Jak zabezpieczyć ciągłość działania organizacji?

Za koncepcją Disaster Recovery kryją się procesy, polityki i procedury związane z wznowieniem lub utrzymywaniem krytycznej infrastruktury IT. Zwykle plany ciągłości działania opracowywano w kontekście awarii spowodowanych np. klęskami żywiołowymi, ale także problemami z zasilaniem (blackout). Dziś do listy potencjalnych „katastrof” należy dodać także pandemię COVID-19.

Niemalże wszyscy rozmówcy, z którymi ITwiz przeprowadził wywiady w ramach cyklu #IT4Business – może poza przedstawicielami placówek służby zdrowia – stwierdzili, że ich plany ciągłości działania nie przewidywały lockdown całego kraju ogłoszonego w wyniku pandemii.

„Dotychczasowe plany ciągłości działania niewątpliwie wymagały dokonania ich „kalibracji”. Dotyczy to zresztą praktycznie wszystkich firm. Plany te nie uwzględniały bowiem tak dużego wpływu na dostępność pracowników zarówno w naszej spółce, jak i w całej Grupie Kapitałowej. Business Continuity Plans koncentrowały się bowiem bardziej na potencjalnych awariach oraz konieczności – w ich wyniku – zapewnienia nieprzerwanego funkcjonowania systemów IT” – mówił Ireneusz Jazownik, dyrektor naczelnym Centralnego Ośrodka Przetwarzania Informacji w KGHM Polska Miedź.

Od czego więc zacząć opracowanie planu Disaster Recovery? Pierwszym krokiem jest przeprowadzenie analizy ryzyka (Risk Assessment) i zbadanie wpływu awarii na działanie firmy – Business Impact Analysis. Analizy te pozwolą zidentyfikować systemy IT, które wspierają kluczowe dla działalności naszej firmy procesy. Następnie należy ustalić czas, w jakim należy przywrócić procesy po wystąpieniu awarii RTO (Recovery Time Objective) oraz akceptowalny poziom utraty danych wyrażony w czasie RPO (Recovery Point Objective).

Opracowując plan ciągłości działania należy wziąć pod uwagę 6. czynników:

1. Ludzie

Aspekt ten dotyczy dostępności odpowiednich pracowników lub kontraktorów; konieczność ich przeszkolenia; zapewnienia zastępstwa dla pracowników posiadających wiedzę w zakresie kluczowych technologii (co najmniej jedna osoba w „zapasie”). Ponadto obejmuje przygotowanie dokumentacji, z której skorzystać mogą pracownicy poszukujący informacji pomocnych przy przywracaniu systemów IT; opracowanie procedur przekazywania sobie tej informacji wśród pracowników i kontraktorów.

Większość tych problemów może rozwiązać umowa z dostawcą usług centrum danych, który zapewni odpowiednie wsparcie. Spółka KGHM Polska Miedź przeanalizowała m.in. jak wielu z pracowników znajduje się w grupie ryzyka, a więc jest powyżej 60 lat. Dla kluczowej kadry menedżerów tego koncernu wyznaczono zastępców aż do 4. poziomu, z wprowadzeniem izolacji pomiędzy nich.

2. Miejsce pracy

W przypadku awarii należy zapewnić pracownikom alternatywne miejsce do pracy, czy to w innym biurze w tej samej lokalizacji, we własnym domu, czy też w firmie zewnętrznej, np. takiej, która zarządza zapasowym centrum danych przygotowanym na przejęcie funkcjonowania systemów IT w razie awarii. Na potrzeby zapasowej lokalizacji trzeba było teraz opracować wiele procedur, np. dostępu do systemów IT.

„W związku z pandemią zdecydowaliśmy, że wszyscy przejdziemy na home office. Dotyczyło to nawet sztabu kryzysowego. Obecnie w warszawskiej centrali z 1500 osób zostało ok. 30. W Łodzi, gdzie pracuje ok. 2500 osób, proporcje są podobne” – mówił z kolei Krzysztof Dąbrowski, wiceprezes zarządu ds. operacji i informatyki w mBanku.

3. Wymogi technologiczne

W przypadku zapasowej lokalizacji konieczne jest przygotowanie takiego miejsca, które jest dostosowane do wymogów infrastruktury IT, posiada odpowiednie systemy chłodzenia, wentylacji, zasilania, dostępu do łączy o wysokiej przepustowości itp. Oczywiście wymagane są także systemy do archiwizacji i tworzenia kopii zapasowych oraz rozwiązania wspierające proces powrotu systemów IT do normalnej pracy po awarii. Dzięki temu przyspieszymy proces Disaster Recovery.

Większość z naszych rozmówców miała albo własne lub wynajmowane centra zapasowe, albo korzystała z usług cloud computing. „W zakresie data center polegamy całkowicie na zewnętrznych firmach. Otrzymaliśmy jednak od nich komunikat o ograniczeniu – w związku z pandemią – prac w data center jedynie do niezbędnych, aby ich pracownicy nie musieli poruszać się po serwerowni i ograniczyli się jedynie do monitoringu online” – opowiadał Marcin Mazurek, Engineering Director w Allegro.

