Hər kəsə salam, mənim adım İqor Tyukachev və mən biznesin davamlılığı üzrə məsləhətçiyəm. Bugünkü yazımızda ümumi həqiqətlərin uzun və yorucu müzakirəsi olacaq.Mən öz təcrübəmi bölüşmək və şirkətlərin biznesin davamlılığı planı hazırlayarkən buraxdıqları əsas səhvlərdən danışmaq istəyirəm.
1. RTO və RPO təsadüfi
Gördüyüm ən əhəmiyyətli səhv, bərpa müddətinin (RTO) havadan çıxarılmasıdır. Yaxşı, havadan - məsələn, iki il əvvəl SLA-dan bəzi rəqəmlər var ki, kimsə əvvəlki iş yerindən gətirdi. Niyə bunu edirlər? Axı, bütün üsullara görə, ilk növbədə biznes prosesləri üçün nəticələri təhlil etməlisiniz və bu təhlil əsasında hədəf bərpa müddətini və məqbul məlumat itkisini hesablayın. Ancaq belə bir təhlilin aparılması bəzən çox vaxt aparır, bəzən bahalı olur, bəzən necə olacağı çox aydın deyil - nə edilməli olduğunu vurğulayın. Və çoxlarının ağlına gələn ilk şey: “Biz hamımız böyüklərik və biznesin necə işlədiyini başa düşürük. Gəlin vaxt və pul sərf etməyək! Olması lazım olduğu kimi artı və ya mənfi götürək. Proletar ixtiraçılıqdan istifadə edərək başınızdan! RTO iki saat olsun”.
Bu nəyə gətirib çıxarır? Müəyyən nömrələrlə tələb olunan RTO/RPO-nu təmin etmək üçün fəaliyyətlər üçün pul üçün rəhbərliyə gəldiyiniz zaman həmişə əsaslandırma tələb olunur. Əgər heç bir əsaslandırma yoxdursa, o zaman sual yaranır: bunu haradan almısınız? Və cavab verəcək bir şey yoxdur. Nəticədə işinizə inam itir.
Üstəlik, bəzən bu iki saatlıq sağalma bir milyon dollara başa gəlir. RTO-nun müddətini əsaslandırmaq pul məsələsidir və bunda çox böyükdür.
Və nəhayət, BCP və/və ya DR planınızı ifaçılara gətirdiyiniz zaman (əslində qəza anında qaçacaq və əllərini yelləyəcək) onlar da oxşar sual verəcəklər: bu iki saat haradan gəldi? Əgər bunu açıq şəkildə izah edə bilməsəniz, nə sizə, nə də sənədinizə inamı olmayacaq.
Çıxır ki, bir kağız parçası xatirinə bir kağız parçası, abunədən çıxma. Yeri gəlmişkən, bəziləri bunu qəsdən, sadəcə olaraq tənzimləyicinin tələblərini ödəmək üçün edirlər.
Yaxşı başa düşürsən
2. Hər şeyin dərmanı
Bəzi insanlar hesab edirlər ki, BCP planı bütün biznes proseslərini istənilən təhlükədən qorumaq üçün hazırlanmışdır. Son zamanlar “Biz özümüzü nədən qorumaq istəyirik?” Cavabı eşitdim: "Hər şey və daha çox".
Amma fakt budur ki, plan yalnız qorunmaq üçün nəzərdə tutulub spesifik şirkətin əsas biznes prosesləri spesifik təhdidlər. Buna görə də, plan hazırlamazdan əvvəl risklərin baş verməsini qiymətləndirmək və onların biznes üçün nəticələrini təhlil etmək lazımdır. Şirkətin hansı təhlükələrdən qorxduğunu anlamaq üçün risklərin qiymətləndirilməsi lazımdır. Binanın dağılması halında bir davamlılıq planı, sanksiya təzyiqi olduqda - başqa, daşqın zamanı - üçüncü olacaq. Fərqli şəhərlərdə hətta iki eyni saytın planları əhəmiyyətli dərəcədə fərqli ola bilər.
Bir BCP ilə bütöv bir şirkəti qorumaq mümkün deyil, xüsusən də böyük. Məsələn, nəhəng X5 Pərakəndə Qrupu iki əsas biznes prosesi ilə davamlılığı təmin etməyə başladı (bu barədə yazmışdıq. ). Bütün şirkəti bir planla əhatə etmək sadəcə olaraq qeyri-realdır; bu, hər kəsin məsuliyyət daşıdığı və heç kimin cavabdeh olmadığı "kollektiv məsuliyyət" kateqoriyasındandır.
ISO 22301 standartı, əslində şirkətdə davamlılıq prosesinin başladığı siyasət anlayışını ehtiva edir. Nəyi və nədən qoruyacağımızı təsvir edir. İnsanlar qaçaraq gəlib bunu və bunu əlavə etməyi xahiş etsələr, məsələn:
— BCP-yə sındırılacağımız riskini əlavə edək?
