Здраво свима, моје име је Игор Тјукачев и ја сам консултант за континуитет пословања. У данашњем посту ћемо имати дугу и досадну дискусију о уобичајеним истинама.Желим да поделим своје искуство и говорим о главним грешкама које компаније праве приликом израде плана континуитета пословања.
1. РТО и РПО насумично
Најважнија грешка коју сам видео је да је време опоравка (РТО) узето из ничега. Па из ничега – на пример, има неких бројева од пре две године из СЛА које је неко донео са претходног радног места. Зашто то раде? На крају крајева, према свим методама, прво морате анализирати последице по пословне процесе и на основу ове анализе израчунати циљно време опоравка и прихватљив губитак података. Али извођење такве анализе понекад траје дуго, понекад је скупо, понекад није баш јасно како—нагласите шта треба да се уради. И прва ствар која многима пада на памет је: „Сви смо ми одрасли и разумемо како посао функционише. Не губимо време и новац! Узмимо плус или минус како треба. Из главе, користећи пролетерску домишљатост! Нека РТО буде два сата.”
чему ово води? Када дођете у менаџмент по новац за активности да се са одређеним бројевима обезбеди потребан РТО/РПО, то увек захтева оправдање. Ако нема оправдања, онда се поставља питање: одакле вам то? И нема шта да се одговори. Као резултат, изгубљено је поверење у ваш рад.
Осим тога, понекад та два сата опоравка коштају милион долара. А оправдавање трајања РТО је ствар новца, и то веома великих.
И на крају, када свој БЦП и/или ДР план донесете извођачима (који ће заправо трчати и махати рукама у тренутку несреће), они ће поставити слично питање: откуд ова два сата? А ако то не можете јасно да објасните, онда они неће имати поверења ни у вас ни у ваш документ.
Испада да је парче папира зарад парчета папира, одјава. Узгред, неки то раде намерно, само да би задовољили захтеве регулатора.
Па, схватио си
2. Лек за све
Неки људи верују да је БЦП план развијен да заштити све пословне процесе од било каквих претњи. Недавно се поставља питање „Од чега желимо да се заштитимо?“ Чуо сам одговор: "Све и више."
Али чињеница је да је план намењен само заштити специфичан кључни пословни процеси компаније из специфичан претње. Стога је пре израде плана неопходно проценити појаву ризика и анализирати њихове последице по пословање. Процена ризика је потребна да би се разумело којих претњи се компанија плаши. У случају рушења објекта биће један план континуитета, у случају санкционог притиска - други, у случају поплава - трећи. Чак и две идентичне локације у различитим градовима могу имати значајно различите планове.
Немогуће је заштитити читаво предузеће са једним ГП, а посебно великим. На пример, огромна Кс5 Ретаил Гроуп почела је да обезбеђује континуитет са два кључна пословна процеса (писали смо о томе ). И једноставно је нереално оградити цело предузеће једним планом, ово је из категорије „колективне одговорности“, када су сви одговорни, а нико није одговоран.
Стандард ИСО 22301 садржи концепт политике, са којом, заправо, почиње процес континуитета у компанији. Описује шта ћемо заштитити и од чега. Ако људи дођу и траже да додају ово и то, на пример:
— Хајде да додамо на БЦП ризик да ћемо бити хаковани?
Ор
— Недавно, током кише, наш горњи спрат је био поплављен – хајде да додамо сценарио шта да радимо у случају поплаве?
Онда их одмах упутите на ову политику и реците да штитимо конкретну имовину компаније и то само од конкретних, унапред договорених претњи, јер су оне сада приоритет.
Чак и ако су предлози за измене заиста прикладни, онда понудите да их узмете у обзир у следећој верзији политике. Јер заштита компаније кошта много новца. Дакле, све измене плана ГП морају да прођу кроз буџетску комисију и планирање. Препоручујемо преглед политике континуитета пословања компаније једном годишње или одмах након значајних промена у структури компаније или спољним условима (нека ми читаоци опросте на томе).
3. Фантазије и стварност
Често се дешава да приликом израде плана граничног прелаза аутори описују неку идеалну слику света. На пример, „немамо други центар података, али ћемо написати план као да имамо.“ Или предузеће још нема неки део инфраструктуре, али ће га запослени ипак додати у план у нади да ће се појавити у будућности. А онда ће компанија проширити стварност на план: изградити други центар података, описати друге промене.
