Konieczne jest również śledzenie zależności między różnymi zdarzeniami, związanymi z aktualnością planów awaryjnych. Przykładowo: rozbudowa podstawowego serwera wymaga również rozbudowy posiadanego serwera zapasowego, na który ma zostać przeniesiona funkcjonalność aplikacji w razie awarii. Podobnie również należy aktualizować dane kontaktowe poszczególnych osób wraz z migracją pracowników w firmie i zmianami personalnymi.

Niewystarczający poziom ćwiczeń

Powtarzającym się błędem jest również brak regularnych ćwiczeń przeprowadzania planów awaryjnych. Ćwiczenia takie, mające obnażyć niedoskonałości procedur kryzysowych, służą też zaznajomieniu pracowników firmy ze sposobem realizacji planów awaryjnych. Jeśli plany są w firmie tylko tworzone, a nie są testowane, to zawarta w nich wiedza jest bezużyteczna.

Często nie uświadamia się pracowników nawet w zakresie podstawowych czynności, takich jak sposób przechowywania planów awaryjnych. Zdarza się, że są one przechowywane wyłącznie w szufladach firmy, a w sytuacji krytycznej dostęp do nich jest niemożliwy, gdyż np. w budynku przeprowadzana jest ewakuacja. Zdarza się też, że jedyny plan jest przechowywany na komputerze przenośnym, który może zginąć, zostać ukradziony lub po prostu mogą się mu wyczerpać baterie (szczególnie wtedy, gdy nie ma zasilania). Disaster Recovery Institute International (DRII) zaleca, aby przechowywać wydrukowane dwie kopie planu awaryjnego, przy czym jedna powinna znajdować się poza miejscem pracy, np. w bagażniku samochodu.

Ważne jest również, aby na każdym planie awaryjnym (a najlepiej na każdej jego stronie) wyraźnie była oznaczona wersja dokumentu. Może się bowiem zdarzyć, że pracownik w sytuacji kryzysowej odnajdzie kilka wersji planu i nie będzie wiedział, którym z nich ma się posłużyć.

Cenne biurko, cenny sprzęt

Zapomina się również o tym, że do podtrzymania działalności firmy nie wystarczy tylko ochrona ośrodka przetwarzania. Równie krytyczne jest zapewnienie funkcjonowania i dostępności innych podstawowych elementów systemu IT oraz systemów wspomagających: komputerów, pomieszczeń, biurek, krzeseł. Przeoczenie ich w planach awaryjnych może doprowadzić do sytuacji zbliżonej do tej po ataku terrorystycznym 11 września ub.r. Wtedy najbardziej poszukiwanym towarem stała się powierzchnia biurowa, by zapewnić miejsce pracy. Wbrew pozorom w przypadku wielu firm krzesło, komputer dla pracownika i telefon są równie ważne z punktu widzenia realizacji procesów biznesowych, jak dostępność kluczowej bazy danych.

Plan awaryjny powinien również przewidywać różne scenariusze dostarczenia niezbędnego wyposażenia, zakładając także takie okoliczności, jak blokady ruchu kołowego itp.

Ataki z sieci komputerowej

Często nie uwzględnianą sprawą jest to, że podczas sytuacji kryzysowej sieć firmy może stać się celem ataków komputerowych. W zamieszaniu, jakie zazwyczaj towarzyszy katastrofie, istnieje duże ryzyko, że takie działania pozostaną nie zauważone. Dlatego właściwy plan kontynuowania działalności powinien zawierać procedury postępowania związane wyłącznie z bezpieczeństwem danych korporacyjnych. W takich sytuacjach należy znacznie zwiększyć zakres monitoringu nie autoryzowanych prób ingerencji w sieci (przekonfigurować posiadane systemy IDS na najwyższy poziom logowania zdarzeń i alarmowania), a także zaostrzyć działania ochronne, np. natychmiast przerwać wszystkie podejrzane sesje komunikacyjne.