Ryzyko pod kontrolą

Każda firma, której zależy na przetrwaniu sytuacji kryzysowych, musi uprzednio dobrze przygotować się na ich wystąpienie. Wbrew pozorom zabezpieczenie systemu informatycznego przed skutkami takich sytuacji nie jest wcale związane wyłącznie z aspektami technologicznymi. Zastosowanie takich rozwiązań, jak klastry, awaryjne centra przetwarzania, zapasowe miejsca pracy itp., musi bowiem znajdować uzasadnienie ekonomiczne, a to można określić, analizując sytuację firmy, identyfikując jej zagrożenia i szacując straty, jakie zagrożenia te mogą spowodować.

Każda firma, której zależy na przetrwaniu sytuacji kryzysowych, musi uprzednio dobrze przygotować się na ich wystąpienie. Wbrew pozorom zabezpieczenie systemu informatycznego przed skutkami takich sytuacji nie jest wcale związane wyłącznie z aspektami technologicznymi. Zastosowanie takich rozwiązań, jak klastry, awaryjne centra przetwarzania, zapasowe miejsca pracy itp., musi bowiem znajdować uzasadnienie ekonomiczne, a to można określić, analizując sytuację firmy, identyfikując jej zagrożenia i szacując straty, jakie zagrożenia te mogą spowodować.

Contingency Planning to dziedzina, której celem jest opracowanie planów awaryjnych na różne niespodziewane przypadki, które mogą zakłócić działalność firmy. Jej podstawą jest założenie, że przetrwanie sytuacji kryzysowej zapewnia wcześniejsze opracowanie szczegółowych planów postępowania w takich przypadkach.

We współczesnych firmach, szczególnie mocno uzależnionych od technologii informatycznych, podstawowe jest zapewnienie nieprzerwanego funkcjonowania najważniejszych systemów. Niemożliwe jest jednak właściwe zabezpieczanie systemów informatycznych bez wiedzy o tym, jaką rolę odgrywają one w modelu biznesowym firmy, w jaki sposób zależy od nich funkcjonowanie poszczególnych działów i jak ich wyłączenie na określony czas wpłynie na sytuację firmy.

Analiza ryzyka

Pierwszym krokiem na drodze do opracowania planu awaryjnego jest analiza ryzyka biznesowego, związanego z wystąpieniem określonych zdarzeń, czyli ocena, jaki wpływ mają poszczególne rodzaje katastrof na bieżącą działalność firmy (business impact analysis).

Wśród najważniejszych czynników, które mogą doprowadzić do sytuacji kryzysowej, należy uwzględnić:

błędy ludzkie, do których można zaliczyć zarówno przypadkowe, jak i celowe naruszenie bezpieczeństwa informacji; nastroje wśród pracowników (w szczególności tych osób, które pełnią kluczową rolę w firmie i ocenić, w jaki sposób ich odejście może wpłynąć na jej funkcjonowanie); zagrożenia wynikające ze stanu relacji między pracownikami

katastrofy spowodowane przez czynniki zewnętrzne, np. zniszczenie budynku w wyniku wybuchu gazu; ryzyko związane z lokalizacją budynku (nieopodal torów, lotniska, a niekiedy nawet dużych drzew, które mogą się przewrócić na budynek); ataki terrorystyczne, sabotaż itp.

ryzyko związane z istniejącą infrastrukturą budynku - tu należy uwzględnić jak często zdarzają się przerwy w dostawie prądu, wody, awarie bądź błędne działania innych podstawowych systemów, np. kontroli dostępu

katastrofy wynikające z technologii - jakie zagrożenia grożą serwerom, dyskom twardym, sieci komputerowej itp.

zagrożenia społeczne, takie jak zmiana sił politycznych w kraju, zmiana prawa (podatkowego), strajki itp.

