BezpieczeństwoO planowaniu nieplanowanego > redakcja Opublikowane 26 kwietnia 20180 0 120 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Awarie są uniwersalnym zjawiskiem. Paraliż systemów biletowych na lotniskach, brak zasilania oraz awaria systemów chłodzących, to przykłady potencjalnych i nieoczekiwanych scenariuszy. Trudno przewidzieć każdą ewentualność, stąd pomocne są świadomość ryzyka oraz posiadanie wiedzy i odpowiednich procedur w firmie, jak postąpić w przypadku incydentu w celu zminimalizowania jego skutków. Według danych tzw. deficyt dostępności dotyka aż 82% przedsiębiorstw i może kosztować je średnio 21,8 mln dol. rocznie[1].Dwie trzecie respondentów (66%) badania jest zgodna – nieplanowane przestoje w dostępie do usług hamują proces cyfrowej transformacji. Najczęściej mogą one być spowodowane cyberatakami, awarią infrastruktury, niesprawnością sieci czy katastrofami naturalnymi. Ciągłość biznesowa jest pojęciem o wiele pojemniejszym niż „backup”, a im bardziej precyzyjny powstanie plan oraz im więcej decydentów zostanie zaangażowanych w jego stworzenie, tym łatwiejsze będzie skoordynowanie działania w warunkach, gdy zabraknie czasu na jego uzgadnianie. Korzyści wynikające z Planowania Ciągłości DziałaniaPrace nad Business Continuity stymulują wymierne korzyści, np. usprawnienie procesów biznesowych oraz funkcjonowanie systemów IT w organizacji. Przekłada się to z kolei na wzrost efektywności oraz zmniejszenie częstotliwości występowania błędów w systemach informatycznych. Poniżej 5 kroków rekomendowanych przez firmę OVH, globalnego dostawcę hiperskalowalnych rozwiązań chmurowych, które mogą być pomocne przy tworzeniu strategii Business Continuity oraz „Plan B” na wypadek wystąpienia sytuacji kryzysowej. Zrozumienie własnej organizacjiZnajomość procesów wewnętrznych w organizacji, zgłębienie zależności między danymi elementami, identyfikacja roli i zakresów odpowiedzialności pracowników i łączących ich stosunków biznesowych, są elementarnymi kwestiami i to od nich powinno się zacząć proces planowania ciągłości działania. Podział ról jasno określa, kto i w jakim zakresie będzie podejmował decyzje i kto będzie go mógł w tym zastąpić. Analiza ryzykaKażda organizacja ma indywidualne wymagania co do dostępności systemów, ludzi czy innych zasobów niezbędnych do działania organizacji. Dlatego też bardzo ważne jest określenie, co jest dla niej najważniejsze oraz odpowiedź na kilka pytań. Przykładowo, jak długo firma przetrwa bez dostępu do systemu CRM? Jak długo poradzi sobie bez poczty e-mail? Odpowiedzi na te zagadnienia pomogą oszacować, jak duży wpływ na działanie organizacji wywrze zakłócenie ważnego procesu biznesowego.W procesie analizy ryzyka istotne są dwa pojęcia: RTO – Recovery Time Objective oraz RPO – Recovery Point Objective. RTO to czas, w którym organizacja może funkcjonować bez procesów o znaczeniu krytycznym. Wskaźnik ten warunkuje wszystkie inne prace projektowe, jak np. ustalenie współczynników oznaczających poziom przywracania. Przykładowo, jeśli incydent nastąpił o godzinie 13.00, przerywając proces biznesowy, RTO ustawione na 4 godziny oznacza, że powinien on zostać ponownie uruchomiony najpóźniej o godz. 17.00. RPO zaś odnosi się do akceptowalnego poziomu utraty danych, na który może sobie pozwolić organizacja. Oznacza aktualność danych odzyskanych po awarii, np. dane odtworzone z backupu wykonywanego co noc mają RPO równe 24 godziny.Schemat przedstawiający przykładowy podział na krytyczność funkcji w przedsiębiorstwie Plany i proceduryTo jeden z kluczowych punktów w całym procesie tworzenia strategii Business Continuity, na który składa się kilka czynników. Jednym z nich jest outsourcing usług. Wielkie korporacje już wiele lat temu zrozumiały, że współpraca z wyspecjalizowanymi podmiotami może im przynieść wymierne korzyści, jak obniżenie kosztów działalności przedsiębiorstwa czy kwestie związane z cyberbezpieczeństwem. Często niedoceniony jest jednak dialog między działami w organizacji. Na przykład, czy dział marketingu informuje specjalistów IT o planowanej kampanii w sklepie internetowym, co wiąże się ze zwiększeniem ruchu na stronie, lub czy departament IT przekazał działowi rozliczeń informacje o planowanej aktualizacji systemu?Planowanie ciągłości biznesowej oznacza zapewnienie redundancji, czyli nadmiarowości. W e-commerce może to być wykorzystanie usługi chmurowej, która zapewni skalę działania, np. na wypadek wzrostu ruchu w sklepie, w IT posiadanie przynajmniej dwóch lokalizacji, w których posiadamy serwery czy usługi cloud. W razie wystąpienia poważnej awarii w ośrodku podstawowym, zapasowe centrum danych może przejąć proces przetwarzania danych. W przypadku firmy wytwórczej może to być dodatkowa linia produkcyjna lub umowa z podwykonawcą, który będzie w stanie zastąpić nasze systemy, co zapewni płynność działania w przypadku niespodziewanej sytuacji. Firmy oferują różne rozwiązania na wypadek awarii lub poważniejszego kryzysu, często określając swoje plany jako Disaster Recovery oraz Business Continuity.Znając wyniki analizy ryzyka, łatwo określić, które dane są dla biznesu ważne oraz gdzie są zlokalizowane. Mając taką wiedzę, można rozpocząć budowę strategii ochrony danych i ich przywracania. WdrożeniePrzygotowanie planów i procedur to jedno, a skuteczne ich wdrożenie to zupełnie odrębna kwestia. Istotne jest, żeby w przypadku wprowadzenia planu ciągłości działania w korporacji przeszkolić współpracowników, bardzo skrupulatnie informując ich o wdrożeniu. Uświadomienie wagi i znaczenia business continuity jest jednym z głównych wyzwań dla korporacji. Przeprowadzanie testów i ciągły rozwójProces Business Continuity nie kończy się na napisaniu procedur i odłożeniu ich na półkę. Należy stale testować różne rozwiązania oraz wprowadzać innowacje. Realia firmowe się zmieniają i następuje rotacja pracowników, stąd istotne jest, żeby nowe osoby w organizacji zostały zaznajomione ze strategią działania w przypadku kryzysu. Warto także pamiętać, że każda gałąź gospodarki posiada swoją własną specyfikę i tempo wdrażania zmian i cyfrowych narzędzi oraz że nie ma złotego środka, który zadziała w każdym przypadku. Te czynniki są istotne z tego względu, że w przypadku wystąpienia incydentu każda chwila jest ważna.Plan B, czyli co robić, gdy przedsiębiorstwo doświadczy kryzysua) Transparentna komunikacjaW przypadku wystąpienia sytuacji kryzysowej, kluczowa jest jasna i zrozumiała komunikacja ze wszystkimi podmiotami, których dotknęła nieoczekiwana sytuacja. Korzyści z transparentnego przekazu będą o wiele większe niż w przypadku zatajenia lub ujawnienia niepełnych informacji.b) Komunikacja do wielu Prowadzenie komunikacji do każdej osoby indywidualnie byłoby żmudne i czasochłonne. Z pomocą przychodzą media społecznościowe. Komunikację do wielu osób ułatwiają również systemy IVR (ang. Interactive Voice Response). Firmy, w których są stosowane, mogą obsługiwać dużą liczbę połączeń telefonicznych od klientów. Posiadają funkcjonalności automatycznego call center. Przy okazji IVR oferuje również usługi dodatkowe m.in. płatności. Jego zastosowanie pozwala na redukcję kosztów oraz poprawę obsługi klienta.c) Kontakt z działem IT i dostawcą rozwiązaniaBadania wskazują, że duża część zagrożeń związana jest z IT. Z tego powodu nie należy unikać w sytuacji kryzysowej kontaktu z dostawcą rozwiązania. Otwarta komunikacja powinna przyczynić się do szybszego rozwiązania problemu.Firmy, bez względu na to, czym się zajmują, można podzielić na dwie kategorie: te, które mają gotowy plan postępowania na wypadek wystąpienia awarii, oraz te, które będą go miały.[1] Veeam, Availability Report, 2017