Xin chào mọi người, tên tôi là Igor Tyukachev và tôi là nhà tư vấn về tính liên tục trong kinh doanh. Trong bài đăng hôm nay, chúng ta sẽ có một cuộc thảo luận dài và tẻ nhạt về những sự thật chung. Tôi muốn chia sẻ kinh nghiệm của mình và nói về những sai lầm chính mà các công ty mắc phải khi phát triển kế hoạch kinh doanh liên tục.
1. RTO và RPO ngẫu nhiên
Sai lầm quan trọng nhất mà tôi từng thấy là thời gian phục hồi (RTO) bị coi nhẹ. Chà, thật bất ngờ - ví dụ, có một số con số từ hai năm trước từ SLA mà ai đó đã mang từ nơi làm việc trước đây của họ. tại sao họ lại làm việc này? Suy cho cùng, theo tất cả các phương pháp, trước tiên bạn phải phân tích hậu quả đối với quy trình kinh doanh và dựa trên phân tích này để tính toán thời gian khôi phục mục tiêu và tình trạng mất dữ liệu có thể chấp nhận được. Nhưng việc thực hiện phân tích như vậy đôi khi mất nhiều thời gian, đôi khi tốn kém, đôi khi không rõ ràng bằng cách nào - hãy nhấn mạnh những gì cần phải làm. Và điều đầu tiên nhiều người nghĩ đến là: “Chúng tôi đều là người trưởng thành và hiểu cách hoạt động của doanh nghiệp. Chúng ta đừng lãng phí thời gian và tiền bạc! Hãy cộng hoặc trừ như mong muốn. Ra khỏi đầu của bạn, sử dụng sự khéo léo của người vô sản! Hãy để RTO là hai giờ.”
Điều này dẫn đến điều gì? Khi bạn đến gặp ban quản lý để cấp tiền cho các hoạt động nhằm đảm bảo RTO/RPO cần thiết với những con số nhất định, điều đó luôn cần có sự biện minh. Nếu không có lời biện minh, thì câu hỏi được đặt ra: bạn lấy nó từ đâu? Và không có gì để trả lời. Kết quả là sự tự tin trong công việc của bạn bị mất đi.
Ngoài ra, đôi khi hai giờ phục hồi đó tiêu tốn cả triệu đô la. Và việc biện minh cho thời hạn của RTO là vấn đề tiền bạc và vấn đề rất lớn.
Và cuối cùng, khi bạn mang kế hoạch BCP và/hoặc DR của mình đến cho những người biểu diễn (những người thực sự sẽ chạy và vẫy tay vào thời điểm xảy ra tai nạn), họ sẽ hỏi một câu hỏi tương tự: hai giờ này đến từ đâu? Và nếu bạn không thể giải thích điều này một cách rõ ràng thì họ sẽ không tin tưởng vào bạn hoặc tài liệu của bạn.
Hóa ra là một mảnh giấy vì một mảnh giấy, một người hủy đăng ký. Nhân tiện, một số người cố tình làm điều này, chỉ để đáp ứng yêu cầu của cơ quan quản lý.
Chà, bạn hiểu rồi
2. Phương thuốc cho mọi thứ
Một số người tin rằng kế hoạch BCP được phát triển để bảo vệ tất cả các quy trình kinh doanh khỏi mọi mối đe dọa. Gần đây, câu hỏi “Chúng ta muốn bảo vệ mình khỏi điều gì?” Tôi nghe thấy câu trả lời: “Mọi thứ và hơn thế nữa.”
Nhưng thực tế là kế hoạch này chỉ nhằm mục đích bảo vệ riêng quy trình kinh doanh chủ yếu của công ty từ riêng các mối đe dọa. Vì vậy, trước khi xây dựng kế hoạch cần đánh giá khả năng xảy ra rủi ro và phân tích hậu quả của chúng đối với doanh nghiệp. Đánh giá rủi ro là cần thiết để hiểu được những mối đe dọa mà công ty đang lo sợ. Trong trường hợp tòa nhà bị phá hủy sẽ có một kế hoạch liên tục, trong trường hợp áp lực xử phạt - kế hoạch khác, trong trường hợp lũ lụt - kế hoạch thứ ba. Ngay cả hai địa điểm giống hệt nhau ở các thành phố khác nhau cũng có thể có kế hoạch khác nhau đáng kể.