Po zidentyfikowaniu wszystkich zagrożeń, należy poddać ocenie, na ile dane zagrożenie jest prawdopodobne i dodatkowo, ustalić jaki może być jego wpływ na bieżącą działalność firmy. Podstawowym pytaniem, na które należy sobie odpowiedzieć, jest: jak długo firma może przetrwać bez określonej infrastruktury, którą dotknie katastrofa? Przy odpowiedzi na to pytanie bierze się pod uwagę zarówno czynniki łatwo policzalne, np. utratę dochodów ze sprzedaży (łatwo jest policzyć ile pieniędzy firma traci podczas np. godzinnego przestoju, dzieląc miesięczny przychód całej firmy przez liczbę godzin w miesiącu), jak i niepoliczalne, takie jak utrata wiarygodności u klientów itp. Dlatego też ważną rolę w przypadku sytuacji awaryjnych odgrywają nie tylko ekipy techniczne, odpowiedzialne za przywrócenie funkcjonowania poszczególnych systemów, lecz także działy marketingu i Public Relations, na których ciąży odpowiedzialność sformułowania komunikatu dla klientów i partnerów firmy.

Różne strategie

To, jaki plan postępowania kryzysowego zostanie opracowany i w jaki sposób firma zdecyduje się zareagować na poszczególne zagrożenia (i ile z nich obejmie taki plan), zależy w dużej mierze od budżetu przeznaczonego na zapewnienie funkcjonowania firmy w sytuacjach kryzysowych. W przypadku rozwiązań informatycznych, a w szczególności ważnych do funkcjonowania niemalże każdej firmy centrów przetwarzania, można zastosować jedną z pięciu strategii:

1. Nie robić nic - jest to strategia najmniej kosztowna w przypadku bieżącej działalności firmy, ale jednocześnie uniemożliwiająca płynne kontynuowanie działalności w razie krytycznych katastrof.

2. Zastąpić systemy ludźmi - rozwiązanie to jest stosowane w wielu średniej wielkości firmach, w których np. awaria systemu finansowo-księgowego prowadzi do okresowego przejścia na ręczne wystawianie faktur.

3. Zrealizować outsourcing na zasadzie wzajemności - można ustalić z inną firmą, że w razie awarii główna część przetwarzania będzie realizowana przez system tej firmy. Relacja ta działa w obie strony - w przypadku awarii systemu w partnerskiej firmie odpowiednie pomieszczenia do pracy i niezbędne środki mogą być udostępnione przez pierwszą firmę. Rozwiązanie to wymaga obustronnych porozumień, jak również określenia procedur przełączenia przetwarzania, zrealizowania niezbędnych wymogów technicznych itp.

4. Zbudować fortecę - umieścić centrum przetwarzania w bardzo dobrze zabezpieczonym miejscu (np. bunkrze), minimalizującym wpływ zagrożeń zewnętrznych, oraz zrealizować wszelkie możliwe zabezpieczenia środowiskowe i informatyczne.

5. Zrealizować rezerwowe centrum przetwarzania - zbudować drugi ośrodek przetwarzania funkcjonujący w jednym z trzech trybów: cold (pomieszczenie, do którego można przenieść urządzenia i aplikacje), warm (pomieszczenie wyposażone w niezbędny sprzęt) albo hot (pomieszczenie ze sprzętem, na którym działają kopie wszystkich kluczowych systemów i baz danych, automatycznie synchronizowane z podstawowym centrum przetwarzania).

Katastrofa katastrofie nierówna

Po określeniu jaka strategia funkcjonowania centrum przetwarzania zostanie przyjęta, a przed przystąpieniem do tworzenia planu awaryjnego, konieczne jest jeszcze zdefiniowanie, co dla danej firmy jest katastrofą, a także sklasyfikowanie katastrof, np. na małe, średnie i krytyczne. Przykładowo: mała katastrofa to taka, w której dostęp do najważniejszych systemów jest ograniczony na kilka godzin (ale w przypadku niektórych firm może to być tylko kilka minut), średnia - to przestój na jeden dzień, a krytyczna - to taka, kiedy np. okazuje się, że został zniszczony budynek, w którym znajduje się centrum przetwarzania.

