Майское отключение электроэнергии в Москве высветило роль информационных технологий в обеспечении непрерывности бизнеса. Потеря данных, невозможность их оперативного восстановления, простои в работе корпоративных систем, нарушение нормальной деятельности можно списать на стихийное бедствие. Но во многих компаниях в стихийное бедствие с такими же последствиями превращается переезд в новое помещение, спонтанная смена операционных и прикладных систем, экономия на зарплате квалифицированных айтишников и их обучении. Призрак жареного петуха все более приобретает облик золотого петушка. А тот клюет в темечко.
Управление рисками, безопасностью и непрерывностью ведения бизнеса становится неотъемлемой частью корпоративной культуры успешных организаций и входит в компетенцию руководителей высшего звена. Хотя многие из них и понимают важность деятельности в этом направлении, но по-прежнему основное внимание уделяют повседневным процессам оказания своим сотрудникам информационно-технологических услуг и их поддержки.
Обеспечение непрерывности ведения бизнеса — непросто тушение пожара. Это четко определенный процесс на основе практического опыта, передовых методик и систематических проверок.
Критично!
Так как информационно-технологические ресурсы постоянно развиваются, то мало их консолидировать, надо повысить степень полезности ИТ, обеспечить своевременный доступ к ним, безопасность их использования и непрерывность ведения бизнеса. Особого внимания требуют критичные для компании бизнес-приложения. Для промышленных предприятий —это системы управления производственными процессами, системы автоматического управления технологическим производством, системы поддержки разработки продукции и ее внедрения в производство и др.
Критичен для компаний и другой класс бизнес-приложений, к которому можно отнести системы управления предприятием в целом. Это планирование ресурсов, управление цепочками поставок, взаимоотношениями с клиентами, людскими ресурсами и др.
Требуется оценка
Оценить качество внедренных решений, в том числе и по обеспечению непрерывности бизнеса, можно, используя разные параметры.
Расчет экономических коэффициентов (совокупная стоимость владения, расчет возврата инвестиций и др.)для работников информационно-технологических служб сложен сам по себе, а ведь этими коэффициентами надо еще и управлять.
Бизнес-параметры —имидж компании, насущная необходимость тех или иных информационных технологий, конкурентные преимущества — более понятны на интуитивном уровне, хотя могут быть выражены и в цифрах.
Поэтому для оценки внедрения и использования ИТи обеспечения возможности непрерывного ведения бизнеса используются риски и технология риск-менеджмента.
Рассматриваются такие риски, как отказы и аварии оборудования, происки злоумышленников, изменения в бизнесе компании.
Подстели соломки
Средством предотвращения рисков такого рода и их негативных последствий могут служить технологические меры. И здесь на первом месте:
✔ построение центров обработки данных (ЦОД) или, проще говоря, серверных помещений;
✔ создание резервных ЦОД;
✔ информационная и физическая защита;
✔ развитые системы мониторинга и оповещения;
✔ резервирование систем жизнеобеспечения.
По мнению Руслана Заединова (компания КРОК), ЦОД — основной технологический инструмент преодоления рисков внедрения ИТ. Он объединяет информационную систему, обработку данных, гарантированный уровень доступности и к ним, и к приложениям, централизованное управление, надежную инфраструктуру и прозрачность инвестиций.
ЦОД обеспечивает бесперебойное функционирование не только информационных систем и их интеграцию, но и корпоративных порталов и электронной почты, систем документооборота и управления проектами, совместную работу, обработку и хранение информации, глубокую интеграцию информационных технологий и систем управления предприятием.
Но чтобы ЦОД служил инструментом снижения рисков при внедрении информационных технологий, необходимо создать документацию на его разработку и функционирование. А это техническое задание, технический проект, рабочая документация по исследованию рисков внедрения ИТ, тестированию приложений инфраструктуры и т. п. Полезно иметь территориально разнесенные центры обработки данных.
Но одних технологических мер преодоления рисков мало. Необходимы и организационные меры. Кроме планов обеспечения непрерывности бизнеса, нужны не только планы восстановления после аварий, но и тщательно проработанные инструкции: что делать и в какой последовательности. Это очень важно, так как в критической ситуации люди часто ведут себя неадекватно. К организационным мерам относятся еще идентификация рисков, их оценка и классификация, аудит существующей ИТ-инфраструктуры (логические, топологические, структурные схемы). Обучение и плановые тренировки сотрудников, имитация аварийных ситуаций — это тоже организационные меры по обеспечению непрерывной работы, и они входят в круг интересов руководителей компании.
Извлечение уроков
Управление рисками, связанными с внедрением и использованием информационных технологий, не дань моде, а насущная необходимость. Оно требует постоянного документирования —реального, живого, учитывающего все изменения в бизнесе и ИТ-инфраструктуре. Весь риск-менеджмент работает только в комплексе, объединяя технологические и организационные меры.
Например, Руслан Русавский (МДМ-Банк) отмечает, что построить инфраструктуру, соответствующую запросам бизнеса по доступности приложений, недостаточно для обеспечения непрерывности бизнеса. Важно, чтобы сотрудники банка четко представляли последовательность своих действий в случае возникновения критических ситуаций. Поэтому в МДМ-Банке для всех категорий работников регулярно проводятся тренировки, как вести себя в аварийной ситуации и продолжать полноценную повседневную работу.
Доктор Александр Петерс (CIO Group компании Forrester Research, Inc.) призывает воспользоваться опытом природных катастроф и террористических бедствий: «Думайте «локально», действуйте «глобально». Примите меры защиты от того, что угрожает именно вам. В планах по аварийному восстановлению используйте разработанные технологии. Но стратегия аварийного восстановления, построенная только на технологиях, не будет эффективна. Консультанты и программные инструменты могут помочь разработать план обеспечения непрерывности бизнеса, но перепоручить эту работу сторонней фирме нельзя. Определив потребности в резервировании и средствах аварийного восстановления, в максимальной степени автоматизируйте и регламентируйте необходимые процедуры».
Чтобы обеспечить непрерывность бизнеса, необходимо соблюдение стандартов и нормативов, репутации и финансовой ответственности. Можно использовать передовые методы, технологии и инструменты. В этом могут помочь консультанты, которые привнесут в решения определенную структуру и дисциплину. Но в конечном счете только руководство компании должно заниматься планированием мер по обеспечению непрерывности ведения бизнеса, и это нельзя перепоручить никому.
План действий «до того»:
- сформировать группу управления действиями в кризисной ситуации во главе с одним из руководителей высшего звена;
- разработать план последовательных действий для ключевого персонала;
- разработать надежную каскадную схему связи для сбора сотрудников вне офиса;
- сохранять копии важнейших данных в резервном месте;
- обеспечить удаленный доступ к ИТ-системам с других объектов (из дома);
- обеспечить офис дополнительными системами связи;
- заключить соглашения с банковскими и финансовыми учреждениями для гарантированной выплаты зарплат сотрудникам и платежей поставщикам;
- организовать резервные помещения;
- заранее согласовать процедуры со службами экстренной помощи и местными властями.
Для восстановления работоспособности необходимо:
- предусмотреть рабочие места на случай повреждения или недоступности основного здания;
- восстановить работоспособность серверного зала (центра обработки данных) в случае аварии объекта или катастрофы;
- обезопасить доступ как для IP-приложений внутри организации, так и для удаленных.