Każdy plan zapewnienia ciągłości funkcjonowania instytucji, zakładu przemysłowego opiera się na dobrze przeprowadzonej analizie wpływu zdarzenia na biznes, która wskazuje na kluczowe procesy, zagrożenia, określa akceptowalny poziom strat w wypadku przerwania ciągłości działania.

Na tej podstawie buduje się odpowiednie procedury odtworzeniowe (scenariusze) uwzględniające czas dla wznowienia poszczególnych procesów biznesowych, potrzebnych zasobów (IT, pracownicy) i sposobów reagowania. W przeprowadzonej analizie ryzyka należy przede wszystkim uwzględnić wpływ i skalę danego zdarzenia na organizację - krótka przerwa w pracy spowodowana brakiem dostępu np. do platformy transakcyjnej, jest jedynie incydentem, ale gdy przerwa wynosi już np. 3 godziny, wtedy powinna być uruchamiana odpowiednia procedura odtworzeniowa, która niesie za sobą odpowiednio wcześniej opracowane scenariusze działania. Takim scenariuszem awaryjnym może być przeniesienie części lub wszystkich pracowników (procesów) odpowiedniego działu do uruchomionej lokalizacji zapasowej, w której będą wznowione przerwane procesy biznesowe.

Należy wspomnieć, że inne czynniki zewnętrzne (np. awaria hydrauliczna, alarm bombowy - nawet fałszywy) także uniemożliwia prowadzenie procesów biznesowych, tak, jak przy awarii całej infrastruktury IT.

Zimna i gorąca rezerwa

Organizacje, które potrzebują niezawodnej pracy, zazwyczaj posiadają rezerwową infrastrukturę i mogą jej użyć w przypadku wystąpienia nadzwyczajnych okoliczności. Dlatego każda organizacja powinna zadbać o tzw. zimną rezerwę, czyli zasoby, które nie biorą udziału w regularnej pracy organizacji, ale stanowią zabezpieczenie na wypadek wystąpienia sytuacji krytycznej i mogą być względnie szybko uruchomione. Gorąca rezerwa jest gotowa do pracy natychmiast, są to najczęściej zdublowane informatyczne systemy (aplikacje) krytyczne, wspierające procesy biznesowe, potrzebne wyposażenie i zasoby ludzkie.

Plan ciągłości działania (BCP - Business Continuity Plan) powinien obejmować swoim rozmiarem plany Disaster Recovery, które odpowiadają za wznowienie procesów realizowanych poprzez systemy informatyczne. Najpowszechniejszym przykładem zabezpieczenia się działów IT na wypadek wystąpienia awarii jest zbudowanie lub korzystanie z zewnętrznych centrów zapasowych (przetwarzania danych i zapasowych systemów informatycznych). To, z kolei, wymaga wcześniejszych inwestycji: zbudowania odpowiedniej infrastruktury sieciowej, wdrożenia polityki bezpieczeństwa i strategii przetrwania, które musi i powinien wdrożyć zarząd.

Word i Excel nie wystarczy

Zazwyczaj procedury reagowania są przygotowywane w statyczny sposób - są to zwykłe dokumenty, które po opracowaniu i zatwierdzeniu znajdują zwykle miejsce w odpowiednim segregatorze lub zasobach zapisanych w formie plików Excel i umieszczonych na serwerze sieciowym. Statyczne dokumenty, nawet najlepiej opracowane, mają dwie zasadnicze wady: nie wywołują żadnych akcji podczas wystąpienia sytuacji kryzysowej oraz nie są automatycznie aktualizowane, np. na podstawie informacji z wewnętrznego źródła (system kadrowy, help desk). Tymczasem, nowoczesne organizacje, które potrzebują na bieżąco zarządzać, aktualizować i testować plany ciągłości działania, powinny posiadać rozwiązania, które działają szybko, są zawsze aktualne i wspierają komunikację w sytuacjach krytycznych.