Prije ili kasnije sustav stane: zbog napada, kvara, požara ili ljudske greške. Pitanje nije hoće li se to dogoditi, nego koliko brzo se tvrtka vraća u rad i koliko podataka pritom izgubi. Na to odgovaraju dva povezana plana: plan kontinuiteta poslovanja (BCP) i plan oporavka od katastrofe (DR). Ovaj tekst objašnjava razliku, ključne pojmove i kako ih izraditi.
Plan kontinuiteta poslovanja gleda cijelu tvrtku: kako nastaviti raditi i kad ključni sustavi nisu dostupni, uključujući ljude, procese i alternativne načine rada. Plan oporavka je uži i tehnički: kako vratiti IT sustave i podatke nakon ispada. DR je dio BCP-a, ne njegova zamjena. Tvrtka treba oba.
Ključni pojmovi: RTO i RPO
Dva pojma određuju koliko je plan ambiciozan i koliko košta.
Pojam
Što mjeri
Pitanje na koje odgovara
RTO
Vrijeme do povratka u rad.
Koliko dugo sustav smije biti nedostupan?
RPO
Količinu podataka koju smijete izgubiti.
Do koje točke u prošlosti se moramo moći vratiti?
RTO i RPO objašnjeni.
Što su RTO i RPO kraći, to je rješenje skuplje. Zato se određuju po važnosti sustava: kritični sustavi traže brz oporavak, dok manje važni mogu čekati dulje. Ti se ciljevi izvode iz procjene rizika i analize učinka na poslovanje.
Kako izraditi plan
Dobar plan je konkretan, dodijeljen i uvježban.
01
Utvrdite kritične procese
Odredite koji procesi i sustavi su nužni za rad tvrtke.
02
Postavite RTO i RPO
Za svaki kritični sustav odredite koliko brzo i do koje točke se mora oporaviti.
03
Definirajte postupke
Opišite tko što radi, kako se vraćaju sustavi i kako se komunicira.
04
Osigurajte kopije
Vodite sigurnosne kopije i čuvajte ih odvojeno, izvan dosega istog napada.
05
Testirajte plan
Redovito provjeravajte vraćaju li se sustavi i kopije stvarno.
Veza s usklađenošću
Kontinuitet poslovanja nije samo dobra praksa. NIS2 traži upravljanje kontinuitetom kao dio mjera, a DORA za financijski sektor postavlja stroge zahtjeve na otpornost i oporavak. Dobar plan tako pokriva i obvezu i stvarnu sigurnost.
Plan kontinuiteta poslovanja (BCP) gleda cijelu tvrtku i kako nastaviti raditi tijekom prekida. Plan oporavka (DR) uži je i tehnički, usmjeren na vraćanje IT sustava i podataka. DR je dio BCP-a, a tvrtka treba oba.
Što znače RTO i RPO?+
RTO je vrijeme do povratka u rad, dakle koliko dugo sustav smije biti nedostupan. RPO je količina podataka koju smijete izgubiti, dakle do koje se točke u prošlosti morate moći vratiti. Što su kraći, rješenje je skuplje.
Jesu li sigurnosne kopije dovoljne?+
Same po sebi nisu. Kopije koje nitko nije pokušao vratiti lažna su sigurnost, a ako su dostupne s iste mreže, ransomware ih može šifrirati zajedno sa svime. Kopije moraju biti odvojene i redovito provjeravane.
Traže li propisi plan kontinuiteta?+
Da. NIS2 traži upravljanje kontinuitetom poslovanja kao dio mjera, a DORA za financijski sektor postavlja stroge zahtjeve na otpornost i oporavak. Plan pokriva i obvezu i stvarnu sigurnost.
Izvori
1ISO. ISO 22301: Business continuity management systems. International Organization for Standardization, 2019. Poveznica
2NIST. Cybersecurity Framework (CSF) 2.0 — Recover. National Institute of Standards and Technology, 2024. Poveznica
