Business continuity khác disaster recovery như thế nào?

Duy trì hoạt động doanh nghiệp (business continuity) là kế hoạch về cách công ty bạn tiếp tục phục vụ khách hàng khi có sự cố xảy ra. Việc đó có thể có nghĩa là đường dây điện thoại bị gián đoạn, một ứng dụng quan trọng ngừng hoạt động, văn phòng mất điện, hoặc nhân viên không thể truy cập tệp.

Business continuity bao gồm con người (people), quy trình (process), truyền thông (communication) và công nghệ (technology).

Khắc phục sau thảm họa (disaster recovery) là kế hoạch về cách công nghệ được khôi phục sau một gián đoạn lớn. Thông thường, kế hoạch này tập trung vào hệ thống, thiết bị, dữ liệu, internet và phần mềm kinh doanh quan trọng. Nói đơn giản: business continuity là để giữ doanh nghiệp vẫn chạy; còn disaster recovery là để đưa công nghệ trở lại hoạt động.

Cách hình dung hữu ích là: business continuity trả lời, “Làm thế nào để chúng ta vẫn tiếp tục làm việc?” Disaster recovery trả lời, “Làm thế nào để khôi phục những gì đã hỏng?” Hầu hết doanh nghiệp nhỏ cần cả hai, ngay cả khi kế hoạch chỉ ở mức đơn giản.

Nếu bạn đang so sánh các lựa chọn hỗ trợ, một nhà cung cấp dịch vụ CNTT quản trị độc lập (thường gọi là MSP) có thể giúp bạn đánh giá cả hai mảng. Nếu bạn vẫn đang học những kiến thức cơ bản, trang answers của chúng tôi là nơi khởi đầu tốt.

Nhiều chủ doanh nghiệp cho rằng sao lưu (backup) đơn thuần là đủ giải quyết vấn đề. Sao lưu là rất quan trọng, nhưng chỉ là một phần của disaster recovery. Bản sao có thể giúp khôi phục các tệp đã mất, nhưng không tự động cho đội ngũ của bạn biết cách tiếp nhận đơn hàng, trả lời khách hàng, xử lý thanh toán, hoặc làm việc từ một địa điểm khác.

Ví dụ, nếu internet của bạn bị ngắt một ngày, business continuity plan có thể nêu cách nhân viên chuyển sang dùng điểm phát sóng di động, ai cập nhật thông tin cho khách hàng và công việc nào có thể tiếp tục bằng giấy hoặc làm tại nhà. Disaster recovery plan có thể nêu cách liên hệ nhà cung cấp internet, đường kết nối dự phòng nào sẵn sàng và cách kiểm tra hệ thống sau khi dịch vụ được khôi phục.

Sự phân biệt này cũng ảnh hưởng đến kế hoạch ngân sách. Một số doanh nghiệp cần khôi phục nhanh hơn vì mỗi giờ ngừng hoạt động có thể đồng nghĩa với doanh thu bị mất, bỏ lỡ lịch hẹn hoặc rủi ro tuân thủ. Những doanh nghiệp khác có thể chịu được thời gian gián đoạn dài hơn. Một kế hoạch tốt cần phù hợp với nhu cầu thực tế của doanh nghiệp bạn, không phải một danh sách kiểm tra chung chung.

Không có nhà cung cấp nào trung thực lại hứa hẹn không bao giờ mất thời gian (zero downtime) hoặc mạng không thể bị tấn công. Mục tiêu thực tế là giảm mức độ gián đoạn, khôi phục trong thời gian hợp lý và đảm bảo đội ngũ của bạn biết phải làm gì.

Business continuity bắt đầu từ các hoạt động quan trọng nhất của bạn. Dịch vụ nào phải tiếp tục ngay hôm nay, kể cả khi đang có sự cố? Dịch vụ nào có thể chờ vài giờ hoặc một ngày? Với một phòng khám/bệnh viện, đó có thể là việc lên lịch và liên lạc với bệnh nhân. Với một cửa hàng bán lẻ, có thể là xử lý thanh toán và truy cập kho hàng. Với một văn phòng luật, có thể là truy cập tài liệu và liên lạc với khách hàng. Yêu cầu sẽ thay đổi tùy theo ngành và theo từng bang.

