Analiza Wpływu na Biznes

IT Disaster Recovery Plan w wersji mini

26 marca 20198 grudnia 2020

Krótko i konkretnie o tym, co powinno się znaleźć w Planie Odtwarzania po awarii dla obszaru IT. Kto zmierzył się z tym tematem ten wie, że są atrakcyjniejsze formy spędzania czasu. Mimo wszystko, gdy się już go popełni, satysfakcja gwarantowana 😉 Jeśli zabieracie się za samodzielne opracowanie planu, być może ten artykuł pomoże Wam uporządkować myśli.

Dla porządku, IT Disaster Recovery Plan jest częścią Zarządzania Ciągłością Działania (Business Continuity Management – BCM), a dokładnie jest jednym z dokumentów Planu Ciągłości Działania. Celem BCM jest zapewnienie dostępności krytycznych procesów i zasobów nawet w sytuacji kryzysowej, a więc na przykład w trakcie awarii. BCM obejmuje wszelkie procesy i zasoby występujące w organizacji. Tymczasem Plan Odtwarzania po awarii skupia się na obszarze teleinformatycznym.

Jak każdy plan, wymaga formy pisemnej. Warto go mieć pod ręką. Co powinien zawierać IT Disaster Recovery Plan, wymieniam w kolejności:

Analiza Ryzyk, czyli przed czym mamy się chronić. Podczas analizy proponuję skupić się na procesach krytycznych. Biznes musi wiedzieć też o pozostałych operacjach, które nie zostaną obsłużone w razie awarii. Pamiętajmy, że to zarząd ostatecznie zdecyduje, które procesy mamy podtrzymać.
Analiza Wpływu na Biznes (BIA) skoro mamy już opisane zagrożenia, to teraz przypisujemy im oddziaływanie. Przyczyna – skutek – konsekwencje. Polecam tutaj proste tabelki i matrycę, która „wyostrza optykę”. Bardzo ważne to wyliczenia, np. koszty przestoju, utraconych korzyści, itd.
Katalog usług i map zależności – to zadanie może być przykre, bo pisanie katalogu usług dla klienta wewnętrznego, gdy służyć ma tylko jednemu celowi, słabo się broni. Jak dla mnie, wystarczy przyłożyć każdy proces krytyczny do odpowiedniego systemu czy aplikacji i tak powstanie nam lista zasobów, które musimy podtrzymać podczas awarii.
Parametryzacja RTO & RPO, czyli określamy dla każdego procesu oczekiwany czas odtworzenia oraz akceptowalny przez organizację poziom utraty danych. Namawiam, by „odczarować” akronimy.

Koniecznie trzeba zrobić przymiarkę, ile będzie kosztował przyjęty zakres ochrony. Jeśli poza podstawowymi procesami mamy chronić także coś więcej, koniecznie sprawdźmy czy to ekonomicznie uzasadnione. Znowu, niech zdecyduje biznes.

Według mnie to najważniejsze punkty IT Disaster Recovery Planu. Mniej znaczy więcej. Zawsze można coś dopisać 🙂

Planowanie odtwarzania po awarii – 7 grzechów głównych

10 maja 201817 listopada 2020

Jako samozwańczy „ewangelista” z zakresu ciągłości działania – czuję się usprawiedliwiony sięgając po katechizm 😉 Nie będę jednak prawił kazań. Opowiem tylko o typowych błędach jakie towarzyszą planowaniu odtwarzania po awarii, pamiętając przy tym o lekkostrawnej formie.

