Anpassung und Reaktion auf Risiken mit einem Business Continuity Plan (BCP)

Ein Business Continuity-Plan (BCP) ist ein Dokument, das beschreibt, wie ein Unternehmen bei einer ungeplanten Betriebsunterbrechung weiterarbeitet. Es ist umfassender als ein Disaster-Recovery-Plan und enthält Notfallpläne für Geschäftsprozesse, Vermögenswerte, Personal und Geschäftspartner - für jeden Aspekt des Unternehmens, der betroffen sein könnte.

Die Pläne enthalten in der Regel eine Checkliste, die Material und Ausrüstung, Datensicherung und Standorte für die Datensicherung umfasst. Die Pläne können auch Plan-Administratoren ausweisen und Kontaktinformationen für Notfallhelfer, Schlüsselpersonal und Anbieter von Backup-Standorten enthalten. Die Pläne können detaillierte Strategien liefern, wie der Geschäftsbetrieb sowohl bei kurzfristigen als auch bei langfristigen Ausfällen aufrechterhalten werden kann.

Eine Schlüsselkomponente eines Business Continuity Plans (BCP) ist ein Disaster Recovery Plan, der Strategien für den Umgang mit IT-Unterbrechungen von Netzwerken, Servern, PCs und mobilen Geräten enthält. Der Plan sollte abdecken, wie Arbeitsplatzproduktivität und Unternehmenssoftware wiederhergestellt werden können, damit wichtige Geschäftsanforderungen erfüllt werden können. Manuelle Behelfslösungen sollten im Plan skizziert werden, damit der Betrieb fortgesetzt werden kann, bis die Computersysteme wiederhergestellt werden können.

Es gibt drei wesentliche Aspekte für einen Business Continuity Plan in Bezug auf wichtige Anwendungen und Prozesse:

• Hohe Verfügbarkeit: Bereitstellung von Funktionen und Prozessen, damit ein Unternehmen unabhängig von lokalen Ausfällen auf Anwendungen zugreifen kann. Diese Ausfälle können in den Geschäftsprozessen, in den physischen Einrichtungen oder in der IT-Hardware oder Software auftreten.
• Kontinuierlicher Betrieb: Sicherstellen, dass der Betrieb während einer Unterbrechung sowie bei geplanten Ausfällen, wie geplanter Backups oder geplanter Wartungsarbeiten, fortgesetzt werden kann.

Disaster Recovery: Eine Möglichkeit schaffen, einRechenzentrum an einem anderen Standort wiederherzustellen, falls der Hauptstandort durch eine Katastrophe zerstört oder anderweitig funktionsunfähig wird.

Entwicklung von Business Continuity Plänen

Die Business Continuity Planung hat sich Anfang der 1970er Jahre aus der Disaster Recovery Planung entwickelt. Finanzorganisationen, wie Banken und Versicherungen, investierten in alternative Standorte. Backup-Bänder wurden an geschützten Standorten fernab von Computern gelagert. Die Wiederherstellungsmaßnahmen wurden fast immer durch ein Feuer, eine Überschwemmung, einen Sturm oder eine andere äußere Gewalteinwirkung ausgelöst. In den 1980er Jahren sind Recovery-Sites entstanden, die Computerleistungen als Shared Services anboten, aber der Schwerpunkt lag immer noch nur auf der IT-Wiederherstellung.

Die 1990er Jahre brachten eine starke Zunahme der Globalisierung von Unternehmen und den durchgängigen Zugriff auf Daten. Die Unternehmen dachten über die Disaster Recovery hinaus und betrachteten den gesamten Business Continuity-Prozess aus einer ganzheitlichen Perspektive. Sie erkannten, dass sie ohne einen vollständigen Business Continuity Plan, Gefahr laufen könnten, ihre Kunden und ihren Wettbewerbsvorteil zu verlieren. Gleichzeitig wurde die Business Continuity Planung immer komplexer, da sie Anwendungsarchitekturen wie verteilte Anwendungen, dezentrale Verarbeitung, verteilte Daten und hybride Rechenumgebungen berücksichtigen musste.

Unternehmen sind sich heute zunehmend ihrer Anfälligkeit bei Cyber-Angriffen bewusst, denn diese können ein Unternehmen lahmlegen oder seine IT-Systeme dauerhaft zerstören. Außerdem schaffen die Digitale Transformation und Hyperkonvergenz unbeabsichtigte Ansatzpunkte für Risiken, Schwachstellen, Angriffe und Ausfälle. Business Continuity Pläne müssen eine Cyber-Resilience-Strategie beinhalten, die einem Unternehmen helfen kann, disruptive Cyberangriffe zu überstehen. Die Pläne beinhalten in der Regel Möglichkeiten, um sich kontrolliert und messbar gegen diese Risiken zu schützen, kritische Anwendungen und Daten zu sichern und bei einem Datenverlust, schnell wiederherzustellen.