Са леве стране је инфраструктура која одговара ГП, са десне стране је права инфраструктура
Ово је све грешка. Писање БЦП плана значи трошење новца. Ако напишете план који тренутно не функционише, платићете веома скуп папир. Немогуће је опоравити се од тога, немогуће га је тестирати. Испада да је то рад ради посла.
План можете написати прилично брзо, али изградња резервне инфраструктуре и трошење новца на сва решења за заштиту је дуго и скупо. Ово може потрајати више од једне године. А може се испоставити да већ имате план, а инфраструктура за њега ће се појавити за две године. Зашто је потребан такав план? Од чега ће вас заштитити?
Такође је фантазија када развојни тим БЦП-а почне да смишља стручњаке шта треба да ураде и у које време. Долази из категорије: „Када видите медведа у тајги, потребно је да се окренете у супротном смеру од медведа и да трчите брзином већом од брзине медведа. Током зимских месеци, морате прикрити своје трагове.”
4. Врхови и корени
Четврта најважнија грешка је да план буде превише површан или превише детаљан. Треба нам златна средина. План не би требало да буде превише детаљан за идиоте, али не би требало да буде превише уопштен да би се овако нешто завршило:
На лако уопште
5. Цезару - шта је цезарово, механичару - шта је механичарско.
Следећа грешка произилази из претходне: један план не може да обухвати све акције за све нивое управљања. БЦП планови се обично развијају за велике компаније са великим финансијским токовима (успут, према нашем у просеку, 48% великих руских компанија наишло је на ванредне ситуације које су повлачиле за собом значајне финансијске губитке) и систем управљања на више нивоа. За такве компаније не вреди покушати све уклопити у један документ. Ако је компанија велика и структурирана, онда план треба да има три одвојена нивоа:
- стратешки ниво - за виши менаџмент;
- тактички ниво - за средње менаџере;
- а оперативни ниво – за оне који су директно укључени на терену.
На пример, ако говоримо о обнављању покварене инфраструктуре, онда се на стратешком нивоу доноси одлука да се активира план опоравка, на тактичком нивоу могу се описати процесне процедуре, а на оперативном нивоу постоје упутства за пуштање у рад одређених комада опреме.
ГП без буџета
Свако види своју област одговорности и везе са другим запосленима. У тренутку несреће, свако отвори план, брзо пронађе свој део и следи га. У идеалном случају, треба да запамтите напамет које странице да отворите, јер се понекад рачунају минуте.
6. Игра улога
Још једна грешка приликом израде плана граничног прелаза: нема потребе да се у план уносе одређена имена, адресе поште и друге контакт информације. У самом тексту документа треба навести само безличне улоге, а тим улогама додељивати имена одговорних за конкретне задатке и њихове контакте навести у анексу плана.
Зашто?
Данас већина људи мења посао сваке две до три године. А ако у текст плана запишете све одговорне и њихове контакте, онда ће он морати стално да се мења. А у великим компанијама, а посебно државним, свака промена било ког документа захтева тону одобрења.
Да не помињемо да ћете изгубити драгоцено време, ако се догоди хитан случај и морате махнито листати план и тражити прави контакт.
Лифе хацк: када промените апликацију, често не морате ни да је одобрите. Још један савет: можете користити системе за аутоматизацију ажурирања планова.
7. Недостатак верзије
Обично креирају план верзију 1.0, а затим праве све измене без режима уређивања и без промене назива датотеке. Истовремено, често је нејасно шта се променило у односу на претходну верзију. У недостатку верзије, план живи свој живот, који се ни на који начин не прати. Друга страница било ког плана граничног прелаза треба да назначи верзију, аутора измена и листу самих промена.
Нико то више не може да схвати
8. Кога да питам?
Компаније често немају особу одговорну за план граничног прелаза и не постоји посебно одељење које је одговорно за континуитет пословања. Ова часна одговорност је додељена ЦИО-у, његовом заменику, или по принципу „ви се бавите безбедношћу информација, па ево и БЦП-а“. Као резултат, план се развија, усаглашава и одобрава, од врха до дна.
Ко је одговоран за чување плана, ажурирање и ревизију информација у њему? Ово можда није прописано. Ангажовање посебног радника за ово је расипништво, али је могуће, наравно, утоварити неког од постојећих додатним обавезама, јер сада сви теже ефикасности: „Хајде да му окачимо фењер да може да коси ноћу“, али Да ли је неопходно?
