Последствия ряда стихийных бедствий, среди которых особенно выделяются ураган “Катрина” в 2005 году и землетрясение с цунами Тохоку в Японии в 2011 году, подогрели дискуссию о проблемах восстановления бизнеса после стихийного бедствия и обеспечения его непрерывности. Уроки этих разрушительных катастроф указывают на то, что организациям необходимо правильно готовиться к форс-мажорным ситуациям и настроить ИТ-системы так, чтобы избежать вынужденных простоев и повреждения систем безопасности информации.
К сожалению, человеческая природа в сочетании со сложностями, очевидными при анализе общей готовности ИТ, образует непреодолимый барьер для эффективных мер обеспечения непрерывности бизнеса и его восстановления после стихийных бедствий. Ураган “Сэнди”, обрушившийся на северо-восточное побережье США в конце октября, нанес ущерб в размере около 50 млрд. долл., а также повредил или обесточил множество офисных зданий и ИТ-систем. Прозванный “Франкенштормом Сэнди”, он во много раз увеличил риски в области защиты и доступности данных.
Ниже приводятся ключевые рекомендации, на которые стоит обратить внимание ИТ-директорам при планировании мероприятий по восстановлению после стихийных бедствий и обеспечению непрерывности бизнеса.
1. Хорошо изучите свою инфраструктуру. Зачастую организации опираются на устаревшие системы, о которых забывают и не уделяют им внимания… пока не произойдет стихийное бедствие. Многие предприятия работают в среде разрозненной ИТ-инфраструктуры и не имеют должным образом интегрированных систем.
“Очень важно размечать всю ИТ-инфраструктуру, чтобы проверять все ее компоненты”, — утверждает Дэвид Сарабача, руководитель направления сервисов обеспечения устойчивости в Deloitte & Touche.
2. Имейте запасной источник электроэнергии на случай непредвиденной ситуации. Невозможно обеспечивать работу ИТ-систем без электричества. Многие компании, ощутившие на себе последствия “Сэнди”, не были повреждены физически, но не могли работать несколько дней, так как электричество было отключено.
Ряд организаций, особенно предприятия малого и среднего бизнеса, не располагает ни генератором, ни запасным источником питания, ни планом на случай отказа электропитания. В этом случае и компания, и ее ИТ-системы бесполезны, если только она не переключится на дополнительный ЦОД.
3. Убедитесь в том, что существует запасное соединение с Интернетом. Важно иметь несколько способов обеспечения соединения с Интернетом, например комбинацию волоконного, кабельного, Т1-, спутникового и DSL-соединений. В этом случае, если даже один или два типа соединений откажут, то другой обеспечит по крайней мере базовое соединение. Способность сохранить связь через Интернет может в дальнейшем определить, сможет ли компания работать во время стихийного бедствия или рабочий процесс остановится.
4. Разработайте коммуникационную стратегию как часть программы обеспечения непрерывности бизнеса. Многие организации имеют такой план, но в случае стихийного бедствия совершенно не пользуются им, замечает Сарабача. Очень важно, чтобы сотрудники, особенно специалисты по ИТ, могли связаться друг с другом.
Облачные или удаленные коммуникационные системы могут оказаться в этой ситуации довольно ценными. Однако это значит, что надо будет резервировать телефонные номера, а также располагать специальной системой для рассылки сообщений и предупреждений. GPS и средства социальных сетей могут понадобиться, чтобы определить местонахождение сотрудников, добавил Сарабача.
5. Опасайтесь возможности утечки данных и сбоев систем защиты информации. Как только компания восстанавливает свою работу после стихийного бедствия, очень важно защитить свои информационные системы от утечки данных. “Руководители не должны расслабляться, — предупреждает Лиза Сотто, партнер в юридической компании Hunton & Williams. — Мошенники, похитители информации и другие злоумышленники могут использовать слабые участки в системах защиты информации с целью похищения личных данных”. В их числе могут оказаться номера социального страхования, номера кредитных карт и другие данные, имеющие отношение к страховым компаниям, государственным учреждениям и т. д.
“Во многих случаях после стихийного бедствия политики защиты информации исполняются не так строго, и поэтому ранее защищенные данные могут оказаться доступными извне”, — добавила она. Сотто рекомендует проверять внешние организации и инспектировать их политики и процессы защиты информации до того, как доверять им какие-либо данные.