Ciao a tutti, mi chiamo Igor Tyukachev e sono un consulente di continuità aziendale. Nel post di oggi affronteremo una lunga e noiosa trattazione delle verità comuni, voglio condividere la mia esperienza e parlare dei principali errori che le aziende commettono quando sviluppano un piano di continuità aziendale.
1. RTO e RPO casuali
L'errore più importante che ho riscontrato è che il tempo di recupero (RTO) viene preso dal nulla. Beh, dal nulla: ci sono ad esempio alcuni numeri dell'ASL di due anni fa che qualcuno ha portato dal suo precedente posto di lavoro. Perché lo fanno? Dopotutto, secondo tutti i metodi, è necessario prima analizzare le conseguenze per i processi aziendali e, sulla base di questa analisi, calcolare il tempo di ripristino previsto e la perdita di dati accettabile. Ma fare un’analisi di questo tipo a volte richiede molto tempo, a volte è costoso, a volte non è molto chiaro come – enfatizzare ciò che deve essere fatto. E la prima cosa che viene in mente a molti è: “Siamo tutti adulti e capiamo come funziona il business. Non perdiamo tempo e denaro! Prendiamo più o meno come dovrebbe essere. Fuori di testa, usando l'ingegno proletario! Lascia che l'RTO duri due ore.
Cosa porta questo? Quando si arriva al management per chiedere soldi per attività volte a garantire l'RTO/RPO richiesto con determinati numeri, è sempre necessaria una giustificazione. Se non c'è giustificazione, sorge la domanda: da dove l'hai preso? E non c'è niente a cui rispondere. Di conseguenza, si perde la fiducia nel proprio lavoro.
Inoltre a volte quelle due ore di recupero costano un milione di dollari. E giustificare la durata dell'RTO è una questione di soldi, e per giunta molto ingenti.
E infine, quando porti il tuo piano BCP e/o DR agli artisti (che effettivamente correranno e agiteranno le braccia al momento dell'incidente), faranno una domanda simile: da dove vengono queste due ore? E se non puoi spiegarlo chiaramente, non avranno fiducia né in te né nel tuo documento.
Risulta essere un pezzo di carta per il bene di un pezzo di carta, un annullamento dell'iscrizione. A proposito, alcuni lo fanno deliberatamente, semplicemente per soddisfare i requisiti dell'ente regolatore.
Bene hai capito
2. La cura per tutto
Alcune persone credono che sia sviluppato un piano BCP per proteggere tutti i processi aziendali da qualsiasi minaccia. Recentemente la domanda “da cosa vogliamo proteggerci?” Ho sentito la risposta: “Di tutto e di più”.
Ma il fatto è che il piano mira solo a proteggere specifico processi aziendali chiave dell'azienda da specifico minacce. Pertanto, prima di sviluppare un piano, è necessario valutare l’insorgenza dei rischi e analizzarne le conseguenze per l’azienda. La valutazione del rischio è necessaria per capire di quali minacce l’azienda ha paura. In caso di distruzione dell'edificio ci sarà un piano di continuità, in caso di pressione sanzionatoria un altro, in caso di alluvione un terzo. Anche due siti identici in città diverse possono avere piani significativamente diversi.
È impossibile proteggere un'intera azienda con un BCP, soprattutto se di grandi dimensioni. Ad esempio, il grande Gruppo X5 Retail ha iniziato a garantire la continuità con due processi aziendali chiave (ne abbiamo scritto ). Ed è semplicemente irrealistico racchiudere l'intera azienda in un unico piano; questo rientra nella categoria della "responsabilità collettiva", quando tutti sono responsabili e nessuno è responsabile.
La norma ISO 22301 racchiude il concetto di politica, con la quale, di fatto, inizia il processo di continuità in azienda. Descrive cosa proteggeremo e da cosa. Se le persone vengono di corsa e chiedono di aggiungere questo e quello, ad esempio:
— Aggiungiamo al BCP il rischio di essere hackerati?
