พายุปาบึก กับภัยพิบัติในวงการ IT

ข่าวคราวในขณะนี้ คงไม่มีข่าวไหนที่ทำให้เมืองไทยตื่นตัว/ ตื่นตระหนก ได้มากกว่า ข่าวพายุ ปาบึก อีกแล้ว ก็ไม่น่าแปลกใจเพราะเป็นภัยพิบัติที่น่าสะพรึง การเสียหายในภัยพิบัติก็ขึ้นอยู่กับการเตรียมตัวรับมือของเราว่าพร้อมแค่ไหน

ในวงการ IT ของเราก็มีการเตรียมพร้อมสำหรับภัยพิบัติเช่นเดียวกันในชื่อ Disaster Recovery Planning หรือที่เรียกกันย่อๆว่า DRP ภัยพิบัติที่เราพบเจอมีอยู่กัน 2 ประเภท คือ ภัยพิบัติจากธรรมชาติ และ ภัยพิบัติที่เกิดจากมนุษย์ โดยที่ภัยพิบัติจากธรรมชาติเป็นภัยพิบัติที่เราไม่อาจหยุดยั้งได้ แต่สามารถบริหารจัดการตนเองได้ ส่วนภัยพิบัติจากมนุษย์นั้นบางอย่างเราก็สามารถป้องกันไม่ให้เกิดความเสียหายได้ เช่น การโจรกรรม

Disaster Recovery Planning
คือ การวางแผนเพื่อกอบกู้ระบบ IT ให้สามารถดำเนินงานต่อไปได้หลังเกิดภัยพิบัติ หรือ สามารถทำงานได้อย่างต่อเนื่องในขณะที่เกิดภัยพิบัติ ซึ่งมีขั้นตอนต่างๆ กล่าวคือ การจัดการประเภทของภัยพิบัติ การประเมินความเสี่ยง การวางแผนป้องกัน การตรวจวัดและบันทึกข้อมูล
DRP เป็นส่วนหนึ่งของแผนภาพใหญ่ขององค์กรที่เตรียมการไว้เผื่อเผชิญกับภัยพิบัติ หรือที่เรียกว่า Business Continuity Plan (BCP) โดย DRP จะกล่าวถึงด้าน IT เป็นหลัก ในขณะที่ BCP จะกล่าวถึงกระบวนการธุรกิจและภาพรวมขององค์กร


ขั้นตอนการทำ DRP
1. Risk Analysis เพื่อวิเคราะห์ความเสี่ยงว่าจะมีภัยพิบัติประเภทไหนบ้าง
2.Risk Classification เพื่อจำแนกกลุ่มหรือประเภทความเสี่ยงตามมุมมองต่างๆ เช่น ความเสี่ยงที่เกิดจากภายนอก (External Risk) ความเสี่ยงของข้อมูล (Data System Risk) ความเสี่ยงของการให้บริการ (Service System Risk) ความเสี่ยงของระบบพื้นฐาน (Infrastructure Risk) เป็นต้น
3. คือ Disaster Effect Analysis เพื่อประเมินผลของภัยพิบัติว่ามีผลกระทบกับเราอย่างไรบ้าง โดยขั้นตอนนี้มักทำร่วมกับขั้นตอนที่สอง คือ เมื่อแบ่งแยกประเภทความเสี่ยงได้ชัดเจนแล้ว ก็จะวิเคราะห์ว่าภัยพิบัติจะก่อให้เกิดผลอะไรต่อมา และในบางครั้งก็มักร่วมกันกับผู้รับผิดชอบกระบวนการธุรกิจ ในการประเมินความเสี่ยง เพื่อให้ได้มาซึ่ง ทรัพยากรที่ต้องใช้ในยามเกิดภัยพิบัติ รวมไปถึงช่วงเวลา ทั้งในส่วน RPO: Recovery Point Objective และ RTO: Recovery Time Objectives
Recovery Point Objective (RPO) คือ ระยะเวลาสูงสุดที่ยอมให้ข้อมูลเสียหาย ซึ่งองค์กรยอมรับได้
Recovery Time Objective (RTO) คือระยะเวลาสูงสุดที่จะกู้ข้อมูลได้หลังจากเกิด incident
โดยส่วนใหญ่สิ่งที่ทุกคนเลือกคือ เวลาของ RTO/RPO ที่น้อยที่สุด ซึ่งความเป็นจริงเเล้ว อาจต้องเเลกด้วยการลงทุนที่สูง จึงควรมีการประเมินค่าใช้จ่ายในแต่ละแนวทางการป้องกันว่าคุ้มค่า เหมาะสมกับสิ่งที่องค์กรต้องการจริงๆหรือไม่
4. คือ Disaster Recovery Plan การวางแผนปฏิบัติงานในกรณีเกิดภัยพิบัติ ได้แก่ แผนรับมือภัยพิบัติขั้นปกติ แผนรับมือภัยพิบัติขั้นรุนแรง แผนการปฏิบัติเมื่อไม่สามารถป้องกันภัยพิบัติได้ แผนการกอบกู้ระบบ และ แผนการเริ่มต้นระบบสนับสนุนใหม่ เช่น เมื่อประเมินแล้วพบว่าไม่มีพลังงานไฟฟ้าใช้แล้วในช่วงสุดท้ายของอุทกภัย ก็ควรมีอุปกรณ์สร้างพลังงานสำรองไว้ใช้งาน เป็นต้น

อ้างอิง https://www.tistr.or.th/tistrblog/?p=1409