สกอร์การ์ดยุทธศาสตร์การกู้คืนจากภัยพิบัติ: การคำนวณ KPIs สำหรับสินทรัพย์หลายรายการ

ยุทธศาสตร์การกู้คืนจากภัยพิบัติมุ่งเน้นไปที่การฟื้นฟูระบบและโครงสร้างพื้นฐานที่สำคัญหลังจากการหยุดชะงัก ในบทความนี้ เราจะสำรวจวิธีการวัดความพร้อมของระบบหรือสินทรัพย์เฉพาะสำหรับการกู้คืนจากภัยพิบัติและคำนวณความพร้อมในการกู้คืนจากภัยพิบัติโดยรวมโดยการรวบรวมข้อมูลจากสินทรัพย์แต่ละรายการ

เกินกว่าการกู้คืนจากภัยพิบัติสำหรับไอที

ด้วยการหยุดชะงักที่เกี่ยวข้องกับข้อมูลเฉลี่ย 4.2 ครั้งต่อปี¹, เราเห็นแนวโน้มที่เพิ่มขึ้นของการขยายการกู้คืนจากภัยพิบัติทางไอทีและการจัดให้สอดคล้องกับฟังก์ชัน GRC โดยรวม

ในขณะเดียวกัน เหตุการณ์ที่ก่อให้เกิดการหยุดชะงักเพิ่มขึ้น โดยเฉพาะสภาพอากาศที่รุนแรง ทำให้องค์กรต่าง ๆ มองไกลกว่าความต่อเนื่องทางธุรกิจพื้นฐานและพิจารณาขอบเขตที่กว้างกว่า² ของการกู้คืนจากภัยพิบัติ รวมถึงการกู้คืนโครงสร้างพื้นฐาน การกู้คืนสิ่งอำนวยความสะดวก การกู้คืนการดำเนินงาน และอื่น ๆ

วิธีการดำเนินการยุทธศาสตร์ที่อิงกับยุทธศาสตร์ที่สอดคล้องกันและสกอร์การ์ดที่ใช้งานได้ ช่วยให้องค์กรสามารถปรับใช้หลักการของสกอร์การ์ดการกู้คืนจากภัยพิบัติทางไอทีไปยังขอบเขตที่กว้างขึ้นนี้และบูรณาการเข้ากับยุทธศาสตร์โดยรวมของบริษัท

ขั้นตอนที่ 1. การวิเคราะห์ผลกระทบทางธุรกิจและความเสี่ยง

เริ่มออกแบบสกอร์การ์ดการกู้คืนจากภัยพิบัติด้วยขั้นตอนการวิเคราะห์และการวางแผนบางประการ³:

• การวิเคราะห์ผลกระทบทางธุรกิจ เพื่อระบุสินทรัพย์ที่สำคัญ
• การวิเคราะห์ความเสี่ยง เพื่อระบุผลกระทบทางธุรกิจที่อาจเกิดขึ้นจากความไม่แน่นอน
• การวางแผนสถานการณ์ เพื่อสำรวจว่าความเสี่ยงที่ระบุอาจส่งผลต่อสินทรัพย์ที่สำคัญได้อย่างไร

ขึ้นอยู่กับความซับซ้อนของระบบและผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง กระบวนการวิเคราะห์สามารถทำให้เป็นทางการได้โดยใช้ สกอร์การ์ดเชิงหน้าที่ ตัวอย่างเช่น:

• สกอร์การ์ดการดำเนินธุรกิจอย่างต่อเนื่อง ที่มีการทำแผนที่สินทรัพย์และการติดตามเหตุการณ์
• ทะเบียนความเสี่ยงส่วนกลาง ที่มีการระบุและวิเคราะห์ความเสี่ยง
• สกอร์การ์ดสถานการณ์ สำหรับการวิเคราะห์ตัวชี้วัดการเตือนล่วงหน้าและการวางแผนยุทธศาสตร์การตอบสนอง

ขั้นตอนที่ 2. กำหนดเป้าหมายการกู้คืนข้อมูลและเวลาในการกู้คืนข้อมูล

ในขั้นตอนนี้ เราจะกำหนด:

• เป้าหมายการกู้คืนข้อมูล (การสูญเสียที่ยอมรับได้ เช่น การสูญเสียข้อมูลที่ยอมรับได้), และ
• เป้าหมายเวลาในการกู้คืนข้อมูล (เวลาหยุดทำงานที่ยอมรับได้).

