Olá a todos, meu nome é Igor Tyukachev e sou consultor de continuidade de negócios. No post de hoje teremos uma longa e tediosa discussão sobre verdades comuns, quero compartilhar minha experiência e falar sobre os principais erros que as empresas cometem ao desenvolver um plano de continuidade de negócios.
1. RTO e RPO aleatoriamente
O erro mais importante que vi é que o tempo de recuperação (RTO) é tirado do nada. Bem, do nada - por exemplo, existem alguns números do SLA de dois anos atrás que alguém trouxe de seu local de trabalho anterior. Porque é que eles fazem isto? Afinal, de acordo com todos os métodos, você deve primeiro analisar as consequências para os processos de negócios e, com base nessa análise, calcular o tempo de recuperação alvo e a perda de dados aceitável. Mas fazer essa análise às vezes leva muito tempo, às vezes é caro, às vezes não é muito claro como – enfatize o que precisa ser feito. E a primeira coisa que vem à mente de muitos é: “Somos todos adultos e entendemos como funcionam os negócios. Não vamos perder tempo e dinheiro! Vamos considerar mais ou menos como deveria ser. Fora da sua cabeça, usando a engenhosidade proletária! Deixe o RTO ser de duas horas.”
A que isso leva? Quando você chega à gestão em busca de dinheiro para atividades que garantam o RTO/RPO exigido com determinados números, sempre é necessária uma justificativa. Se não houver justificativa, surge a pergunta: de onde você tirou isso? E não há nada para responder. Como resultado, a confiança no seu trabalho é perdida.
Além disso, às vezes essas duas horas de recuperação custam um milhão de dólares. E justificar a duração do RTO é uma questão de dinheiro, e muito grande.
E por fim, quando você levar seu plano de BCP e/ou DR aos performers (que na verdade estarão correndo e agitando os braços no momento do acidente), eles farão uma pergunta semelhante: de onde vieram essas duas horas? E se você não conseguir explicar isso claramente, eles não confiarão em você ou no seu documento.
Acontece que é um pedaço de papel por um pedaço de papel, um cancelamento de assinatura. A propósito, alguns fazem isso deliberadamente, simplesmente para satisfazer os requisitos do regulador.
Bem você entende
2. A cura para tudo
Algumas pessoas acreditam que um plano BCP é desenvolvido para proteger todos os processos de negócios contra quaisquer ameaças. Recentemente, a pergunta “Do que queremos nos proteger?” Ouvi a resposta: “Tudo e mais”.
Mas o facto é que o plano pretende proteger apenas específico principais processos de negócios da empresa a partir de específico ameaças. Portanto, antes de desenvolver um plano, é necessário avaliar a ocorrência de riscos e analisar suas consequências para o negócio. A avaliação de riscos é necessária para entender de quais ameaças a empresa tem medo. Em caso de destruição do edifício haverá um plano de continuidade, em caso de pressão sancionatória - outro, em caso de inundação - um terceiro. Mesmo dois locais idênticos em cidades diferentes podem ter planos significativamente diferentes.
É impossível proteger uma empresa inteira com um BCP, especialmente uma grande empresa. Por exemplo, o enorme Grupo de Varejo X5 começou a garantir a continuidade de dois processos de negócios importantes (escrevemos sobre isso ). E é simplesmente irrealista envolver toda a empresa num único plano; isto pertence à categoria de “responsabilidade colectiva”, quando todos são responsáveis e ninguém é responsável.
A norma ISO 22301 contém o conceito de política, com a qual, de fato, começa o processo de continuidade na empresa. Descreve o que protegeremos e de quê. Se as pessoas vierem correndo e pedirem para adicionar isso e aquilo, por exemplo:
— Vamos acrescentar ao BCP o risco de sermos hackeados?
Ou
— Recentemente, durante a chuva, nosso último andar foi alagado – vamos adicionar um cenário do que fazer em caso de alagamento?
Em seguida, encaminhe-os imediatamente para esta política e diga que protegemos ativos específicos da empresa e apenas contra ameaças específicas e pré-acordadas, porque elas são a prioridade agora.
E mesmo que as propostas de mudanças sejam realmente apropriadas, ofereça-se para levá-las em consideração na próxima versão da política. Porque proteger uma empresa custa muito dinheiro. Portanto, todas as alterações ao plano do BCP devem passar pelo comité orçamental e pelo planeamento. Recomendamos a revisão da política de continuidade de negócios da empresa uma vez por ano ou imediatamente após mudanças significativas na estrutura da empresa ou nas condições externas (os leitores me perdoem por dizer isso).
3. Fantasias e realidade
Muitas vezes acontece que, ao traçar um plano BCP, os autores descrevem alguma imagem ideal do mundo. Por exemplo, “não temos um segundo data center, mas escreveremos um plano como se tivéssemos”. Ou a empresa ainda não possui alguma parte da infraestrutura, mas os funcionários ainda irão adicioná-la ao plano na esperança de que apareça no futuro. E então a empresa estenderá a realidade ao plano: construir um segundo data center, descrever outras mudanças.
