BIZIT 11 - prvi dan

Krizne situacije i planovi za oporavak

Vlasnik kompanije, menadžer, direktor… svi bi želeli da se ciljevi kompanije neometano ostvaruju, ali svakodnevno se pojavljuju manje ili veće pretnje. Kako se na vreme spremiti za takve pretnje?

PCPress.rs Image

Iskustva kompanija iz različitih industrija uče nas da poslovanje građeno godinama može da bude srušeno samo jednim nemilim događajem, koji nismo uspeli da sprečimo, a nismo ni bili spremni da ga prebrodimo. Imati odgovor na svaku kriznu situaciju nije realno, ali analiza različitih scenarija koji se mogu desiti, kreiranje i testiranje planova za oporavak i njihovo stalno unapređivanje veoma je važno u zaštiti svakodnevnog funkcionisanja firme. Nemile događaje treba da sprečimo a ne da lečimo, ali ako sprečavanje ne uspe, treba imati i odgovarajući „lek“. Pravi i provereni (testirani) odgovor na nastalu situaciju.

Prirodne ili namerno izazvane katastrofe

Zemljotresi, poplave, vremenske nepogode praćene jakim vetrovima, pljuskovima, gradom, visokim ili niskim temperaturama samo su neke prirodne katastrofe koje mogu ozbiljno da ugroze poslovanje jedne kompanije. Različite industrije mogu biti pogođene katastrofom i zbog ljudskog faktora, kao što je pogrešno obavljanje posla, loša obučenost, nedovoljno iskustvo, protesti, mitinzi, nemiri u državi, ali i svetu, rat, terorističke aktivnosti… Poslovanje mogu da poremete i razne vrste bolesti i pandemije. A kao što smo mogli da vidimo prethodnih godina, za pandemiju niko nije bio spreman, iako su mnogi svojim planovima za krizne situacije predvideli epidemiju kao mogućnost.

Znamo da je bolje sprečiti nego lečiti. Ali kada se katastrofa već desi, važno je da imamo i pravi „lek“

Sve ove katastrofe mogu dovesti do toga da se neke poslovne aktivnosti privremeno ili trajno obustave. Kada govorimo o data centru, rizik može da bude i znatno veći. Budući da je danas za odvijanje gotovo svakog poslovnog procesa neophodan i informacioni sistem, jedan udar na data centar može dovesti do trenutnog „sumraka“ kompanije. Dovoljno je da data centar nema struje, a da nisu postavljeni UPS-evi i generatori, ili da se desi ozbiljniji kvar na računarskoj opremi, a da nemamo rezervne podatke i/ili rezervni data centar, pa da se potpuno obustavi poslovanje. Značajne posledice mogu da budu i nakon hakerskih aktivnosti, napada sofisticiranim zlonamernim programima.

PCPress.rs Image

Nedovoljno upravljanje kontinuitetom poslovanja veoma je često kod malih i srednjih preduzeća u Srbiji. Većina razmišlja: „Neće se valjda to nama desiti“. Ili, misleći na savladavanje neke katastrofe, kažu: „I ako se dogodi, naći ćemo neko rešenje“. U ovakvim situacijama rešenje se teško nalazi u poslednji čas. Istorija nas uči da se mnogi, ne samo malo očekivani, već i neočekivani događaji mogu desiti. A tada je ključ u bravu jedino što rukovodstvo kompanije može
da uradi.

Pročitajte i:  Ugrožena arhiva koja čuva istoriju celog interneta

Strategije u odbrani od katastrofa su različite. Svaka industrija, svaka kompanija razvija svoju detaljnu strategiju za odbranu od krizne situacije. Ipak, osnova je ista, a spominje se kao najbolja praksa definisana različitim okvirima, standardima, zakonskim i regulatornim aktima.

Kritični procesi u kompaniji

Zaposleni bi, uz podršku menadžmenta, trebalo da definišu sve poslovne procese koji se odvijaju u kompaniji. Takođe, neophodno je definisati i vlasnike samih procesa. Kada su poslovni procesi popisani i jasno definisani, onda osoba odgovorna za upravljanje kontinuitetom poslovanja radi analizu rizika koji mogu uticati na procese da se ne odvijaju onako kako su definisani, bilo da se radi o otežanom odvijanju ili potpunom prestanku aktivnosti na procesu. Dobro upravljanje rizicima i preduzimanje mera kako bi se rizici umanjili pravi je put ka sigurnom i kvalitetnom poslovanju.