Istotna jest również odpowiedź na pytanie, które procesy biznesowe muszą być odtworzone, a które mogą nie funkcjonować w sytuacji awaryjnej. Nie ma tu uniwersalnej recepty, wszystko jest uzależnione od sposobu funkcjonowania firmy, typu klientów i partnerów itp. Można np. zdecydować się, że w sytuacjach kryzysowych w awaryjnych pomieszczeniach będzie pracować zaledwie kilkanaście procent pracowników firmy, obsługując tylko jej najważniejszych klientów. Pozostali będą musieli czekać na powrócenie firmy do normalnego trybu pracy.

Dopiero po określeniu wszystkich tych czynników można przystąpić do tworzenia planu postępowania w sytuacjach kryzysowych (a w zasadzie planów - różnych dla różnych typów katastrof). Plan musi szczegółowo opisywać nie tylko procedury postępowania, ale również precyzować, kto ma prawo wywołać daną procedurę (kto ma prawo stwierdzić, że sytuację, która wystąpiła, należy uznać za kryzysową), kto ma prawo weryfikować (i na czym ona polega), że funkcjonowanie podstawowych systemów zostało przywrócone, ustalać hierarchię w sytuacjach kryzysowych (kto ma do kogo raportować), precyzować, w jaki sposób ma się komunikować sztab kryzysowy w sytuacjach, gdy nie działa np. faks i telefon, w jaki sposób powiadomić pracowników firmy, że mają nie przychodzić do pracy lub że mają się stawić do pracy w nowym miejscu.

Ponadto niezbędnym elementem realizacji planu przetrwania jest jego regularne testowanie podczas normalnej pracy firmy. Jest to o tyle istotne, że jak pokazuje praktyka, kilka pierwszych testów pomaga wykryć luki w planie i procedury, które są opisane w sposób niezrozumiały dla pracowników, a co za tym idzie, mogą być błędnie wykonane itp. Kompleksowe testy planu awaryjnego powinny być przeprowadzane raz lub dwa razu do roku oraz dodatkowo po każdej istotnej zmianie wprowadzanej w infrastrukturze.

Ważne jest jednak, aby test był przeprowadzany w taki sposób, by wskazać błędy w procedurach, a nie powodować niepotrzebnego zamieszania w firmie. Dlatego też dobrze jest poinformować pracowników o teście, a nie symulować z zaskoczenia wystąpienia sytuacji kryzysowej, np. zamykając wejście do budynku firmy. W takim przypadku łatwo bowiem o samoistne przekształcenie się testu w prawdziwą sytuację kryzysową, której opanowanie może być niełatwe.

W firmie powinna być także wyznaczona osoba bądź zespół osób, które będą odpowiadać za przeprowadzanie testów planu awaryjnego, sporządzanie dokładnych sprawozdań opisujących ich przebieg oraz wyciąganie wniosków i proponowanie modyfikacji poszczególnych procedur. Istotne jest również, aby kryteria powodzenia bądź niepowodzenia testu były również jasno sprecyzowane i by jednoznacznie było wiadomo kiedy test można uznać za zakończony sukcesem, a kiedy i w jakim zakresie należy go powtórzyć.

Błędy

Podstawowym błędem popełnianym przez wiele firm i powstrzymującym je od przygotowywania jakichkolwiek planów awaryjnych jest ślepa wiara, że ominą ją wszelkie kataklizmy, przypadki losowe oraz celowe działania na szkodę firmy. Nawet te firmy, które opracowują samodzielnie bądź z pomocą specjalizowanych firm zewnętrznych plany funkcjonowania w warunkach kryzysowych, czynią to często ze względu na wymagania inwestorów, a nie z powodu rzeczywistej potrzeby zabezpieczenia się przed niefortunnymi przypadkami. Przeświadczenie, że planu nie trzeba będzie wdrażać, powoduje, że szybko się on dezaktualizuje, gdyż nie jest regularnie testowany i uzupełniany o zmiany wynikające z modyfikacji bądź rozbudowy posiadanej infrastruktury.

Częstym błędem jest również brak komunikacji w sytuacjach kryzysowych - i to zarówno między pracownikami, jak i z partnerami i klientami, co w efekcie przekłada się na zmniejszenie zaufania do firmy i realizowanej przez nią polityki bezpieczeństwa.


TOP 200