Hallo almal, my naam is Igor Tyukachev en ek is 'n besigheidskontinuïteitskonsultant. In vandag se plasing sal ons 'n lang en vervelige bespreking van algemene waarhede hê. Ek wil my ervaring deel en praat oor die belangrikste foute wat maatskappye maak wanneer hulle 'n besigheidskontinuïteitsplan ontwikkel.
1. RTO en RPO na willekeur
Die belangrikste fout wat ek gesien het, is dat hersteltyd (RTO) uit die lug gehaal word. Wel, uit die lug - daar is byvoorbeeld 'n paar nommers van twee jaar gelede van die SLA wat iemand van hul vorige werkplek af gebring het. Hoekom doen hulle dit? Volgens alle metodes moet u immers eers die gevolge vir besigheidsprosesse ontleed, en op grond van hierdie ontleding die teikenhersteltyd en aanvaarbare dataverlies bereken. Maar om so 'n ontleding te doen neem soms lank, soms is dit duur, soms is dit nie baie duidelik hoe nie—beklemtoon wat gedoen moet word. En die eerste ding wat by baie opkom, is: “Ons is almal volwassenes en verstaan hoe besigheid werk. Laat ons nie tyd en geld mors nie! Kom ons neem plus of minus soos dit moet wees. Uit jou kop, met behulp van proletariese vernuf! Laat die RTO twee uur wees.”
Waartoe lei dit? Wanneer jy by die bestuur kom vir geld vir aktiwiteite om die vereiste RTO/RPO met sekere getalle te verseker, vereis dit altyd regverdiging. As daar geen regverdiging is nie, ontstaan die vraag: waar het jy dit vandaan gekry? En daar is niks om te antwoord nie. Gevolglik gaan vertroue in jou werk verlore.
Buitendien, soms kos daardie twee uur se herstel 'n miljoen dollar. En om die duur van die RTO te regverdig, is 'n kwessie van geld, en baie groots daarby.
En laastens, wanneer jy jou BCP- en/of DR-plan na die kunstenaars bring (wat eintlik gaan hardloop en hul arms swaai op die oomblik van die ongeluk), sal hulle 'n soortgelyke vraag vra: waar het hierdie twee ure vandaan gekom? En as jy dit nie duidelik kan verduidelik nie, sal hulle nie vertroue in jou of jou dokument hê nie.
Dit blyk 'n stuk papier te wees ter wille van 'n stuk papier, 'n uitteken. Terloops, sommige doen dit doelbewus, bloot om aan die vereistes van die reguleerder te voldoen.
Wel jy verstaan
2. Die kuur vir alles
Sommige mense glo dat 'n BCP-plan ontwikkel word om alle besigheidsprosesse teen enige bedreigings te beskerm. Onlangs het die vraag "Waarteen ons onsself wil beskerm?" Ek het die antwoord gehoor: "Alles en meer."
Maar die feit is dat die plan slegs bedoel is om te beskerm spesifiek sleutel sakeprosesse van die maatskappy uit spesifiek dreigemente. Daarom, voordat 'n plan ontwikkel word, is dit nodig om die voorkoms van risiko's te assesseer en die gevolge daarvan vir die besigheid te ontleed. Risikobepaling is nodig om te verstaan vir watter bedreigings die maatskappy bang is. In die geval van bouvernietiging sal daar een kontinuïteitsplan wees, in geval van sanksiedruk - 'n ander, in geval van vloed - 'n derde. Selfs twee identiese terreine in verskillende stede kan aansienlik verskillende planne hê.
Dit is onmoontlik om 'n hele maatskappy met een BCP te beskerm, veral 'n groot een. Byvoorbeeld, die groot X5 Retail Group het begin om kontinuïteit met twee sleutelbesigheidsprosesse te verseker (ons het hieroor geskryf ). En dit is eenvoudig onrealisties om die hele maatskappy met een plan te sluit; dit is uit die kategorie van "kollektiewe verantwoordelikheid", wanneer almal verantwoordelik is en niemand verantwoordelik is nie.
Die ISO 22301-standaard bevat die konsep van 'n beleid, waarmee die kontinuïteitsproses in die maatskappy in werklikheid begin. Dit beskryf wat ons sal beskerm en waarteen. As mense aangehardloop kom en vra om dit en dat by te voeg, byvoorbeeld:
— Kom ons voeg die risiko by BCP dat ons gekap sal word?
