()

Wstęp

Dziś bardzo ważny temat. Biznes musi pracować – czy to po trzęsieniu ziemi, czy po jakimkolwiek kataklizmie bądź problemie. Dzisiejszym tematem będzie Kontynuacja pracy biznesu (Business Continuity Planning). Mam nadzieję, że zostanie Ci jak najwięcej w głowie z tego artykułu.

Planowanie ciągłości działania (Business Continuity Planning)

BCP, czyli Business Continuity Planning to plan, w którym po różnego rodzaju kataklizmach (gdy np. spali nam się biuro) przywracamy biznes do normalnego funkcjonowania w akceptowalnym czasie.

Musimy się zastanowić i podjąć odpowiednie działania, by wrócić do pracy po takim wypadku. Nie tyczy on się tylko technologii, ale też operacji biznesowych .

Business Continuity Planning to bardzo złożony dokument, w którym są zapisane procedury dla biznesu, jak wrócić do pracy po wystąpieniu katastrofalnych sytuacji. W tym dokumencie są też opisane wszystkie ryzyka dotyczące biznesu oraz informacje, jak ich unikać. Dzięki temu dokumentowi jesteś przygotowany na katastrofę i biznes będzie mógł szybciej wrócić do działania.

Stworzenie takiego planu jest bardzo czasochłonne, a i dokument nigdy nie jest skończony. Tak jest zawsze przy wszystkich politykach, procedurach itp.

Życie nie jest stabilne, ciągle się zmienia. Tak jak Ty czy Twoja firma macie cały czas wyzwania i rozwijacie się, tak i w Business Continuity Planning należy robić przegląd minimum raz do roku oraz w wypadku jakichkolwiek większych zmian.

W kilku kolejnych punktach spróbujemy sobie przejść przez proces stworzenia takiego dokumentu.

Odpalenie projektu

  1. Pierwszym krokiem jest przekonanie się, że potrzebujesz BCP. Choć moim zdaniem nie ma biznesu, który nie powinien mieć BCP przystosowanego do siebie. Chyba że biznesem nazywamy jednorazową akcję.
  2. 2. Drugim trudnym krokiem już na początku będzie przekonanie zarządu, że BCP jest potrzebne i pozwoli im nie paść w trakcie kryzysu.

Super przykładem z zeszłego roku są restauracje. Restauratorzy nie zdawali sobie sprawy z ryzyka, jakim jest odcięcie ich od ludzi. Nie spodziewali się, że może się coś takiego zdarzyć.

Nie zrobili BCP, gdzie zapisaliby sobie ryzyko, że ludzie nie mogą wejść do restauracji. To pozwoliłoby im podjąć kroki dużo wcześniej, by uniknąć tego ryzyka, które stało się rzeczywistością.

Wcześniej ogarnęliby sobie dostawców. Mieliby oszczędności, co pozwoliłoby im uniknąć sytuacji, gdzie po 1 miesiącu bez klientów toniemy w długach i się zamykamy. To tylko jeden z przykładów, gdzie BCP dużo wcześniej pomogłoby rozwiązać kryzys, zanim się on pojawił.

Jak widzisz, to też jest przykład na to, że polityki i procedury trzeba tworzyć już w najmniejszych firmach. Zawsze się przydadzą. Powyżej macie przykład dla zarządu, by ich przekonać do pracy nad BCP. Wątpię, by po tak dosadnym przykładzie, który widzieli na rynku, byli niechętni do zrobienia BCP.

Kontynuowanie biznesu – zidentyfikowanie zagrożeń

Niezbędna Zgodność zależnie od prowadzonego biznesu. Może firma musi posiadać BCP, by zachować zgodność z jakimiś standardami.

Poprzednie zdarzenia Jeśli były takie sytuacje w przeszłości w firmie, należy posłużyć się nimi jako argumentami.

Gdy już uda Ci się przekonać zarząd do BCP, należy stworzyć grupę odpowiedzialnych za niego osób – najlepiej jedną z każdego działu. Będą one reprezentować swój dział i dawać propozycje dotyczące swoich działów.

BCP powinna posiadać swojego lidera, który będzie odpowiedzialny za planowanie, rozwój i testy BCP. Musi on też mieć pewność, że mamy prawidłowo zrobione i przetestowane BIA.

BIA, czyli Business Impact Assesment

BIA to tak naprawdę pierwszy krok w tworzeniu BCP, bo dopiero po przekonaniu zarządu i stworzeniu ekipy do BCP możemy się zająć ryzykami zagrażającymi naszemu biznesowi. Musimy najpierw określić, które funkcje biznesu są tymi krytycznymi. Oraz jak długo firma jest w stanie bez nich funkcjonować.