4. Przechowywanie informacji

Aspekt ten dotyczy zasad przechowywania kluczowych dla przedsiębiorstwa danych, ich archiwizacji oraz tworzenia kopii zapasowych. Dotyczy to również zastosowania odpowiednich technologii, w zależności od tego, jak często wykorzystywane są dane (pamięci Flash, dyski twarde oraz napędy taśmowe i optyczne dla danych rzadziej wykorzystywanych). Za tym kryją się wymogi związane z zapewnieniem łączy o odpowiedniej przepustowości. Ważne są także możliwości dotyczące ochrony danych w zapasowym centrum danych oraz dostępności w nim wsparcia technicznego.

5. Umowy z kluczowymi dostawcami

W ramach planów Disaster Recovery konieczne jest określenie zasad współpracy z dostawcami wszystkich, krytycznych systemów IT. Dotyczy to również dostępności odpowiednich specjalistów po stronie partnera. Główne obszary, w których konieczne są umowy określające zasady współpracy przy odtwarzaniu systemów po awarii dotyczą dostawców sprzętu (np. serwery, pamięci masowe), systemów zasilania, usług sieciowych (telefonia i transmisja danych), firm zajmujących się usługami wsparcia technicznego, a nawet firm transportowych i logistycznych.

6. Polityki i procedury

Po opracowaniu polityk Disaster Recovery konieczne jest zatwierdzeniu ich przez kierownictwo wyższego szczebla. Należy być przygotowanym to tego, aby móc wykazać przed wyższym kierownictwem, że strategie Disaster Recovery mają pozytywny wpływ na realizację celów biznesowych organizacji. Następnie określa się – krok po kroku – procedury związane z odtwarzaniem poszczególnych zasobów IT. W ten sposób przekłada się strategię Disaster Recovery na konkretne plany działania.

Przykładowo LUX MED zaraz po rozpoczęciu pandemii w Polsce zaczął od szybkiej transformacji swojego modelu działania. „Zmieniliśmy rozwiązania organizacyjne, ścieżki komunikacyjne, materiały edukacyjne, którymi firma posługuje się w komunikacji z pracownikami, pacjentami i klientami” – wspominał Tomasz Garbowski, członek zarządu LUX MED odpowiedzialny za Pion Informatyki i Projektów. Pomogły w tym opracowane wcześniej plany ciągłości działania…

Adam Jadczak

5 rekomendacji dla biznesu, które mogą pomóc przetrwać okres pandemii:

1. Zadbaj o bezpieczeństwo pracowników i klientów – Globalne zagrożenie koronawirusem sprawia, że każda organizacja powinna wprowadzić odpowiednie procedury bezpieczeństwa. Często będzie się to wiązało z potrzebą ograniczenia lub zmodyfikowania działalności biznesowej, a niekiedy jej zaprzestania.

2. Pozostań w kontakcie z klientem – Eksperci McKinsey w raporcie „COVID-19: Konsekwencje dla biznesu” rekomendują, aby „być blisko klientów”. Obecnie, bardziej niż kiedykolwiek, ważna jest szybkość reakcji na zapytania czy umiejętność przygotowania spersonalizowanej oferty, która zaspokoi aktualne potrzeby konsumentów. Pomagają w tym systemy analityczne pozwalając wyciągać wnioski z aktywności kupujących i ich ścieżki zakupowej.

3. Wykorzystaj fakt, że klienci będą bardziej obecni w świecie wirtualnym – Stosując się do rekomendacji, aby pozostać w domu, użytkownicy muszą korzystać z większej liczby usług online co sprawia, że pozostawiają po sobie niezliczone ślady, układające się w ich profil zachowań. Analizę tych informacji ułatwiają platformy Customer Intelligence.

4. Zapewnij ciągłość łańcucha dostaw – W wyniku zamknięcia fabryk w Chinach w I kwartale 2020 r., biznes odczuł wiele zakłóceń w łańcuchu dostaw. W tych warunkach biznes musi rozważyć racjonowanie krytycznych komponentów, dokonanie wcześniejszych rezerwacji najbliższych terminów dostaw oraz efektywnie wykorzystywać zgromadzone zapasy.

5. Przygotuj plan działania na czas „po koronawirusie” – Nie każdy biznes przetrwa czas, kiedy liczba zamówień spada, możliwości podróżowania są ograniczone, wiele wydarzeń jest przekładanych na późniejszy termin, a niekiedy odwoływanych. Pewne jest, że już teraz należy przygotować długofalowy plan, który pozwoli na stopniowe ustabilizowanie procesów w organizacji. Jego założenia powinny opierać się na prognozach biznesowych.