NAKIVO > Blog > Multiplatform

Ocena wpływu ryzyka w procesie odzyskiwania awaryjnego: od czego zacząć

Updated: 22 czerwca, 2026

Autor:: Zespół NAKIVO

Ocena ryzyka to jeden z pierwszych kroków niezbędnych do znalezienia sposobu na jego ograniczenie, a tym samym zapewnienie bezpieczeństwa infrastruktury. Opracowanie skutecznego planu odzyskiwania awaryjnego zaczyna się od zidentyfikowania potencjalnych zagrożeń i słabych punktów elementów infrastruktury, a także sposobów reagowania na nie. Ocena ryzyka nie jest procesem jednorazowym. Należy regularnie aktualizować zasady oceny ryzyka, zwłaszcza jeśli infrastruktura podlega ciągłym zmianom. Celem naszego artykułu jest wyjaśnienie znaczenia oceny skutków ryzyka w planowaniu odzyskiwania awaryjnego oraz przedstawienie podstawowych informacji na temat sposobu przeprowadzania oceny ryzyka.

Zapewnij dostępność dzięki NAKIVO

Zapewnij dostępność dzięki NAKIVO

Spełnij rygorystyczne wymagania dotyczące dostępności usług w infrastrukturach wirtualnych. Osiągnij zamierzone poziomy dostępności dzięki niezawodnym funkcjom orkiestracji i automatyzacji procesów odzyskiwania po awarii.

ODKRYJ ROZWIĄZANIE

Ocena skutków ryzyka: powiązane pojęcia

Ocena ryzyka stanowi istotny element zarówno planowania odzyskiwania awaryjnego (DR), jak i ciągłości działania (BC). Chociaż szczegółowe omówienie DR i BC wymagałoby dwóch oddzielnych wpisów na blogu, poniżej przedstawiono krótki zarys tych dwóch praktyk:

  • Plan odzyskiwania awaryjnego to dokument zawierający jasno określony algorytm działań, które należy podjąć w razie wystąpienia incydentu. Jego celem jest ułatwienie przywrócenia normalnego funkcjonowania po negatywnych skutkach, jakie spowodował incydent. Instrukcje zawarte w planie DR mają pomóc firmie w utrzymaniu lub szybkim wznowieniu kluczowych operacji, ograniczając w ten sposób przestoje do minimum.
  • Plan ciągłości działania odnosi się do zestawu działań mających na celu zapobieganie potencjalnym zagrożeniom oraz odzyskiwanie sprawności po incydentach, z którymi boryka się firma. Kluczową ideą jest zapewnienie, że pracownicy i aktywa firmy są chronione oraz że firma będzie w stanie wznowić działalność w przypadku wystąpienia katastrofy. Plan ciągłości działania (BC) ma szerszy zakres niż plan odzyskiwania po awarii (DR): ma on na celu zapewnienie, że firma będzie kontynuować działalność po katastrofie, podczas gdy plan DR ma na celu szybkie złagodzenie negatywnych skutków tej ostatniej.

Ocena ryzyka i wszystkich potencjalnych słabych punktów, na które firma może być narażona, jest przeprowadzana przed wdrożeniem planu DR. Dobrą praktyką jest rozpoczęcie tego procesu zaraz po przeprowadzeniu analizy wpływu na działalność ( ) (BIA), która jest kolejnym ważnym elementem strategii odzyskiwania awaryjnego, mającym na celu zidentyfikowanie potencjalnych konsekwencji w przypadku zakłócenia którejkolwiek z funkcji lub procesów biznesowych.

