BCM

Odzyskiwanie po awarii i planowanie ciągłości działania są to procesy, które pomagają przygotować się organizacji na krytyczne zdarzenia. Te zdarzenia mogą obejmować huragan lub po prostu awarię zasilania spowodowaną przez koparkę na parkingu. Dzisiaj wyjaśnimy podstawowe pojęcia planowania ciągłości biznesowej.

Czym różni się odzyskiwanie po awarii od planowania ciągłości działania?

Odzyskiwanie po awarii (ang. Disaster Recovery) jest procesem, poprzez który można wznowić działalność po krytycznym zdarzeniu. Zdarzenie takie może być duże-jak trzęsienie ziemi czy ataki terrorystyczne, lub też małe, jak nieprawidłowe działanie oprogramowania spowodowane przez wirus komputerowy.

Biorąc pod uwagę ludzką skłonność patrzenia na jasną stronę, wielu biznesmenów ma skłonność do ignorowania „odzyskiwania danych”, ponieważ klęska wydaje się mało prawdopodobnym zdarzeniem . „Planowanie ciągłości działania” (ang. Business continuity planning) sugeruje bardziej kompleksowe podejście do zapewnienia możliwości działania i „zarabiania pieniędzy”, nie tylko po naturalnej klęsce, ale także w przypadku mniejszych zakłóceń, w tym choroby lub wyjazdu kluczowych pracowników, problemy łańcucha dostaw partnerskich lub innych wyzwań, przed którymi czasami staje firma.

Mimo tych różnic, te dwa terminy często występują razem pod skrótem BC/DR.

Co te plany obejmują?

Wszystkie BC / DR plany muszą obejmować informacje na temat zachowań pracowników, sposób komunikacji, gdzie pójdą, a jak będą dalej wypełniali swoje obowiązki. Szczegóły mogą być bardzo różne, w zależności od wielkości i zakresu spółki i sposobu prowadzenia działalności. Dla niektórych firm, kwestie takie jak logistyka łańcucha dostaw są najważniejsze i na tym skupia się plan. Dla innych, technologia informatyczna może odgrywać kluczową rolę, a plan BC/DR może kłaść większy nacisk na odzyskanie systemów IT. Na przykład, plan pewnej globalnej firmy produkcyjnej obejmuje odtworzenie krytycznych systemów mainframe wraz z najważniejszymi danymi z kopii w lokalizacji zapasowej w ciągu 4-6 dni od zdarzenia, nabycie mobilnego urządzenia PBX z 3000 telefonów w ciągu dwóch dni, przywrócenie działania ponad 1000 sieci LAN dla potrzeb biznesowych i utworzenie tymczasowego call center na 100 agentów w pobliskim ośrodku szkoleniowym.

Ale krytycznie ważne jest to, że nie można pominąć żadnego elementu, plany dotyczące infrastruktury, IT czy zasobów ludzkich nie mogą być rozwijane w oderwaniu od siebie. (W tym kontekście, BC/DR ma wiele wspólnego z konwergencją bezpieczeństwa.) Planowanie BC/DR opiera się na stałym kontakcie.

Szefowie wszystkich pionów firmy: biznesu, bezpieczeństwa i IT powinni współpracować, aby określić, jaki rodzaj planu jest niezbędny i które systemy i jednostki biznesowe są najważniejsze dla firmy. Wspólnie powinni zdecydować, które osoby są odpowiedzialne za ogłoszenie wydarzenia destrukcyjnego i łagodzenie jego skutków. Najważniejsze, że plan powinien ustanowić proces lokalizacji i komunikacji z pracownikami po takim wydarzeniu. W przypadku katastrof (np. huragany), plan będzie też musiał wziąć pod uwagę, że wielu z tych pracowników będzie miało bardziej palące problemy niż powrót do pracy.

Od czego zacząć?

Dobrym krokiem jest analiza wpływu na biznes (ang. business impact analysis, BIA). Pozwoli to na zidentyfikowanie najbardziej kluczowych dla biznesu systemów i procesów oraz ich wpływu na działanie biznesu. Im większy potencjalny wpływ ma dany proces lub system, tym więcej pieniędzy firma powinna wydać aby szybko go przywrócić.
Na przykład, firma obrotu giełdowego może zdecydować o stworzeniu infrastruktury całkowicie redundantnych systemów IT, która pozwala na natychmiastowe rozpoczęcie transakcji przetwarzania w innym miejscu. Z drugiej strony, producent może zdecydować, że wznowienie produkcji może poczekać 24 godziny. BIA pomoże firmom ustawić kolejność przywracania systemów i procesów oraz określić, które części przedsiębiorstwa powinny zostać przywrócone jako pierwsze.