Không thể bảo vệ toàn bộ công ty bằng một BCP, đặc biệt là một công ty lớn. Ví dụ: Tập đoàn Bán lẻ X5 khổng lồ đã bắt đầu đảm bảo tính liên tục với hai quy trình kinh doanh chính (chúng tôi đã viết về điều này ). Và đơn giản là không thực tế nếu đưa toàn bộ công ty vào một kế hoạch duy nhất, đây là loại “trách nhiệm tập thể”, khi mọi người đều chịu trách nhiệm và không ai chịu trách nhiệm.
Tiêu chuẩn ISO 22301 bao gồm khái niệm về chính sách, trên thực tế, quá trình liên tục trong công ty bắt đầu. Nó mô tả những gì chúng ta sẽ bảo vệ và khỏi những gì. Nếu mọi người chạy đến và yêu cầu thêm cái này cái kia, ví dụ:
— Hãy thêm vào BCP nguy cơ chúng ta sẽ bị hack?
Hoặc
— Gần đây, trong lúc trời mưa, tầng trên cùng của chúng ta bị ngập - hãy thêm một kịch bản phải làm gì trong trường hợp ngập lụt?
Sau đó, ngay lập tức giới thiệu cho họ chính sách này và nói rằng chúng tôi bảo vệ các tài sản cụ thể của công ty và chỉ khỏi các mối đe dọa cụ thể đã được thỏa thuận trước, bởi vì hiện tại chúng là ưu tiên hàng đầu.
Và ngay cả khi các đề xuất thay đổi thực sự phù hợp, thì hãy đề nghị xem xét chúng trong phiên bản tiếp theo của chính sách. Bởi vì việc bảo vệ một công ty tốn rất nhiều tiền. Vì vậy mọi thay đổi trong kế hoạch BCP đều phải thông qua ủy ban ngân sách và kế hoạch. Chúng tôi khuyên bạn nên xem lại chính sách kinh doanh liên tục của công ty mỗi năm một lần hoặc ngay sau khi có những thay đổi đáng kể về cơ cấu của công ty hoặc các điều kiện bên ngoài (xin độc giả tha thứ cho tôi vì đã nói như vậy).
3. Tưởng tượng và hiện thực
Điều thường xảy ra là khi lập kế hoạch BCP, các tác giả mô tả một bức tranh lý tưởng nào đó về thế giới. Ví dụ: “chúng tôi không có trung tâm dữ liệu thứ hai, nhưng chúng tôi sẽ viết một kế hoạch như thể chúng tôi có”. Hoặc doanh nghiệp chưa có một phần cơ sở hạ tầng nhưng nhân viên vẫn sẽ bổ sung vào kế hoạch với hy vọng nó sẽ xuất hiện trong tương lai. Và sau đó công ty sẽ áp dụng thực tế vào kế hoạch: xây dựng trung tâm dữ liệu thứ hai, mô tả những thay đổi khác.
Bên trái là hạ tầng tương ứng với BCP, bên phải là hạ tầng thật
Đây hoàn toàn là một sai lầm. Viết kế hoạch BCP có nghĩa là tiêu tiền. Nếu bạn viết một kế hoạch mà hiện tại không hiệu quả, bạn sẽ phải trả tiền cho một tờ giấy rất đắt tiền. Không thể phục hồi từ nó, không thể kiểm tra nó. Hóa ra là làm việc vì công việc.
Bạn có thể viết một kế hoạch khá nhanh chóng, nhưng việc xây dựng cơ sở hạ tầng dự phòng và chi tiền cho tất cả các giải pháp bảo vệ thì lâu dài và tốn kém. Việc này có thể mất hơn một năm. Và có thể bạn đã có kế hoạch và cơ sở hạ tầng cho kế hoạch đó sẽ xuất hiện sau hai năm nữa. Tại sao cần có một kế hoạch như vậy? Nó sẽ bảo vệ bạn khỏi điều gì?
