Halló allir, ég heiti Igor Tyukachev og ég er ráðgjafi í samfellu fyrirtækja. Í færslunni í dag munum við hafa langa og leiðinlega umræðu um algeng sannindi. Mig langar að deila reynslu minni og tala um helstu mistök sem fyrirtæki gera þegar þeir þróa áætlun um samfellu í rekstri.
1. RTO og RPO af handahófi
Mikilvægustu mistökin sem ég hef séð er að batatími (RTO) er tekinn úr lausu lofti. Jæja, úr lausu lofti gripið - til dæmis eru nokkrar tölur frá því fyrir tveimur árum frá SLA sem einhver kom með frá fyrri vinnustað sínum. Af hverju gera þeir þetta? Þegar öllu er á botninn hvolft, samkvæmt öllum aðferðum, verður þú fyrst að greina afleiðingar fyrir viðskiptaferla, og út frá þessari greiningu, reikna út endurheimtartímann og ásættanlegt tap á gögnum. En að gera slíka greiningu tekur stundum langan tíma, stundum er það dýrt, stundum er ekki mjög ljóst hvernig - leggja áherslu á það sem þarf að gera. Og það fyrsta sem kemur upp í hugann hjá mörgum er: „Við erum öll fullorðin og skiljum hvernig viðskipti virka. Við skulum ekki eyða tíma og peningum! Tökum plús eða mínus eins og það á að vera. Upp úr hausnum á þér, með því að nota verkalýðsgáfu! Láttu RTO vera tvær klukkustundir.
Til hvers leiðir þetta? Þegar þú kemur til stjórnenda fyrir peninga fyrir starfsemi til að tryggja nauðsynlega RTO / RPO með ákveðnum tölum, þarf það alltaf rökstuðning. Ef það er engin réttlæting, þá vaknar spurningin: hvaðan hefurðu það? Og það er engu að svara. Fyrir vikið tapast traust á starfi þínu.
Að auki kosta stundum þessar tvær klukkustundir af bata milljón dollara. Og að réttlæta tímalengd RTO er spurning um peninga, og mjög stórar þar að auki.
Og að lokum, þegar þú kemur með BCP og/eða DR áætlunina þína til flytjendanna (sem munu í raun og veru hlaupa og veifa handleggjunum á augnabliki slyssins), munu þeir spyrja svipaðrar spurningar: hvaðan komu þessir tveir tímar? Og ef þú getur ekki útskýrt þetta skýrt, þá munu þeir hvorki treysta þér né skjalinu þínu.
Það reynist vera blað fyrir sakir blaðs, afskráningar. Við the vegur, sumir gera þetta vísvitandi, einfaldlega til að uppfylla kröfur eftirlitsstofnanna.
Jæja, þú skilur
2. Lækningin fyrir öllu
Sumir telja að BCP áætlun sé þróuð til að vernda alla viðskiptaferla fyrir hvers kyns ógnum. Nýlega var spurningin „Hvað viljum við vernda okkur fyrir?“ Ég heyrði svarið: "Allt og meira."
En staðreyndin er sú að áætluninni er eingöngu ætlað að vernda sérstakur lykilviðskiptaferli fyrirtækisins frá sérstakur hótanir. Þess vegna, áður en áætlun er þróað, er nauðsynlegt að meta tilvik áhættu og greina afleiðingar þeirra fyrir fyrirtækið. Áhættumat er nauðsynlegt til að skilja hvaða ógnir fyrirtækið óttast. Ef um er að ræða eyðileggingu byggingar verður ein samfelluáætlun, ef um refsiþrýsting er að ræða - önnur, ef um flóð er að ræða - þriðja. Jafnvel tveir eins staðir í mismunandi borgum geta haft verulega mismunandi áætlanir.
Það er ómögulegt að vernda heilt fyrirtæki með einum BCP, sérstaklega stóru. Til dæmis byrjaði hin risastóra X5 Retail Group að tryggja samfellu með tveimur lykilviðskiptaferlum (við skrifuðum um þetta ). Og það er einfaldlega óraunhæft að fela allt fyrirtækið í einni áætlun, þetta er úr flokki „sameiginlegrar ábyrgðar“ þegar allir bera ábyrgð og enginn er ábyrgur.
Í ISO 22301 staðlinum er hugmyndin um stefnu sem í raun hefst samfelluferli í fyrirtækinu. Það lýsir hverju við munum vernda og fyrir hverju. Ef fólk kemur hlaupandi og biður um að bæta hinu og þessu við, til dæmis:
— Við skulum bæta við BCP hættuna á að við verðum tölvusnápur?