O
— Recentemente, durante la pioggia, il nostro ultimo piano è stato allagato: aggiungiamo uno scenario su cosa fare in caso di allagamento?
Quindi indirizzateli immediatamente a questa politica e dite che proteggiamo risorse aziendali specifiche e solo da minacce specifiche e pre-concordate, perché ora sono la priorità.
E anche se le proposte di cambiamento sono effettivamente appropriate, offritevi di tenerne conto nella prossima versione della politica. Perché proteggere un’azienda costa moltissimo. Pertanto, tutte le modifiche al piano BCP devono passare attraverso il comitato di bilancio e pianificazione. Raccomandiamo di rivedere la politica di continuità operativa dell'azienda una volta all'anno o immediatamente dopo cambiamenti significativi nella struttura dell'azienda o nelle condizioni esterne (i lettori mi perdonino se lo dico).
3. Fantasie e realtà
Accade spesso che quando elaborano un piano BCP, gli autori descrivano un'immagine ideale del mondo. Ad esempio, “non disponiamo di un secondo data center, ma scriveremo un piano come se lo avessimo”. Oppure l'azienda non dispone ancora di una parte dell'infrastruttura, ma i dipendenti la aggiungeranno comunque al piano nella speranza che appaia in futuro. E poi l'azienda estenderà la realtà al piano: costruire un secondo data center, descrivere altri cambiamenti.
A sinistra c'è l'infrastruttura corrispondente al BCP, a destra c'è l'infrastruttura reale
Tutto questo è un errore. Scrivere un piano BCP significa spendere soldi. Se scrivi un piano che non funziona in questo momento, pagherai carta molto costosa. È impossibile recuperarlo, è impossibile testarlo. Si scopre che è lavoro fine a se stesso.
È possibile scrivere un piano abbastanza rapidamente, ma costruire un'infrastruttura di backup e spendere soldi per tutte le soluzioni di protezione è lungo e costoso. Ciò potrebbe richiedere più di un anno. E potrebbe risultare che tu abbia già un piano e che l'infrastruttura apparirà tra due anni. Perché è necessario un piano del genere? Da cosa ti proteggerà?
È anche una fantasia quando il team di sviluppo di BCP inizia a capire per gli esperti cosa dovrebbero fare e in che tempi. Viene dalla categoria: “Quando vedi un orso nella taiga, devi girare nella direzione opposta all'orso e correre a una velocità superiore a quella dell'orso. Durante i mesi invernali, devi coprire le tue tracce.
4. Cime e radici
Il quarto errore più importante è rendere il piano troppo superficiale o troppo dettagliato. Abbiamo bisogno di una media aurea. Il piano non dovrebbe essere troppo dettagliato per gli idioti, ma non dovrebbe essere troppo generale in modo che qualcosa del genere finisca per:
Su facile in generale
5. A Cesare – ciò che è di Cesare, al meccanico – ciò che è di meccanico.
L’errore successivo deriva da quello precedente: un piano non può contenere tutte le azioni per tutti i livelli di gestione. I piani BCP sono generalmente sviluppati per grandi aziende con grandi flussi finanziari (a proposito, secondo il nostro (in media, il 48% delle grandi aziende russe ha dovuto affrontare situazioni di emergenza che comportavano perdite finanziarie significative) e un sistema di gestione multilivello. Per tali aziende non vale la pena cercare di racchiudere tutto in un unico documento. Se l’azienda è grande e strutturata, allora il piano dovrebbe avere tre livelli distinti:
- livello strategico - per l'alta dirigenza;
- livello tattico - per i quadri intermedi;
- e il livello operativo, per coloro che sono direttamente coinvolti nel settore.
