mengidentifikasi ancaman, menilai probabilitas dan dampaknya, serta memungkinkan prioritas sumber daya. Hal ini dikombinasikan dengan protokol komunikasi yang menunjukkan bagaimana, kapan, dan siapa yang diinformasikan selama suatu insiden (tim internal, manajemen, klien, pemasok, regulator…).

Rencana pemulihan bencana dan keberlangsungan bisnis

La Kelangsungan bisnis (BC) Pemulihan bencana dan pemulihan ekonomi berjalan beriringan, tetapi keduanya bukanlah hal yang sama. Bank sentral berfokus pada pemeliharaan fungsi-fungsi penting yang beroperasi selama dan setelah peristiwa yang mengganggusedangkan DR berfokus pada pemulihan sistem TI dan data.

Kerangka keberlanjutan yang baik biasanya menggabungkan beberapa rencana: rencana darurat (cara bertindak pada saat kejadian: evakuasi, perlindungan orang dan aset), rencana keberlanjutan bisnis (bagaimana cara terus menyediakan layanan minimum), rencana untuk melanjutkan aktivitas (cara kembali normal), itu rencana manajemen insiden (siapa yang mengkoordinasi, apa yang diprioritaskan, bagaimana informasi disebarluaskan) dan, akhirnya, rencana pemulihan bencana, yang merupakan bidang yang menangani aspek teknis TI.

Oleh karena itu, DRP haruslah selaras dengan rencana keberlangsungan bisnisSangat penting untuk berbagi asumsi, prioritas, dan metrik, daripada membuat dokumen terisolasi yang hanya dapat dilihat oleh tim teknis. Manajemen perlu memahami implikasinya, menyetujui investasi, dan memahami implikasi risiko dari SLO, RTO, dan RPO yang telah ditentukan.

Klasifikasi beban kerja dan tingkat kekritisan

Untuk merancang strategi pemulihan yang realistis dan hemat biaya, disarankan mengklasifikasikan beban kerja berdasarkan pada kepentingannya bagi bisnis dan persyaratan ketersediaan, daripada mencoba melindungi semuanya pada tingkat maksimum.

Di salah satu ujungnya terdapat Sistem level 0 atau sistem yang sangat penting untuk misi.Dalam lingkungan ini, waktu henti tidak dapat diterima dan ketersediaan mendekati atau melebihi 99,99% sangat diinginkan, dengan RTO diukur dalam detik dan RPO mendekati nol. Lingkungan ini biasanya menggunakan arsitektur seperti... multinode atau multiregion aktif-aktif, mampu menyerap beban penuh jika suatu wilayah mengalami longsor.

Satu langkah di bawahnya adalah Sistem Level 1 atau sistem yang sangat penting bagi bisnis.Sistem ini mendukung pendapatan dan pengalaman pelanggan tetapi mentolerir gangguan yang sangat singkat selama pemulihan cepat dan kehilangan data minimal (RTO dan RPO dalam menit). Dalam kasus ini, hal-hal berikut digabungkan: lingkungan aktif-aktif dan aktif-pasif dalam siaga panas (hot standby)..

Di Level 2 kita menemukan sistem operasi bisnis internal (pelaporan, alat back-office) dengan SLO tipikal sekitar 99,9%, yang mendukung waktu henti selama beberapa jam selama ada mekanisme yang andal untuk memulihkannya (siaga dingin aktif-pasif, pencadangan, dan pemulihan otomatis).

Akhirnya, Kelompok Level 3 meliputi sistem administrasi dan sistem dengan tingkat urgensi rendah.seperti pengarsipan, lingkungan pengujian, atau pelatihan. Di sini, RTO dapat berkisar dari beberapa jam hingga beberapa hari, dan pendekatan yang paling hemat biaya adalah dengan mengandalkan hampir sepenuhnya pada pencadangan dan pengarsipanMemprioritaskan integritas data di atas kecepatan.

Kuncinya adalah klasifikasi ini dilakukan. berjalan seiring dengan bisnisMemformalkan ekspektasi dari setiap area. Tanpa penyelarasan ini, mudah untuk memberikan beban yang tidak kritis secara berlebihan dan membiarkan beban yang benar-benar kritis kurang terlindungi.

Jenis-jenis strategi dan solusi pemulihan bencana

Tergantung pada persyaratan RTO/RPO dan anggaran, kami dapat menerapkan berbagai metode. strategi pemulihan teknisMenggabungkannya sesuai dengan setiap beban kerja dan tingkat kepentingannya.