สำหรับการคำนวณสกอร์การ์ด เราจะกำหนดตัวชี้วัดสำหรับระบบหรือสินทรัพย์เฉพาะก่อน แล้วจึงรวมเข้ากับคะแนนความสอดคล้องโดยรวม

ตัวชี้วัดการกู้คืนจากภัยพิบัติสำหรับระบบเฉพาะ

เมื่อมุ่งเน้นที่การกู้คืนจากภัยพิบัติในไอที องค์กรอาจติดตามตัวชี้วัดเช่น ความน่าเชื่อถือ เวลาในการกู้คืน และจุดกู้คืน เพื่อประเมินและปรับปรุงยุทธศาสตร์ของตน

ตัวชี้วัดความน่าเชื่อถือ

• เวลาเฉลี่ยระหว่างความล้มเหลว (MTBF): เวลาระหว่างความล้มเหลวที่สามารถซ่อมแซมได้ของระบบ
• เวลาเฉลี่ยถึงความล้มเหลว (MTTF): เวลาระหว่างความล้มเหลวที่ไม่สามารถซ่อมแซมได้ของระบบ เช่น อายุการใช้งานทั้งหมดของระบบ

ตัวชี้วัดเวลาในการกู้คืน

• ค่าเฉลี่ยเวลาในการกู้คืน (MTTR)
• วัตถุประสงค์ของเวลาในการกู้คืน (RTO): เวลาหยุดทำงานสูงสุดที่อนุญาตหลังจากเกิดการหยุดชะงักหรือค่าเป้าหมาย MTTR

An example of the Mean Time to Recovery (MTTR) metric with the Recovery Time Objective (RTO) as its target. ที่มา: แม่แบบสกอร์การ์ดการกู้คืนจากภัยพิบัติ.

ตัวชี้วัดจุดกู้คืน

• ความถี่ในการสำรองข้อมูลจริง
• เป้าหมายจุดกู้คืน (RPO): เวลาการสูญเสียข้อมูลสูงสุดที่ยอมรับได้หรือเป้าหมายสำหรับความถี่ในการสำรองข้อมูล

คำนวณผลการดำเนินงาน: เชิงเส้น vs. เชิงไบนารี

มีสองแนวทางที่นิยมในการคำนวณผลการดำเนินงานของเมตริกการกู้คืนจากภัยพิบัติ:

• ฟังก์ชันการเพิ่มประสิทธิภาพเชิงเส้น
• ฟังก์ชันการเพิ่มประสิทธิภาพเชิงไบนารี

ตัวอย่างเช่น เมตริกความน่าเชื่อถือในแม่แบบของเราถูกกำหนดค่าเป็นฟังก์ชันการเพิ่มประสิทธิภาพเชิงเส้น ซึ่งหมายความว่าผลการดำเนินงานจะค่อย ๆ ดีขึ้นเมื่อค่าของเมตริกเพิ่มขึ้นจากค่าเริ่มต้นไปสู่เป้าหมาย

ตัวอย่าง

ค่า MTBF สำหรับระบบ การจัดการความสัมพันธ์กับลูกค้า (CRM) มีเป้าหมายที่ 10,000 ชั่วโมง โดยมีค่าผลจริงที่ 8,000 ชั่วโมง

ค่าเฉลี่ยเวลาระหว่างการล้มเหลว (MTBF) คำนวณโดยใช้ฟังก์ชันผลการดำเนินงานเชิงเส้น ที่มา: แม่แบบสกอร์การ์ดการกู้คืนจากภัยพิบัติ.

• โดยใช้ฟังก์ชันเชิงเส้น ผลการดำเนินงานคำนวณได้เป็น 80% (= 8,000 / 10,000)
• โดยใช้ฟังก์ชันไบนารี ผลการดำเนินงานเป็น 0% เพราะไม่ถึงเป้าหมาย 10,000 ชั่วโมง

ฟังก์ชันผลการดำเนินงานแบบไบนารีถูกใช้สำหรับตัวชี้วัดค่าเฉลี่ยเวลาในการกู้คืน (MTTR) ที่มา: แม่แบบสกอร์การ์ดการกู้คืนจากภัยพิบัติ.