Cũng thật là viển vông khi nhóm phát triển BCP bắt đầu tìm ra cho các chuyên gia những gì họ nên làm và trong thời gian nào. Nó xuất phát từ thể loại: “Khi bạn nhìn thấy một con gấu trong rừng taiga, bạn cần rẽ theo hướng ngược lại với con gấu và chạy với tốc độ vượt quá tốc độ của con gấu. Trong những tháng mùa đông, bạn cần che đậy dấu vết của mình.”
4. Ngọn và rễ
Sai lầm quan trọng thứ tư là lập kế hoạch quá hời hợt hoặc quá chi tiết. Chúng ta cần một ý nghĩa vàng. Kế hoạch không nên quá chi tiết đối với những kẻ ngốc, nhưng cũng không nên quá chung chung để rồi kết cục như thế này:
Nói chung là dễ dàng
5. Đối với Caesar - của Caesar là gì, đối với người thợ máy - thế nào là của thợ cơ khí.
Sai lầm tiếp theo bắt nguồn từ sai lầm trước đó: một kế hoạch không thể đáp ứng được tất cả các hành động cho tất cả các cấp quản lý. Các kế hoạch BCP thường được phát triển cho các công ty lớn có dòng tài chính lớn (nhân tiện, theo , trung bình, 48% các công ty lớn của Nga gặp phải tình huống khẩn cấp dẫn đến tổn thất tài chính đáng kể) và hệ thống quản lý đa cấp. Đối với những công ty như vậy, việc cố gắng đưa mọi thứ vào một tài liệu là không đáng. Nếu công ty lớn và có tổ chức thì kế hoạch nên có ba cấp độ riêng biệt:
- cấp độ chiến lược - dành cho quản lý cấp cao;
- cấp độ chiến thuật - dành cho quản lý cấp trung;
- và cấp độ hoạt động - dành cho những người trực tiếp tham gia vào lĩnh vực này.
Ví dụ: nếu chúng ta đang nói về việc khôi phục cơ sở hạ tầng bị lỗi, thì ở cấp độ chiến lược, quyết định sẽ được đưa ra để kích hoạt kế hoạch khôi phục, ở cấp độ chiến thuật, các quy trình có thể được mô tả và ở cấp độ vận hành có các hướng dẫn vận hành cụ thể. Miếng trang thiết bị.
BCP không có ngân sách
Mọi người đều nhìn thấy trách nhiệm của mình và mối liên hệ với các nhân viên khác. Vào thời điểm xảy ra tai nạn, mọi người đều mở ra một kế hoạch, nhanh chóng tìm ra phần của mình và làm theo. Tốt nhất, bạn cần nhớ thuộc lòng những trang nào sẽ mở, vì đôi khi số phút cũng có giá trị.
6. Đóng vai
Một sai lầm khác khi lập kế hoạch BCP: không cần đưa tên, địa chỉ email cụ thể và thông tin liên hệ khác vào kế hoạch. Trong nội dung của tài liệu, chỉ nên nêu rõ các vai trò khách quan và các vai trò này phải được chỉ định tên của những người chịu trách nhiệm về các nhiệm vụ cụ thể và địa chỉ liên hệ của họ phải được liệt kê trong phụ lục của kế hoạch.
Tại sao?
Ngày nay, hầu hết mọi người đều thay đổi công việc hai đến ba năm một lần. Và nếu bạn viết ra tất cả những người chịu trách nhiệm và những người liên hệ của họ trong văn bản của kế hoạch, thì nó sẽ phải liên tục thay đổi. Và trong các công ty lớn, đặc biệt là các công ty chính phủ, mọi thay đổi đối với bất kỳ tài liệu nào đều cần rất nhiều sự chấp thuận.
Chưa kể nếu trường hợp khẩn cấp xảy ra và bạn phải điên cuồng xem qua kế hoạch và tìm kiếm người liên hệ phù hợp, bạn sẽ mất đi thời gian quý báu.
Mẹo cuộc sống: khi bạn thay đổi một ứng dụng, bạn thường không cần phải phê duyệt nó. Một mẹo khác: bạn có thể sử dụng hệ thống tự động cập nhật kế hoạch.
