Przez większość swojego istnienia odporność IT koncentrowała się na czasie pracy, upewniając się, że systemy nie ulegną awarii, a jeśli tak się stanie, jak najszybciej je przywrócić.

Jednak w nowoczesnej erze cyfrowej jest to tylko część równania. Dziś odporność IT oznacza znacznie więcej.

Zobacz również:

• Zarządzanie informacją – nowe kierunki
• 8 błędów strategii danych, których należy unikać
• FBI ostrzega - masowy atak phishingowy w USA

Rozważmy na przykład pogląd Brada Stone’a na ten temat. Jako CIO w Booz Allen Hamilton, Stone mówi, że myśli o odporności w dwóch wymiarach: Jeden to umożliwienie prowadzenia działalności bez zakłóceń; drugi to posiadanie zdolności do dostosowania się, radzenia sobie ze zmianami i radzenia sobie z nieoczekiwanymi sytuacjami. Co więcej, zdaniem Stone’a, odporność oznacza obecnie robienie tego wszystkiego przy ciągłym dostarczaniu użytkownikom oczekiwanych wrażeń. „Dziesięć lat temu, jeśli wystąpiła przerwa w dostawie, użytkownicy byli w stanie ją ominąć. Ale dziś użytkownicy i liderzy biznesowi oczekują, że technologia będzie zawsze działać i będzie niesamowitym doświadczeniem; oczekiwania są teraz o wiele większe, ponieważ IT jest takim czynnikiem umożliwiającym, nabrało większego znaczenia. Użytkownicy może nie wymagają perfekcji, ale ich standardy są naprawdę wysokie” - mówi. To z kolei spowodowało bardziej ekspansywne podejście do zapewnienia odporności IT w dzisiejszych czasach. W tym miejscu eksperci i liderzy IT proponują siedem najlepszych praktyk, które powinni przyjąć CIO, aby zapewnić spełnienie obecnych oczekiwań dotyczących odporności.

1. Dostosowanie do potrzeb biznesowych

Ron Brown, dyrektor ds. odporności biznesowej w firmie doradczej i usługowej GuidePoint Security, definiuje odporność IT jako zapewnienie stałej dostępności technologii - nawet jeśli przyznaje, że taka doskonałość nie jest prawdopodobna. „Trzeba przewidzieć i zaplanować, że w pewnym momencie coś się zepsuje” - mówi. CIO mogą najlepiej przygotować się na tę nieuchronność, jasno określając, jakie systemy są najważniejsze dla firmy; dzięki temu dział IT będzie wiedział, na czym skupić się w pierwszej kolejności podczas jakiejkolwiek awarii” - mówi.

„Pierwszą rzeczą, jaką należy zrobić, jest bez wątpienia uzgodnienie z biznesem, czego potrzebuje i za co jest gotów zapłacić, aby uzyskać to, czego oczekuje” - mówi Brown, zauważając, że analiza wpływu na biznes może pomóc IT i biznesowi w osiągnięciu tego uzgodnienia. „A kiedy już zrozumiesz, jakie są wymagania biznesu, wtedy chodzi o to, jak zmapować usługi i możliwości, które masz i które aplikacje są używane przez które grupy, więc jeśli coś pójdzie nie tak, wiesz, gdzie umieścić swoje priorytety, aby je przywrócić”.

2. Przełamanie silosów

Richard Caralli, były CISO, obecnie pracujący jako starszy doradca w Axio Global, firmie zajmującej się zarządzaniem ryzykiem cybernetycznym, mówi, że postrzega odporność jako „właściwość wyłaniającą się z zarządzania ryzykiem operacyjnym”. Aby robić to dobrze, operacje IT i cyberbezpieczeństwo powinny współpracować z liderami nadzorującymi planowanie ciągłości działania/odzysku po awarii. To jednak nie zawsze ma miejsce, mówi Caralli: „Działania te mają tendencję do silosowania, co powoduje, że każda dyscyplina operuje na innych założeniach i scenariuszach ryzyka, podczas gdy w rzeczywistości muszą one być zbieżne i współpracować”.

Na przykład, wg Caralliego, że zespół ds. bezpieczeństwa cybernetycznego organizacji może skupić się na stworzeniu doskonałej strategii „obrony w głębi” (defense-in-depth), aby zapewnić, że będzie w stanie zapobiegać włamaniom, wykrywać je, jeśli już się wydarzą, i reagować na nie. Jednak zespół ten może nie być tak silny w planowaniu „powrotu do normalnych warunków operacyjnych tak szybko, jak to możliwe, z jak najmniejszymi konsekwencjami”, jeśli cyberbezpieczeństwo nie współpracuje ściśle z ryzykiem i IT. Jeśli nie rozmawiają wszyscy razem, mogą planować lub określać ilościowo różne ryzyka” - dodaje. „Muszą wspólnie planować i uruchamiać scenariusze. Jeśli spojrzysz na ryzyko od strony wpływu i możesz przewidzieć, jakie konsekwencje mogą wystąpić, możesz zacząć kwantyfikować ryzyko i możesz wtedy wiedzieć, gdzie wydać następnego dolara, czy umieścić go po stronie zapobiegania, czy wydać na praktyki, które zmniejszą wpływ”.

