Hallo zusammen, mein Name ist Igor Tyukachev und ich bin Business-Continuity-Berater. Im heutigen Beitrag werden wir eine lange und ermüdende Diskussion über gemeinsame Wahrheiten führen. Ich möchte meine Erfahrungen teilen und über die wichtigsten Fehler sprechen, die Unternehmen bei der Entwicklung eines Business-Continuity-Plans machen.
1. RTO und RPO zufällig
Der wichtigste Fehler, den ich gesehen habe, ist, dass die Wiederherstellungszeit (RTO) aus dem Nichts berechnet wird. Na ja, aus der Luft – zum Beispiel gibt es vom SLA einige Zahlen von vor zwei Jahren, die jemand von seinem früheren Arbeitsplatz mitgebracht hat. Warum tun sie das? Denn bei allen Methoden müssen zunächst die Konsequenzen für die Geschäftsprozesse analysiert und auf Basis dieser Analyse die angestrebte Wiederherstellungszeit und der akzeptable Datenverlust berechnet werden. Aber die Durchführung einer solchen Analyse dauert manchmal lange, manchmal ist sie teuer, manchmal ist nicht ganz klar, wie – betonen Sie, was getan werden muss. Und das Erste, was vielen in den Sinn kommt, ist: „Wir sind alle erwachsen und verstehen, wie ein Geschäft funktioniert. Verschwenden wir weder Zeit noch Geld! Nehmen wir Plus oder Minus, wie es sein sollte. Aus deinem Kopf, mit proletarischem Einfallsreichtum! Lassen Sie die RTO zwei Stunden betragen.“
Wozu führt das? Wenn Sie sich an das Management wenden, um Geld für Aktivitäten zur Sicherstellung des erforderlichen RTO/RPO mit bestimmten Zahlen zu erhalten, ist immer eine Begründung erforderlich. Wenn keine Begründung vorliegt, stellt sich die Frage: Woher haben Sie es? Und es gibt nichts zu beantworten. Dadurch geht das Vertrauen in Ihre Arbeit verloren.
Außerdem kosten diese zwei Stunden Erholung manchmal eine Million Dollar. Und die Rechtfertigung der Dauer des RTO ist eine Frage des Geldes, und zwar einer sehr großen.
Und schließlich, wenn Sie Ihren BCP- und/oder DR-Plan den Darstellern vorlegen (die im Moment des Unfalls tatsächlich rennen und mit den Armen wedeln), werden sie eine ähnliche Frage stellen: Woher kommen diese zwei Stunden? Und wenn Sie dies nicht klar erklären können, wird weder Ihnen noch Ihrem Dokument Vertrauen entgegengebracht.
Es stellt sich heraus, dass es sich um ein Stück Papier um des Papiers willen handelt, um ein Abmelden. Manche tun dies übrigens bewusst, einfach um den Anforderungen der Regulierungsbehörde gerecht zu werden.
Verstehst du?
2. Das Heilmittel für alles
Manche Leute glauben, dass ein BCP-Plan entwickelt wird, um alle Geschäftsprozesse vor Bedrohungen zu schützen. Neuerdings stellt sich die Frage „Wovor wollen wir uns schützen?“ Ich hörte die Antwort: „Alles und mehr.“
Tatsache ist jedoch, dass der Plan nur dem Schutz dienen soll spezifisch wesentliche Geschäftsprozesse des Unternehmens ab spezifisch Bedrohungen. Daher ist es vor der Entwicklung eines Plans notwendig, das Auftreten von Risiken zu bewerten und deren Folgen für das Unternehmen zu analysieren. Um zu verstehen, vor welchen Bedrohungen das Unternehmen Angst hat, ist eine Risikobewertung erforderlich. Im Falle einer Gebäudezerstörung gibt es einen Kontinuitätsplan, im Falle von Sanktionsdruck einen anderen und im Falle einer Überschwemmung einen dritten. Sogar zwei identische Standorte in verschiedenen Städten können deutlich unterschiedliche Pläne haben.
Es ist unmöglich, ein ganzes Unternehmen mit einem BCP zu schützen, insbesondere ein großes. Beispielsweise begann die riesige X5 Retail Group, die Kontinuität zweier wichtiger Geschäftsprozesse sicherzustellen (wir haben darüber geschrieben). ). Und es ist einfach unrealistisch, das gesamte Unternehmen in einen Plan einzuschließen; dies gehört zur Kategorie der „kollektiven Verantwortung“, wenn jeder verantwortlich ist und niemand verantwortlich ist.
Die Norm ISO 22301 enthält das Konzept einer Richtlinie, mit der faktisch der Kontinuitätsprozess im Unternehmen beginnt. Es beschreibt, was wir schützen und wovor. Wenn Leute angerannt kommen und darum bitten, dies und das hinzuzufügen, zum Beispiel:
— Fügen wir zu BCP das Risiko hinzu, dass wir gehackt werden?