ฟังก์ชันผลการดำเนินงานแบบไบนารีมักใช้สำหรับ MTTR:

• ถ้า MTTR น้อยกว่าหรือเท่ากับ RTO ผลการดำเนินงานเป็น 100%
• ถ้า MTTR เกิน RTO ผลการดำเนินงานเป็น 0%

กำหนดเป้าหมายเวลาในการกู้คืนเป็นตัวชี้วัดแยกต่างหาก

MTTR มีค่า ปัจจุบัน และค่า เป้าหมาย ค่าเป้าหมายสอดคล้องกับตัวชี้วัด “เป้าหมายเวลาในการกู้คืน (RTO)” ปัจจุบัน

แม้ว่าจะสามารถลบตัวชี้วัด RTO และตั้งค่าเป้าหมายโดยตรงสำหรับ MTTR ได้ แต่ข้อกำหนดการปฏิบัติตามข้อกำหนดและการรายงานมัก ต้องการ การติดตามแยกต่างหาก ดังนั้น RTO จึงถูกเก็บรักษาไว้เป็นตัวชี้วัดที่แยกออกมา

คำจำกัดความของความเสี่ยง

การกำหนดยุทธศาสตร์การกู้คืนจากภัยพิบัติเกิดขึ้นจากการวิเคราะห์ผลกระทบทางธุรกิจและ การวิเคราะห์ความเสี่ยง ความเสี่ยงบางประการจะถูกบันทึกในทะเบียนความเสี่ยงกลาง ในขณะที่ความเสี่ยงที่เฉพาะเจาะจงมากขึ้นสามารถเชื่อมโยงกับสกอร์การ์ดการกู้คืนจากภัยพิบัติสำหรับสินทรัพย์แต่ละรายการ

ตัวอย่างคำจำกัดความของความเสี่ยงสำหรับสินทรัพย์ ที่มา: แม่แบบสกอร์การ์ดการกู้คืนจากภัยพิบัติ.

กุญแจสำคัญคือการทำให้มั่นใจว่ามีการเชื่อมโยงอย่างชัดเจนระหว่างผลการวิเคราะห์ผลกระทบหรือความเสี่ยงและตัวชี้วัดการกู้คืนสำหรับระบบธุรกิจเฉพาะ ยกตัวอย่างเช่น สำหรับสินทรัพย์ เซิร์ฟเวอร์เว็บ ความเสี่ยงของ “ช่องโหว่ที่ถูกโจมตี” และ “การโจมตี DDoS” ได้รับการกำหนดในระดับท้องถิ่น

เฝ้าระวังยุทธศาสตร์การกู้คืนจากภัยพิบัติอย่างต่อเนื่อง

เมตริกการกู้คืนจากภัยพิบัติมีการพัฒนาเมื่อเวลาผ่านไป:

• เป้าหมายอาจถูกปรับตามรูปแบบความเสี่ยงที่ปรับปรุงใหม่
• ผลจริงได้รับการอัปเดตด้วยข้อมูลผลการดำเนินงานในอดีต

ข้อควรพิจารณาที่สำคัญรวมถึง:

• ความถี่ของการอัปเดตหรือการแก้ไขเมตริก
• การจัดการช่วงเวลาที่ไม่มีข้อมูล เช่น การ สืบทอดข้อมูล หรือแสดงเฉพาะข้อมูลที่ป้อนอย่างชัดเจน

ดำเนินการผ่านการซิงค์จากแม่แบบ

เพื่ออำนวยความสะดวกในการดำเนินการตัวชี้วัดและการควบคุมการกู้คืนจากภัยพิบัติ พิจารณาใช้ฟังก์ชันซิงค์จากแม่แบบ:

1. สร้างชุดแม่แบบของตัวชี้วัดเพื่อประเมินสินทรัพย์
2. สร้างสำเนาที่จะถูกซิงค์จากแม่แบบ

เรียนรู้เพิ่มเติมเกี่ยวกับ ฟังก์ชันซิงค์.