Və ya
— Bu yaxınlarda, yağış zamanı üst mərtəbəmizi su basdı - daşqın zamanı nə etməli olduğuna dair bir ssenari əlavə edək?
Onda dərhal onları bu siyasətə istinad edin və deyin ki, biz konkret şirkət aktivlərini və yalnız konkret, əvvəlcədən razılaşdırılmış təhdidlərdən qoruyuruq, çünki onlar indi prioritetdir.
Dəyişikliklər üçün təkliflər həqiqətən uyğun olsa belə, siyasətin növbəti versiyasında onları nəzərə almağı təklif edin. Çünki bir şirkəti qorumaq külli miqdarda vəsait tələb edir. Beləliklə, BCP planına edilən bütün dəyişikliklər büdcə komitəsi və planlaşdırmadan keçməlidir. Biz şirkətin işin davamlılığı siyasətini ildə bir dəfə və ya şirkətin strukturunda və ya xarici şəraitdə əhəmiyyətli dəyişikliklər edildikdən dərhal sonra nəzərdən keçirməyi tövsiyə edirik (oxucular bunu dediyimə görə məni bağışlasınlar).
3. Fantaziyalar və reallıq
Tez-tez olur ki, BCP planı tərtib edərkən müəlliflər dünyanın hansısa ideal mənzərəsini təsvir edirlər. Məsələn, "bizim ikinci bir məlumat mərkəzimiz yoxdur, amma biz varmış kimi bir plan yazacağıq." Və ya biznes hələ infrastrukturun bir hissəsinə sahib deyil, lakin işçilər gələcəkdə görünəcəyi ümidi ilə hələ də plana əlavə edəcəklər. Və sonra şirkət reallığı plana uyğunlaşdıracaq: ikinci məlumat mərkəzi tikəcək, digər dəyişiklikləri təsvir edəcək.
Solda BCP-yə uyğun infrastruktur, sağda real infrastrukturdur
Bütün bunlar səhvdir. BCP planı yazmaq pul xərcləmək deməkdir. Hal-hazırda işləməyən bir plan yazsanız, çox bahalı kağıza pul ödəmiş olacaqsınız. Ondan sağalmaq, sınaqdan keçirmək mümkün deyil. İş xatirinə iş olduğu ortaya çıxır.
Siz kifayət qədər tez bir plan yaza bilərsiniz, lakin ehtiyat infrastrukturun qurulması və bütün qorunma həllərinə pul xərclənməsi uzun və bahalıdır. Bu, bir ildən çox çəkə bilər. Və belə ola bilər ki, sizin artıq bir planınız var və bunun üçün infrastruktur iki ildən sonra yaranacaq. Niyə belə bir plan lazımdır? Sizi nədən qoruyacaq?
BCP inkişaf komandası mütəxəssislər üçün nə etməli və nə vaxt etməli olduqlarını anlamağa başlayanda da bir fantaziyadır. Kateqoriyadan gəlir: “Tayqada ayı görəndə ayıdan əks istiqamətə dönüb ayının sürətindən çox sürətlə qaçmaq lazımdır. Qış aylarında izlərinizi örtmək lazımdır”.
4. Üstlər və köklər
Dördüncü ən mühüm səhv planı ya çox səthi, ya da çox təfərrüatlı etməkdir. Bizə qızıl orta lazımdır. Plan axmaqlar üçün çox təfərrüatlı olmamalıdır, lakin çox ümumi olmamalıdır ki, belə bir şey bitsin:
Ümumiyyətlə asan
5. Sezara - Sezarınki nədir, mexanikə - mexanikinki nədir.
Növbəti səhv əvvəlkindən qaynaqlanır: bir plan bütün idarəetmə səviyyələri üçün bütün tədbirləri özündə cəmləşdirə bilməz. BCP planları adətən böyük maliyyə axınları olan böyük şirkətlər üçün hazırlanır (yeri gəlmişkən, bizim fikrimizcə , orta hesabla, böyük Rusiya şirkətlərinin 48% -i əhəmiyyətli maliyyə itkilərinə səbəb olan fövqəladə vəziyyətlərlə qarşılaşdı) və çox səviyyəli idarəetmə sistemi. Belə şirkətlər üçün hər şeyi bir sənədə sığdırmağa çalışmaq dəyməz. Əgər şirkət böyük və strukturlaşdırılmışdırsa, planın üç ayrı səviyyəsi olmalıdır:
- strateji səviyyə - yüksək rəhbərlik üçün;
- taktiki səviyyə - orta səviyyəli menecerlər üçün;
- və əməliyyat səviyyəsi - sahə ilə birbaşa məşğul olanlar üçün.
