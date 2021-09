Covid-19-pandemin har blottlagt luckor i företagens katastrofberedskap och kontinuitetsplanering. Det gäller distansaccess, nätverk och program som körs från molnet (SaaS) samt utpressningsprogram. Under året som gått har it-ansvariga sprungit runt som skållade troll för att täppa till luckorna och uppdatera katastrofberedskapen, helst i går.

Pandemin utlöste djupgående förändringar av it i många organisationer. Bland dem fanns hastig migrering av program till molnet, ökad fart på satsningar på digital omställning och brådskande anskaffning av nya system och tjänster vid sidan av normala upphandlingsrutiner. I många branscher har det vuxit fram en ny kategori av heltidsanställda som jobbar hemifrån, och som handskas med verksamhetskritiska data på sina privata datorer.

En färsk undersökning från Accenture säger att ”mer än tre fjärdedelar av verksamhetscheferna planerar att göra om hur personalen arbetar, snabba upp planer på digital omställning och i grunden förändra hur de interagerar med kunderna”. Allt enligt gruppchefen Manish Sharma.

Dessa faktorer måste tas med i beräkningen när organisationer skriver om sina planer för katastrofberedskap och kontinuitet för 2021 och därefter. Pandemin har visat att det värsta som kunde hända faktiskt kan hända (kanske värre än vi hade föreställt oss). Och katastrofberedskap och kontinuitetsplanering kommer aldrig mer att vara sig lika.

Planerna sätts på prov

De flesta företag hade planer för katastrofberedskap redan före pandemin. Många var noga med att genomföra övningar, så kallade skrivbordsövningar, där de viktigaste aktörerna samlades för att visa hur de skulle hantera ett katastrofscenario. Hantering av pandemier brukar ingå i katastrofberedskapsplaner.

Dan Johnson, chef för global kontinuitetsplanering och katastrofberedskap på det amerikanska it-företaget Ensono, berättar att han ledde ”krigsspel” om katastrofberedskap hos en kund i slutet av 2019. Han bara råkade välja en pandemi som testscenario.

Men då kunde ingen föreställa sig vilket storleksordning, spridning och varaktighet som pandemin skulle få. Om man bara ser till den begränsade uppgiften att ”se till att lamporna lyser” utan tjänsteavbrott eller förlust av data – återhämtningsdelen av beredskapen – så kom pandemin inte med några svårigheter som it-avdelningarna inte var redo för. För viruset stängde ju inte av strömmen, kraschade inga servrar och infekterade inte nätverken med skadeprogram.

Men när det gäller kontinuitet – alltså den bredare utmaningen att hålla igång affärsprocesserna, samordna den mänskliga aspekten av beredskapen och att kommunicera internt och externt – har pandemin blottat brister:

– I huvudsak var katastrofberedskapen sund – den tekniska återhämtningen. Den största effekten var inom kontinuitetsplaneringen, alltså återhämtning för processer och personal, att se till att alla verksamhetssystem fungerar, säger Dan Johnson.

Förlust av data var inte problemet, tillägger Christophe Bertrand, senioranalytiker på amerikanska ESG Research. Det handlade mer om att ha rätt människor på plats och att förstå allt som behövde göras när det gällde sådant som vpn och nätverk. Den mest påtagliga utmaningen var det plötsliga kravet att de anställda skulle jobba hemifrån på heltid:

– En del organisationer var mer beredda än andra, säger Christophe Bertrand:

– En del togs med byxorna nere när det gällde samarbetsverktyg och förmågan att stötta en distansarbetande personal.

Inte bara det att organisationerna måste se till att de anställda hade rätt utrustning hemma och internetanslutning. De måste också tillhandahålla robusta och säkra verktyg för samarbete och de måste skydda den nya, stora attackytan bestående av wi-fi-nätverk i hemmen från allt fler utpressningsattacker riktade mot distansarbetare.

– Det var mycket improvisering. Vi fick ta många panikartade telefonsamtal, i synnerhet när det gällde utpressningsprogram, berättar Doug Matthews, vice vd med ansvar för produkthantering på amerikanska Veritas Technologies, ett företag som förser storföretag med tjänster inom backup och återställning.