Pendekatan dasarnya adalah backup dan restore Pencadangan tradisional, dengan pencadangan penuh, inkremental, atau diferensial yang disimpan pada disk lokal, brankas eksternal, atau cloud publik. Ini adalah opsi umum untuk sistem Tingkat 2 dan 3, di mana waktu pemulihan lebih lama.

Tingkat yang lebih lanjut adalah pemulihan di pusat data sekunderbaik di lokasi sendiri maupun dengan penyedia eksternal. Data dan, dalam banyak kasus, mesin virtual atau kontainer direplikasi, sehingga jika terjadi kegagalan serius pada pusat data utama, dimungkinkan untuk... segera aktifkan situs alternatif.

Dalam lingkungan modern, sudah umum untuk mengandalkan pemulihan bencana berbasis cloud dan dalam solusi dari DRaaS (Pemulihan Bencana sebagai Layanan)di mana penyedia bertanggung jawab untuk menghosting dan mengatur salinan sistem penting, mengelola replikasi, failover, dan pengujian berkala berdasarkan perjanjian tingkat layanan.

Bagian penting lainnya adalah VirtualisasiMereplikasi mesin virtual atau seluruh lingkungan kontainer ke platform lain memungkinkan Pulihkan layanan dalam hitungan menit.bahkan pada perangkat keras yang berbeda, berkat abstraksi lapisan fisik.

Untuk sistem yang lebih kompleks, arsitektur tertentu akan diterapkan. aktif-pasif (menunggu dingin atau panas) dan aktif-aktif, dengan menggabungkan load balancer, replikasi sinkron atau asinkron, dan mekanisme switching otomatis atau manual, sehingga beban dapat dipindahkan antar region dengan dampak seminimal mungkin pada pengguna akhir.

Cara mendesain rencana pemulihan bencana langkah demi langkah

Menerapkan DRP yang efektif melibatkan proses yang terstruktur, bukan sekadar dokumen yang dibuat dalam waktu singkat. Secara garis besar, beberapa aspek dapat dibedakan. langkah-langkah yang diulang di hampir semua metodologi.

Titik awalnya adalah analisis dampak bisnis (BIA)Di mana proses dan fungsi penting diidentifikasi, kerugian ekonomi dan reputasi akibat gangguan tersebut diperkirakan, dan diprioritaskan berdasarkan kontribusinya terhadap tujuan organisasi.

Kemudian datanglah penilaian risiko (RA)Buat daftar ancaman (alami, teknis, manusia, organisasi), analisis probabilitasnya, nilai dampaknya, dan identifikasi kerentanan. Penilaian ini dapat menggabungkan pendekatan kualitatif (persepsi risiko) dan kuantitatif (data historis, statistik, perkiraan biaya).

Dari situ, tujuan pemulihan (RTO, RPO, RCO) untuk setiap sistem atau alur bisnis, menyelaraskannya dengan realitas teknis dan anggaran. Tujuan-tujuan ini memandu pemilihan teknologi, topologi jaringan, jenis replikasi, dan frekuensi pencadangan.

Dengan tujuan yang telah ditetapkan, rencana-rencana pun dirancang. strategi pemulihan: skema pencadangan, replikasi antar wilayah atau pusat data, pilihan solusi on-premise vs cloud, kriteria penggunaan hybrid cloud atau multicloud, dan definisi situs alternatif (hot, warm, cold).

Secara paralel, rencana komunikasiRencana ini merinci siapa yang menyatakan bencana, siapa yang diinformasikan, melalui saluran mana, seberapa sering, dan dengan jenis pesan apa. Rencana ini mempertimbangkan baik audiens internal (manajemen, karyawan, tim teknis) maupun audiens eksternal (pelanggan, mitra, regulator).

Blok lainnya adalah pembagian peran dan tanggung jawabSeorang manajer DR ditunjuk, tim pemulihan bencana dibentuk, dan pemilik aplikasi, manajer komunikasi, koordinator vendor, manajer aset, dll., didokumentasikan, beserta rute pendakian dan tingkat kesulitan.

Terakhir, berikut ini didokumentasikan: prosedur pemulihan dalam bentuk buku panduan yang jelas: langkah-langkah untuk melakukan failover ke wilayah lain, memulihkan basis data, mengkonfigurasi ulang DNS, memvalidasi integritas data, membuka kembali akses pengguna, dan selanjutnya, prosedur untuk kembali ke lingkungan utama (failback) ketika situasi stabil.

Buku panduan operasional, komunikasi, dan penskalaan: menjalankan rencana di bawah tekanan.

DRP hanya masuk akal jika memungkinkan. melaksanakan secara tertib di tengah kekacauanUntuk mencapai hal ini, tiga elemen penting diperlukan: manual pengoperasian, rencana komunikasi, dan rencana eskalasi.

