Пандемия COVID-19 продемонстрировала слабость планов по обеспечению непрерывности бизнеса (business continuity plan, BCP) многих организаций. Главный консультант Sungard Availability Services Джон Битти делится на портале Enterprisers Project советами, которые помогут компании добиться устойчивости, если в будущем произойдет новый кризис.
За последние несколько месяцев предприятиям из-за COVID-19 пришлось решать множество задач, и одна из наиболее важных из них — обеспечение непрерывности бизнеса. Многие компании слишком поздно осознали, что их планы были составлены неправильно и несовместимы с другими важнейшими планами по управлению кризисными ситуациями, восстановлению после сбоев и готовности к пандемии.
Многие их планы либо высокоуровневые и не содержат подробностей, как поступать в той или иной ситуации, либо попросту устаревшие. Иногда в планах слишком много внимания уделяется деталям, которые оказывают краткосрочное воздействие на бизнес, и долгосрочные перспективы в них не рассматриваются. Встречаются ситуации, когда компании и вовсе игнорируют подготовительные меры и стратегии ускорения работы в условиях, которые препятствуют нормальному ведению бизнеса.
Пандемия «обнулила» ожидания. CIO должны быть заинтересованными в эффективности BCP: в конце концов, их задача состоит в том, чтобы гарантировать работоспособность основных направлений бизнеса, восстанавливая их после инцидентов. Но реальность такова, что обеспечение устойчивости должно быть приоритетом не только CIO, но и всей компании.
1. Создайте фундамент для своего плана
Если вы решили пересмотреть свою программу обеспечения устойчивости бизнеса, то вам нужно знать, что эффективные BCP должны включать следующие пять основных элементов:
- задачи. Что план будет включать и как он будет вписываться в более масштабную реакцию организации на инцидент?
- процедура введения в действие. При каких условиях план активизируется? Кто участвует в его реализации, какие ресурсы задействованы: резервные копии, средства восстановления рабочего места и т. д.?
- приоритеты. Каким образом вы будете взаимодействовать с персоналом, вендорами, клиентами и другими сторонами? Какие наиболее важные для бизнеса приложения и системы вам настолько жизненно необходимы, чтобы сосредоточиться на их восстановлении?
- допущения и ограничения. Предусмотреть все инциденты невозможно, но вы можете отразить в своем плане ограничения, чтобы обеспечить эффективное принятие решений;
- процедуры исчерпания инцидента. Установите собственные критерии для понимания того, что инцидент исчерпан и какой урок из этого получен. В этот раздел плана также можно включить дополнительные ресурсы, например, журналы операций или повестку для совещаний.
В рамках этих компонентов есть много возможностей, чтобы подстроить их под размер вашей компании, ее зрелость, требования регуляторных органов и другие факторы. Очевидно, что подходы по созданию плана для каждой организации будут отличаться, но при этом нужно учитывать нижеследующие аспекты.
2. Разработайте стратегии реагирования на случай отказа ключевых ресурсов
Эффективные BCP должны включать четко определенные стратегии и действия, чтобы компания обладала возможностью реагировать на ситуацию, когда ее ключевые ресурсы недоступны. К ним можно отнести следующее:
- рабочее место;
- оборудование;
- персонал;
- сторонние сервисы;
- ИТ-услуги;
- данные.
У вас должны быть запланированные бизнес-ответы для сценариев сбоев каждого из этих ресурсов, и они должны быть на уровне отдельных ресурсов. Описания общего характера типа «что нужно сделать» без того, «как это нужно сделать», не принесут пользы. Например, задайтесь вопросом, какие действия вам нужно предпринять, если ваша система управления запасами недоступна? Ваши планы должны быть содержательными.
ИТ-департамент должен осознавать, какую роль он играет в реализации стратегий реагирования на инциденты. Например, один из возможных бизнес-ответов на недоступность рабочего места — удаленная работа. В этом случае руководство компании может поставить перед ним задачу модернизировать сервис для проведения виртуальных совещаний и расширить штат службы техподдержки. Возможно, в вашем сценарии в отсутствие возможности работы в офисе ответ может состоять в ее передаче персоналу, который находится в другом географическом регионе. В этом случае ИТ-департаменту потребуется переконфигурировать сеть таким образом, чтобы она была готова к приему увеличенного объема трафика с сетевого узла.
Планирование также важно внутри самого ИТ-департамена. Оно должно опираться на людей, рабочие места, оборудование, сторонние сервисы, вспомогательные системы и данные. Разработайте комплексные планы для ключевых ИТ-операций, в которых первостепенное значение отведено непрерывному уровню обслуживания. В него входят следующие элементы:
- сетевые операционные центры;
- операционные центры информационной безопасности;
- техподдержка;
- команды по восстановлению после сбоев.
3. Установите сроки выполнения для каждой стратегии реагирования
Время имеет решающее значение. Определите предполагаемое время для реализации каждой из стратегий реагирования, а также срок их действия, что особенно важно для тех вариантов, которые должны быть реализованы в кратчайшие сроки. Что касается остальных стратегий, сфокусируйтесь на том, чтобы они были эффективными в течение продолжительных периодов времени — в идеале от трех до шести месяцев или дольше.
4. Установите линии связи
Важность общения до, во время и после инцидента невозможно переоценить. В случае возникновения критической ситуации доведите план до всех сторон, кого это касается. Каждый должен знать, что делать, если надвигается ураган или происходит случайное нажатие на ссылку в фишинговом письме. От того, насколько эффективно будут распределены роли, насколько эффективно ваш персонал будет обучен выполнять план в ходе тренингов, зависит то, насколько эффективно он покажет себя в экстренной ситуации.
После того, как BCP введен в действие, поддерживайте между всеми участниками связь, с обновлениями в режиме реального времени и сообщениями, чтобы убедиться, что все в курсе ситуации и предпринимают необходимые действия для возвращения к работе в обычном режиме. Когда ситуация наладится, постарайтесь извлечь уроки из полученного опыта, исходя из того, как план был введен в действие и выполнялся. Полученные знания пригодятся для того, чтобы внести в него изменения и адаптировать на случай возникновения следующего инцидента.
5. Тестирование и практика
Помимо наличия плана не менее важно регулярно его тестировать, обновлять по мере развития ваших ресурсов, проверять его «профпригодность» на практике. Частое тестирование и практика поможет вам отреагировать на инцидент более быстро и взвешенно и позволит избежать длительного простоя или иных неблагоприятных эффектов.
Непрерывность бизнеса: ответственность компании в целом
Ситуация с COVID-19 показала, как важно понимать, что успешное планирование устойчивости — это ответственность всей компании. Чтобы создать план, который будет готов к любым инцидентам будущего, его требуется эффективно структурировать, правильно поставить цели и задачи, распределить роли, ответные реакции. Для этого требуется постоянное общение, а также его постоянная адаптация и усовершенствование с течением времени.