คำนวณการปฏิบัติตามข้อกำหนดโดยรวม

เพื่อประเมินความพร้อมโดยรวม เราผสมผสานผลการดำเนินงานของสินทรัพย์แต่ละรายการ หากจำเป็น สามารถใช้การถ่วงน้ำหนักเพื่อสะท้อนความสำคัญสัมพัทธ์ของแต่ละสินทรัพย์

หรืออีกทางหนึ่ง การปฏิบัติตามข้อกำหนดโดยรวมสามารถคำนวณได้โดยใช้ วิธีการเส้นทางวิกฤต โดยมุ่งเน้นไปที่ผลการดำเนินงานของระบบที่สำคัญ

ตัวอย่างเช่น ในแม่แบบของเรา:

• การปฏิบัติตาม RPO (เส้นทางวิกฤต) รวมถึงสินทรัพย์ที่มีวัตถุประสงค์ของจุดกู้คืน (RPOs) คือ 24 และ 12 ชั่วโมง โดย RPO รวมเป็นค่าน้อยสุดของค่าดังกล่าว คือ 12 ชั่วโมง
• หากแม้แต่สินทรัพย์เดียวล้มเหลวในการบรรลุ RPO ของตน (เช่น “RPO สำหรับการจัดการสินค้าคงคลัง”) RPO โดยรวมก็จะไม่สำเร็จ

สกอร์การ์ดทั้งหมดสำหรับเมตริกเวลาการกู้คืนและจุดกู้คืนสามารถใช้เป็นแหล่งข้อมูลสำหรับ สกอร์การ์ดการปฏิบัติตามข้อกำหนด และสกอร์การ์ดการทำงานที่เกี่ยวข้องกับ GRC อื่น ๆ

แดชบอร์ดการเตรียมพร้อมในการกู้คืนจากภัยพิบัติ

ตัวชี้วัดสำคัญจากสกอร์การ์ดการกู้คืนจากภัยพิบัติสามารถแสดงผลบนแดชบอร์ดพร้อมกับแผนภาพความเสี่ยงและโครงการปรับปรุง

An example of a disaster recovery dashboard. ที่มา: แม่แบบสกอร์การ์ดการกู้คืนจากภัยพิบัติ.

แผนที่ยุทธศาสตร์ให้ภาพชัดเจนของระบบเฉพาะและผลการดำเนินงานรวมของพวกเขา ซึ่งเสนอภาพรวมที่ครอบคลุม

An example of a disaster recovery map. ที่มา: แม่แบบสกอร์การ์ดการกู้คืนจากภัยพิบัติ.

ขั้นตอนที่ 3. จัดตั้งการควบคุมภายในสำหรับการกู้คืนจากภัยพิบัติ

การกำหนดตัวชี้วัดการกู้คืนจากภัยพิบัติ (ขั้นตอนที่ 2) ช่วยให้องค์กรสามารถกำหนดระดับการสูญเสียและการกู้คืนที่ยอมรับได้ รวมถึง วัดปริมาณ ความพร้อมในการรับมือเหตุการณ์ที่เป็นอุปสรรค อย่างไรก็ตาม ตัวชี้วัดเหล่านี้ไม่ได้รวมถึงแผนฉุกเฉินเฉพาะ การจัดความรับผิดชอบ⁴ หรือกระบวนการตรวจสอบและทดสอบ ในการแก้ไขเรื่องนี้ จำเป็นต้องออกแบบ การควบคุมภายใน ที่เหมาะสม

ในบทความก่อนหน้านี้ เราได้พูดคุยเกี่ยวกับวิธีการทั่วไปในการ จัดตั้งการควบคุมภายใน รวมถึงการประยุกต์ใช้ในทางปฏิบัติใน ด้านการจัดการความต่อเนื่องของธุรกิจ