Eða
— Nýlega, í rigningunni, flæddi yfir efstu hæðin okkar - við skulum bæta við atburðarás um hvað á að gera ef flóð verða?
Vísa þá strax til þessarar stefnu og segja að við verndum tilteknar eignir fyrirtækja og aðeins fyrir ákveðnum fyrirfram samþykktum hótunum, því þær eru í forgangi núna.
Og jafnvel þótt breytingartillögur séu sannarlega viðeigandi, bjóðist þá til að taka tillit til þeirra í næstu útgáfu stefnunnar. Vegna þess að það kostar mikla peninga að vernda fyrirtæki. Þannig að allar breytingar á BCP áætluninni verða að fara í gegnum fjárlaganefnd og áætlanagerð. Við mælum með því að endurskoða stefnu fyrirtækisins um samfellu í rekstri einu sinni á ári eða strax eftir verulegar breytingar á skipulagi eða ytri aðstæðum fyrirtækisins (mega lesendur fyrirgefa mér að segja það).
3. Fantasíur og veruleiki
Það gerist oft að við gerð BCP áætlunar lýsa höfundar einhverri hugsjónamynd af heiminum. Til dæmis, "við höfum ekki annað gagnaver, en við munum skrifa áætlun eins og við gerum." Eða fyrirtækið hefur ekki ennþá einhvern hluta af innviðum, en starfsmenn munu samt bæta því við áætlunina í von um að það birtist í framtíðinni. Og þá mun fyrirtækið teygja raunveruleikann á áætlunina: byggja annað gagnaver, lýsa öðrum breytingum.
Vinstra megin er innviði sem samsvarar BCP, til hægri er raunverulegur innviði
Þetta eru allt mistök. Að skrifa BCP áætlun þýðir að eyða peningum. Ef þú skrifar áætlun sem virkar ekki núna muntu borga fyrir mjög dýran pappír. Það er ómögulegt að jafna sig á því, það er ómögulegt að prófa það. Það reynist vera vinna í þágu vinnunnar.
Þú getur skrifað áætlun nokkuð fljótt, en að byggja upp varainnviði og eyða peningum í allar verndarlausnir er langt og dýrt. Þetta getur tekið meira en eitt ár. Og það gæti komið í ljós að þú ert nú þegar með áætlun og innviðir fyrir hana munu birtast eftir tvö ár. Hvers vegna þarf slíka áætlun? Fyrir hverju mun það vernda þig?
Það er líka ímyndun þegar BCP þróunarteymið byrjar að finna út fyrir sérfræðingunum hvað þeir ættu að gera og á hvaða tíma. Það kemur úr flokknum: „Þegar þú sérð björn í taiga þarftu að beygja í gagnstæða átt frá birninum og hlaupa á hraða sem fer yfir hraða björnsins. Yfir vetrarmánuðina þarftu að hylja lögin þín.“
4. Toppar og rætur
Fjórðu mikilvægustu mistökin eru að gera áætlunina annað hvort of yfirborðslega eða of ítarlega. Við þurfum gullna meðalveginn. Áætlunin ætti ekki að vera of ítarleg fyrir fávita, en hún ætti ekki að vera of almenn þannig að eitthvað eins og þetta endi:
Á auðvelt almennt
5. Til keisarans - hvað er keisarans, fyrir vélvirkjann - hvað er vélvirki.
Næstu mistök stafa af þeirri fyrri: ein áætlun getur ekki rúmað allar aðgerðir fyrir öll stjórnunarstig. BCP áætlanir eru venjulega þróaðar fyrir stór fyrirtæki með mikið fjármagnsflæði (við the vegur, samkvæmt okkar 48% stórra rússneskra fyrirtækja lentu að meðaltali í neyðartilvikum sem höfðu í för með sér verulegt fjárhagslegt tap) og fjölþrepa stjórnunarkerfi. Fyrir slík fyrirtæki er ekki þess virði að reyna að setja allt í eitt skjal. Ef fyrirtækið er stórt og skipulagt ætti áætlunin að hafa þrjú aðskilin stig:
- stefnumótandi stig - fyrir yfirstjórn;
- taktískt stig - fyrir millistjórnendur;
- og rekstrarstigið - fyrir þá sem koma beint að vettvangi.
Til dæmis, ef við erum að tala um að endurheimta bilaða innviði, þá er á stefnumótandi stigi tekin ákvörðun um að virkja endurreisnaráætlunina, á taktíska stigi má lýsa ferlinum og á rekstrarstigi eru leiðbeiningar um gangsetningu ákveðinna tæki.