Ad esempio, se si parla di ripristino di un'infrastruttura fallita, allora a livello strategico si decide di attivare il piano di ripristino, a livello tattico si possono descrivere le modalità del processo e a livello operativo ci sono le istruzioni per la messa in servizio di specifiche infrastrutture. pezzi di attrezzatura.
BCP senza budget
Ognuno vede la propria area di responsabilità e i collegamenti con gli altri dipendenti. Al momento dell'incidente, ognuno apre un piano, trova rapidamente la propria parte e la segue. L'ideale sarebbe ricordarsi a memoria quali pagine aprire, perché a volte i minuti contano.
6. Gioco di ruolo
Un altro errore nella stesura di un piano BCP: non è necessario includere nomi specifici, indirizzi e-mail e altre informazioni di contatto nel piano. Nel testo del documento stesso dovrebbero essere indicati solo i ruoli impersonali, a questi ruoli dovrebbero essere assegnati i nomi dei responsabili di compiti specifici e i loro contatti dovrebbero essere elencati nell'allegato al piano.
Perché?
Oggi la maggior parte delle persone cambia lavoro ogni due o tre anni. E se nel testo del piano si annotano tutti i responsabili e i loro contatti, questo dovrà essere costantemente modificato. E nelle grandi aziende, e soprattutto in quelle governative, ogni modifica a qualsiasi documento richiede moltissime approvazioni.
Senza contare che se si verifica un’emergenza e devi sfogliare freneticamente il piano e cercare il contatto giusto, perderai tempo prezioso.
Trucchetto: quando modifichi un'applicazione, spesso non hai nemmeno bisogno di approvarla. Un altro consiglio: puoi utilizzare sistemi di automazione dell'aggiornamento del piano.
7. Mancanza di controllo delle versioni
Di solito creano un piano versione 1.0 e quindi apportano tutte le modifiche senza modalità di modifica e senza modificare il nome del file. Allo stesso tempo, spesso non è chiaro cosa sia cambiato rispetto alla versione precedente. In assenza di versioning, il piano vive di vita propria, di cui non viene tracciato in alcun modo. La seconda pagina di qualsiasi piano BCP dovrebbe indicare la versione, l'autore delle modifiche e un elenco delle modifiche stesse.
Nessuno riesce più a capirlo
8. A chi devo chiedere?
Spesso le aziende non hanno una persona responsabile del piano BCP e non esiste un dipartimento separato responsabile della continuità aziendale. Questa onorevole responsabilità è assegnata al CIO, al suo vice, o secondo il principio “tu ti occupi della sicurezza delle informazioni, quindi ecco in aggiunta BCP”. Di conseguenza, il piano viene sviluppato, concordato e approvato, da cima a fondo.
Chi è responsabile della conservazione del piano, dell’aggiornamento e della revisione delle informazioni in esso contenute? Questo potrebbe non essere prescritto. Assumere un dipendente separato per questo è uno spreco, ma caricare uno di quelli esistenti con compiti aggiuntivi è ovviamente possibile, perché ora tutti cercano l'efficienza: "Appendiamogli una lanterna in modo che possa falciare di notte", ma è necessario?
Cerchiamo i responsabili del BCP a due anni dalla sua creazione
Pertanto, spesso accade così: un piano è stato sviluppato e messo in una lunga scatola per coprirlo di polvere. Nessuno lo mette alla prova o ne mantiene la rilevanza. La frase più comune che sento quando vado da un cliente è: "C'è un piano, ma è stato sviluppato molto tempo fa, non è noto se sia stato testato, c'è il sospetto che non funzioni".
9. Troppa acqua
Ci sono piani in cui l'introduzione è lunga cinque pagine, inclusa una descrizione dei prerequisiti e un ringraziamento a tutti i partecipanti al progetto, con informazioni su ciò che fa l'azienda. Quando scorri fino alla decima pagina, dove sono presenti informazioni utili, il tuo data center è già stato allagato.
Quando cerchi di aggiornarti sul momento, cosa dovresti fare se il tuo data center è allagato?
