Na miarę możliwości

Poziom przygotowania polskich przedsiębiorstw na wypadek awarii czy katastrofy trudno nazwać doskonałym, jednak w ciągu kilku ostatnich lat zaszło wiele pozytywnych zmian. Głównie za sprawą problemu roku 2000.

Poziom przygotowania polskich przedsiębiorstw na wypadek awarii czy katastrofy trudno nazwać doskonałym, jednak w ciągu kilku ostatnich lat zaszło wiele pozytywnych zmian. Głównie za sprawą problemu roku 2000.

Niełatwo byłoby znaleźć du- że polskie przedsiębiorstwo, które nie posiadałoby opracowanego planu działania na wypadek awarii infrastruktury informatycznej czy zniszczenia centrum obliczeniowego - systematycznie archiwizowane są najważniejsze dane. Jednak na spełnienie wszelkich wymogów bezpieczeństwa - zbudowanie zapasowego centrum obliczeniowego, które znajdowałoby się w dostatecznej odległości od centrum podstawowego, ewentualnie wykupienie usług tego typu w firmie zewnętrznej - stać nielicznych. Gdyby katastrofa na miarę zamachu terrorystycznego w USA dotknęła polskie firmy, jej wpływ mógłby być zgubny dla naszej gospodarki.

Bezpieczne finanse

Odsetek przedsiębiorstw, które mogą sprawnie rozpocząć funkcjonowanie po katastrofie, jest w Polsce nadal znacznie mniejszy niż na Zachodzie. Jako główną przyczynę takiego stanu rzeczy wskazywany jest ogromny koszt tworzenia i utrzymania centrów zapasowych - od kilkudziesięciu tysięcy do kilku milionów dolarów. Na wydatki tego rzędu mogą sobie pozwolić jedynie największe przedsiębiorstwa. "Straty będące efektem dobowego przestoju mogą sięgnąć nawet kilku milionów dolarów, dlatego warto zainwestować w zabezpieczenia kosztujące kilkadziesiąt tysięcy dolarów" - mówi Tomasz Jóźwiak, kierownik działu informatyki w International Paper w Kwidzynie.

Najbardziej zaawansowane w tej dziedzinie są instytucje finansowe. Wszystkie duże banki posiadają centra zapasowe poza główną siedzibą. Z badań prowadzonych przez firmy analityczne wynika, że to właśnie instytucje finansowe są narażone na największe straty w tego typu przypadkach. (Koszt kilkugodzinnego przestoju dużego banku wynosi co najmniej kilkaset tysięcy dolarów.) Na dalszych pozycjach znajdują się firmy telekomunikacyjne i zakłady przemysłowe.

Księga i jej administrator

Kluczem do przywrócenia sprawnego funkcjonowania po awarii jest księga, zawierająca wszelkie niezbędne procedury. Podobne dokumenty opracowywano już przy prowadzeniu projektów dotyczących problemu roku 2000 i mogłyby być one, przynajmniej częściowo, obecnie wykorzystane.

Wstępem do stworzenia takiej księgi powinno być: określenie źródeł ryzyka, ocena wpływu awarii na działalność poszczególnych obszarów przedsiębiorstwa oraz przygotowanie listy stosowanych systemów uporządkowanych wg ich ważności dla sprawnego funkcjonowania przedsiębiorstwa. Na podstawie analizy określa się straty, jakie przedsiębiorstwo może ponieść wskutek katastrofy, i dobiera odpowiednie środki zapobiegania im. Księga określa m.in. co uznawane jest za awarię, kogo należy powiadomić w przypadku jej wystąpienia, jakie zespoły przystępują do usunięcia awarii, czas, w jakim trzeba odtworzyć system. Księga musi być regularnie uaktualniana, dlatego niezbędne jest powołanie zajmującego się tym administratora. "Procedura Disaster Recovery, po jej opracowaniu i zatwierdzeniu, musi być ciągle aktualizowna wraz ze zmianami zachodzącymi w środowisku informatycznym. Ponadto praca w zakładzie powinna być tak zorganizowana, by umożliwiała łatwe przejście do alternatywnego sposobu pracy (np. obsługa ręczna) do czasu rozwiązania problemu" - mówi Tomasz Jóźwiak.

Niezbędnym, a często zaniedbywanym przez polskie firmy, elementem przygotowań do odtworzenia systemu po katastrofie są również praktyczne ćwiczenia stosowania procedur awaryjnych. Konieczne jest także podpisanie umów z dostawcami sprzętu, którzy zagwarantują dostarczenie w określonym czasie urządzeń zapasowych. Zabezpieczenia tego typu powinny objąć również system okablowania strukturalnego w zakładzie. Wymagane jest także opracowanie procedury przejścia na ręczne sterowanie.