BCP án fjárhagsáætlunar
Allir sjá sitt ábyrgðarsvið og tengsl við aðra starfsmenn. Á augnabliki slyss opna allir áætlun, finna fljótt sinn hlut og fara eftir henni. Helst þarftu að muna utanað hvaða síður á að opna, því stundum skipta mínúturnar.
6. Hlutverkaleikur
Önnur mistök við gerð BCP áætlunar: það er engin þörf á að innihalda ákveðin nöfn, netföng og aðrar tengiliðaupplýsingar í áætluninni. Í texta skjalsins sjálfs ætti aðeins að tilgreina ópersónuleg hlutverk og þessi hlutverk ættu að fá nöfn þeirra sem bera ábyrgð á tilteknum verkefnum og tengiliðir þeirra ættu að vera skráðir í viðauka við áætlunina.
Hvers vegna?
Í dag skipta flestir um vinnu á tveggja til þriggja ára fresti. Og ef þú skrifar niður alla ábyrgðarmenn og tengiliði þeirra í texta áætlunarinnar, þá verður að breyta því stöðugt. Og í stórum fyrirtækjum, og sérstaklega stjórnvöldum, þarf allar breytingar á hvaða skjali sem er ógrynni af samþykki.
Svo ekki sé minnst á að ef neyðarástand kemur upp og þú þarft að fletta áætluninni í ofvæni og leita að rétta tengiliðnum muntu tapa dýrmætum tíma.
Life hack: þegar þú breytir forriti þarftu oft ekki einu sinni að samþykkja það. Önnur ráð: þú getur notað sjálfvirknikerfi fyrir áætlunaruppfærslu.
7. Skortur á útgáfu
Venjulega búa þeir til áætlunarútgáfu 1.0 og gera síðan allar breytingar án þess að breyta stillingu og án þess að breyta skráarnafni. Á sama tíma er oft óljóst hvað hefur breyst miðað við fyrri útgáfu. Í fjarveru útgáfunnar lifir áætlunin sínu eigin lífi, sem er ekki rakið á nokkurn hátt. Önnur síða hvers kyns BCP áætlun ætti að tilgreina útgáfuna, höfund breytinganna og lista yfir breytingarnar sjálfar.
Það getur enginn lengur fundið út úr því
8. Hvern ætti ég að spyrja?
Oft hafa fyrirtæki ekki aðila sem ber ábyrgð á BCP áætluninni og það er engin sérstök deild sem ber ábyrgð á samfellu viðskipta. Þessari virðulegu ábyrgð er úthlutað CIO, staðgengill hans, eða samkvæmt meginreglunni „þú sérð um upplýsingaöryggi, svo hér er BCP að auki.“ Fyrir vikið er áætlunin þróuð, samþykkt og samþykkt af öllum, frá toppi til botns.
Hver ber ábyrgð á að geyma áætlunina, uppfæra og endurskoða upplýsingarnar í henni? Þetta má ekki ávísa. Að ráða sérstakan starfsmann í þetta er sóun, en að hlaða einn af þeim sem fyrir eru með aukaskyldum er auðvitað mögulegt, því allir leitast nú við hagræðingu: „Hengjum ljósker á hann svo hann geti klippt á nóttunni,“ en er það nauðsynlegt?
Við erum að leita að þeim sem bera ábyrgð á BCP tveimur árum eftir stofnun þess
Þess vegna gerist það oft svona: áætlun var þróuð og sett í langan kassa til að verða þakinn ryki. Enginn prófar það eða heldur mikilvægi þess. Algengasta setningin sem ég heyri þegar ég kem til viðskiptavinar er: „Það er til áætlun, en hún var þróuð fyrir löngu síðan, hvort hún var prófuð er óþekkt, það er grunur um að hún virki ekki.“
9. Of mikið vatn
Áætlanir eru þar sem kynningin er fimm blaðsíður, þar á meðal lýsing á forsendum og þakkir til allra þátttakenda í verkefninu, með upplýsingum um hvað fyrirtækið gerir. Þegar þú flettir niður á tíundu síðu, þar sem eru gagnlegar upplýsingar, hefur gagnaverið þitt þegar verið yfirfullt.
Þegar þú ert að reyna að lesa allt til augnabliksins, hvað ættir þú að gera ef gagnaverið þitt er yfirfullt?