ในบริบทของการกู้คืนจากภัยพิบัติ ส่วนใหญ่ของ

ผู้มีส่วนได้ส่วนเสียและผู้รับผิดชอบ

การมีส่วนร่วมของผู้มีส่วนได้ส่วนเสียที่สำคัญถือเป็นสิ่งสำคัญสำหรับความสำเร็จของยุทธศาสตร์การกู้คืนจากภัยพิบัติ ⁵. ในระดับปฏิบัติ ความรับผิดชอบสามารถเพิ่มขึ้นได้โดยการมอบหมายผู้รับผิดชอบให้กับตัวชี้วัดและโครงการการกู้คืนจากภัยพิบัติ

เซสชัน: 'BSC Designer for Disaster Recovery Scorecard' มีให้บริการเป็นส่วนหนึ่งของโปรแกรมการเรียนรู้ต่อเนื่องของ BSC Designer ซึ่งมีทั้งในรูปแบบออนไลน์และเวิร์กช็อปนอกสถานที่ เรียนรู้เพิ่มเติม....

ข้อสรุป

สกอร์การ์ดการกู้คืนจากภัยพิบัติทาง IT รวมวิธีการต่างๆ ในการวัดผลการดำเนินงาน

เมื่อทำการวัดสินทรัพย์หรือระบบเฉพาะ เราอาศัย:

• เวลาระหว่างความล้มเหลวเฉลี่ย (MTBF) และ เวลาเฉลี่ยจนถึงความล้มเหลว (MTTF) เพื่อประมาณความเชื่อถือได้
• เป้าหมายเวลาในการกู้คืน (RTO) ซึ่งกำหนดเป้าหมายสำหรับ เวลาเฉลี่ยในการกู้คืน (MTTR)
• เป้าหมายจุดกู้คืน (RPO) ซึ่งกำหนดเป้าหมายสำหรับ ความถี่ในการสำรองข้อมูล

ผลการดำเนินงานของตัวชี้วัดเหล่านี้มักจะคำนวณเป็น ฟังก์ชันไบนารี ซึ่งผลการดำเนินงานเป็น 0% จนกว่าค่าจริงจะตรงกับเป้าหมายการกู้คืน

ตัวชี้วัดการกู้คืนสำหรับสินทรัพย์หรือระบบเฉพาะสามารถรวมกันได้ (เช่น ใช้วิธีการเส้นทางวิกฤติ) เพื่อคำนวณคะแนนความพร้อมหรือความสอดคล้องโดยรวม

ใช้แม่แบบ การกู้คืนจากภัยพิบัติ

BSC Designer ช่วยให้องค์กรนำกลยุทธ์ที่ซับซ้อนไปใช้:

1. สมัคร แพ็กเกจฟรีบนแพลตฟอร์ม
2. ใช้แม่แบบ การกู้คืนจากภัยพิบัติ เป็นจุดเริ่มต้น คุณจะพบแม่แบบนี้ที่ ใหม่ > สกอร์การ์ดใหม่ > แม่แบบเพิ่มเติม
3. ปฏิบัติตาม ระบบการดำเนินกลยุทธ์ ของเราเพื่อสอดคล้องผู้มีส่วนได้ส่วนเสียและความทะเยอทะยานเชิงกลยุทธ์ให้เป็นกลยุทธ์ที่ครอบคลุม

เริ่มต้นวันนี้และดูว่า BSC Designer ช่วยให้การดำเนินกลยุทธ์ของคุณง่ายขึ้นได้อย่างไร!

Alexis Savkín

Alexis Savkin เป็นที่ปรึกษายุทธศาสตร์อาวุโสและประธานเจ้าหน้าที่บริหารของ BSC Designer ซึ่งเป็นแพลตฟอร์มสถาปัตยกรรมและการดำเนินกลยุทธ์ มีประสบการณ์มากกว่า 20 ปีในสายงานนี้ โดยมีพื้นฐานด้านคณิตศาสตร์ประยุกต์และเทคโนโลยีสารสนเทศ Alexis เป็นผู้เขียน “ระบบการดำเนินกลยุทธ์” เขาได้ตีพิมพ์บทความมากกว่า 100 บทความเกี่ยวกับกลยุทธ์และการวัดผลการดำเนินงาน โดยมักได้รับเชิญเป็นวิทยากรใน งานอุตสาหกรรม และผลงานของเขามักถูก อ้างอิงในงานวิจัยทางวิชาการ