Collocare tutta l'"acqua" aziendale in un documento separato. Il piano stesso deve essere estremamente specifico: la persona responsabile di questo compito fa questo e così via.
10. A spese di chi è il banchetto?
Spesso gli ideatori dei piani non hanno il supporto del top management dell'azienda. Ma c’è il sostegno del middle management che non gestisce o non dispone del budget e delle risorse necessarie per gestire la continuità aziendale. Ad esempio, il reparto IT crea il piano BCP rispettando il budget, ma il CIO non vede il quadro completo dell'azienda. Il mio esempio preferito è la videoconferenza. Quando la videoconferenza dell'amministratore delegato non funziona, chi sviscererà? Il CIO che “non ha fornito”. Quindi, dal punto di vista del CIO, qual è la cosa più importante in azienda? Ciò per cui la gente lo “ama” da sempre: la videoconferenza, che si trasforma immediatamente in un sistema business-critical. E dal punto di vista degli affari - beh, niente VKS, pensa, parleremo al telefono, come sotto Breznev...
Inoltre, il reparto IT ritiene solitamente che il suo compito principale in caso di disastro sia ripristinare il funzionamento dei sistemi IT aziendali. Ma a volte non è necessario farlo! Se esiste un processo aziendale sotto forma di stampa di pezzi di carta su una stampante terribilmente costosa, non dovresti acquistare una seconda stampante di questo tipo come riserva e posizionarla accanto ad essa in caso di guasto. Potrebbe essere sufficiente colorare temporaneamente i pezzi di carta a mano.
Se stiamo costruendo una protezione continua all'interno dell'IT, dobbiamo avvalerci del supporto del senior management e dei rappresentanti aziendali. Altrimenti, essendo diventato all'interno del dipartimento IT, puoi risolvere una certa gamma di problemi, ma non tutti quelli necessari.
Ecco come si presenta la situazione quando solo il reparto IT dispone di piani DR
10. Nessun test
Se c’è un piano, deve essere testato. Per chi non ha familiarità con gli standard, questo non è affatto ovvio. Ad esempio, ci sono segnali di “uscita di emergenza” appesi ovunque. Ma dimmi, dove sono il secchio antincendio, il gancio e la pala? Dov'è l'idrante? Dove dovrebbe essere posizionato l'estintore? Ma questo dovrebbero saperlo tutti. Non ci sembra affatto logico trovare un estintore quando si entra in un ufficio.
Forse la necessità di testare il piano dovrebbe essere menzionata nel piano stesso, ma questa è una decisione controversa. In ogni caso un piano può considerarsi funzionante solo se è stato testato almeno una volta. Come accennato in precedenza, sento molto spesso: “C'è un piano, tutte le infrastrutture sono preparate, ma non è un dato di fatto che tutto andrà come scritto nel piano. Perché non l'hanno testato. Mai".
insomma
Alcune aziende possono analizzare la loro storia per capire che tipo di problemi potrebbero verificarsi e quanto sono probabili. La ricerca e l’esperienza suggeriscono che non possiamo proteggerci da tutto. Le cose prima o poi succedono a qualsiasi azienda. Un'altra cosa è quanto sarai preparato per questa o una situazione simile e se sarai in grado di ripristinare la tua attività in tempo.
Alcune persone pensano che la continuità riguardi come eliminare tutti i tipi di rischi in modo che non si materializzino. No, il punto è che i rischi si materializzeranno e noi saremo pronti a questo. I soldati sono addestrati non a pensare in battaglia, ma ad agire. Con un piano BCP è lo stesso: ti consentirà di ripristinare la tua attività il più rapidamente possibile.
L'unica attrezzatura che non richiede BCP
Igor Tyukachev,
Consulente per la continuità aziendale
Centro per la progettazione di sistemi informatici
"Sistemi informativi dei jet"
Fonte: habr.com