Los buku panduan pemulihan Mereka secara jelas menguraikan langkah-langkah teknis: deteksi dan klasifikasi insiden, keputusan untuk menyatakan bencana, aktivasi infrastruktur alternatif, pemulihan data, pengalihan lalu lintas, validasi, dan penutupan. Setiap tindakan harus memiliki penanggung jawab yang ditunjuk dan kriteria keberhasilan yang jelas.

El rencana komunikasi Sistem ini menetapkan kriteria aktivasi (jenis peristiwa apa yang memicu komunikasi krisis), peran (siapa yang berbicara dan atas nama siapa), saluran (email, SMS, alat kolaborasi, halaman status publik) dan frekuensi pembaruan untuk setiap kelompok pemangku kepentingan, sehingga menghindari informasi yang salah dan kejenuhan informasi.

El rencana eskalasi Dokumen ini mendefinisikan bagaimana insiden ditangani jika terjadi komplikasi: siapa yang mengambil alih koordinasi ketika penanggung jawab utama tidak tersedia, ambang batas apa yang mengharuskan manajemen senior untuk terlibat, apa yang dianggap sebagai insiden kritis, dan apa yang diselesaikan di tingkat operasional tanpa deklarasi bencana formal.

Semua ini harus diuji dalam simulasi terkontrol, kemudian meninjau kembali waktu, hambatan, dan kesenjangan yang terdeteksi untuk Perbaiki rencana tersebut dalam iterasi-iterasi berikutnya.DRP yang tidak pernah diuji, pada praktiknya, tidak ada gunanya.

Optimalkan biaya tanpa mengorbankan ketahanan.

Pemulihan dari kegagalan serius memiliki biaya langsung dan tidak langsung; itulah mengapa hal ini sangat penting. Sesuaikan ukuran investasi dengan risiko., alih-alih menginginkan tingkat perlindungan tertinggi untuk segalanya.

Dalam sistem Level 0, di mana berhenti bukanlah pilihan, biayanya adalah... infrastruktur redundan aktif di beberapa wilayahdengan konfigurasi yang memiliki kapasitas berlebih atau yang mampu melakukan penskalaan secara instan jika terjadi gangguan regional. Di sini, optimasi lebih bergantung pada penggunaan cadangan, diskon platform, dan penyederhanaan desain daripada pengurangan kapasitas.

Dalam sistem Level 1, pilihan yang biasa adalah menunggu dengan panasMempertahankan lingkungan sekunder pada kapasitas setengah yang dapat diskalakan saat terjadi failover memungkinkan penghematan biaya dibandingkan dengan pengaturan aktif-ke-aktif penuh, sambil mempertahankan RTO/RPO yang baik. Otomatisasi penyebaran dengan infrastruktur sebagai kode dan CI/CD mengurangi upaya yang diperlukan untuk menjaga agar kedua lingkungan tetap selaras.

Untuk level 2 dan 3, pendekatannya memprioritaskan menunggu lama dan pencadangan dengan pemulihanHal ini dicapai dengan menggunakan penyimpanan berbiaya rendah (penyimpanan tingkat dingin atau penyimpanan arsip), pencadangan yang direplikasi secara geografis, dan pemulihan yang direncanakan. Kuncinya di sini adalah memastikan bahwa pengujian pemulihan memenuhi RTO yang disepakati dan bahwa kebijakan retensi sesuai dengan persyaratan hukum.

Dalam semua kasus, hal ini membantu untuk menetapkan pemberian label pada sumber daya dan anggaran tertentu Untuk pemulihan bencana (DR), gunakan alat manajemen biaya cloud untuk memantau konsumsi dan menyesuaikan tingkat perlindungan ketika prioritas bisnis atau beban kerja berubah.

Dengan pendekatan ini, pemulihan bencana menjadi keseimbangan yang beralasan antara Risiko yang dapat diterima, biaya yang terjangkau, dan ketahanan yang nyata., alih-alih menjadi janji yang samar atau pos anggaran yang tidak terkontrol.

Memiliki strategi pemulihan yang matang, terdokumentasi, dan teruji untuk kegagalan serius, yang disesuaikan dengan risiko spesifik setiap organisasi, adalah hal yang membedakan antara gangguan yang terkendali, yang darinya seseorang muncul lebih kuat, dan krisis yang membahayakan pendapatan, reputasi, dan bahkan kelangsungan hidup perusahaan; mendedikasikan waktu dan sumber daya untuk area ini, pada akhirnya, adalah cara yang sangat langsung untuk melindungi inti bisnis itu sendiri.