Ein weiteres Problem sind die exponentiell wachsenden Datenmengen. Anwendungen wie Decision-Support-Systems, Data-Warehousing, Data-Mining und Customer Resource Management können Investitionen in Petabyte-Größe in Online-Speicher erfordern.

Die Datensicherung lässt sich nicht mehr eindimensional betrachten. Die komplexe IT-Infrastruktur der meisten Installationen übersteigt die Möglichkeiten der meisten Betriebe, so zu reagieren, wie sie es noch vor wenigen Jahren taten. Forschungsstudien haben gezeigt, dass Unternehmen, die sich irgendwie von einem unmittelbaren Katastrophenereignis erholt haben, ohne angemessene Planung häufig mittelfristig nicht überleben.

Warum ist ein Business Continuity Plan wichtig? 

Es ist wichtig, einen Business Continuity Plan zu haben, der die Geschäftsprozessen, Anwendungen und IT-Infrastruktur identifiziert, die bei einem Ausfall synchronisiert und sichergestellt werden müssen. Laut IDC kann ein Ausfall der Infrastruktur im Durchschnitt 100.000 USD pro Stunde kosten und ein Ausfall einer kritischen Anwendung kann 500.000 bis 1 Million USD pro Stunde kosten. 

Um diesen vielen Bedrohungen standzuhalten, haben Unternehmen erkannt, dass sie mehr tun müssen, als eine zuverlässige Infrastruktur zu schaffen, die das Wachstum unterstützt und Daten schützt. Unternehmen entwickeln jetzt ganzheitliche Business Continuity Pläne, die den Betrieb aufrechterhalten, Daten schützen, die Marke sichern, Kunden binden – und letztlich helfen, die Gesamtbetriebskosten langfristig zu senken. Mit einem Business Continuity Plan können Ausfallzeiten minimiert und nachhaltige Verbesserungen in den Bereichen Business Continuity, IT-Disaster-Recovery, Krisenmanagement des Unternehmens und Einhaltung gesetzlicher Vorschriften erreicht werden.

Die Entwicklung eines umfassenden Business Continuity Plans ist jedoch schwieriger geworden, da die Systeme zunehmend integriert und über hybride IT-Umgebungen verteilt sind, wodurch potenzielle Schwachstellen entstehen. Die Verknüpfung kritischerer Systeme miteinander, um höhere Anforderungen zu erfüllen, erschwert die Planung der Geschäftskontinuität – zusammen mit Disaster-Recovery, Ausfallsicherheit, Einhaltung gesetzlicher Vorschriften und Sicherheit. Wenn ein Glied der Kette bricht oder angegriffen wird, können sich die Auswirkungen auf das gesamte Unternehmen erstrecken. Ein Unternehmen kann Umsatzeinbußen erleiden und das Vertrauen der Kunden verlieren, wenn es nicht in der Lage ist, die Business-Resiliency aufrechtzuerhalten und sich schnell an Risiken und Chancen anzupassen und auf diese zu reagieren.

Einsatz von Consulting, Software und Cloud-basierten Lösungen für einen Business Continuity Plan

Viele Unternehmen haben Schwierigkeiten, ihre Ausfallsicherheitsstrategien schnell genug weiterzuentwickeln, um den heutigen hybriden IT-Umgebungen und sich ändernden Geschäftsanforderungen gerecht zu werden. In einer rund um die Uhr aktiven Welt können globale Unternehmen einen Wettbewerbsvorteil erlangen – oder Marktanteile verlieren – je nachdem, wie zuverlässig die IT-Ressourcen die Kerngeschäftsanforderungen erfüllen.

Einige Organisationen verwenden externe Beratungsleistungen für das Business Continuity Management um die Resilienz-Synchronisierung zwischen Geschäftsprozessen, Anwendungen und der IT-Infrastruktur zu identifizieren und zu beheben. Berater können flexible Business Continuity und Disaster Recovery Beratung anbieten, um die Anforderungen eines Unternehmens zu erfüllen – einschließlich Bewertungen, Planung und Design, Implementierung, Tests und kompletten Business Continuity Management.

Es gibt proaktive Services, wie die Kyndryl IT-Infrastructure-Recovery Services, die Unternehmen dabei helfen, Risiken zu erkennen und sicherzustellen, dass diese auf die Erkennung, Reaktion und Wiederherstellung einer Störung vorbereitet sind.