Məsələn, uğursuz infrastrukturun bərpasından danışırıqsa, o zaman strateji səviyyədə bərpa planının aktivləşdirilməsi barədə qərar qəbul edilir, taktiki səviyyədə proses prosedurları təsvir oluna bilər, əməliyyat səviyyəsində isə xüsusi infrastrukturun istismara verilməsi üçün göstərişlər verilir. avadanlıq parçaları.
Büdcəsiz BCP
Hər kəs öz məsuliyyət sahəsini və digər işçilərlə əlaqələrini görür. Qəza anında hər kəs bir plan açır, tez öz payını tapır və ona əməl edir. İdeal olaraq, hansı səhifələrin açılacağını əzbərləməlisiniz, çünki bəzən dəqiqələr sayılır.
6. Rol oyunu
BCP planını tərtib edərkən başqa bir səhv: plana konkret adların, e-poçt ünvanlarının və digər əlaqə məlumatlarının daxil edilməsinə ehtiyac yoxdur. Sənədin mətnində yalnız qeyri-şəxs rollar göstərilməli və bu rollara konkret tapşırıqlara cavabdeh olan şəxslərin adları təyin edilməli və onların əlaqələri plana əlavədə göstərilməlidir.
Niyə?
Bu gün insanların çoxu iki-üç ildən bir işlərini dəyişirlər. Və planın mətnində bütün məsul şəxsləri və onların əlaqələrini yazsanız, o, daim dəyişdirilməli olacaq. Böyük şirkətlərdə, xüsusən də hökumət şirkətlərində hər hansı bir sənədə edilən hər dəyişiklik bir ton təsdiq tələb edir.
Qeyd etmək lazım deyil ki, fövqəladə bir hadisə baş verərsə və planı çılğıncasına vərəqləmək və düzgün əlaqə axtarmaq lazımdırsa, qiymətli vaxtınızı itirəcəksiniz.
Life-hack: Tətbiqi dəyişdirdiyiniz zaman onu təsdiqləməyə belə ehtiyacınız olmur. Başqa bir ipucu: plan yeniləmə avtomatlaşdırma sistemlərindən istifadə edə bilərsiniz.
7. Versiyaların olmaması
Adətən onlar 1.0 plan versiyasını yaradırlar və sonra redaktə rejimi olmadan və fayl adını dəyişmədən bütün dəyişiklikləri edirlər. Eyni zamanda, əvvəlki versiya ilə müqayisədə nəyin dəyişdiyi çox vaxt aydın deyil. Versiya olmadıqda, plan heç bir şəkildə izlənməyən öz həyatını yaşayır. Hər hansı BCP planının ikinci səhifəsində versiya, dəyişikliklərin müəllifi və dəyişikliklərin özləri göstərilməlidir.
Bunu artıq heç kim başa düşə bilməz
8. Kimdən soruşmalıyam?
Çox vaxt şirkətlərdə BCP planına cavabdeh olan şəxs olmur və biznesin davamlılığına cavabdeh olan ayrıca şöbə yoxdur. Bu şərəfli məsuliyyət CIO-ya, onun müavininə və ya “siz informasiya təhlükəsizliyi ilə məşğul olursunuz, ona görə də BCP əlavə olunur” prinsipinə əsasən verilir. Nəticədə plan yuxarıdan aşağıya doğru hazırlanır, razılaşdırılır və təsdiqlənir.
Planın saxlanmasına, oradakı məlumatların yenilənməsinə və yenidən işlənməsinə kim cavabdehdir? Bu təyin olunmaya bilər. Bunun üçün ayrıca işçi işə götürmək israfçılıqdır, lakin mövcud olanlardan birini əlavə vəzifələrlə yükləmək, əlbəttə ki, mümkündür, çünki indi hamı səmərəliliyə can atır: “Gəcə ona bir fənər asaq ki, gecələr biçsin”, amma lazımdırmı?
Biz BCP-nin yaradılmasından iki il sonra məsul şəxsləri axtarırıq
Buna görə də, tez-tez belə olur: bir plan hazırlanmış və tozla örtülməsi üçün uzun bir qutuya qoyulmuşdur. Heç kim onu sınamır və ya aktuallığını qoruyub saxlamır. Müştəriyə gələndə ən çox eşitdiyim ifadə belə olur: “Plan var, amma çoxdan işlənib, sınaqdan keçirilib-keçirilmədiyi bilinmir, işləmədiyinə dair bir şübhə var”.
9. Çox su
Girişin beş səhifədən ibarət olduğu planlar var, o cümlədən ilkin şərtlərin təsviri və layihənin bütün iştirakçılarına təşəkkürlər, şirkətin nə etdiyi barədə məlumat. Faydalı məlumatın olduğu onuncu səhifəyə keçdiyiniz zaman məlumat mərkəziniz artıq su altında qalıb.