7. Thiếu phiên bản
Thông thường, họ tạo một kế hoạch phiên bản 1.0, sau đó thực hiện tất cả các thay đổi mà không cần chế độ chỉnh sửa cũng như không thay đổi tên tệp. Đồng thời, thường không rõ có gì thay đổi so với phiên bản trước. Trong trường hợp không có phiên bản, kế hoạch sẽ có cuộc sống riêng của nó và không được theo dõi dưới bất kỳ hình thức nào. Trang thứ hai của bất kỳ gói BCP nào phải chỉ ra phiên bản, tác giả của các thay đổi và danh sách các thay đổi.
Không ai có thể tìm ra nó nữa
8. Tôi nên hỏi ai?
Thông thường các công ty không có người chịu trách nhiệm về kế hoạch BCP và không có bộ phận riêng biệt chịu trách nhiệm về tính liên tục trong kinh doanh. Trách nhiệm cao quý này được giao cho CIO, cấp phó của anh ta, hoặc theo nguyên tắc “anh lo bảo mật thông tin, ngoài ra còn có BCP”. Kết quả là kế hoạch được phát triển, thống nhất và phê duyệt, từ trên xuống dưới.
Ai chịu trách nhiệm lưu trữ, cập nhật, chỉnh sửa thông tin trong kế hoạch? Điều này có thể không được quy định. Thuê một nhân viên riêng cho việc này là lãng phí, nhưng tất nhiên, có thể giao thêm nhiệm vụ cho một trong những nhân viên hiện có, bởi vì mọi người hiện đang phấn đấu đạt hiệu quả: “Hãy treo một chiếc đèn lồng cho anh ta để anh ta có thể cắt cỏ vào ban đêm,” nhưng nó có cần thiết không?
Chúng tôi đang tìm kiếm những người chịu trách nhiệm về BCP hai năm sau khi nó được thành lập
Vì vậy, chuyện thường xảy ra như thế này: một kế hoạch được lập ra và bỏ vào một chiếc hộp dài để rồi phủ đầy bụi. Không ai kiểm tra nó hoặc duy trì sự liên quan của nó. Câu mà tôi thường nghe nhất khi đến gặp khách hàng là: “Có kế hoạch nhưng đã phát triển lâu rồi, kiểm nghiệm chưa biết, có nghi ngờ không hiệu quả”.
9. Quá nhiều nước
Có những kế hoạch trong đó phần giới thiệu dài năm trang, bao gồm mô tả về các điều kiện tiên quyết và lời cảm ơn tới tất cả những người tham gia dự án, cùng với thông tin về những gì công ty làm. Khi bạn cuộn xuống trang thứ mười, nơi có thông tin hữu ích, trung tâm dữ liệu của bạn đã tràn ngập.
Khi bạn đang cố gắng đọc dữ liệu hiện tại, bạn nên làm gì nếu trung tâm dữ liệu của bạn bị ngập?
Đặt tất cả “nước” của công ty vào một tài liệu riêng. Bản thân kế hoạch phải cực kỳ cụ thể: người chịu trách nhiệm về nhiệm vụ này sẽ thực hiện việc này, v.v.
10. Bữa tiệc do ai chi?
Thông thường, những người lập kế hoạch không nhận được sự hỗ trợ từ ban lãnh đạo cấp cao của công ty. Nhưng có sự hỗ trợ từ quản lý cấp trung, những người không quản lý hoặc không có ngân sách và nguồn lực cần thiết để quản lý tính liên tục của hoạt động kinh doanh. Ví dụ: bộ phận CNTT tạo ra kế hoạch BCP trong phạm vi ngân sách của mình, nhưng CIO không nhìn thấy bức tranh toàn cảnh của công ty. Ví dụ yêu thích của tôi là hội nghị truyền hình. Khi cuộc họp video của CEO không thành công, ông ta sẽ trốn tránh ai? CIO “không cung cấp” Vì vậy, theo quan điểm của CIO, điều quan trọng nhất ở công ty là gì? Điều mà mọi người luôn “yêu mến” anh ấy: hội nghị truyền hình, hệ thống này ngay lập tức trở thành một hệ thống quan trọng trong kinh doanh. Và từ quan điểm kinh doanh - à, không có VKS, hãy nghĩ xem, chúng ta sẽ nói chuyện qua điện thoại, giống như dưới thời Brezhnev...