Organisationerna måste säkerställa att ändpunkterna var skyddad och att företagen installerade brandväggar för att blockera angrepp som kunde komma från en oskyddad ändpunkt.

Doug Matthews tillägger att pandemin också utlöste ”en snabb rörelse mot molnet”, även i organisationer som tidigare varit resistenta mot molnteknik. Detta har orsakat vad han kallar för en ”motståndskraftsklyfta” – företagen läser sina avtal med software-as-a-service-företagen och inser att deras data inte alltid är skyddade.

– Ett problematiskt område är just SaaS, säger Christophe Bertrand:

– Folk brukar inte förstå tjänstenivåavtal särskilt bra. Bara för att man har data i Office 365 eller i Salesforce betyder det inte att de tar backup åt dig.

SaaS-företag brukar erbjuda tjänstenivåavtal som gäller tillgänglighet, men det är inte samma sak som återställningsbarhet.

– Det är alltid du själv som ansvarar för dina data, tillägger Christophe Bertrand.

Han säger att organisationerna måste fatta beslut om vilka data som är verksamhetskritiska och som därför behöver backup:

– Salesforce är verksamhetskritiskt, liksom Office 365. Men hur är det med Github eller Zendesk. Här finns mycket mer än vad man först kan tro.

Pandemin har också blottat en brist på förutseende när det gäller nätverksaspekten av planering för katastrofer och kontinuitet. Den snabba omflyttningen av anställda till distansarbete har kastat om de välkända mönstren för trafik i nätverken och skapat potentiella bandbreddsproblem.

Rave Ravishanker, it-direktör och biträdande rektor vid Wellesley College i Massachusetts, säger att han hade turen att högskolan nyligen migrerade alla sina affärssystemsprogram, webbservrar och utbildningshanteringssystem till molnet. Högskolan skulle nämligen inte ha haft nog med bandbredd för att klara alla studenter och anställda som kopplade upp sig på distans ifall allt detta hade funnits i högskolans datacenter.

Wellesley College går över till distansutbildning

Pandemin har drabbat olika branscher på olika sätt. Den högre utbildningen ställdes inför en besvärlig utmaning: hur går man snabbt över från klassrumsundervisning ansikte mot ansikte till distansundervisning?

– Vi hade förberett oss på en pandemi, men ingen var förberedd på covid, säger Rave Ravishanker.

Men eftersom alla viktiga program lyckligtvis fanns i molnet kunde Wellesley College hålla sina system tillgängliga för studenter och personal, oavsett var de fanns.

Skillnaden mellan en katastrof som en kapad fiber eller ett strömavbrott och covid-pandemin är att i mitten av mars 2020 kunde man se att den var på gång och planera i hast:

– Något av det mest grundläggande som vi måste fatta beslut om var den tekniska plattformen för distansundervisning. Vi var alla överens om att det bästa valet var Zoom, säger Rave Ravishanker.

Högskolan skaffade sig snabbt en institutionslicens och satte upp dropinsessioner med Zoom för studenterna innan de lämnade högskolan i mars 2020:

– Vi fattade beslut i en fart som aldrig skådats tidigare, tillägger Rave Ravishanker.

Det fanns ett litet antal studenter som hade föråldrade datorer eller som inte hade råd med internetanslutning i sina hem, så högskolan såg till att ordna det.

Efter att studenterna hade skickats hem var det våruppehåll (spring break), så it-teamet hade lite tid på sig att träna upp lärarna innan distansundervisningen började. De började med grunderna och gick så småningom över till mer avancerade funktioner som sidorum och hantering av chatt.

När terminen var slut genomförde it-teamet avrapporteringar med lärarkåren och började ladda upp för höstterminen. Då skulle ungefär hälften av studenterna vara på högskolan och hälfte läsa på distans.

Två system på samma gång var en teknisk utmaning, liksom sådant som att se till att lektionssalarna var anpassade för social distansering och att kontrollera att alla rättade sig efter högskolans covid-regelverk, som att ha ansiktsmasker. Och när studenterna hade ansiktsmask var det svårt att höra dem, så it-teamet satte upp extra mikrofoner i alla salar.