1. Pycha. Nam się nic nie przytrafi. Zadziwiająco często spotykam menadżerów którzy jak mantrę powtarzają: „Przecież nigdy się to nie zdarzyło, po co więc chronić się przed takim ryzykiem?” Wtedy zalecam BIA (Analiza wpływu na biznes), która wprost odpowiada na pytanie czy warto czy też nie.
2. Chciwość. Ta inwestycja nie przyniesie pieniędzy. Biznes nie lubi inwestować gdy nie widzi policzalnych zwrotów. Ciągłość działania porównać można do polisy ubezpieczeniowej, gdzie nakłady to koszt. Niestety, nie wiadomo, czy zaangażowane środki się zwrócą – czyli czy na przykład dzięki nim uratujemy organizację od przestoju. Pozostaje chłodna analizy ryzyk i ich wpływu na biznes oraz kosztów przestoju.
3. Nieczystość. Nadmiarowość to nie odtwarzanie po awarii. Posiadanie klastra wysokiej dostępności, wyeliminowanie pojedynczych punktów awarii infrastruktury czy świetnie zabezpieczone centrum danych to solidny fundament ciągłości działania. Nie jest to jednak ochrona przed każdym ryzykiem. Przeciętny informatyk wyrwany ze snu bez wahania wskaże kilka scenariuszy, które zatrzymają IT Twojego przedsiębiorstwa.
4. Zazdrość. Pomijanie właścicieli procesów. Zapominamy, lub co gorsza nie chcemy włączyć do planowania wszystkich interesariuszy. To strzał w kolano. Bez ich wiedzy nie będzie skutecznego odtworzenia po awarii.
5. Nieumiarkowanie. Wszystko jest krytyczne. Klasyka. Zwykle, gdy zespół IT arbitralnie decyduje o tym, jakie zasoby mają być zabezpieczone na wypadek awarii, mamy sytuację, w której zasoby centrum zapasowego równe są zasobom centrum podstawowego.
6. Gniew. Dlaczego działa tak wolno? Aspekt wydajności środowiska zapasowego jest częstym zarzewiem konfliktów wewnętrznych i zewnętrznych. Pamiętajmy, że to proteza, niezbędna do czasu powrotu stanu normalnego. Mamy podtrzymać procesy krytyczne. Poza tym testujmy praktycznie nasz plan odzyskiwania po awarii.
7. Lenistwo. Zbytnie zaufanie do dostawcy DRaaS. Odtwarzanie po awarii jako usługa wymaga zaangażowania każdej strony umowy. Dostawca odpowiada za technologię i zasoby po swojej stronie. My natomiast, zadbajmy o uruchomienia testowe czy też cykliczne aktualizujmy plan odtwarzania po awarii. Przy okazji, zmianie może ulec zapotrzebowanie na zasoby dostawcy.

Ciągłość Działania

10 grudnia 20177 grudnia 2020

Zbyt wielu menadżerów uważa, że Ciągłość Działania to fanaberia bogatych firm, które mają dużo wolnych zasobów. Często też pada argument, że prawdopodobieństwo zdarzenia, które unieruchomi organizację jest na tyle małe, że nie warto poświęcać temu czasu. Poza tym, przecież w razie czego coś wymyślimy, prawda? Jeśli masz podobną opinię i nie masz obaw, że zakłócę Twoje dobre samopoczucie, zapraszam do lektury.

Czym właściwie jest Ciągłość Działania (Business Continuity)? Napiszę własnymi słowami, bez książkowych definicji. Chodzi o to, by działać nieprzerwanie. Proste? Mamy być przygotowani na nieprzewidziane i właśnie na takie okoliczności zbudować scenariusze przetrwania. Skuteczna reakcja firmy w sytuacji kryzysowej minimalizuje przestój. Zespół ma wiedzieć co należy robić. Jako że takie momenty w życiu firmy mogą zadecydować o jej przyszłych losach, nie ma tu miejsca na improwizację.

W planowaniu Ciągłości Działania, pod uwagę bierzemy zarówno zagadnienia techniczne – awarie maszyn, systemów IT jak i obszar biznesu, w tym problemy naszych dostawców, oraz kapitał ludzki. Dla uproszczenia, organizacje skupiają się zazwyczaj na procesach krytycznych. Czyli takich, które warunkują przetrwanie. Wskazuje je nam analiza BIA (Business Impact Analysis), czyli Analiza Wpływu na Biznes.

Kto się powinien tym zająć? Ciągłość Działania to już planowanie strategiczne, a więc obszar odpowiedzialności zarządu. W praktyce, cała organizacja musi być zaangażowana w planowanie. W szczególności właściciele procesów, czyli osoby odpowiedzialne, za poszczególne odcinki, np.: sprzedaż, marketing, zaopatrzenie, itd. I choć, cechą immanentną menadżera jest przewidywanie i szacowanie ryzyk, to jednak nasza orientacja na sukcesie rynkowym wycelowana jest w pogoń za przychodami. I w tej gonitwie, często ginie nam dbałość o zdolność do wywiązania się z powziętych zobowiązań, czyli realizację pozyskanych zleceń bez względu na okoliczności.

Niestety, ciągle jeszcze problematyka z zakresu zapewnienia Ciągłości Działania dla małych i średnich firm w Polsce, to temat tabu. Mało kto o nim wie, a jeśli już, to zagadnienie spychane jest na bliżej nieokreśloną przyszłość. Mimo odpowiedzialności Zarządu przed udziałowcami czy akcjonariuszami, w tym odpowiedzialności osobistej, nie przejawiamy zainteresowania przetrwaniem firmy, którą zarządzamy. Czy to się zmieni? Jak pokazują doświadczenia naszych europejskich sąsiadów, raczej tak.