Một kế hoạch duy trì hoạt động vững chắc thường bao gồm các cách làm việc thay thế, sơ đồ cây điện thoại hoặc danh sách liên hệ, các phương án tạm thời, thông tin liên hệ nhà cung cấp (vendor contacts) và thứ tự ưu tiên rõ ràng. Kế hoạch nên được viết bằng ngôn ngữ dễ hiểu, không giấu trong các ghi chú kỹ thuật. Nếu chỉ có một người hiểu kế hoạch, thì đó không phải là một kế hoạch thật sự.

Kế hoạch cũng cần trả lời những câu hỏi thực tế. Nhân viên có thể làm từ xa nếu văn phòng đóng cửa không? Bạn vẫn có thể trả lời cuộc gọi của khách hàng chứ? Bạn có biết các tác vụ thủ công nào đội ngũ có thể dùng trong một ngày hoặc hai ngày không? Các tài liệu quan trọng có được lưu ở nơi đúng để những người cần có thể truy cập mà không phụ thuộc vào chỉ một thiết bị không?

Lên kế hoạch duy trì hoạt động tốt không chỉ dành cho các thảm họa. Nó cũng giúp cho các gián đoạn nhỏ hơn, như máy tính xách tay không khởi động, văn phòng bị khóa, một ứng dụng trên đám mây gặp sự cố, hoặc thiếu nhân sự.

Disaster recovery mang tính kỹ thuật hơn, nhưng ý cốt lõi thì đơn giản. Đó là quy trình đã được tài liệu hóa để khôi phục hệ thống, dữ liệu và quyền truy cập sau một sự kiện nghiêm trọng. Sự kiện đó có thể gồm hỏng máy chủ (server failure), mã độc tống tiền (ransomware), xóa nhầm (accidental deletion), bão, hỏa hoạn hoặc một vấn đề nghiêm trọng về phần cứng.

Một disaster recovery plan tốt thường bao gồm sao lưu (backups), các bước khôi phục (restoration steps), ưu tiên khôi phục (recovery priorities) và mục tiêu thời gian khôi phục (recovery time goals). Bạn cũng có thể nghe đến thuật ngữ backup 3-2-1. Điều đó có nghĩa là giữ 3 bản dữ liệu của bạn, trên 2 loại hình lưu trữ khác nhau, với 1 bản được lưu ngoài địa điểm (offsite). Đây là một cách tiếp cận sao lưu phổ biến, không phải là cam kết.

Bạn cũng có thể nghe các thuật ngữ như endpoint, patching, EDR, RMM, MFA và SLA khi trao đổi với nhà cung cấp. Endpoint là bất kỳ thiết bị CNTT nào của doanh nghiệp như laptop, máy tính để bàn hoặc điện thoại. Patching là việc cài đặt phần mềm và các bản cập nhật bảo mật. EDR viết tắt của endpoint detection and response (phát hiện và phản hồi trên thiết bị đầu cuối), là phần mềm dùng để phát hiện hoạt động đáng ngờ trên thiết bị. RMM viết tắt của remote monitoring and management (giám sát và quản lý từ xa), là phần mềm mà nhà cung cấp có thể sử dụng để theo dõi tình trạng thiết bị và thực hiện các bảo trì định kỳ. MFA viết tắt của multi-factor authentication (xác thực đa yếu tố), là việc thêm một bước thứ hai khi đăng nhập. SLA viết tắt của service level agreement (thỏa thuận mức độ dịch vụ), là thỏa thuận bằng văn bản mô tả phạm vi dịch vụ và các mục tiêu phản hồi.

Với một số doanh nghiệp, disaster recovery còn bao gồm khôi phục ứng dụng trên đám mây (cloud application recovery), chuyển đổi dự phòng internet (internet failover), kế hoạch thay thế phần cứng (replacement hardware plans) và một quy trình đã được kiểm chứng để đưa người dùng trở lại trực tuyến theo đúng thứ tự. Thiết lập phù hợp sẽ phụ thuộc vào số lượng nhân sự (headcount), loại thiết bị, nhu cầu bảo mật và phạm vi hoạt động (area) của bạn.