Oder
— Kürzlich wurde unser oberstes Stockwerk während des Regens überschwemmt. Fügen wir ein Szenario hinzu, was im Falle einer Überschwemmung zu tun ist.
Weisen Sie sie dann sofort auf diese Richtlinie hin und sagen Sie, dass wir bestimmte Vermögenswerte des Unternehmens und nur vor bestimmten, im Voraus vereinbarten Bedrohungen schützen, da diese jetzt Priorität haben.
Und selbst wenn Änderungsvorschläge tatsächlich angemessen sind, bieten Sie an, diese in der nächsten Version der Richtlinie zu berücksichtigen. Denn der Schutz eines Unternehmens kostet viel Geld. Daher müssen alle Änderungen am BCP-Plan durch den Haushaltsausschuss und die Planung erfolgen. Wir empfehlen, die Geschäftskontinuitätsrichtlinie des Unternehmens einmal im Jahr oder unmittelbar nach wesentlichen Änderungen in der Unternehmensstruktur oder den äußeren Bedingungen zu überprüfen (vielleicht verzeihen Sie mir, wenn ich das sage).
3. Fantasien und Realität
Es kommt oft vor, dass die Autoren bei der Erstellung eines BCP-Plans ein ideales Weltbild beschreiben. Zum Beispiel: „Wir haben kein zweites Rechenzentrum, aber wir werden einen Plan schreiben, als ob wir eines hätten.“ Oder das Unternehmen verfügt noch nicht über einen Teil der Infrastruktur, aber die Mitarbeiter werden ihn trotzdem in den Plan aufnehmen, in der Hoffnung, dass er in der Zukunft erscheint. Und dann wird das Unternehmen die Realität auf den Plan übertragen: ein zweites Rechenzentrum bauen, weitere Änderungen beschreiben.
Links ist die dem BCP entsprechende Infrastruktur, rechts die reale Infrastruktur
Das ist alles ein Fehler. Einen BCP-Plan zu schreiben bedeutet, Geld auszugeben. Wenn Sie einen Plan schreiben, der im Moment nicht funktioniert, zahlen Sie für sehr teures Papier. Es ist unmöglich, sich davon zu erholen, es ist unmöglich, es zu testen. Es stellt sich heraus, dass es Arbeit um der Arbeit willen ist.
Sie können recht schnell einen Plan erstellen, aber der Aufbau einer Backup-Infrastruktur und die Ausgaben für sämtliche Schutzlösungen sind langwierig und teuer. Dies kann mehr als ein Jahr dauern. Und es könnte sich herausstellen, dass Sie bereits einen Plan haben und die Infrastruktur dafür in zwei Jahren erscheinen wird. Warum ist ein solcher Plan nötig? Wovor wird es Sie schützen?
Es ist auch eine Fantasie, wenn das BCP-Entwicklungsteam beginnt, für die Experten herauszufinden, was sie in welcher Zeit tun sollen. Es stammt aus der Kategorie: „Wenn Sie einen Bären in der Taiga sehen, müssen Sie sich in die entgegengesetzte Richtung des Bären drehen und mit einer Geschwindigkeit rennen, die über der Geschwindigkeit des Bären liegt.“ In den Wintermonaten müssen Sie Ihre Spuren verwischen.“
4. Spitzen und Wurzeln
Der viertwichtigste Fehler besteht darin, den Plan entweder zu oberflächlich oder zu detailliert zu gestalten. Wir brauchen eine goldene Mitte. Der Plan sollte für Idioten nicht zu detailliert sein, aber auch nicht zu allgemein, damit am Ende so etwas herauskommt:
Im Allgemeinen einfach
5. Für Caesar – was gehört Caesar, für den Mechaniker – was gehört dem Mechaniker.
Der nächste Fehler ergibt sich aus dem vorherigen: Ein Plan kann nicht alle Maßnahmen für alle Managementebenen berücksichtigen. BCP-Pläne werden in der Regel für große Unternehmen mit großen Finanzströmen entwickelt (übrigens laut unserer Im Durchschnitt waren 48 % der großen russischen Unternehmen mit Notsituationen konfrontiert, die zu erheblichen finanziellen Verlusten führten) und einem mehrstufigen Managementsystem. Für solche Unternehmen lohnt es sich nicht, alles in einem Dokument unterzubringen. Wenn das Unternehmen groß und strukturiert ist, sollte der Plan drei separate Ebenen haben:
- strategische Ebene – für die Geschäftsleitung;
- taktisches Niveau – für mittlere Führungskräfte;
- und die operative Ebene – für diejenigen, die direkt vor Ort tätig sind.