  • Określenie krytycznych funkcji biznesowych. Tu mamy podstawę, bez tego nie pójdziemy dalej. By określić, które funkcje są krytyczne, sprawdź, co się stanie, jeśli dane funkcje przestaną działać. Jakie straty poniesie firma? Czy będzie to zagrożeniem dla pracowników? Czy będzie to miało konsekwencje prawne, czy grozi za to kara umowna z tytułu niewywiązania się z umowy?
  • Określenie zasobów wykorzystywanych przez te funkcje. Gdy już określisz sobie ważne funkcje, trzeba określić, na czym one działają, gdzie itp. Określasz krytyczne systemy. Możesz np. określić, że masz voip, który odpowiada za sprzedaż i nagle, gdy ten system pada, nie możesz sprzedawać swojego produktu.
  • Odnalezienie zagrożeń dla tych funkcji. Jak już mamy wszystko powyższe, to. Musimy znaleźć, co im zagraża tym funkcją. Ważne jest, by opisać dokładnie, co zagraża danym procesom czy systemom.
  • Określenie wpływu zagrożeń na te funkcje — Musimy wykonać analizę qualitatative bądź też quantitative dla tych procesów i systemów.
  • Określenie technik do uniknięcia zagrożeń — Należy sprawdzić, jakie mamy możliwości uniknięcia ryzyka i je zastosować. Jeśli to możliwe.
  • Określenie czasu do funkcjonowania biznesu bez tych funkcji. Teraz musisz dla tych funkcji określić MTD, czyli maximum tolerable downtime. Czyli czas, w którym biznes przetrwa bez tych funkcjonalności. Poniżej przykładowa lista.
    • Mniej ważne systemy = 30 dni
    • Normalne systemy = 7 dni
    • Ważne funkcje biznesowe = 24 godziny
    • Pilne = 7 godz
    • Krytyczne = 2 godz
  • Określenie głównych celów — Po określeniu jaki będzie koszt gdy dana funkcjonalność nie działa i po określeniu i kosztów i plusów uniknięcia ryzyka jeśli taka możliwość się znajdzie. Trzeba znaleźć kluczowe cele dla każdego krytycznego procesu, które trzeba przywrócić w pierwszej kolejności. Określ jak szybko da się przywóć kluczowe systemy czy procesy po zdarzeniu i jak jest max straty danych przy takim zdarzeniu. Trzeba policzyć
    • RTO, czyli Recovery time objective — maksymalny czas powrotu do działania podczas i po zdarzeniu
    • RPO, czyli Recovery point objective — maksymalna dopuszczalna strata danych podczas i po zdarzeniu

Uff udało się napisać “O” na początku, nakombinowałem się, by to tak napisać 🙂

Gdy już stworzyłeś BIA

Gdy już stworzyłeś BIA i wszystko tam określiłeś, musisz wybrać metody, które do minimum skrócą czas, w jakim firma nie będzie funkcjonować w razie kryzysu. Większość z tego znajdzie się w DRP, który jest instrukcją krok po kroku, jak przywrócić systemy po awarii. Pamiętaj, że musisz testować BCP i to najlepiej co roku, by dopasować się do istniejących realiów.

Mamy kilka rodzajów takich testów. Wymienię je poniżej:

  • Checklista – Każdy z działów dostaje swoją listę do sprawdzenia i musi sprawdzić, czy wszystkie najważniejsze komponenty nie zostały przez przypadek pominięte
  • Symulacja – W tym wypadku BCP jest w małych symulacjach, które mają za zadanie potwierdzić, że czas do naprawy jest wystarczający i każdy wie co trzeba zrobić, zamiast latać jak we mgle 😉
  • Parallel test – w tym wypadku testujemy, czy hot/cold site funkcjonuje jak należy i czy będziemy w stanie odpowiednim czasie się na niego przełączyć. PS bardzo fajne słowo to “parallel”
  • Pełne przerwanie działania –Tu jest najbardziej niebezpiecznie, testujemy główną lokalizację, kładziemy wszystko i patrzymy, czy się podniesie jak trzeba.

DRP czyli Disaster Recovery Plan – a co to takiego ?

DRP to dokument techniczny, który mówi o tym, jak krok o kroku wrócić do działania po jakiejś katastrofie. Dla przykładu są tu informacje o tym, jak krok po kroku przywrócić serwer, gdy padnie bądź też gdy też padł dysk w serwerze. Gdy tworzysz DRP, musisz pamiętać, by zawrzeć tam plan do przywracania i plan kopii zapasowej, oraz kontakty do vendorów. Jak już będziesz miał to wszystko, to jeszcze będzie potrzebna krok po kroku instrukcja, jak przywrócić każdy z systemów.

