Computerworld.pl
 
  1. Strona główna
  2. Porady
  3. Solidna deska ostatniego ratunku

Solidna deska ostatniego ratunku

Przerzucenie na działy IT obowiązku opracowania i wdrożenia planów postępowania w sytuacjach kryzysowych (BCP oraz DR) jest błędem. Warunkiem stworzenia dobrego planu awaryjnego jest uzyskanie poparcia kadry kierowniczej i zaangażowanie do projektu przedstawicieli wszystkich działów przedsiębiorstwa.

Przerzucenie na działy IT obowiązku opracowania i wdrożenia planów postępowania w sytuacjach kryzysowych (BCP oraz DR) jest błędem. Warunkiem stworzenia dobrego planu awaryjnego jest uzyskanie poparcia kadry kierowniczej i zaangażowanie do projektu przedstawicieli wszystkich działów przedsiębiorstwa.

Solidna deska ostatniego ratunku

Planowanie jako proces ciągły

Problem roku 2000 i tragiczne wydarzenia 11 września 2001 r. pokazały, że sytuacje kryzysowe nie biorą się wyłącznie z awarii systemów informatycznych, chociaż to tam właśnie są przechowywane najważniejsze dla firm informacje. Najlepiej opracowany plan Disaster Recovery (DRP), czyli plan przywrócenia do pracy systemu informatycznego po niespodziewanej przerwie, nie gwarantuje jeszcze, że po usunięciu usterek będą właściwie realizowane funkcje biznesowe firmy. Nawet krótkotrwała sytuacja kryzysowa może mieć dla firm daleko idące skutki - od wykorzystania przez konkurencję sytuacji, poprzez nadszarpnięcie autorytetu firmy, po lawinę nieprzewidzianych zjawisk i zachowań pracowników.

Sposób przygotowania firmy do wystąpienia sytuacji kryzysowych, a także zasady postępowania w takich sytuacjach powinny być opisane w "planach utrzymania ciągłości", określanych jako Business Continuity Plans (BCP). Według organizacji Disaster Recovery Institute (DRI), plany takie powinny być przygotowywane przez osobę delegowaną wyłącznie do tego celu, działającą w bliskiej współpracy z kierownictwem firmy i przy jego pełnym poparciu. Dobrze przygotowany plan BCP powinien identyfikować cele działań w kryteriach biznesowych, a nie tylko technologicznych. W szczególności powinien wskazywać wewnętrzne i zewnętrzne zagrożenia funkcjonowania firmy oraz sugerować, w jaki sposób można ich uniknąć bądź im się przeciwstawić. Jeśli plan BCP nie będzie miał poparcia kierownictwa firmy - trudno oczekiwać, by inicjatywa jego opracowania i stałego aktualizowania znalazła poparcie wszystkich działów. Bez tego poprawna identyfikacja zagrożeń i przygotowanie się na ich wystąpienie stają się praktycznie niemożliwe.

Ile firm, tyle planów

W przedstawionym ujęciu plany przywrócenia funkcjonowania systemów informatycznych po awarii stanowią zaledwie jeden z elementów kompleksowych planów BCP. Podobnie jak nie istnieją dwie identyczne firmy, tak nie istnieje również jeden uniwersalny plan BCP, który można zaadaptować na potrzeby dowolnego przedsiębiorstwa. Każda firma musi stworzyć taki plan samodzielnie. Pomocne są przy tym ogólne wytyczne, ułatwiające skonstruowanie "przepisu" na ciągłość działania.

Plany BCP powinny identyfikować krytyczne funkcje biznesowe, a także niezbędne do ich realizacji zasoby firmowe. Dobrze przygotowany plan BCP powinien koncentrować się na:

  • Ochronie pracowników

  • Ochronie interesów udziałowców i akcjonariuszy firmy

  • Ochronie wizerunku firmy, utrzymaniu jej udziałów rynkowych, zapewnieniu ciągłości źródła przychodów

  • Zapewnieniu w trakcie kryzysu ciąg-łości komunikacji z wszystkimi zewnętrznymi grupami docelowymi: mediami, klientami, partnerami biznesowymi, akcjonariuszami itd.

  • Identyfikacji obowiązków, wynikających z regulacji prawnych, umów itd.

  • Identyfikacji i raportowaniu przez poszczególne działy kierownictwu firmy wewnętrznych i zewnętrznych zagrożeń do realizacji celów istnienia tych działów

  • Przywróceniu w przypadku awarii funkcjonowania krytycznej infrastruktury, niezbędnej do dalszego prowadzenia działalności w sposób w pełni zgodny ze wszystkimi wyżej wymienionymi celami

    Osoby odpowiedzialne za konstrukcję planu BCP powinny przeprowadzić dokładne ankiety, za pośrednictwem których pracownicy poszczególnych działów firmy mogliby odpowiedzieć, jakie aplikacje są najbardziej krytyczne dla ich pracy, jakie konsekwencje dla realizacji celów biznesowych działu może mieć brak telefonu, poczty elektronicznej, aplikacji X czy Y itd. Osoby te powinny być odpowiedzialne także za opracowanie planów i procedur, dotyczących zarówno sposobu zachowania pracowników w przypadku wystąpienia wspomnianych wcześniej zagrożeń, jak i działań, jakie należy podjąć, by zminimalizować niepożądane efekty. Wszystkie zagadnienia, których uniknięcie bądź rozwiązanie wymaga dodatkowych inwestycji, powinny być zgłoszone kadrze kierowniczej firmy w celu określenia, czy koszt planowanej inwestycji jest wart poniesienia czy lepiej zaakceptować ryzyko wystąpienia sytuacji kryzysowej. Decyzję, jakie obszary działalności firmy są krytyczne i powinny podlegać ochronie, a jakie nie, może podjąć tylko kierownictwo.

    Co powinien zawierać "Plan odtworzenia biznesu"
  • Cel planu

  • Definicje katastrof

  • Zakresy odpowiedzialności zespołów kryzysowych

  • Informacje kontaktowe

  • Dokumentację niezbędną do wykonania planu

  • Procedury postępowania

  • Plan kontaktów z mediami

  • Stan i status sprzętu awaryjnego

  • Proces zachowania/odtwarzania danych

  • Plan implementacji

  • Plan testowania

  • Zasady uaktualniania

  • Plan relokacji/migracji

    Źródło: IBM, Business Continuity and Recovery Services

    • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200

    Computerworld

    Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

    Tematy

    Serwisy IDG

    Znajdź nas:   

    W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    Zamów reklamę

    (+48) 662 287 830
    Napisz do nas