Wenn es beispielsweise um die Wiederherstellung einer ausgefallenen Infrastruktur geht, dann wird auf strategischer Ebene die Entscheidung getroffen, den Wiederherstellungsplan zu aktivieren, auf taktischer Ebene können die Prozessabläufe beschrieben werden und auf operativer Ebene gibt es Anweisungen zur spezifischen Inbetriebnahme Ausrüstungsgegenstände.
BCP ohne Budget
Jeder sieht seinen Verantwortungsbereich und die Verbindungen zu anderen Mitarbeitern. Im Moment eines Unfalls erstellt jeder einen Plan, findet schnell seinen Teil und folgt ihm. Idealerweise müssen Sie sich auswendig merken, welche Seiten Sie öffnen müssen, denn manchmal zählen die Minuten.
6. Rollenspiel
Ein weiterer Fehler bei der Erstellung eines BCP-Plans: Es ist nicht erforderlich, bestimmte Namen, E-Mail-Adressen und andere Kontaktinformationen in den Plan aufzunehmen. Im Text des Dokuments selbst sollten nur unpersönliche Rollen angegeben werden, diesen Rollen sollten die Namen der für bestimmte Aufgaben Verantwortlichen zugeordnet und deren Ansprechpartner im Anhang des Plans aufgeführt werden.
Warum?
Heutzutage wechseln die meisten Menschen alle zwei bis drei Jahre den Job. Und wenn man alle Verantwortlichen und deren Ansprechpartner im Text des Plans aufschreibt, dann muss dieser ständig geändert werden. Und in großen Unternehmen, insbesondere in Regierungsunternehmen, erfordert jede Änderung an einem Dokument eine Menge Genehmigungen.
Ganz zu schweigen davon, dass Sie wertvolle Zeit verlieren, wenn ein Notfall eintritt und Sie hektisch den Plan durchblättern und nach dem richtigen Ansprechpartner suchen müssen.
Life-Hack: Wenn Sie einen Antrag ändern, müssen Sie ihn oft nicht einmal genehmigen. Noch ein Tipp: Sie können Planaktualisierungsautomatisierungssysteme verwenden.
7. Mangelnde Versionierung
Normalerweise erstellen sie eine Planversion 1.0 und nehmen dann alle Änderungen ohne Bearbeitungsmodus und ohne Änderung des Dateinamens vor. Gleichzeitig ist oft unklar, was sich im Vergleich zur Vorgängerversion geändert hat. Ohne Versionierung lebt der Plan ein Eigenleben, das in keiner Weise nachverfolgt wird. Auf der zweiten Seite jedes BCP-Plans sollten die Version, der Autor der Änderungen und eine Liste der Änderungen selbst angegeben sein.
Niemand kann es mehr herausfinden
8. Wen soll ich fragen?
Oft gibt es in Unternehmen keine Person, die für den BCP-Plan verantwortlich ist, und es gibt keine separate Abteilung, die für die Geschäftskontinuität verantwortlich ist. Diese ehrenvolle Verantwortung wird dem CIO, seinem Stellvertreter, übertragen oder nach dem Grundsatz „Sie kümmern sich um die Informationssicherheit, also hier ist BCP zusätzlich.“ Als Ergebnis wird der Plan von oben bis unten entwickelt, vereinbart und genehmigt.
Wer ist für die Speicherung des Plans, die Aktualisierung und Überarbeitung der darin enthaltenen Informationen verantwortlich? Dies darf nicht verordnet werden. Dafür einen eigenen Mitarbeiter einzustellen ist verschwenderisch, aber einen der bestehenden mit zusätzlichen Aufgaben zu belasten ist natürlich möglich, denn alle streben jetzt nach Effizienz: „Lasst uns ihm eine Laterne aufhängen, damit er nachts mähen kann“, aber ist es nötig?
Wir suchen Verantwortliche für BCP zwei Jahre nach seiner Gründung
Deshalb passiert es oft so: Ein Plan wurde entwickelt und in eine lange Kiste gelegt, sodass er mit Staub bedeckt wurde. Niemand testet es oder behält seine Relevanz bei. Der häufigste Satz, den ich höre, wenn ich zu einem Kunden komme, ist: „Es gibt einen Plan, aber er wurde schon vor langer Zeit entwickelt, ob er getestet wurde, ist unbekannt, es besteht der Verdacht, dass er nicht funktioniert.“
9. Zu viel Wasser
Es gibt Pläne, bei denen die Einleitung fünf Seiten lang ist, inklusive einer Beschreibung der Voraussetzungen und einem Dank an alle Projektbeteiligten mit Informationen über die Tätigkeit des Unternehmens. Wenn Sie nach unten zur zehnten Seite scrollen, auf der es nützliche Informationen gibt, ist Ihr Rechenzentrum bereits überflutet.