Važno je sprovesti i analizu uticaja na poslovanje (BIA – Business Impact Analysis). BIA predstavlja proces analize prekida rada, odnosno nedostupnosti informacionih sistema ili nekih drugih servisa za sve definisane poslovne procese. Analiza uticaja na poslovanje predviđa posledice poremećaja poslovne funkcije i procesa i prikuplja informacije potrebne za razvoj strategije oporavka, a scenariji potencijalnih gubitaka treba da se identifikuju tokom procene rizika. Odvijanje poslovnih procesa može biti prekinuto i zbog neuspeha dobavljača robe ili usluga ili kašnjenja u isporuci. Postoji mnogo mogućih scenarija koje treba razmotriti.

PCPress.rs Image
Troškovi oporavka i troškovi nastali havarijom

BIA treba da identifikuje operativne i finansijske uticaje koji proističu iz poremećaja poslovnih funkcija i procesa. Uticaji koje treba razmotriti su: izgubljena/odložena prodaja i prihod, povećani troškovi (npr. prekovremeni rad, angažovanje spoljnih saradnika itd.), regulatorne kazne, ugovorne kazne ili gubitak ugovornih bonusa, nezadovoljstvo i mogući gubitak kupaca, kašnjenje novih poslovnih planova itd.

Kritični i drugi procesi

Rezultati analize uticaja na poslovanje su jasno definisani kritični procesi (procesi bez kojih kompanija ne može) i kritična vremena za oporavak. Neka od kritičnih vremena na koja treba posebno obratiti pažnju i definisati ih u okviru ove analize jesu: prihvatljivo vreme nedostupnosti poslovnih procesa, odnosno vreme u kojem je neophodno obnoviti poslovne procese (RTO – Recovery Time Objective) i prihvatljivi interval u kome se podaci mogu izgubiti, odnosno vremenski period između katastrofe i trenutka kada su poslednji podaci sačuvani (RPO – Recovery Point Objective).

PCPress.rs Image

Analizom troškova za oporavak i troškova ako sistem ne radi dolazi se do optimalnog trenutka oporavka kada su period nedostupnosti i troškovi ulaganja u rezervne sisteme i sam oporavak prihvatljivi. Tako se najčešće vreme oporavka definiše kao četiri sata. Ambicija da se brže oporavimo povećava cenu opreme, a ako hoćemo da snizimo cenu opreme, povećavaju se gubici za kompaniju.

Pročitajte i:  Osnovi sajber bezbednosti: Najbolji antivirusni softver za korisnike PC-a

Kada su uočeni rizici analizirani i kada je uspešno sprovedena analiza uticaja na poslovanje, pristupa se kreiranju planova za oporavak. Kompanije koje su ovo već radile i imaju planove treba da analizu rizika i BIA sprovode svake godine, ili kada uvodi neki novi ili menjaju postojeći poslovni proces. Tada će se, na osnovu datih analiza, periodičnog testiranja planova i iskustva, pristupiti revidiranju planova za oporavak.

Plan kontinuiteta poslovanja i oporavka

U okviru upravljanja kontinuitetom poslovanja i oporavkom od katastrofe termini koje najčešće srećemo su BCP i DRP – Business Continuity Plan i Disaster Recovery Plan.

BCP predstavlja plan za kontinuitet poslovanja i definiše mere koje se sprovode kako bi se održao kontinuitet poslovnih procesa kada je neplanirano došlo do prekida bilo kog poslovnog procesa. Oporavak je potrebno uspostaviti u što kraćem roku, a neželjene efekte svesti na minimum.

PCPress.rs Image

Plan kontinuiteta poslovanja se može aktivirati kada je ugrožena IT infrastruktura, ali i kada nije. Naime, IT procesi se mogu odvijati neometano, ali poslovni procesi mogu da stoje, na primer, zbog katastrofe koja je pogodila transport (zemljotres, poplave, vremenske nepogode i slično), zbog bolesti ili zbog nekog drugog razloga koji ne pogađa direktno informacione sisteme kompanije.