3. Doglądaj swoje metryki

Wraz z rozwojem odporności IT Jorge Machado, partner w firmie konsultingowej McKinsey & Co. zajmującej się zarządzaniem, twierdzi, że CIO powinni dostosować metryki, których używają do mierzenia i zarządzania operacjami, aby upewnić się, że realizują właściwe cele. „Tradycyjnie, gdybyśmy cofnęli się o dekadę, chodziłoby o uptime, dostępność aplikacji i średni czas przywracania” - mówi Machado. „Ale obecnie, gdy aplikacje stają się bardziej zorientowane na mikroserwisy i odchodzimy od systemów monolitycznych, musimy mierzyć w bardziej zniuansowany sposób”. On i kolega, partner stowarzyszony McKinsey, Arun Gundurao, sugerują pomiary skoncentrowane na zdolności do wykonywania krytycznych transakcji, takich jak te mierzące niepowodzenia w interakcjach z klientami, doświadczenie aplikacji z perspektywy użytkownika lub cele poziomu usług.

„Chodzi o to, na czym zależy biznesowi wokół tej aplikacji lub tej podróży klienta” - mówi Gundurao. „Chcesz mierzyć to, co biznes chce mierzyć”.

4. Praktyka

Zdaniem Stone’a, odporność oznacza skuteczne radzenie sobie z nieoczekiwanymi okolicznościami. Aby to osiągnąć, Stone dba o to, aby jego dział IT nie był nieprzygotowany. Oznacza to szkolenia, testy i ćwiczenia z wykorzystaniem ćwiczeń i symulacji.

„To są ćwiczenia, które polegają na wyłączeniu klastra i nie poinformowaniu o tym [wszystkich] oraz sprawdzeniu reakcji ludzi. To prawie jak symulacja ostrzału na żywo. Musisz to robić ostrożnie, we właściwym czasie, ale musi to być częścią twojej kadencji” - mówi. „Trzeba mieć te standardowe procedury operacyjne, przechodzić przez nie i udoskonalać je. Trzeba chcieć sprawić, aby pracownicy czuli się niekomfortowo, stawiać im wyzwania. To daje im poczucie koleżeństwa, ponieważ wiedzą, że mogą sobie poradzić z różnymi rzeczami”.

Stone mówi, że takie ćwiczenia dają CIO i ich menedżerom możliwość zbudowania zaufania do procesów, które działają dobrze i zbudowania pamięci mięśniowej, a także zidentyfikowania słabych punktów - takich jak brak redundancji pracowników przeszkolonych w zakresie kluczowych technologii lub brak procedur tworzenia kopii zapasowych w przypadku awarii konkretnej aplikacji.

5. Zaprojektuj odporność

Doradcy IT podkreślają, że ważne jest, aby wbudować odporność w samą architekturę, na przykład poprzez dystrybucję instancji i obciążenia użytkowego w różnych lokalizacjach geograficznych. Jednym ze sposobów zapewnienia odporności systemów jest „uproszczenie tego, co robisz, abyś mógł to zrobić naprawdę dobrze i spełnić oczekiwania” - mówi Stone, zauważając, że takie podejście pomaga również uchronić zespoły przed nadmiernym obciążeniem.

Dodaje, że takie podejście pomaga również w utrzymaniu zespołów w stanie nadmiernego zmęczenia. Automatyzacja zarządzania incydentami, problemami i zmianami również pomaga w budowaniu odporności. Gundurao zaleca przyjęcie inżynierii niezawodności miejsca (SRE), czyli zestawu zasad i praktyk dotyczących infrastruktury i operacji, których celem jest stworzenie skalowalnych, niezawodnych systemów. SRE - i osoby przeszkolone w zakresie jego zasad - koncentrują się na budowaniu IT nie tylko po to, aby działało dobrze przy błękitnym niebie, ale także po to, aby działało przy burzliwym niebie, dodaje Machado.