Mit der Zunahme von Cyberangriffen gehen Unternehmen von einem traditionellen/manuellen Wiederherstellungsansatz zu einem automatisierten und softwaredefinierten Resiliency-Ansatz über. Der Ansatz von Kyndryl Cyber Resilience Services nutzt fortschrittliche Technologien und Best Practices, um Risiken zu bewerten und geschäftskritische Anwendungen und Daten zu priorisieren und zu schützen. Diese Services können Unternehmen auch dabei helfen, die IT während und nach einem Cyberangriff schnell wiederherzustellen.

Andere Unternehmen nutzen Cloud-basierte Backup-Services wie Kyndryl Disaster Recovery as a Service (DRaaS), um eine fortlaufende Replikation wichtiger Anwendungen, Infrastrukturen, Daten und Systeme für eine schnelle Wiederherstellung nach einem IT-Ausfall zu gewährleisten. Es stehen auch Optionen für virtuelle Server, wie Kyndryl Cloud Virtualized Server Recovery bereit, um kritische Server in Echtzeit zu schützen. Dies ermöglicht eine schnelle Wiederherstellung Ihrer Anwendungen in einem Kyndryl Resiliency Center, um den Betrieb während Wartungsarbeiten oder unerwarteten Ausfallzeiten aufrechtzuerhalten.

Für immer mehr Unternehmen liegt die Antwort in der Resilienz-Orchestrierung, einem Cloud-basierten Ansatz, der die Automatisierung von Disaster Recovery und eine Reihe von Business Continuity-Management-Tools nutzt, die speziell für hybride IT-Umgebungen entwickelt wurden. Kyndryl Resiliency Orchestration hilft beispielsweise, die Abhängigkeiten von Geschäftsprozessen über Anwendungen, Daten und Infrastrukturkomponenten hinweg zu schützen. Diese Lösung erhöht die Verfügbarkeit von Geschäftsanwendungen, so dass Unternehmen über ein zentrales Dashboard auf die Informationen zu Recovery Point Objective (RPO), Recovery Time Objective (RTO) und den allgemeinen Zustand der IT-Continuity zugreifen können.

Eckpunkte eines effektiven Business Continuity Plans (BCP)

Die Komponenten der Geschäftskontinuität sind:

• Strategie: Objekte, die sich auf die Strategien beziehen, die das Unternehmen verwendet, um die täglichen Aktivitäten zu erledigen und gleichzeitig einen kontinuierlichen Betrieb sicherzustellen
• Unternehmen: Objekte, die sich auf die Struktur, die Fähigkeiten, die Kommunikation und die Verantwortlichkeiten der Mitarbeiter beziehen
• Anwendungen und Daten: Objekte, die sich auf die Software beziehen, die notwendig ist, um den Geschäftsbetrieb zu ermöglichen, sowie die Methode zur Bereitstellung von Hochverfügbarkeit, die zur Implementierung dieser Software verwendet wird
• Prozesse: Objekte, die sich auf die kritischen Geschäftsprozesse beziehen, die für den Betrieb des Unternehmens notwendig sind, sowie die IT-Prozesse, die für einen reibungslosen Betrieb sorgen
• Technologie: Objekte, die sich auf die Systeme, das Netzwerk und die branchenspezifische Technologie beziehen, die erforderlich sind, um einen kontinuierlichen Betrieb und Backups für Anwendungen und Daten zu ermöglichen
• Einrichtungen: Objekte, die sich auf die Bereitstellung eines Disaster Recovery-Standorts beziehen, wenn der primäre Standort zerstört ist

Der Business Continuity Plan wird zum Zeitpunkt eines Business Continuity Ereignisses oder einer Krise zu einer Quellenreferenz und zur Blaupause für die Strategie und Taktik zur Bewältigung des Ereignisses oder der Krise.

Die folgende Abbildung veranschaulicht einen Business Continuity Planungsprozess, der von KyndryI Global Technology Services verwendet wird. Es ist ein geschlossener Kreislauf, der kontinuierliche Iteration und Verbesserung als Ziel unterstützt. Der Planungsprozess besteht aus drei Hauptabschnitten:

• Geschäftspriorisierung: Identifizieren Sie verschiedene Risiken, Bedrohungen und Schwachstellen und legen Sie Prioritäten fest.
• Integration in die IT: Aus dem Input der Geschäftspriorisierung wird ein Gesamtentwurf für ein Business Continuity Programm erstellt.
• Manage: Verwaltung dessen, was beurteilt und entworfen wurde.