Settu allt „vatn“ fyrirtækja í sérstakt skjal. Áætlunin sjálf verður að vera ákaflega nákvæm: sá sem ber ábyrgð á þessu verkefni gerir þetta o.s.frv.
10. Á hvers kostnað er veislan?
Oft hafa höfundar áætlana ekki stuðning frá æðstu stjórnendum fyrirtækisins. En það er stuðningur frá millistjórnendum sem stjórna ekki eða hafa ekki nauðsynleg fjárhagsáætlun og fjármagn til að stjórna samfellu í rekstri. Til dæmis býr upplýsingatæknideildin til BCP áætlun sína innan fjárhagsáætlunar sinnar, en CIO sér ekki heildarmynd fyrirtækisins. Uppáhalds dæmið mitt er myndbandsfundur. Þegar myndbandsfundur forstjórans virkar ekki, hvern mun hann þá rýra? CIO sem "veitti ekki." Því, frá sjónarhóli CIO, hvað er mikilvægast í fyrirtækinu? Það sem fólk „elskar“ hann alltaf fyrir: Myndbandafundir, sem breytast strax í viðskiptagagnrýnið kerfi. Og frá viðskiptalegu sjónarmiði - jæja, engin VKS, hugsaðu bara, við tölum í síma, eins og undir Brezhnev ...
Auk þess telur upplýsingatæknideild að meginverkefni sitt ef ógæfu ber að höndum sé að koma aftur á rekstri upplýsingatæknikerfa fyrirtækja. En stundum þarftu ekki að gera þetta! Ef það er viðskiptaferli í formi þess að prenta pappírsstykki á hræðilega dýran prentara, þá ættir þú ekki að kaupa annan slíkan prentara til vara og setja hann við hliðina á honum ef bilun kemur upp. Það gæti verið nóg að lita pappírsstykkin tímabundið með höndunum.
Ef við erum að byggja upp stöðuga vernd innan upplýsingatækni, verðum við að fá stuðning æðstu stjórnenda og fulltrúa fyrirtækja. Að öðrum kosti geturðu leyst ákveðin vandamál, en ekki öll nauðsynleg, eftir að hafa púkast inni í upplýsingatæknideildinni.
Svona lítur staðan út þegar aðeins upplýsingatæknideildin er með DR áætlanir
10. Engin prófun
Ef það er áætlun þarf að prófa hana. Fyrir þá sem ekki þekkja staðlana er þetta alls ekki augljóst. Til dæmis, þú ert með "neyðarútgangs" skilti hangandi alls staðar. En segðu mér, hvar er eldfötan þín, krókurinn og skóflan? Hvar er brunahani? Hvar ætti slökkvitækið að vera staðsett? En þetta ættu allir að vita. Það finnst okkur alls ekki rökrétt að finna slökkvitæki þegar farið er inn á skrifstofu.
Kannski ætti að nefna þörfina á að prófa áætlunina í áætluninni sjálfri, en þetta er umdeild ákvörðun. Í öllum tilvikum getur áætlun aðeins talist virka ef hún hefur verið prófuð að minnsta kosti einu sinni. Eins og fyrr segir heyri ég mjög oft: „Það liggur fyrir áætlun, allir innviðir eru undirbúnir en það er ekki staðreynd að allt gangi upp eins og skrifað er í áætluninni. Vegna þess að þeir prófuðu það ekki. Aldrei".
Að lokum
Sum fyrirtæki geta greint sögu sína til að skilja hvers konar vandræði eru líkleg til að gerast og hversu líkleg þau eru. Rannsóknir og reynsla benda til þess að við getum ekki varið okkur fyrir öllu. Skítur, fyrr eða síðar, kemur fyrir hvaða fyrirtæki sem er. Annað er hversu tilbúinn þú verður fyrir þessar eða svipaðar aðstæður og hvort þú getur endurheimt viðskipti þín í tæka tíð.
Sumir halda að samfella snúist um hvernig eigi að útrýma alls kyns áhættu svo að þær verði ekki að veruleika. Nei, málið er að áhætta verður að veruleika og við verðum tilbúin í þetta. Hermenn eru þjálfaðir í að hugsa ekki í bardaga heldur til að bregðast við. Það er það sama með BCP áætlun: það gerir þér kleift að endurheimta viðskipti þín eins fljótt og auðið er.
Eini búnaðurinn sem krefst ekki BCP
Igor Tyukachev,
Samfellu viðskiptaráðgjafi
Miðstöð fyrir hönnun tölvukerfa
"Jet Infosystems"
Heimild: www.habr.com