Of
— Onlangs, tydens die reën, is ons boonste verdieping oorstroom - kom ons voeg 'n scenario by van wat om te doen in geval van oorstromings?
Verwys hulle dan dadelik na hierdie beleid en sê dat ons spesifieke maatskappybates beskerm en slegs teen spesifieke, vooraf ooreengekome dreigemente, want dit is nou die prioriteit.
En selfs al is voorstelle vir veranderinge wel gepas, bied dan aan om dit in die volgende weergawe van die beleid in ag te neem. Want die beskerming van 'n maatskappy kos baie geld. Alle veranderinge aan die BCP-plan moet dus deur die begrotingskomitee en beplanning gaan. Ons beveel aan dat u die maatskappy se besigheidskontinuïteitsbeleid een keer per jaar hersien of onmiddellik na beduidende veranderinge in die maatskappy se struktuur of eksterne toestande (mag lesers my vergewe dat ek dit sê).
3. Fantasieë en werklikheid
Dit gebeur dikwels dat die skrywers een of ander ideale prentjie van die wêreld beskryf wanneer 'n BCP-plan opgestel word. Byvoorbeeld, "ons het nie 'n tweede datasentrum nie, maar ons sal 'n plan skryf asof ons dit het." Of die onderneming het nog nie een of ander deel van die infrastruktuur nie, maar werknemers sal dit steeds by die plan voeg in die hoop dat dit in die toekoms sal verskyn. En dan sal die maatskappy die werklikheid op die plan rek: bou 'n tweede datasentrum, beskryf ander veranderinge.
Aan die linkerkant is die infrastruktuur wat ooreenstem met BCP, aan die regterkant is die regte infrastruktuur
Dit is alles 'n fout. Om 'n BCP-plan te skryf, beteken om geld te spandeer. As jy 'n plan skryf wat nie nou werk nie, sal jy vir baie duur papier betaal. Dit is onmoontlik om daarvan te herstel, dit is onmoontlik om dit te toets. Dit blyk werk te wees ter wille van werk.
Jy kan redelik vinnig 'n plan skryf, maar om 'n rugsteuninfrastruktuur te bou en geld op alle beskermingsoplossings te spandeer is lank en duur. Dit kan meer as een jaar neem. En dit kan blyk dat jy reeds 'n plan het, en die infrastruktuur daarvoor sal oor twee jaar verskyn. Hoekom is so 'n plan nodig? Waarteen sal dit jou beskerm?
Dit is ook 'n fantasie wanneer die BCP-ontwikkelingspan vir die kundiges begin uitvind wat hulle moet doen en in watter tyd. Dit kom uit die kategorie: “Wanneer jy 'n beer in die taiga sien, moet jy in die teenoorgestelde rigting van die beer af draai en hardloop teen 'n spoed wat die spoed van die beer oorskry. Gedurende die wintermaande moet jy jou spore bedek.”
4. Toppe en wortels
Die vierde belangrikste fout is om die plan te oppervlakkig of te gedetailleerd te maak. Ons het 'n goue middeweg nodig. Die plan moet nie te gedetailleerd wees vir idiote nie, maar dit moet nie te algemeen wees sodat so iets eindig nie:
Op maklik in die algemeen
5. Aan Caesar - wat is Caesar s'n, aan die werktuigkundige - wat is werktuigkundige s'n.
Die volgende fout spruit uit die vorige een: een plan kan nie alle aksies vir alle vlakke van bestuur akkommodeer nie. BCP-planne word gewoonlik ontwikkel vir groot maatskappye met groot finansiële vloei (terloops, volgens ons 48% van groot Russiese maatskappye het gemiddeld noodsituasies teëgekom wat aansienlike finansiële verliese meegebring het) en 'n multi-vlak bestuurstelsel. Vir sulke maatskappye is dit nie die moeite werd om alles in een dokument te probeer inpas nie. As die maatskappy groot en gestruktureerd is, moet die plan drie afsonderlike vlakke hê:
- strategiese vlak - vir senior bestuur;
- taktiese vlak - vir middelbestuurders;
- en die operasionele vlak - vir diegene wat direk by die veld betrokke is.