Ngoài ra, bộ phận CNTT thường cho rằng nhiệm vụ chính của mình khi xảy ra thảm họa là khôi phục hoạt động của hệ thống CNTT của doanh nghiệp. Nhưng đôi khi bạn không cần phải làm điều này! Nếu có một quy trình kinh doanh dưới hình thức in các mảnh giấy trên một chiếc máy in cực kỳ đắt tiền, thì bạn không nên mua chiếc máy in thứ hai như một chiếc máy in dự phòng và đặt nó bên cạnh nó trong trường hợp bị hỏng. Chỉ cần tạm thời tô màu các mảnh giấy bằng tay là đủ.
Nếu chúng ta đang xây dựng cơ chế bảo vệ liên tục trong lĩnh vực CNTT, chúng ta phải tranh thủ sự hỗ trợ của quản lý cấp cao và đại diện doanh nghiệp. Mặt khác, khi mới vào bộ phận CNTT, bạn có thể giải quyết một số vấn đề nhất định, nhưng không phải tất cả những vấn đề cần thiết.
Đây là tình huống khi chỉ có bộ phận CNTT mới có kế hoạch DR
10. Không thử nghiệm
Nếu có một kế hoạch, nó cần phải được thử nghiệm. Đối với những người không quen thuộc với các tiêu chuẩn, điều này hoàn toàn không rõ ràng. Ví dụ: bạn có biển báo “lối thoát khẩn cấp” treo khắp nơi. Nhưng hãy nói cho tôi biết, xô cứu hỏa, móc và xẻng của bạn ở đâu? Vòi chữa cháy ở đâu? Bình chữa cháy nên đặt ở đâu? Nhưng mọi người nên biết điều này. Đối với chúng ta, việc tìm bình chữa cháy khi bước vào văn phòng có vẻ không hợp lý chút nào.
Có lẽ nhu cầu kiểm tra kế hoạch nên được đề cập ngay trong bản thân kế hoạch, nhưng đây là một quyết định gây nhiều tranh cãi. Trong mọi trường hợp, một kế hoạch chỉ có thể được coi là hiệu quả nếu nó đã được thử nghiệm ít nhất một lần. Như đã đề cập ở trên, tôi rất thường xuyên nghe thấy: “Có một kế hoạch, tất cả cơ sở hạ tầng đã được chuẩn bị sẵn sàng, nhưng thực tế không phải là mọi thứ sẽ diễn ra như đã ghi trong kế hoạch. Bởi vì họ đã không kiểm tra nó. Không bao giờ".
Kết luận
Một số công ty có thể phân tích lịch sử của họ để hiểu loại rắc rối nào có thể xảy ra và khả năng xảy ra của chúng. Nghiên cứu và kinh nghiệm cho thấy rằng chúng ta không thể tự bảo vệ mình khỏi mọi thứ. Điều tồi tệ, sớm hay muộn, sẽ xảy ra với bất kỳ công ty nào. Một điều nữa là bạn sẽ chuẩn bị như thế nào cho tình huống này hoặc tình huống tương tự và liệu bạn có thể khôi phục hoạt động kinh doanh của mình kịp thời hay không.
Một số người nghĩ rằng tính liên tục là làm thế nào để loại bỏ mọi loại rủi ro để chúng không thành hiện thực. Không, vấn đề là rủi ro sẽ thành hiện thực và chúng tôi sẽ sẵn sàng cho việc này. Những người lính được huấn luyện để hành động chứ không phải suy nghĩ trong trận chiến. Điều này cũng tương tự với gói BCP: nó sẽ cho phép bạn khôi phục hoạt động kinh doanh của mình nhanh nhất có thể.
Thiết bị duy nhất không yêu cầu BCP
Igor Tyukachev,
Tư vấn kinh doanh liên tục
Trung tâm thiết kế hệ thống máy tính
"Hệ thống thông tin máy bay phản lực"
Nguồn: www.habr.com