Den tekniska förmågan att läsa tillbaka den senaste backupen finns oftast i organisationen och är i de flesta tekniska lösningarna relativt enkelt. Det som oftast inte är lika tydligt är svaren på följande frågor:
Frågorna är relevanta oavsett om man har en intern IT avdelningen eller har lagt ut IT på en eller flera leverantörer.
I den mer distribuerade modell som används för system är det ofta många olika funktioner som krävs för att skapa den helhetsfunktion som behövs för att verksamheten ska fungera.
Ett exempel är hanteringen av kunder och deras beställningar. Det är inte ovanligt att en systemfunktion ansvarar för kundernas masterdata, medan en annan hanterar deras beställningar – för enkelhetens skull bortser vi här från andra vanliga beroenden.
Om säkerhetskopiering sker en gång per dygn, innebär det att upp till 24 timmars data kan gå förlorad. Anta att systemet för masterdata drabbas av ett allvarligt fel 18 timmar efter den senaste backupen.
Under dessa 18 timmar har 20 nya kunder registrerats och lagt beställningar. Vid återställning från backupen finns dessa kunder inte längre i masterdata för kunder. Systemet för hantering av beställningar påverkas dock inte, och beställningarna fortsätter att behandlas och skickas till kunderna.
När en beställning skickas till kund, skickas information vidare till faktureringssystemet, som hämtar kunduppgifter från masterdata för att skapa fakturor. Eftersom de 20 nya kunderna inte längre finns i masterdata, saknas nödvändig information vid faktureringen.
Vad som sker i detta skede beror på logiken i faktureringssystemet. I värsta fall upptäcks inte felet och inga fakturor skapas, vilket innebär en direkt förlust av intäkter. I bästa fall upptäcks problemet av rätt personer i organisationen, som manuellt kan åtgärda det och säkerställa att fakturorna skickas ut
Exemplet med masterdata för kunder är ett område där information kan gå förlorad mellan tidpunkten som backup sker och återställningen behöver genomföras. I en verksamhet finns det många funktioner som kontinuerligt skapar mängder med information, både manuellt och systematiskt.
Det är av vikt att säkerställa att det finns en plan för hanteringen av detta innan en backup behöver användas, annars är risken stor att detta inte hanteras alls eller bristfälligt vid en incident.
Det behöver beaktas att verksamheten kan behöva genomföra vissa manuella aktiviteter för att återställa informationen för denna period, vilket leder till intäktsbortfall samt riskerar att kvaliteten på informationen inte är fullgod.
Det behöver även beaktas att viss information inte kommer gå att återskapa, det är då av vikt att detta är tydligt och del i den riskacceptans som verksamheten har. En granskning kan leda till att säkerhetskopior behöver förbättras för att minska tiden från backup till eventuellt behov av återställning.
Vid en återställning av backuper finns det alltid en risk att återställningen inte fungerat fullständigt eller att säkerhetskopian inte inkluderade all information som krävs för funktionalitet.
Det är därför viktigt att en återställning följs av test och verifiering. Detta innefattar både kontroll av de tekniska funktionerna och att systemfunktionerna fungerar i praktiken, utifrån hur verksamheten faktiskt använder dem. Först när detta är bekräftat kan återställningen anses vara slutförd och återgång till normal drift genomföras.
Vad och hur tester skall utföras styrs helt av systemfunktionaliteten och bör vara definierat innan en återställning behöver genomföras. Det är även viktigt att säkerställa att ansvaret för vem eller vilka som utför testerna är tydligt dokumenterat.
Rimligen kan funktionstester från normala testrutiner användas, ex de tester som IT och verksamhet utför vid en normal ändring i systemen. Om dessa finns definierade.
Det är viktigt att era planer inte bara inkluderar backup utan även återställning, dessa planer behöver både verifieras genom granskning men framförallt testas så att de verkligen fungerar när dom behövs. Likt övningar görs för fysisk säkerhet genom ex utrymningsövningar, behövs även övningar för säkerhetsfunktioner inom IT.
Cegal kan stötta er i att ta fram planer för backup och återställning, verifiera befintliga planer samt även leda arbetet med tester av planerna. Utöver planer för backup och återställning hjälper vi er gärna även med hela arbetet med kontinuitetshantering.