Тражимо одговорне за ГП две године након његовог стварања
Због тога се често дешава овако: направљен је план и стављен у дугачку кутију да буде прекривен прашином. Нико га не тестира нити одржава његову релевантност. Најчешћа фраза коју чујем када дођем код купца је: „Постоји план, али је развијен давно, да ли је тестиран, не зна се, постоји сумња да не функционише.
9. Превише воде
Постоје планови у којима је увод дугачак пет страница, укључујући опис предуслова и захвалност свим учесницима у пројекту, са информацијама о томе шта компанија ради. Док скролујете надоле до десете странице, где се налазе корисне информације, ваш центар података је већ био преплављен.
Када покушавате да прочитате до тренутка, шта треба да урадите ако је ваш центар података поплављен?
Ставите сву корпоративну „воду“ у посебан документ. Сам план мора бити крајње конкретан: особа одговорна за овај задатак то ради, и тако даље.
10. О чијем трошку је банкет?
Често креатори планова немају подршку највишег менаџмента компаније. Али постоји подршка средњег менаџмента који не управља или нема потребан буџет и ресурсе за управљање континуитетом пословања. На пример, ИТ одељење креира свој БЦП план у оквиру свог буџета, али ЦИО не види целу слику компаније. Мој омиљени пример су видео конференције. Када видео-конференција генералног директора не ради, кога ће он истребити? ЦИО који „није обезбедио“. Дакле, из угла ЦИО-а, шта је најважније у компанији? Оно због чега га људи увек „воле”: видео конференције, које се одмах претварају у систем од кључне важности за пословање. А са пословне тачке гледишта - па, нема ВКС, само размислите, разговараћемо телефоном, као под Брежњевом...
Осим тога, ИТ одељење обично сматра да је његов главни задатак у случају катастрофе да обнови рад корпоративних ИТ система. Али понекад не морате то да радите! Ако постоји пословни процес у виду штампања папирића на ужасно скупом штампачу, онда не би требало да купујете други такав штампач као резервни и стављате га поред њега у случају квара. Можда ће бити довољно да привремено обојите папире ручно.
Ако градимо континуирану заштиту у оквиру ИТ-а, морамо добити подршку вишег менаџмента и пословних представника. У супротном, сместивши се у ИТ одељење, можете решити одређени низ проблема, али не и све потребне.
Овако изгледа ситуација када само ИТ одељење има ДР планове
10. Без тестирања
Ако постоји план, треба га тестирати. За оне који нису упознати са стандардима, ово уопште није очигледно. На пример, имате свуда окачене знакове „излаз у случају нужде“. Али реци ми, где је твоја ватрогасна канта, кука и лопата? Где је пожарни хидрант? Где треба да се налази апарат за гашење пожара? Али ово треба да знају сви. Уопште нам се не чини логичним да приликом уласка у канцеларију пронађемо апарат за гашење пожара.
Можда би у самом плану требало поменути потребу тестирања плана, али ово је контроверзна одлука. У сваком случају, план се може сматрати функционалним само ако је тестиран барем једном. Као што је горе поменуто, врло често чујем: „План постоји, сва инфраструктура је припремљена, али није чињеница да ће све функционисати како је написано у плану. Зато што то нису тестирали. Никад".
У закључку
Неке компаније могу да анализирају своју историју како би разумеле које врсте проблема ће се вероватно десити и колико су вероватне. Истраживања и искуство говоре да се не можемо заштитити од свега. Срање се, пре или касније, деси свакој компанији. Друга ствар је колико ћете бити спремни за ову или сличну ситуацију и да ли ћете успети да обновите своје пословање на време.
Неки људи мисле да је континуитет у томе како елиминисати све врсте ризика како се не би остварили. Не, ствар је у томе да ће се ризици материјализирати, а ми ћемо бити спремни за ово. Војници су обучени да не размишљају у борби, већ да делују. Исто је и са БЦП планом: он ће вам омогућити да обновите своје пословање што је брже могуће.
Једина опрема која не захтева БЦП
Игор Тјукачев,
Консултант за континуитет пословања
Центар за пројектовање рачунарских система
"Јет Инфосистеми"
Извор: ввв.хабр.цом