À esquerda está a infraestrutura correspondente ao BCP, à direita está a infraestrutura real
Isso tudo é um erro. Escrever um plano BCP significa gastar dinheiro. Se você elaborar um plano que não funcione agora, estará pagando por um papel muito caro. É impossível recuperar-se disso, é impossível testá-lo. Acontece que é trabalho por trabalho.
Você pode elaborar um plano rapidamente, mas construir uma infraestrutura de backup e gastar dinheiro em todas as soluções de proteção é demorado e caro. Isso pode levar mais de um ano. E pode acontecer que você já tenha um plano e a infraestrutura para ele apareça em dois anos. Por que esse plano é necessário? Do que isso irá protegê-lo?
Também é uma fantasia quando a equipe de desenvolvimento do BCP começa a descobrir para os especialistas o que eles devem fazer e em que prazo. Vem da categoria: “Quando você vê um urso na taiga, você precisa virar na direção oposta do urso e correr a uma velocidade que excede a velocidade do urso. Durante os meses de inverno, você precisa cobrir seus rastros.”
4. Topos e raízes
O quarto erro mais importante é tornar o plano demasiado superficial ou demasiado detalhado. Precisamos de um meio-termo dourado. O plano não deve ser muito detalhado para idiotas, mas também não deve ser muito geral para que algo assim acabe:
Fácil em geral
5. Para César - o que é de César, para o mecânico - o que é do mecânico.
O próximo erro decorre do anterior: um plano não pode acomodar todas as ações para todos os níveis de gestão. Os planos BCP são normalmente desenvolvidos para grandes empresas com grandes fluxos financeiros (aliás, de acordo com o nosso , em média, 48% das grandes empresas russas enfrentaram situações de emergência que implicam perdas financeiras significativas) e um sistema de gestão multinível. Para essas empresas, não vale a pena tentar encaixar tudo em um único documento. Se a empresa for grande e estruturada, o plano deverá ter três níveis distintos:
- nível estratégico – para a alta administração;
- nível tático - para gerentes intermediários;
- e o nível operacional – para os diretamente envolvidos no terreno.
Por exemplo, se estamos a falar de restaurar uma infra-estrutura avariada, então a nível estratégico é tomada a decisão de activar o plano de recuperação, a nível táctico podem ser descritos os procedimentos do processo, e a nível operacional existem instruções para comissionamento específico equipamentos.
BCP sem orçamento
Cada um vê sua área de responsabilidade e conexões com outros funcionários. No momento do acidente, todos abrem um plano, encontram rapidamente a sua parte e a seguem. O ideal é lembrar de cor quais páginas abrir, porque às vezes os minutos contam.
6. Dramatização
Outro erro na elaboração de um plano BCP: não há necessidade de incluir nomes específicos, endereços de correio e outras informações de contato no plano. No próprio texto do documento devem ser indicadas apenas funções impessoais, devendo a essas funções ser atribuídos os nomes dos responsáveis por tarefas específicas e os seus contactos devem ser listados no anexo do plano.
Por quê?
Hoje, a maioria das pessoas muda de emprego a cada dois ou três anos. E se você anotar todos os responsáveis e seus contatos no texto do plano, ele terá que ser alterado constantemente. E nas grandes empresas, especialmente nas governamentais, cada alteração em qualquer documento requer muitas aprovações.
Sem falar que se ocorrer uma emergência e você tiver que folhear freneticamente o plano e procurar o contato certo, você perderá um tempo precioso.
Life hack: quando você altera um aplicativo, muitas vezes nem precisa aprová-lo. Outra dica: você pode usar sistemas de automação de atualização de planos.
7. Falta de versionamento
Normalmente eles criam um plano versão 1.0 e depois fazem todas as alterações sem modo de edição e sem alterar o nome do arquivo. Ao mesmo tempo, muitas vezes não está claro o que mudou em comparação com a versão anterior. Na ausência de versionamento, o plano vive sua própria vida, que não é rastreada de forma alguma. A segunda página de qualquer plano BCP deve indicar a versão, o autor das alterações e uma lista das próprias alterações.
Ninguém consegue mais descobrir
8. A quem devo perguntar?
Muitas vezes as empresas não têm uma pessoa responsável pelo plano BCP e não existe um departamento separado responsável pela continuidade dos negócios. Essa responsabilidade honrosa é atribuída ao CIO, seu substituto, ou de acordo com o princípio “você lida com segurança da informação, então aqui está o BCP também”. Como resultado, o plano é desenvolvido, acordado e aprovado, de cima para baixo.