Ocena ryzyka związanego z odzyskiwaniem awaryjnym to dokument zawierający opis potencjalnych zagrożeń dla funkcjonowania organizacji. Obejmuje ona zarówno klęski żywiołowe, jak i katastrofy spowodowane przez człowieka oraz szacuje prawdopodobieństwo wystąpienia każdego scenariusza. Wyniki oszacowania są następnie mnożone przez konsekwencje zdarzenia. Otrzymana wartość określa poziom ochrony organizacji przed danym zagrożeniem. Niektóre z podstawowych zagadnień, które dokument powinien uwzględniać, to:

  • Potencjalne szkody, jakie może spowodować zdarzenie;
  • Ilość czasu i wysiłku wymagana do złagodzenia skutków zdarzenia & związane z tym koszty;
  • Środki zapobiegawcze mające na celu zmniejszenie ryzyka katastrofy;
  • Instrukcje dotyczące zmniejszenia dotkliwości zdarzenia.

Ocena ryzyka to czasochłonny proces, który wymaga zarówno umiejętności, jak i dbałości o szczegóły. Przygotowując ten dokument, warto kierować się wytycznymi, zwrócić uwagę na narzędzia do oceny ryzyka oraz pobrać przykładową ocenę ryzyka związanego z odzyskiwaniem awaryjnym danych, aby lepiej zrozumieć zagadnienie.

Jak przeprowadzić ocenę wpływu ryzyka

Zazwyczaj proces przeprowadzania oceny ryzyka związanego z odzyskiwaniem awaryjnym danych obejmuje etapy opisane poniżej. W zależności od potrzeb organizacji można dodać dodatkowe etapy lub pominąć niektóre z wymienionych.

  1. Wykaz zasobów

Określenie zasobów, które są najcenniejsze dla organizacji, to pierwszy krok w kierunku ich ochrony. Termin „zasoby” jest dość szeroki i może obejmować serwery, strony internetowe i aplikacje, informacje o bazie klientów, bazy danych, dokumenty papierowe lub elektroniczne itp., a nawet kluczowych członków zespołu.

Aby sprostać temu zadaniu, rozważ stworzenie kwestionariusza. Ważne jest, aby uzyskać informacje zwrotne nie tylko od kluczowych menedżerów i kierowników działów, ale od wszystkich pracowników firmy. Pomoże to dostrzec kwestie, które mogły zostać przeoczone. Rozpocznij dokumentowanie konkretnych zagrożeń i ryzyk w każdym dziale.

  1. Zidentyfikuj zagrożenia

W szczególności należy określić, co dokładnie może wpłynąć na każdy z zasobów i w jaki sposób. Obejmuje to oprogramowanie, sprzęt, dane i pracowników. Upewnij się, że stosujesz zintegrowane podejście, które uwzględnia jak najszerszy zakres form i rodzajów katastrof. Są to:

  • Klęski żywiołowe. Nawet jeśli Twoja infrastruktura znajduje się w obszarze, w którym prawdopodobieństwo wystąpienia huraganów lub trzęsień ziemi jest niewielkie, nie możesz ignorować możliwości wystąpienia pożarów i pęknięć rur wodociągowych. Weź to pod uwagę przy podejmowaniu decyzji o lokalizacji serwerów.
  • Awaria systemu. Prawdopodobieństwo awarii zależy od jakości sprzętu komputerowego oraz nakładu pracy włożonego w jego konserwację. Zawsze istnieje ryzyko, że maszyna wyłączy się i przestanie działać bez żadnych ostrzeżeń lub komunikatów o błędach. Ponadto awaria systemu może wynikać z poważnych problemów z oprogramowaniem, takich jak na przykład błędna linia kodu.
  • Błąd przypadkowy . Szkolenie pracowników, zapewnienie wystarczającej ilości czasu na odpoczynek, wdrożenie protokołów bezpieczeństwa i inne środki zapobiegawcze nie eliminują w pełni ryzyka błędu ludzkiego. Niektórzy z Państwa pracowników mogą nieumyślnie usunąć ważny plik, kliknąć link zawierający złośliwe oprogramowanie lub przypadkowo uszkodzić sprzęt.
  • Złośliwe działania . Ta grupa zagrożeń przybiera różne formy, od tradycyjnych ataków hakerskich wymierzonych w Państwa dane po zagrożenia wewnętrzne, takie jak nadużycie danych uwierzytelniających oraz celowe modyfikowanie lub niszczenie danych.
  1. Znajdź słabe punkty