Byvoorbeeld, as ons praat oor die herstel van 'n mislukte infrastruktuur, dan word op die strategiese vlak die besluit geneem om die herstelplan te aktiveer, op die taktiese vlak kan die prosesprosedures beskryf word, en op die operasionele vlak is daar instruksies vir die ingebruikneming van spesifieke stukke toerusting.
BCP sonder begroting
Almal sien hul area van verantwoordelikheid en verbindings met ander werknemers. Op die oomblik van 'n ongeluk maak almal 'n plan oop, vind vinnig hul deel en volg dit. Ideaal gesproke moet jy uit jou kop onthou watter bladsye om oop te maak, want soms tel die minute.
6. Rolspel
Nog 'n fout wanneer 'n BCP-plan opgestel word: dit is nie nodig om spesifieke name, posadresse en ander kontakinligting by die plan in te sluit nie. In die teks van die dokument self moet slegs onpersoonlike rolle aangedui word, en hierdie rolle moet die name van diegene wat verantwoordelik is vir spesifieke take toegeken word en hul kontakte moet in die bylae tot die plan gelys word.
Hoekom?
Vandag verander die meeste mense elke twee tot drie jaar van werk. En as jy al die verantwoordelikes en hul kontakte in die teks van die plan neerskryf, dan sal dit voortdurend verander moet word. En in groot maatskappye, en veral regerings, vereis elke verandering aan enige dokument 'n klomp goedkeurings.
Om nie te praat nie dat as 'n noodgeval opduik en jy woes deur die plan moet blaai en die regte kontak soek, jy kosbare tyd sal verloor.
Life hack: wanneer jy 'n toepassing verander, hoef jy dit dikwels nie eens goed te keur nie. Nog 'n wenk: u kan planopdatering-outomatiseringstelsels gebruik.
7. Gebrek aan weergawe
Gewoonlik skep hulle 'n plan weergawe 1.0, en maak dan alle veranderinge sonder redigeermodus en sonder om die lêernaam te verander. Terselfdertyd is dit dikwels onduidelik wat verander het in vergelyking met die vorige weergawe. In die afwesigheid van weergawe, leef die plan sy eie lewe, wat op geen manier nagespoor word nie. Die tweede bladsy van enige BCP-plan moet die weergawe, die skrywer van die veranderinge en 'n lys van die veranderinge self aandui.
Niemand kan dit meer uitvind nie
8. Wie moet ek vra?
Dikwels het maatskappye nie 'n persoon wat verantwoordelik is vir die BCP-plan nie en daar is geen aparte afdeling wat verantwoordelik is vir besigheidskontinuïteit nie. Hierdie eerbare verantwoordelikheid word opgedra aan die CIO, sy adjunk, of volgens die beginsel "jy het te doen met inligtingsekuriteit, so hier is BCP bykomend." Gevolglik word die plan van bo na onder ontwikkel, ooreengekom en goedgekeur.
Wie is verantwoordelik vir die stoor van die plan, opdatering en hersiening van die inligting daarin? Dit mag nie voorgeskryf word nie. Om ’n aparte werknemer hiervoor aan te stel is verkwistend, maar om een van die bestaandes met bykomende pligte te laai is natuurlik moontlik, want almal streef nou na doeltreffendheid: “Kom ons hang ’n lantern aan hom sodat hy snags kan maai,” maar is dit nodig?
Ons is op soek na diegene wat verantwoordelik is vir BCP twee jaar na sy skepping
Daarom gebeur dit dikwels so: 'n plan is ontwikkel en in 'n lang boks gesit om met stof bedek te word. Niemand toets dit of handhaaf die relevansie daarvan nie. Die mees algemene frase wat ek hoor wanneer ek by 'n kliënt kom, is: "Daar is 'n plan, maar dit is lank gelede ontwikkel, of dit getoets is, is onbekend, daar is 'n vermoede dat dit nie werk nie."
9. Te veel water
Daar is planne waarin die inleiding vyf bladsye lank is, insluitend 'n beskrywing van die voorvereistes en dank aan alle deelnemers aan die projek, met inligting oor wat die maatskappy doen. Teen die tyd dat jy afblaai na die tiende bladsy, waar daar nuttige inligting is, is jou datasentrum reeds oorstroom.
Wanneer jy probeer lees tot op die oomblik, wat moet jy doen as jou datasentrum oorstroom word?