Oto lista najważniejszych tematów, które Państwa plan powinien obejmować:

  1. Opracowanie i ćwiczenia planu awaryjnego, który zawiera plan sukcesji dla CEO.
  2. Szkolenia pracowników w celu zastąpienia osób odpowiedzialnych za wykonywanie zadań krytycznych. Pracownicy wyznaczeni do prowadzenia działań w sytuacji awaryjnej nie zawsze będą dostępni.
  3. Ustalenie miejsca spotkań biura kryzysowego i planów komunikacji kryzysowej dla kadry kierowniczej. Okresowe ćwiczenia komunikacji kryzysowej z pracownikami, klientami i światem zewnętrznym.
  4. Użycie alternatywnego środka komunikacji, na wypadek awarii sieci telefonicznych.
  5. Ćwiczenia obejmująca zarówno wszystkich pracowników, jak i kadrę kierowniczą, w celu nabycia praktyki w reagowaniu na zagrożenia.
  6. Ćwiczenia te powinny być realistyczne, wystarczy wykorzystać emocje pracowników tak, żeby można było zobaczyć, jak będą reagować, gdy sytuacja staje się stresująca.
  7. Nawiązanie współpracy z lokalnymi służbami kryzysowymi – straży pożarnej, policji i pogotowia. Powinny poznać lokalizację i strukturę firmy i miejsca.
  8. Podczas każdego badania należy oceniać wydajność i precyzję realizacji planu BC/DR i pracować w kierunku ciągłego doskonalenia. Ćwiczenia ciągłości powinny ujawnić słabości.
  9. Regularne testy planu ciągłości pozwalają ujawnić jego słabości i doprowadzić do wprowadzenia zmian. Technologia, personel i urządzenia są w stanie ciągłego ruchu w każdej firmie.

Jakie są najczęstsze błędy, które firmy popełniają w planowaniu odzyskiwania danych?

  1. Nieodpowiednie planowanie: Czy zidentyfikowane zostały wszystkie kluczowe systemy i dostępne są szczegółowe plany w celu odzyskania ich do dnia bieżącego? (Wszyscy myślą, że wiedzą, co mają w swoich sieciach, ale większość ludzi tak naprawdę nie wie, ile serwerów mają lub jak są one skonfigurowane, lub jakie aplikacje znajdują się na nich, jakie usługi zostały uruchomione, jaką wersję oprogramowania lub systemu operacyjnego używali. Narzędzia do zarządzania  często nie przechowują ważnych informacji o wersji oprogramowania i tak dalej.
  2. Brak dostosowania metod działania organizacji do planowania i testowania działań naprawczych.
  3. Brak wsparcia ze strony menedżerów wyższego szczebla. Największe problemy są tu:
    1. Brak określenia jaki poziom wsparcia ze strony kierownictwa jest wymagany
    2. Brak przeprowadzenia Analizy wpływu na biznes, a co za tym idzie pozostawienie „luk” w planie BC/DR.
    3. Brak opracowania odpowiednich planów naprawczych, które określają cel, czas odzyskiwania systemów i aplikacji krytycznych, ważnych dokumentów wymaganych przez firmę i funkcji biznesowych, budując plany działań operacyjnych, które mają być kontynuowane po katastrofie.
    4. Brak odpowiedniego finansowania, które pozwoli na przeprowadzanie testów minimum co pół roku.

Jak zmiany technologii wpływają na plany BC/DR?

Powinno się zdefiniować proces BC/DR z uwzględnieniem trendów technologicznych. Oto cztery obecne tendencje, które w przeważającej części, faktycznie pomagają w utrzymaniu ciągłości biznesowej. (Mogą jednak wprowadzić pewne problemy i komplikacje):

  1. Wirtualizacja: podstawowe zalety to mniejsza ilość urządzeń fizycznych wymagających nadzoru, większe możliwości konfiguracji systemów wysokiej dostępności.
  2. Chmura: Ciężar BC / DR spoczywa po stronie dostawcy, co może być zarówno korzyścią jak i ryzykiem. Należy zadbać, aby umowa jasno precyzowała nasze wymagania oraz gwarancje dostawcy.
  3. Urządzenia mobilne: Wykorzystanie tabletów i smartfonów sprawia, że komunikacja w sytuacji zagrożenia oraz proces lokalizowania pracowników stają się potencjalnie łatwiejsze.
  4. Media społecznościowe: pozwalają na łatwą komunikację nie tylko z pracownikami, ale również z klientami.

Kto powinien opracowywać i zarządzać planami BC/DR?

Na to pytanie nie można udzielić jednoznacznej odpowiedzi. Kwestia wyboru osoby/osób odpowiedzialnych za utrzymanie ciągłości biznesowej zależy od wielu czynników.

Najważniejsze jest to, aby lider programu BC/DR miał szeroką perspektywę i wystarczająco dużo siły przebicia, aby w odpowiedni sposób połączyć wszystkie elementu ze sobą.

Warto powtórzyć: Systemy informacyjne są oczywiście kluczowe dla dzisiejszych działalności. Jednak plan BC/DR dotyczący tylko IT to brak planu w ogóle. To samo odnosi się do planu obejmującego tylko infrastrukturę. Kluczem do sukcesu jest tutaj zrozumienie pełnej gamy środków, ludzi, systemów i procesów, które sprawiają, że firma działa.

Coraz więcej organizacji tworzy działy lub programu Zarządzania Ryzykiem w Przedsiębiorstwie (ang. Enterprise Risk Management)

Wydaje się, że jest to naturalnym wyborem dla wysiłków zmierzających do zapewnienia ciągłości działania.

Rozwiązania typu Disaster Recovery mogą być przedmiotem outsourcingu

Usługi przechowywania danych poza siedzibą firmy, ruchome jednostki telefoniczne, dzierżawione stacje robocze i tym podobne działania są często zlecane na zewnątrz, tylko dlatego, że ma więcej sensu niż zakup dodatkowego wyposażenia lub przestrzeni, które mogą nigdy nie być używane.