Ważne jest, aby zidentyfikować słabe punkty, które mogą zostać wykorzystane w celu uzyskania dostępu do zasobów firmy lub wyrządzenia im szkody. Aby wykonać nieautoryzowaną czynność, osoba atakująca potrzebuje wektora ataku (tj. metody), który można zastosować w celu wykorzystania słabości systemu. Suma tych wektorów ataku w infrastrukturze IT jest znana jako powierzchnia ataku. Kluczową ideą jest ograniczenie powierzchni ataku do minimum.

Należy ocenić prawdopodobieństwo wykorzystania luki w zabezpieczeniach. Jest to pierwszy krok w ustalaniu priorytetów luk w zabezpieczeniach i przydzielaniu zasobów w celu ich wyeliminowania. Według statystyk opartych na Common Vulnerability Scoring System (CVSS), branżowym standardzie oceny powagi luk w zabezpieczeniach, w większości przypadków wykorzystywane są luki o wysokim stopniu zagrożenia. Nie jest to jednak reguła bez wyjątków.

  1. Oceń potencjalne konsekwencje

Przeprowadź analizę wpływu ryzyka, aby określić straty finansowe, jakie może ponieść Twoja firma w przypadku uszkodzenia jakichkolwiek aktywów. Oprócz utraconych przychodów potencjalne konsekwencje mogą obejmować utratę danych, uszkodzenie środowiska IT w wyniku przestoju, utratę reputacji oraz problemy prawne. Należy pamiętać, że straty widoczne na pierwszy rzut oka mogą być jedynie początkiem. Incydent może skutkować ukrytymi kosztami związanymi z działaniami PR i dochodzeniami, a także podwyżkami składek ubezpieczeniowych i opłatami prawnymi.

risk impact assessment

  1. P rioritize the risks

Określ poziom ryzyka dla każdej pary zagrożenia i luki w zabezpieczeniach. Ocena powinna opierać się na połączeniu dwóch czynników: prawdopodobieństwa wykorzystania luki w zabezpieczeniach oraz potencjalnych konsekwencji, jakie może nieść ze sobą dany incydent. Należy oszacować, jak duże straty finansowe może ponieść firma w wyniku wystąpienia zdarzenia ryzyka.

Ustalenie priorytetów powinno opierać się na korelacji między poziomem skutków a prawdopodobieństwem wystąpienia danego incydentu. Jeśli incydent może spowodować poważne negatywne skutki i jest wysoce prawdopodobne, że do niego dojdzie, należy nadać tej sprawie najwyższy priorytet. Każdemu z zagrożeń należy przypisać odpowiednią wartość, od „bardzo wysokiego” (wysokie prawdopodobieństwo wystąpienia ryzyka w połączeniu ze znacznymi stratami finansowymi) do „bardzo niskiego” (niskie prawdopodobieństwo i nieznaczne szkody).

  1. Udokumentuj wyniki

Ostatnim krokiem w przeprowadzaniu oceny wpływu ryzyka jest przygotowanie raportu lub dokumentu, który obejmuje wszystkie wyżej wymienione szacunki. W przyszłości dokument ten może pomóc w planowaniu budżetu, alokacji zasobów, wdrażaniu polityk bezpieczeństwa i tak dalej. Dokument ten powinien opisywać słabe punkty, potencjalny wpływ oraz prawdopodobieństwo wystąpienia każdego zagrożenia. Aby lepiej to zrozumieć, zapoznaj się z poniższym przykładem:

Zagrożenie Słaby punkt Aktywa Skutki Prawdopodobieństwo Ryzyko Środki ostrożności
Przegrzanie w serwerowni (awaria systemu) – Wysokie System klimatyzacji jest stary i źle utrzymywany – Wysokie Serwery – Krytyczne Usługi, strony internetowe, aplikacje itp. będą niedostępne przez kilka godzin – Krytyczne Temperatura w serwerowniach wynosi 40°C – Wysokie Znaczne straty finansowe za każdą godzinę przestoju – Wysokie Zakup nowego klimatyzatora & zapewnienie lepszej konserwacji