Plaas alle korporatiewe "water" in 'n aparte dokument. Die plan self moet uiters spesifiek wees: die persoon verantwoordelik vir hierdie taak doen dit, ensovoorts.
10. Op wie se koste is die banket?
Dikwels het planskeppers nie ondersteuning van die topbestuur van die maatskappy nie. Maar daar is ondersteuning van middelbestuur wat nie bestuur of nie die nodige begroting en hulpbronne het om besigheidskontinuïteit te bestuur nie. Byvoorbeeld, die IT-afdeling skep sy BCP-plan binne sy begroting, maar die CIO sien nie die hele maatskappyprentjie nie. My gunsteling voorbeeld is videokonferensies. Wanneer die HUB se videokonferensies nie werk nie, wie sal hy uithaal? Die CIO wat "nie voorsien het nie." Daarom, uit die oogpunt van die CIO, wat is die belangrikste ding in die maatskappy? Waarvoor mense hom altyd “lief” het: videokonferensies, wat dadelik in ’n besigheidskritiese stelsel verander. En uit 'n besigheidsoogpunt - wel, nee VKS, dink net, ons sal oor die telefoon praat, soos onder Brezhnev ...
Boonop dink die IT-afdeling gewoonlik dat sy hooftaak in die geval van 'n ramp is om die werking van korporatiewe IT-stelsels te herstel. Maar soms hoef jy dit nie te doen nie! As daar 'n besigheidsproses is in die vorm van die druk van stukkies papier op 'n vreeslike duur drukker, dan moet jy nie 'n tweede so 'n drukker as spaar koop en dit langsaan plaas in geval van 'n onklaarraking nie. Dit kan genoeg wees om die stukkies papier tydelik met die hand in te kleur.
As ons deurlopende beskerming binne IT bou, moet ons die ondersteuning van senior bestuur en besigheidsverteenwoordigers inroep. Andersins, nadat u binne die IT-afdeling verpop het, kan u 'n sekere reeks probleme oplos, maar nie al die nodige nie.
Dit is hoe die situasie lyk as net die IT-afdeling DR-planne het
10. Geen toetsing nie
As daar 'n plan is, moet dit getoets word. Vir diegene wat nie vertroud is met die standaarde nie, is dit glad nie voor die hand liggend nie. Byvoorbeeld, jy het "nooduitgang" tekens wat oral hang. Maar sê vir my, waar is jou vuuremmer, -haak en -graaf? Waar is die brandkraan? Waar moet die brandblusser geleë wees? Maar almal behoort dit te weet. Dit lyk glad nie vir ons logies om 'n brandblusser te vind wanneer ons 'n kantoor binnegaan nie.
Miskien moet die behoefte om die plan te toets in die plan self genoem word, maar dit is 'n omstrede besluit. 'n Plan kan in elk geval slegs as werk beskou word as dit ten minste een keer getoets is. Soos hierbo genoem, hoor ek baie gereeld: “Daar is ’n plan, al die infrastruktuur is voorberei, maar dit is nie ’n feit dat alles sal uitwerk soos in die plan geskryf staan nie. Omdat hulle dit nie getoets het nie. Nooit".
Ten slotte
Sommige maatskappye kan hul geskiedenis ontleed om te verstaan watter soort probleme waarskynlik sal gebeur en hoe waarskynlik dit is. Navorsing en ondervinding dui daarop dat ons nie onsself teen alles kan beskerm nie. Kak, vroeër of later, gebeur met enige maatskappy. Nog iets is hoe voorbereid jy vir hierdie of soortgelyke situasie sal wees en of jy jou besigheid betyds sal kan herstel.
Sommige mense dink dat kontinuïteit gaan oor hoe om allerhande risiko's uit te skakel sodat dit nie realiseer nie. Nee, die punt is dat risiko's sal realiseer, en ons sal gereed wees hiervoor. Soldate word opgelei om nie in die geveg te dink nie, maar om op te tree. Dit is dieselfde met 'n BCP-plan: dit sal jou toelaat om jou besigheid so vinnig as moontlik te herstel.
Die enigste toerusting wat nie BCP benodig nie
Igor Tyukachev,
Besigheidskontinuïteitskonsultant
Sentrum vir Ontwerp van Rekenaarstelsels
"Jet Infosystems"
Bron: will.com