Quem é responsável por armazenar o plano, atualizar e revisar as informações nele contidas? Isso pode não ser prescrito. Contratar um funcionário separado para isso é um desperdício, mas carregar um dos existentes com tarefas adicionais é possível, claro, porque todos agora buscam eficiência: “Vamos pendurar uma lanterna nele para que ele possa cortar a grama à noite”, mas isso é necessário?
Procuramos responsáveis pelo BCP dois anos após a sua criação
Portanto, muitas vezes acontece assim: um plano foi desenvolvido e colocado em uma caixa comprida para ficar coberto de poeira. Ninguém testa ou mantém sua relevância. A frase mais comum que ouço quando vou até um cliente é: “Existe um plano, mas foi desenvolvido há muito tempo, não se sabe se foi testado, há suspeita de que não funciona”.
9. Muita água
Existem planos em que a introdução tem cinco páginas, incluindo a descrição dos pré-requisitos e agradecimento a todos os participantes do projeto, com informações sobre o que a empresa faz. No momento em que você rola para baixo até a décima página, onde há informações úteis, seu data center já está inundado.
Ao tentar ler até o momento, o que você deve fazer se seu data center for inundado?
Coloque toda a “água” corporativa em um documento separado. O plano em si deve ser extremamente específico: o responsável por esta tarefa faz isso e assim por diante.
10. À custa de quem é o banquete?
Muitas vezes, os idealizadores do plano não contam com o apoio da alta administração da empresa. Mas há apoio da gestão intermédia que não gere ou não tem o orçamento e os recursos necessários para gerir a continuidade dos negócios. Por exemplo, o departamento de TI cria o seu plano BCP dentro do seu orçamento, mas o CIO não vê a imagem completa da empresa. Meu exemplo favorito é a videoconferência. Quando a videoconferência do CEO não funcionar, quem ele eviscerará? O CIO que “não forneceu”. Portanto, do ponto de vista do CIO, o que é mais importante na empresa? O que as pessoas sempre o “amam”: videoconferência, que imediatamente se transforma em um sistema crítico para os negócios. E do ponto de vista comercial - bem, nada de VKS, pense só, conversaremos ao telefone, como no governo de Brejnev...
Além disso, o departamento de TI costuma pensar que sua principal tarefa em caso de desastre é restaurar o funcionamento dos sistemas de TI corporativos. Mas às vezes você não precisa fazer isso! Se houver um processo de negócios na forma de impressão de pedaços de papel em uma impressora terrivelmente cara, você não deve comprar uma segunda impressora como sobressalente e colocá-la próxima a ela em caso de quebra. Pode ser suficiente colorir temporariamente os pedaços de papel à mão.
Se quisermos construir uma proteção contínua dentro da TI, devemos contar com o apoio da alta administração e dos representantes comerciais. Caso contrário, tendo entrado no departamento de TI, você poderá resolver uma certa gama de problemas, mas não todos os necessários.
É assim que fica a situação quando apenas o departamento de TI tem planos de DR
10. Sem testes
Se existe um plano, ele precisa ser testado. Para quem não está familiarizado com os padrões, isso não é nada óbvio. Por exemplo, você tem placas de “saída de emergência” penduradas em todos os lugares. Mas diga-me, onde estão seu balde de fogo, seu gancho e sua pá? Onde fica o hidrante? Onde o extintor de incêndio deve estar localizado? Mas todos deveriam saber disso. Não nos parece nada lógico encontrar um extintor de incêndio ao entrar num escritório.
Talvez a necessidade de testar o plano deva ser mencionada no próprio plano, mas esta é uma decisão controversa. Em qualquer caso, um plano só pode ser considerado funcional se tiver sido testado pelo menos uma vez. Como mencionei acima, ouço muitas vezes: “Existe um plano, toda a infraestrutura está preparada, mas não é verdade que tudo vai correr como está escrito no plano. Porque eles não testaram. Nunca".
Em conclusão
Algumas empresas podem analisar seu histórico para entender que tipo de problemas provavelmente acontecerão e qual a probabilidade deles. A investigação e a experiência sugerem que não podemos proteger-nos de tudo. Merda, mais cedo ou mais tarde, acontece com qualquer empresa. Outra coisa é o quão preparado você estará para esta ou uma situação semelhante e se conseguirá restaurar seu negócio a tempo.
Algumas pessoas pensam que continuidade é como eliminar todos os tipos de riscos para que eles não se concretizem. Não, a questão é que os riscos se materializarão e estaremos preparados para isso. Os soldados são treinados não para pensar na batalha, mas para agir. O mesmo acontece com um plano BCP: permitir-lhe-á restaurar o seu negócio o mais rapidamente possível.
O único equipamento que não necessita de BCP
Igor Tyukachev,
Consultor de Continuidade de Negócios
Centro de Design de Sistemas de Computação
"Infosistemas a Jato"
Fonte: habr.com