Zaraz po rozpoczęciu lepiej zrozumiesz operacje i procesy swojej organizacji, a także sposoby ich optymalizacji. Na podstawie oceny wpływu ryzyka stwórz politykę regulującą zakres działań, które Twoja firma powinna podejmować co miesiąc, co kwartał lub co roku. Spróbuj ustalić, w jaki sposób należy reagować na każde z zagrożeń i je łagodzić, a także kiedy przeprowadzić kolejną ocenę ryzyka.

Przygotuj się z wyprzedzeniem

Ignorowanie znaczenia przygotowania kompleksowego raportu z oceny ryzyka jest jednym z najczęstszych zagrożeń związanych z odzyskiwaniem awaryjnym. Raport ten jest sprawdzonym narzędziem pomagającym zmniejszyć prawdopodobieństwo wystąpienia incydentu, złagodzić jego negatywne skutki i ograniczyć przestoje do minimum.

Na przykład regularne tworzenie kopii zapasowych i przechowywanie ich zdalnie to mądra praktyka, która zapewnia możliwość odzyskania danych w wielu różnych sytuacjach, od przypadkowego usunięcia po całkowite zniszczenie serwerowni. Ponadto, dysponując aktualną repliką, możesz przywrócić dane po awarii za pomocą zaledwie kilku kliknięć.

NAKIVO Backup & Replication oferuje szeroki wachlarz narzędzi i funkcji ułatwiających wykonanie kopii zapasowej i replikację obciążeń. Poniżej znajdziesz krótki przegląd naszych funkcji:

Wykonanie kopii zapasowej danych

  • Wykonanie kopii zapasowej obciążeń wirtualnych, fizycznych i chmurowych.
  • Natychmiastowe przywrócenie Pliki, foldery i obiekty aplikacji bezpośrednio ze skompresowanych i zduplikowanych kopii zapasowych. Dane można przywrócić do lokalizacji źródłowej lub do dowolnej lokalizacji. Funkcja działa zarówno w sieciach LAN, jak i WAN, przy czym przywracane są wszystkie uprawnienia do plików.
  • Wysyłaj kopie zapasowe przechowywane zdalnie aby mieć pewność, że nigdy nie zostaną utracone w wyniku przypadkowego usunięcia, uszkodzenia, awarii dysku, cyberataku lub innego nieprzewidzianego zdarzenia.

Replikacja maszyny wirtualnej VMware

  • Twórz identyczne kopie, czyli repliki, maszyn wirtualnych opartych na VMware, Hyper-V i AWS EC2.
  • Wznowij operacje krytyczne dla działalności niemal natychmiast, przełączenie awaryjne do repliki maszyny wirtualnej. Innymi słowy, za pomocą zaledwie kilku kliknięć można przywrócić maszynę wirtualną dotkniętą awarią oprogramowania lub sprzętu.
  • Wykonaj Replikacja z kopii zapasowej w celu odciążenia środowiska produkcyjnego i zaoszczędzenia czasu, co jest szczególnie ważne w przypadku dużych infrastruktur IT.

Aby zminimalizować utratę danych i skrócić przestoje, należy przygotować się z wyprzedzeniem. Połączenie NAKIVO Backup & Replication i odpowiedniego raportu z oceny wpływu ryzyka może pomóc w ochronie środowiska przed szeroką gamą nieoczekiwanych scenariuszy.

Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby zapoznać się ze wszystkimi funkcjami rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo

People also read

Picture
Konfigurowanie zasad tworzenia kopii zapasowej w usłudze Microsoft Office 365: poradnik
Picture
Typowe problemy związane z Office 365 i sposoby ich rozwiązywania
Picture
Jak rozszerzyć partycje maszyn wirtualnych w systemie Windows