DRP powinno zawierać wszystkie informacje, jak przywrócić systemy do stanu poprzedniego po jakiejkolwiek utracie danych czy też fizycznych zniszczeniach. W przypadku, gdy posiadamy hot i cold site, musimy zawrzeć w DRP ich backupy i strategie przywracania.

Hot and cold ?

Gdy przygotowujemy organizację na wypadek zagrożeń, należy przygotować odpowiedni sprzęt zapasowy, by był on gotów w wypadku, gdy trzeba go użyć podczas awarii. Dla przykładu można zakupić dodatkowy serwer czy kable zasilające itd. Gdy masz dostępny zapas, nie trzeba czekać, aż dostarczą nowy sprzęt – możesz go od razu podmienić.

  • Hot spear – Jest to najczęściej sprzęt podpięty, który przełącza się wtedy, gdy wystąpi jakaś awaria. Dla przykładu może to być active-passive load balancer. Gdy padnie jedna linia, od razu następuje przepięcie na kolejną i system dalej funkcjonuje podczas naprawiania poprzedniego.
  • Cold spear – Jest to sprzęt, który nie jest podpięty do prądu ani do sieci i czeka na podmiankę w odpowiednim momencie. Na przykład router z odpowiednią konfiguracją leżący na półce i czekający tylko na podpięcie podczas awarii. No wiem, że przykład trochę z czapy, ale wyjaśnia, jak to działa. Mało kto tak robi ze sprzętem sieciowym, bo to duże koszta.

Oczywiście w organizacji nie liczy się tylko sprzęt i przy DRP i BCP nie jest inaczej. Musisz zadać sobie pytanie, co zrobić, gdy spłonie budynek, gdzie wyślesz pracowników. No wiem – w dzisiejszych czasach jest łatwo. Wyślesz ich po prostu do domu ;). A co, gdy trzymasz wszystko na serwerach MS i nagle pali im się cała serwerownia, a dane były backupowane tylko w tej serwerowni firmy trzeciej?

Hot i Cold Site

W większych firmach, które mają swoje budynki lub wynajmują wiele biur, można zainwestować w dodatkowe miejsce dla pracowników w razie jakichś problemów. Są to Hot site/ Cold site / Warm site. Coraz mniej się je wykorzystuje ze względu na cloud, ale wypadałoby, byś wiedział, czym są:

  1. Hot Site – Jest to druga identyczna lokalizacja, w której jest taka sama konfiguracja sieciowa, sprzętowa itd., co w głównej lokalizacji. Dodatkowo musi zawierać dane do wykorzystania przez pracowników, czyli należy przesyłać tam kopie tych danych na bieżąco w ten czy inny sposób. Hot site musi być dostępna 24/7 i działać w stu procentach cały czas, by pracownicy mogli od razu ruszyć z pracą.
  2. Cold Site – W tym wypadku masz miejsce, do którego możesz przenieść ludzi, ale nie ma ono wcześniej przygotowanego sprzętu czy sieci. Musisz to zrobić wtedy, gdy przyjdzie taka potrzeba podczas kryzysowego zdarzenia.
  3. Warm Site – To tak pośrodku; masz przygotowane inne biuro, w którym to jest zastępczy sprzęt odpowiednio skonfigurowany i przystosowany, by w szybkim czasie przywrócić do działania biznes.
  4. Ekskluzywny site – w tym wypadku wynajmujemy lokalizację, za którą płacimy i jest ona dla nas dedykowana. Musimy sprawdzić dobrze w umowach, czy przypadkiem nie jest ona opychana również komuś innemu.
  5. Time-shared – Tu masz podział kosztów. Gdy przychodzi do biznesu, najważniejsze są koszty. Zawsze można wynająć zapasowe biuro z inną firmą i zmniejszyć tym pasywne koszty. Z tym, że trzeba wziąć pod uwagę to, że może oni również będą potrzebowali biura w tym samym czasie i się nie zmieścicie.

Business Continuity Planning Podsumowanie

Dziś dowiedziałeś się o jednych z ważniejszych dokumentów i procedur, jakie należy stworzyć w firmie. Bez nich w wypadku jakiejś większej katastrofy bierzesz manele i pod most, biznes pada, kredyty, pożyczki i tak dalej, same przykre sprawy.

Co prawda stworzenie takiej procedury i jej utrzymanie sporo kosztuje, ale często jest to dużo mniejszy koszt niż w wypadku, gdy firma padnie, bo będzie się z małego błędu podnosić przez pół roku.

Pozdrawiam – Pusz

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Brak głosu. Kliknij proszę doceń moją prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić