在此以一家公司所开展的灾难恢复计划为例。这家公司在当时没有正式的灾难恢复计划,但一些客户询问其规划灾难和突发事件的事项,该公司正在处理和存储客户数据,所以迫切需要一个这样的计划。
在其合作伙伴的专家帮助下,为其制定了灾难恢复计划,以解决其所有内部系统的故障转移和业务延续问题,并将该公司的少数系统外包给云计算提供商。该公司是一家中小型公司,因此很容易做到,在制定灾难恢复计划之后,该公司专注于发展业务,直到近两年后,才重新审视灾难恢复计划(或测试它)。
专家发现,在灾难恢复计划制定后的两年时间里,该公司有系统地将所有关键任务系统外包给云提供商,只剩下一个骨干网络和IT基础设施来处理内部员工计算需求。
专家表示,“这家公司没有必要修改其灾难恢复计划,而是需要全面改写。”
那么这发生了什么?
该公司的IT经理说,“我们与供应商进行了协调,他们中的大多数人都表示,可以通过迁移到云中来消除大量资本设备和内部IT工作,所以我们这么做了。”
专家询问该公司的IT经理和首席运营官是否在他们的文件中拥有供应商合同和服务等级协议(SLA)时,IT经理表示,“我们确实签了合同,但我们现在找不到了,我们必须回到供应商那里去看看是否能拿到副本。”
不幸的是,这种情况在其他一些重新审视灾难恢复计划的其他案例中也再次重现。这是因为他们的灾难恢复计划没有跟上IT发展和云计算的步伐。
灾难恢复的巨变
将关键任务应用程序迁移到云端是IT风险管理和灾难恢复的巨变,因为现在企业正在采用第三方供应商在灾难恢复和业务延续的帮助。
IT咨询公司Cognizant评论说:“通过云计算提供商托管应用程序或正在考虑这样做的IT经理应该对内部基础设施执行同样的灾难恢复尽职调查。这其中包括评估风险,制定可能的解决方案,并以最低的成本实施满足所需服务水平的计划。”
但是如果企业在保持自己的灾难恢复计划更新时遇到问题,那么如何才能转换和重新定义其灾难恢复方法?
(1)按顺序获取合同文件
如果企业将关键任务应用程序主动外包给云计算服务商,但没有跟上灾难恢复计划的步伐,那么第一步就是对其所有的云供应商合同进行评估。如果没有,请联系供应商并获得一份副本。然后将它归档。
(2)了解企业合同描述的内容
专家指出,近三分之二的云计算供应商没有公布其服务级别协议。而客户、业务合作伙伴、IT顾问和科技媒体开始对他们施加压力,因此大多数供应商现在都进行公布。但是,并非所有云计算供应商的服务级别协议都是相同的。有些供应商只能保证尽力提供99.99%的正常运行时间,而另一些供应商则主张百分之百,但这种承诺实际上容易在经济上受到惩罚,并在不能实现承诺时向客户退款。关于供应商性能、正常运行时间和服务响应服务级别协议的经验法则是,供应商提供的内容应与企业期望的内部IT性能最低限度相匹配。如果他们不匹配,则与另一个供应商合作。
(3)查看基于云计算的供应商的安全和数据安全标准
如果供应商在多租户云环境中运行,即使企业与其他公司共享服务器,也希望确保其处理区域和数据是唯一的。企业还需要保证其供应商不会与其他方分享其数据,并且希望与处于五级网络安全保护的供应商开展业务。五级保护意味着供应商能够防御其网络受到的同时发生的多个攻击,这些技术可快速针对系统进行移动并大规模进行。
Checkpoint Software公司是一家安全技术提供商,其在2018年的调查报告显示,大多数公司在网络安全方面落后,很难应对最新一代的网络攻击。如果企业将所有或大部分应用程序迁移到云中,所面临的保护网络和系统的挑战变得更加艰巨,因为企业必须确保所有外包供应商以及本身在IT保护方面取得进步来抵御攻击。
(4)企业需要来自云计算供应商的定期审计报告
云计算供应商审核报告应该解决其财务稳定性问题,因为企业希望其供应商业务稳定,并且能够长期与企业保持联系。在IT方面,供应商提供的审核应该能让企业放心,供应商拥有适当的控制、管理以及对应用程序和数据的保护。
(5)企业需要与关键任务供应商一起测试灾难恢复
如果将这些系统外包给第三方云计算供应商,客户可能会询问,并且企业也希望知道其关键任务系统所需的灾难恢复和业务延续是否真的能够发挥作用。企业只是看到合同中的系统和数据恢复的服务级别协议,这还远远不够。相反,企业应该计划每年与关键任务应用程序供应商一起测试故障转移和灾难恢复,这是确保故障转移和灾难恢复真正发挥作用,并纠正计划中的不协调情况的唯一方法。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号