DRP predstavlja plan za oporavak od katastrofe i definiše mere koje se sprovode kako bi se održao kontinuitet u radu informacionog sistema kada je neplanirano došlo do prekida. Može da se desi da je došlo do kvara IT opreme u data centru ili da je neki drugi razlog onemogućio planirani rad data centra. Kada data centar nije u funkciji, ugroženi su svi poslovni procesi. Svrha plana oporavka od katastrofe je da sveobuhvatno objasni radnje koje se moraju sprovesti pre, tokom i posle katastrofe kako bi ceo tim koji učestvuje u oporavku mogao da preduzme odgovarajuće akcije.

PCPress.rs Image

Organizacije svih veličina upravljaju ogromnim količinama podataka, od kojih je većina kritična. Zbog toga je od suštinskog značaja da se kreira plan oporavka od katastrofe za obnavljanje poslovnih podataka. Pored toga, kompanije, kojima je to neophodno, trebalo bi da poseduju i rezervnu infrastrukturu, odnosno rezervni data centar, koji je takođe obuhvaćen planom oporavka od katastrofe.

Testiranje planova za oporavak

Nakon što su planovi kreirani, kompanija treba periodično, najmanje jednom godišnje, da testira ove planove. Tom prilikom se koncipira scenario u kome su neki ili svi poslovni procesi prestali s radom. Sprovodi se oporavak i proverava da li je oporavak moguć na način koji je to zahtevano kroz analizu uticaja na poslovanje. Odnosno, da li su svi kritični procesi oporavljeni za definisana (zahtevana) vremena. U slučaju da je proces oporavka kroz test prošao lošije nego što se očekivalo potrebno je sagledati razloge i definisati mere koje su neophodne kako bi proces oporavka bio u skladu s poslovnom potrebom.

U kriznim situacijama je važno adekvatno i brzo reagovanje donošenjem odluka koje su više puta testirane u simulacijama istih ili sličnih kriznih situacija

Važno je reći da se testiranje sprovodi samo ako je kompanija potpuno spremna i ako su svi učesnici testa adekvatno edukovani. Testiranje ne sme da ugrozi nijedan poslovni proces niti produkciju na bilo koji način. Ako se ustanovi da je potrebno, nakon testiranja se mogu revidirati planovi za oporavak. Zapravo, ovi planovi se mogu revidirati u svakom trenutku kada smatramo da je to neophodno kako bi oporavak u stvarnoj kriznoj situaciji bio što uspešniji.

Pročitajte i:  Zaštita podataka: kako se oporaviti od ransomware napada?

Neke od katastrofa u ovom milenijumu

O situacijama koje mogu zadesiti neku kompaniju dosta možemo da naučimo ako samo pogledamo dešavanja u ovom milenijumu. Tokom prethodne dve decenije desile su se različite katastrofe izazvane uticajem prirode, ali i čoveka, kao što su: teroristički napadi, ekonomska kriza, ratovi, poplave, oštećenje nuklearne elektrane, povećane aktivnosti napada na računarske sisteme, pandemija…

PCPress.rs Image

Teroristički napadi u Njujorku 11. septembra su, pored velikih žrtava i štete, doveli i do gašenja mnogih kompanija kojima su i kancelarije, ali i data centri i važni podaci za poslovanje bili samo u jednoj ili eventualno obe kule bliznakinje.

Zemljotres, a potom i cunami, pogodili su obalu Japana. Pored žrtava i štete koju sama ova pojava nosi sa sobom, dogodila se i katastrofa u nuklearnoj elektrani Fukušima. Zbog nedovoljno dobrog upravljanja kontinuitetom poslovanja i nepotpunog ispunjavanja zahteva nezavisnih spoljnih revizora, došlo je do izlivanja radioaktivnog materijala. Nuklearna elektrana bila je potpuno poplavljena, oštećen je reaktor, a od slane vode je stradalo i glavno i rezervno napajanje i to prvo je stradalo rezervno, koje je trebalo da bude predviđeno baš za ovakve situacije. U Fukušimi su posledice radioaktivnog zračenja bile značajne, ali manje nego nakon katastrofe u Černobilju. Inače, katastrofa u Černobilju se dogodila tokom testiranja – nespremnost za testiranje u svakom pogledu i ljudski faktor doveli su do ove velike katastrofe.

Autor: Luka Milinković, savetnik u konsaltingu revizije informacionih sistema, NLB DigIT

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,