Bu ana qədər oxumağa çalışdığınız zaman, məlumat mərkəzinizi su basarsa, nə etməlisiniz?
Bütün korporativ “suları” ayrı bir sənədə yerləşdirin. Planın özü son dərəcə konkret olmalıdır: bu işə cavabdeh olan şəxs bunu edir və s.
10. Ziyafət kimin hesabınadır?
Çox vaxt plan yaradıcıları şirkətin üst rəhbərliyindən dəstək almırlar. Lakin biznesin davamlılığını idarə etmək üçün lazımi büdcə və resursları idarə etməyən və ya olmayan orta menecmentdən dəstək var. Məsələn, İT departamenti öz büdcəsi daxilində BCP planını yaradır, lakin CIO şirkətin bütün mənzərəsini görmür. Ən sevdiyim nümunə video konfransdır. CEO-nun video konfransı işləmədikdə, o, kimi qovacaq? “Təmin etməmiş” CIO. Buna görə də, CIO-nun nöqteyi-nəzərindən şirkətdə ən vacib şey nədir? İnsanların onu həmişə “sevdiyi”: dərhal işgüzar kritik sistemə çevrilən video konfrans. Və iş nöqteyi-nəzərindən - yaxşı, VKS yoxdur, sadəcə düşünün, Brejnev dövründə olduğu kimi telefonda danışacağıq ...
Bundan əlavə, İT şöbəsi adətən fəlakət zamanı onun əsas vəzifəsinin korporativ İT sistemlərinin fəaliyyətini bərpa etmək olduğunu düşünür. Ancaq bəzən bunu etmək lazım deyil! Dəhşətli dərəcədə bahalı printerdə kağız parçaları çap etmək şəklində bir iş prosesi varsa, ikinci belə bir printeri ehtiyat olaraq almamalı və nasazlıq halında onun yanına qoymamalısınız. Kağız parçalarını müvəqqəti olaraq əl ilə rəngləmək kifayət ola bilər.
Əgər biz İT daxilində davamlı mühafizə qururuqsa, yüksək səviyyəli menecerlərin və biznes nümayəndələrinin dəstəyinə müraciət etməliyik. Əks təqdirdə, İT departamentinin içərisində pupated edərək, bütün lazım olanları deyil, müəyyən bir sıra problemləri həll edə bilərsiniz.
Yalnız İT departamentinin DR planları olduqda vəziyyət belə görünür
10. Sınaq yoxdur
Əgər plan varsa, onu yoxlamaq lazımdır. Standartlarla tanış olmayanlar üçün bu, heç də aydın deyil. Məsələn, hər yerdə "təcili çıxış" nişanları asılır. Amma de görüm, sənin od vedrə, qarmaq və kürəyin haradadır? Yanğın hidrantı haradadır? Yanğınsöndürən harada yerləşməlidir? Amma bunu hamı bilməlidir. Ofisə girərkən yanğınsöndürən tapmaq bizə heç məntiqli görünmür.
Bəlkə də planın sınaqdan keçirilməsi zərurəti planın özündə qeyd edilməlidir, lakin bu mübahisəli qərardır. Hər halda, plan ən azı bir dəfə sınaqdan keçirildikdə işlək hesab edilə bilər. Yuxarıda qeyd etdiyim kimi, çox tez-tez eşidirəm: “Plan var, bütün infrastruktur hazırlanır, amma hər şeyin planda yazıldığı kimi gedəcəyi fakt deyil. Çünki sınaqdan keçirməyiblər. Heç vaxt".
Nəticədə
Bəzi şirkətlər nə cür problemlərin baş verə biləcəyini və nə qədər ehtimal olunduğunu anlamaq üçün öz tarixlərini təhlil edə bilərlər. Araşdırma və təcrübə göstərir ki, biz özümüzü hər şeydən qoruya bilmərik. Bok, gec-tez hər hansı bir şirkətin başına gəlir. Başqa bir şey, bu və ya buna bənzər vəziyyətə nə qədər hazır olacağınız və işinizi vaxtında bərpa edə biləcəyinizdir.
Bəzi insanlar davamlılığın hər cür risklərin reallaşmaması üçün necə aradan qaldırılması ilə bağlı olduğunu düşünürlər. Yox, məsələ ondadır ki, risklər reallaşacaq və biz buna hazır olacağıq. Əsgərlər döyüşdə düşünmək deyil, hərəkət etmək üçün öyrədilir. BCP planı ilə də eynidir: o, biznesinizi mümkün qədər tez bərpa etməyə imkan verəcək.
BCP tələb etməyən yeganə avadanlıq
İqor Tyukaçev,
Biznes Davamlılığı Məsləhətçisi
Hesablama Sistemlərinin Layihələndirilməsi Mərkəzi
"Jet Infosystems"
Mənbə: www.habr.com