Zbyt bliskie dane

W większości przypadków zapasowe centra obliczeniowe znajdują się w obrębie tego samego zakładu, czyli zbyt blisko podstawowego centrum obliczeniowego. "Obecnie pomieszczenie wyznaczone jako centrum zapasowe znajduje się w najbardziej oddalonym od podstawowego centrum miejscu zakładu. Doprowadzone jest do niego łącze światłowodowe. W normalnych warunkach odbywa się tam backup" - mówi Andrzej Galik, szef działu informatyki w Thomson Polkolor w Piasecznie. Do pełnienia funkcji centrum zapasowego przygotowane jest jeszcze jedno pomieszczenie, standardowo wykorzystywane jako sala konferencyjna. Zakłady Thomson Polkolor w Piasecznie znajdują się pod korytarzem powietrznym, którym poruszają się lądujące na lotnisku Okęcie samoloty. "Koszty prze niesienia centrum zapasowego poza teren zakładu byłyby ogromne. Rozważamy jednak inne opcje" - stwierdza Andrzej Galik. Firma jest zainteresowana zakupem odpowied- nio wyposażonego kontenera, który służyłby jako centrum zapasowe i stosownie do potrzeb mógłby być transportowany w bezpieczne miejsce.

Często w jednej lokalizacji, choć zwykle w kilku miejscach, są przechowywane również taśmy zawierające okresowo archiwizowane dane. Niewiele firm przechowuje nośniki z backupem poza główną siedzibą, choć to jeden z podstawowych wymogów bezpieczeństwa. "Zdecydowaliśmy o utrzymywaniu kopii danych poza terenem zakładu. Nawet w przypadku zniszczenia całego zakładu, pozostają należności i zobowiązania do uregulowania" - mówi Tomasz Jóźwiak.

Czas outsourcingu?

Tworzenie we własnym zakresie centrum zapasowego nie jest jedynym rozwiązaniem. Można skorzystać z pomocy firm oferujących na zasadach outsourcingu usługi z zakresu bezpieczeństwa. Można na przykład opłacić miesięczny lub roczny abonament w firmie, która w zamian zobowiązuje się w przypadku wystąpienia awarii uruchomić w ustalonym czasie zapasowe serwery i aplikacje przejmujące określone obowiązki podstawowego systemu. Usługi w zakresie dzierżawy infrastruktury znajdują się w ofercie przedsiębiorstw dysponujących centrami danych. Firmy konsultingowe proponują pomoc przy szacowaniu ryzyka i tworzeniu odpowiednich procedur.

Jako dodatkowe zalety korzystania z outsourcingu wskazuje się to, że dostawcy usług dysponują doświadczonym zespołem pracowników, możliwością testowania opracowanych procedur, a także posiadają odpowiednie zaplecze, np. zabezpieczenie dla ośrodka zapasowego. "W razie awarii w naszym centrum danych, jako centra zapasowe mogą zostać wykorzystane oddziały ComputerLandu" - mówi Leszek Rożdżeński, prezes należącej do ComputerLandu firmy Web Inn, która uruchomiła centrum danych w Katowicach.

Podstawową zaletą outsourcingu są niższe - w porównaniu z samodzielną budową ośrodka zapasowego - koszty (chociażby jednorazowe). Niższa cena usług zewnętrznej firmy jest związana m.in. z tym, że jednemu centrum przypisanych jest kilku klientów. Lecz i tak dla wielu potencjalnych klientów koszty te okazują się za wysokie. Dlatego firmy, które zbudowały centra danych na wynajem, narzekają na brak zainteresowania swoją ofertą. Niektóre z nich znajdują się na krawędzi bankructwa. "Na razie koszty outsourcingu są jeszcze zbyt wysokie, by zdecydować się na takie rozwiązanie. Do ceny wynajęcia pomieszczeń trzeba również doliczyć koszt łączy wysokiej przepustowości. W naszym przypadku niezbędne byłoby doprowadzenie łącza światłowodowego, co poza kosztami światłowodu i instalacji generowałoby koszty związane z jego utrzymaniem" - twierdzi Andrzej Galik.

Świadomość zagrożenia

Dostawcy usług z zakresu zapewnienia bezpieczeństwa optymistycznie spoglądają w przyszłość. Po ataku na Nowy Jork i Waszyngton, przedstawiciele takich firm twierdzą, że kontakty z klientami uległy istotnej intensyfikacji. Spodziewają się że w najbliższych miesiącach zdecydowanie wzrośnie zainteresowanie ich usługami.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200