Исследование Symantec Disaster Recovery Research 2007, в ходе которого были опрошены ИТ-менеджеры крупных организаций в США, 11 европейских странах, на Ближнем Востоке и в Южной Африке, показало, что почти в 48% случаев полные испытания плана деятельности предприятия в чрезвычайных условиях заканчиваются неудачей. Кроме того, 44% организаций, не имеющих подобного плана, столкнулись с одной аварийной ситуацией или катастрофой, 26% — с двумя, а 11% — с тремя или более.
Исследование показало также, что 69% респондентов обеспокоены возможностью причинения ущерба бренду или репутации своей компании, 65% пугает ущерб для общей лояльности клиентов, 65% озабочены влиянием на конкурентоспособность и 64% волнует возможность потери данных компании в результате аварийной ситуации. Исследование показало также, что несмотря на эту обеспокоенность, строгие требования закона и суровые штрафы, которые могут быть наложены на компанию при отсутствии адекватных планов действий в чрезвычайных ситуациях, 77% генеральных директоров до сих пор отказываются играть активную роль в комитетах по планированию действий в условиях чрезвычайных ситуаций.
В то же время в отчёте Symantec Disaster Recovery Research 2007 отмечается, что многие ИТ-профессионалы не принимают надлежащие меры, чтобы гарантировать соответствие этих планов критическим значениям допустимого времени восстановления (recovery time objectives, RTO) и допустимого уровня потери данных (recovery point objectives, RPO). Опрос вскрыл несовершенство методов планирования и тестирования деятельности предприятий в условиях чрезвычайных ситуаций.
Хотя большинство респондентов утверждало, что они проводят испытания своих планов, опрос показал, что даже когда такие испытания проводятся, их методы, а также оценка вероятности и последствий аварийных ситуаций несовершенны, что оставляет тревожные сомнения в эффективности планируемых мер. Если 88% опрошенных ИТ-профессионалов выполняли оценку вероятности и влияния по крайней мере для одной угрозы, то всего 40% делали это для всех возможных угроз и 12% вообще не производили никакой оценки вероятности и влияния. Наименее опасными считаются угрозы, вызванные управлением изменениями конфигурации, и всего 42% опрошенных, признающих их существование, действительно выполняли оценку вероятности и влияния для этих угроз.
Интересно отметить, что к созданию плана действий в чрезвычайных ситуациях ИТ-организации подталкивают разнообразные опасения, в числе которых 69% респондентов назвали природные катастрофы, 57% — вирусные атаки и 31% — военные действия и/или терроризм. Респонденты опасаются также специфических ИТ-угроз: 67% упомянули о возможности отказа компьютера и 57% — о внешних угрозах для компьютеров. Однако, хотя 89% опрошенных находятся в согласии с руководителями не связанных с ИТ подразделений своих организаций по поводу приемлемых уровней риска, всего 33% из них согласны с ними по поводу всех вероятных, по их мнению, угроз.
“Такого рода планы традиционно относятся к документам, которые компании надеются никогда не использовать. Но чтобы застраховаться от простоев, организациям необходимо обеспечить высокую готовность и аварийную защиту для всей корпоративной инфраструктуры, — считает директор по маркетингу продуктов для управления хранением данных Symantec Шон Деррингтон (Sean Derrington). — Они должны также выполнять процедуры неразрушающего тестирования своих планов действий в чрезвычайных условиях, непрерывно оценивая эффективность стратегии аварийной защиты без помех для производственной среды”.