“Tốt” không phải lúc nào cũng đồng nghĩa với đắt tiền. Với nhiều doanh nghiệp nhỏ và vừa, “tốt” nghĩa là những điều cơ bản phải rõ ràng, được ghi lại bằng văn bản và được kiểm tra. Bạn biết hệ thống nào quan trọng nhất. Bạn biết thời gian thực tế mà bạn có thể vận hành nếu từng hệ thống ngừng hoạt động. Bạn biết ai đưa ra quyết định, ai liên hệ nhà cung cấp và nhân viên tiếp tục làm việc như thế nào trong thời điểm xảy ra gián đoạn.

“Gọn” cũng có nghĩa là bản sao lưu của bạn không chỉ bật lên rồi quên. Chúng được rà soát và việc khôi phục (restorations) được kiểm tra định kỳ. Danh sách liên hệ luôn được cập nhật. Thông tin quan trọng của tài khoản nhà cung cấp được lưu trữ nội bộ theo cách an toàn. Nhân viên biết kế hoạch nằm ở đâu và phải làm gì trước tiên.

Nếu bạn làm trong lĩnh vực chịu quản lý chặt chẽ, bạn cũng có thể cần hỏi về yêu cầu của ngành. HIPAA là Health Insurance Portability and Accountability Act, ảnh hưởng đến thông tin y tế được bảo vệ (protected health information). PCI thường ám chỉ Payment Card Industry Data Security Standard, áp dụng cho các doanh nghiệp xử lý thanh toán thẻ. SOC 2 là một khung báo cáo mà nhiều nhà cung cấp phần mềm dùng để thể hiện cách họ quản lý các biện pháp kiểm soát liên quan đến bảo mật. Những quy tắc quan trọng với bạn sẽ tùy thuộc vào ngành của bạn, khách hàng của bạn và đôi khi là từng bang.

Một số doanh nghiệp còn muốn được tư vấn chiến lược cho việc lập kế hoạch và ngân sách. Bạn có thể nghe đến thuật ngữ vCIO, nghĩa là virtual Chief Information Officer (giám đốc CNTT ảo). Thông thường, điều này đề cập đến một cố vấn bên ngoài giúp cho việc lập kế hoạch CNTT, xác định ưu tiên và xây dựng lộ trình (roadmaps). Không phải doanh nghiệp nào cũng cần mức dịch vụ đó, nhưng nhiều doanh nghiệp vẫn thấy có ích khi có người giúp gắn rủi ro kinh doanh với các quyết định thực tiễn.

Nếu bạn đang cố gắng hiểu doanh nghiệp của mình cần mức độ lập kế hoạch đến đâu, NodeBridge IT có thể giúp bạn định hướng. Chúng tôi không phải là công ty CNTT, nhà cung cấp dịch vụ quản trị (managed services provider) hay công ty an ninh (security firm). Chúng tôi không quản lý, không giám sát, không bảo vệ, không sửa chữa và không truy cập các hệ thống của bạn. Chúng tôi cung cấp giáo dục tổng quan và dịch vụ ghép nối miễn phí.

Chúng tôi giúp các doanh nghiệp nhỏ và vừa tại Mỹ tìm một nhà cung cấp độc lập phù hợp với quy mô, nhu cầu và ngân sách của họ. Điều này có thể hữu ích nếu bạn chưa chắc mình cần chỉ rà soát sao lưu cơ bản, một kế hoạch duy trì hoạt động rộng hơn, hay hỗ trợ liên tục từ một MSP.

Dịch vụ của chúng tôi miễn phí cho doanh nghiệp. Chúng tôi nhận một khoản phí marketing cố định từ các nhà cung cấp tham gia. Nếu bạn muốn tìm hiểu thêm về các lựa chọn hỗ trợ, hãy truy cập services. Nếu bạn muốn trao đổi về tình huống của mình và được kết nối với một nhà cung cấp độc lập, bạn có thể get matched.