Was sollten Sie tun, wenn Ihr Rechenzentrum überflutet ist, wenn Sie versuchen, sich über den aktuellen Stand zu informieren?
Platzieren Sie alle Unternehmens-„Wasser“ in einem separaten Dokument. Der Plan selbst muss äußerst konkret sein: Die für diese Aufgabe verantwortliche Person erledigt dies und so weiter.
10. Auf wessen Kosten geht das Bankett?
Oftmals haben Planersteller keine Unterstützung durch das Top-Management des Unternehmens. Es gibt jedoch Unterstützung durch das mittlere Management, das nicht über das nötige Budget und die nötigen Ressourcen verfügt, um die Geschäftskontinuität zu verwalten. Beispielsweise erstellt die IT-Abteilung ihren BCP-Plan im Rahmen ihres Budgets, aber der CIO sieht nicht das Gesamtbild des Unternehmens. Mein Lieblingsbeispiel sind Videokonferenzen. Wenn die Videokonferenzen des CEO nicht funktionieren, wen wird er dann ausweiden? Der CIO, der „nicht bereitgestellt hat“. Was ist also aus Sicht des CIO das Wichtigste im Unternehmen? Wofür ihn die Leute immer „lieben“: Videokonferenzen, die sofort zu einem geschäftskritischen System werden. Und aus geschäftlicher Sicht – na ja, kein VKS, denken Sie nur, wir reden am Telefon, wie unter Breschnew …
Darüber hinaus geht die IT-Abteilung meist davon aus, dass ihre Hauptaufgabe im Katastrophenfall darin besteht, den Betrieb der Unternehmens-IT-Systeme wiederherzustellen. Aber manchmal muss man das nicht tun! Wenn ein Geschäftsprozess darin besteht, Zettel auf einem furchtbar teuren Drucker zu drucken, sollten Sie keinen zweiten Drucker als Ersatz kaufen und ihn im Falle einer Panne daneben stellen. Es kann ausreichen, die Papierstücke vorübergehend von Hand einzufärben.
Wenn wir einen kontinuierlichen Schutz innerhalb der IT aufbauen, müssen wir die Unterstützung der Geschäftsleitung und Unternehmensvertreter gewinnen. Andernfalls können Sie, nachdem Sie sich in der IT-Abteilung verpuppt haben, eine Reihe von Problemen lösen, jedoch nicht alle notwendigen.
So sieht die Situation aus, wenn nur die IT-Abteilung über DR-Pläne verfügt
10. Keine Tests
Wenn es einen Plan gibt, muss dieser getestet werden. Für diejenigen, die mit den Standards nicht vertraut sind, ist dies überhaupt nicht offensichtlich. Beispielsweise hängen überall Schilder mit der Aufschrift „Notausgang“. Aber sagen Sie mir, wo sind Ihr Feuereimer, Ihr Haken und Ihre Schaufel? Wo ist der Hydrant? Wo soll der Feuerlöscher stehen? Aber das sollte jeder wissen. Es erscheint uns überhaupt nicht logisch, beim Betreten eines Büros einen Feuerlöscher vorzufinden.
Vielleicht sollte die Notwendigkeit, den Plan zu testen, im Plan selbst erwähnt werden, aber das ist eine umstrittene Entscheidung. In jedem Fall kann ein Plan nur dann als funktionsfähig angesehen werden, wenn er mindestens einmal getestet wurde. Wie oben erwähnt, höre ich sehr oft: „Es gibt einen Plan, die gesamte Infrastruktur ist vorbereitet, aber es ist keine Tatsache, dass alles so funktionieren wird, wie es im Plan steht.“ Weil sie es nicht getestet haben. Niemals".
Abschließend
Einige Unternehmen können ihre Historie analysieren, um zu verstehen, welche Art von Problemen wahrscheinlich auftreten und wie wahrscheinlich sie sind. Forschung und Erfahrung legen nahe, dass wir uns nicht vor allem schützen können. Früher oder später passiert jedem Unternehmen Scheiße. Eine andere Frage ist, wie gut Sie auf diese oder eine ähnliche Situation vorbereitet sind und ob Sie Ihr Geschäft rechtzeitig wiederherstellen können.
Manche Leute denken, dass es bei der Kontinuität darum geht, alle Arten von Risiken zu eliminieren, damit sie nicht eintreten. Nein, es geht darum, dass Risiken eintreten werden, und wir werden darauf vorbereitet sein. Soldaten werden darin geschult, im Kampf nicht zu denken, sondern zu handeln. Das Gleiche gilt für einen BCP-Plan: Er ermöglicht Ihnen die schnellstmögliche Wiederherstellung Ihres Geschäfts.
Das einzige Gerät, das kein BCP erfordert
Igor Tjukatschew,
Berater für Geschäftskontinuität
Zentrum für Design von Computersystemen
„Jet-Infosysteme“
Source: habr.com