Trots katastroferna finns det ljuspunkter. En del lärare uppger att chattmöjligheten i Zoom har lett till fler bidrag från studenter som annars kunde vara obenägna att räcka upp handen och tala inför grupp. Och Rave Ravishanker säger att krisen har snabbat på införandet av digital teknik som Zoom, som troligen kommer att användas även efter pandemin.

På Ensono hade alla bärbara datorer och många jobbade redan hemifrån, så det var inget problem. Företaget såg till att de anställda anslöt sig genom vpn, och bandbredden ökades för att klara den tilltagande trafiken från distansarbetande. När det gäller kontinuiteten höll vd:n återkommande ”town hall meetings” med de anställda, och cheferna uppmanades att ta kontakt med sina anställda ofta. Även kunderna fick vara med.

När detta skrivs jobbar de anställda på Ensono fortfarande hemifrån, och Dan Johnson tvivlar på att personalen någonsin kommer att återgå till att jobba på samma sätt som före pandemin. Mer troligt är att en del kommer att jobba hemifrån permanent. Andra kommer att jobba enligt en hybridmodell med kanske två eller tre dagar i veckan på kontoret.

När beslut om sådana saker har fattats i organisationen världen över kommer det att bli nödvändigt att göra om katastrofberedskapsplaneringen. Till exempel är det många företag som har fysiska backuplokaler med datorer, telefoner och annat där medarbetarna ska kunna fortsätta att arbeta ifall kontoret slås ut av en katastrof. Men sådana lokaler var oanvändbara under pandemin, eftersom de inte var anpassade för social distansering. Så om de anställda kan sköta sina jobb hemifrån kanske det är dags att stänga de lokalerna.

På samma sätt, med tanke på att företagen flyttar sina backupdata till molnet och många anlitar distaster-recovery-as-a-service (DRaaS), så kanske det är dags att ompröva behovet av att äga och driva en fysisk backuplokal.

Framtiden för katastrofberedskap och kontinuitetsplanering

På grund av pandemin har katastrofberedskap flyttats från bänken till fronten i it-planeringen. ESG har tillfrågat 600 it-proffs i Nordamerika och Västeuropa om vad de tänker lägga pengar på under 2021, och svaret blev att katastrofberedskap hade högsta prioritet. Till exempel har disaster-recovery-as-a-service, DRaaS, närmast exploderat i omfattning på grund av covid, allt enligt undersökningsföretaget Markets and Markets. Den spår att den globala DRaaS-marknaden kommer att växa med 23,3 procent per år från nu till 2025:

”DRaaS-marknaden kommer att fortsätta att växa efter covid-epidemin i och med att fler företag flyttar sin it-infrastruktur till molnet, pumpar upp verksamhetens motståndskraft och förbättrar it-verksamheten” enligt rapporten.

Något som ökar pressen på it-cheferna i post-covid-eran, säger Christophe Bertrand, är att företagens krav på återställningstider för data har krympt från timmar till minuter. Och 15 procent av de som har svarat i ESG:s undersökning säger att deras avdelningar inte kan tolerera någon nertid alls.

Till detta kommer att organisationer nu kan ha data i flera offentliga moln, i SaaS-program som organisationerna inte har direkt kontroll över, men också i egna datacenter. I denna hybridvärld ”måste du ha lösningar på plats som skyddar verksamhetskritiska applikationer på ett sätt som är förenligt med verksamhetens mål”, säger Christophe Bertrand.

En god nyhet är att det finns automatiserade verktyg som kan hjälpa till. Företag som Collibra, Digital Guardian och Varonis kan bistå företag med automatiserad klassificering av data. Zerto, Veeam, Unitrends och andra tillhandahåller automatiserade, icke störande testverktyg för katastrofberedskap som delar av sina plattformar för katastrofberedskap och kontinuitetsplanering. Och företag som Rubrik, Cohesity och Actifio har mycket automatiserade plattformar för dataskydd och datahantering avsedda för hybridmiljöer.

It-chefer som tänker strategiskt om dataskydd bör också fundera på begreppet dubbel användning. Om man till exempel har backupdata som sitter i molnet så kan det ge en möjlighet att tillämpa analys på den datamängden i syfte att stötta satsningen på digital omställning.

– Det finns enormt mycket jobb kvar att göra, säger Christophe Bertrand.

– Det är definitivt inte läge att lägga av.