Andrew Long, globalny lider architektury korporacyjnej w Accenture, dostrzega, że duże tradycyjne organizacje coraz częściej przyjmują zasady, technologie i metody stosowane przez organizacje cyfrowe w celu tworzenia bardziej odpornych systemów IT. „Dzięki temu firma może zwiększyć swoją odporność na zakłócające wydarzenia biznesowe, a tym samym stać się bardziej konkurencyjna” - mówi. Aby to osiągnąć, liderzy IT kładą nacisk na szybkość i zwinność, centryczność danych i decentralizację, a także ciągłą integrację i dostarczanie, SRE i mikroserwisy, aby dostarczyć możliwości biznesowe, których wymaga przyszła organizacja (...) w bardziej modułowy i złożony sposób” - mówi Long. Przechodzą również od tradycyjnego, opartego na kaskadzie wodnej dostarczania projektów IT do „bardziej produktocentrycznego dostarczania IT i operacji, co ma tendencję do uwzględniania szerszych, bardziej strategicznych wymagań, które wspierają odporność IT” - dodaje. „Prawie wszystkie organizacje mają część zasobów informatycznych w chmurze” - mówi Long, ale kluczem jest „rozważenie, jakie wyjątkowe możliwości chmury można wykorzystać, aby zwiększyć zdolność organizacji do stania się bardziej zwinną i odporną”.

6. Zachowaj czujność

Ryzyko organizacyjne, potrzeby biznesowe i technologia będą nadal ewoluować, tak samo jak praktyki związane z odpornością IT - twierdzą eksperci. „Współpracuj z przedstawicielami biznesu, aby zrozumieć, gdzie widzą ryzyko zakłócenia działalności, skalę tego ryzyka i, co najważniejsze, jak oceniają to ryzyko, a tym samym potencjalną wartość” - mówi Long. Dzięki jasnemu zrozumieniu obecnego stanu środowiska technologicznego można lepiej zrozumieć, jak organizacja może zareagować na te zakłócenia i gdzie znajdują się krytyczne obszary ryzyka. „Potwierdź konkretne interwencje, które należy podjąć, aby zminimalizować ryzyko, i opracuj mapę drogową, aby dostarczyć zmiany” - mówi Long, dodając, że wykonanie tej mapy drogowej jest możliwe tylko wtedy, „gdy wszyscy są zgodni co do ryzyka biznesowego”.

7. Pozwól, aby biznes uczestniczył w odpowiedzialności

Strona biznesowa również ma do odegrania rolę w odporności IT, mówi Machado, więc liderzy jednostek biznesowych powinni również ponosić za nią pewną odpowiedzialność. „Myślę, że trzeba mieć model odpowiedzialności i uważamy, że powinien on być współdzielony z biznesem” - wyjaśnia – „więc ktokolwiek buduje aplikację, powinien dzielić za nią odpowiedzialność. Nie powinna to być tylko rola CIO”. Machado nie opowiada się za tym, aby jednostki biznesowe przejęły operacje IT i codzienne zarządzanie aplikacjami i systemami; mówi raczej, że powinny one zrozumieć, że ich wymagania i priorytety mogą wpływać na odporność. Na przykład, jeśli liderzy jednostek biznesowych stale stawiają na pierwszym miejscu czas wprowadzania produktów na rynek i szybkość tworzenia wartości, to muszą być współodpowiedzialni za to, czy i w jakim stopniu może to wpłynąć na odporność. Przez większą część swojego istnienia odporność IT koncentrowała się na czasie pracy, upewniając się, że systemy nie ulegną awarii, a jeśli tak się stanie, należy je jak najszybciej przywrócić do działania.

Jednak w nowoczesnej erze cyfrowej jest to tylko część równania. Dziś odporność IT oznacza znacznie więcej. Rozważmy na przykład pogląd Brada Stone”a na ten temat. Jako CIO w Booz Allen Hamilton, Stone mówi, że myśli o odporności w dwóch wymiarach: Jeden to umożliwienie prowadzenia działalności bez zakłóceń; drugi to posiadanie zdolności do dostosowania się, radzenia sobie ze zmianami i radzenia sobie z nieoczekiwanymi sytuacjami. Co więcej, zdaniem Stone’a, odporność oznacza obecnie robienie tego wszystkiego przy ciągłym dostarczaniu użytkownikom oczekiwanych wrażeń. „Dziesięć lat temu, jeśli wystąpiła przerwa w dostawie, użytkownicy byli w stanie ją ominąć. Ale dziś użytkownicy i liderzy biznesowi oczekują, że technologia będzie zawsze działać i będzie niesamowitym doświadczeniem; oczekiwania są teraz o wiele większe, ponieważ IT jest takim czynnikiem umożliwiającym, nabrało większego znaczenia”- mówi. „Użytkownicy może nie wymagają perfekcji, ale ich standardy są naprawdę, naprawdę wysokie”. To z kolei spowodowało bardziej ekspansywne podejście do zapewnienia odporności IT w dzisiejszych czasach. W tym miejscu eksperci i liderzy IT proponują siedem najlepszych praktyk, które powinni przyjąć CIO, aby zapewnić spełnienie obecnych oczekiwań dotyczących odporności.

Źródło: CIO