Szukaj obluzowanych kamieni

Jedna z definicji kryzysu mówi, że jest to gwałtowne, niekorzystne zdarzenie o rozległych skutkach, wynikające ze splotu kilku drobnych okoliczności, z których każda z osobna miałaby efekt bez porównania mniejszy.

Jedna z definicji kryzysu mówi, że jest to gwałtowne, niekorzystne zdarzenie o rozległych skutkach, wynikające ze splotu kilku drobnych okoliczności, z których każda z osobna miałaby efekt bez porównania mniejszy.

Najbardziej obrazowa jest analogia lawiny - jeżeli na zboczu jest jeden obluzowany kamień, grozi on jedynie odpadnięciem i poranieniem pechowca, który miał nieszczęście znaleźć się na torze jego lotu w niewłaściwym momencie. Jeżeli na zboczu jest kilkadziesiąt czy kilkaset obluzowanych kamieni, strącenie jednego spowoduje potrącanie następnych, kumulowanie się energii i w efekcie katastrofalny w skutkach żywioł, który zmiata wszystko na swojej drodze. Taki właśnie jest kryzys.

Staramy się uodpornić naszą organizację na skutki ewentualnych kryzysów poprzez budowę infrastruktury awaryjnej. Wydajemy miliony na centra zapasowe, łącza nadmiarowe, macierze RAID, systemy backup/restore. W pocie czoła tworzymy procedury awaryjne, wdrażamy je i okresowo ćwiczymy, by w razie potrzeby móc szybko i sprawnie zareagować. Przekładając to na język naszej analogii: budujemy zapory przeciwlawinowe i systemy wczesnego ostrzegania. Dlaczego, u licha, nie szukamy obluzowanych kamieni?

W pewnej firmie, gdy przekazywano w outsourcing zarządzanie stacjami roboczymi pracowników, o jednej z takich stacji zapomniano. Ot, stała pod biurkiem, programiści mieli tam małe "poletko doświadczalne" - więc potraktowano ją jak serwer. Ale kiedy inwentaryzowano serwery i przekazywano w zarządzanie administratorom, uznano, że to także nie serwer - bo to kiedyś była przecież zwykła stacja robocza. Komputer niczyj, "ni pies ni wydra", nie wadził nikomu, więc i nikogo nie interesował. Ale pewnego dnia podczas wymiany firewalla na pół godziny "odsłoniono" wnętrze sieci przedsiębiorstwa dla świata zewnętrznego i to wystarczyło. Komputer, na którym przez wiele miesięcy nie były instalowane "łatki" systemowe, natychmiast stał się ofiarą hakera. Haker, posiadając dostęp do komputera wewnątrz sieci, był w stanie uzyskać uprawnienia administracyjne w całej domenie dzięki jednemu kontu, które takie uprawnienia miało, ale nie było objęte polityką regularnych zmian hasła. Następnego dnia cała sieć była totalnie zablokowana wirusami i spamem rozsyłanym bez wiedzy właściciela. Dwudniowa przerwa w pracy, utracona wiarygodność klientów, olbrzymie koszty usuwania skutków awarii - tak właśnie wyglądał krajobraz po kryzysie w tym przedsiębiorstwie.

Co zawiniło? Komputer, który nie był ani stacją roboczą, ani serwerem; odsłonięcie sieci przy aktualizacji firewalla i zapomniane konto administracyjne. Każdy z tych elementów nie byłby groźny, gdyby wystąpił osobno. Skutki kryzysu wywołanego samym włamaniem byłyby ograniczone, gdyby nie inne elementy. Zapomniane konto - nic wielkiego, gdyby komputer nie był dostępny z zewnątrz. Ale każdy z tych elementów stanowił "obluzowany kamień" i gdy wystąpiły niekorzystne okoliczności, potrącenie jednego z nich wywołało lawinę.

Jednym z "obluzowanych kamieni" może być człowiek. Przemęczony, zagubiony, działający pod presją czasu i bez ustalonych norm i standardów może stanowić słabe ogniwo. Jeśli do tego ma dużą odpowiedzialność i duże możliwości działania w systemie - a tak najczęściej jest z informatykami - może popełnić błąd dramatyczny w skutkach.

Chcąc ochronić Państwa organizacje przed kryzysem, proszę przygotować infrastrukturę, ale proszę szukać też "obluzowanych kamieni". Nie zdziwię się, jak znajdą się one wśród personelu informatycznego.


TOP 200