КОНФЕРЕНЦИИ
Не исключено, что подобный тост станет в скором времени привычным атрибутом корпоративных фуршетов. Во всяком случае, интерес, проявленный многими фирмами и банками к организованному газетой “Ведомости” и компаниями IBS (www.ibs.ru) и Data Fort (www.datafort.ru) семинару “Устойчивость и непрерывность бизнеса в условиях новых рисков”, недвусмысленно свидетельствует об актуальности этой тематики. Конечно, обсуждение таких вопросов не могло не активизироваться после известных событий 11 сентября, но сама проблема, хотя, может быть, и в разной степени, имеет отношение к предприятиям любого масштаба и сферы деятельности. Очевидны потери банка, вынужденного на сутки приостановить обслуживание клиентов, но и хозяину киоска, на котором уже второй день красуется записка “Вернусь через 15 минут”, ничего хорошего ожидать не стоит.
Мало кто любит посвящать посторонних в свои неприятности, но особенно щепетильны в этом смысле организации, для которых безгрешная репутация - чуть ли не основной капитал. К ним в первую очередь относятся банки и страховые компании, и поэтому с особым интересом был встречен рассказ заместителя главного управляющего “Альфа-банка” Олега Туманова о трех реальных ситуациях, когда весь бизнес столь крупной кредитной организации был поставлен под угрозу.
Жизненный цикл управления непрерывностью бизнеса
Первая возникла в августе 2001 г. по причине того, что ПО международной системы SWIFT самопроизвольно изменило маршрутизацию сообщений для “Альфа-банка”. Проблема по счастливой случайности была выявлена самим г-ном Тумановым вскоре после ее возникновения (операционисты подумали, что имеют дело с кратковременным сбоем, и никого о нем не оповестили). Тем не менее обращение в центральный офис SWIFT делу не помогло, так как там сами не могли найти причину сбоя: на это ушло два дня. В результате в течение двух суток были полностью блокированы платежи в рублях и валюте, приостановлены основные расчетные функции, отсутствовала защищенная межбанковская связь. Смягчить последствия удалось за счет использования альтернативных каналов связи (факс, телекс, Reuters).
Анализируя уроки этого инцидента, руководство банка всерьез задумалось о создании плановой системы поддержки непрерывности бизнеса. Пришлось провести комплексный анализ критически важных систем, подумать не только о технических, но и об организационных решениях. Оказалось, что для использования альтернативных каналов связи недостаточно одного их наличия - необходимо заранее обеспечить юридическую базу для их применения. Важно провести глубокий анализ операционных рисков с детальной проработкой механизмов эскалации проблем (эффекта домино). Действия руководителей банка в непредвиденных ситуациях должны как-то координироваться.
Не были забыты и технологические подсистемы. Основной и резервный вычислительные центры теперь располагаются на разных территориях, создан дублирующий центр коммуникаций, у разных провайдеров куплены “последние мили”, которые введены в здание альтернативными маршрутами, приобретены терминалы Swift Alliance, позволяющие передавать и обрабатывать сообщения вручную.
Кристина Баэз-Сафа
Речь фактически идет о планировании мероприятий по обеспечению непрерывности бизнеса (Business Continuity Plan, BCP), а эта деятельность не является единовременным актом, она должна вестись постоянно. Начинать следует с анализа бизнес-процессов (см. рисунок). На его основе строится стратегия непрерывности бизнеса, планируются организационные и технические мероприятия, которые затем становятся элементами корпоративной культуры. Система, построенная на основе умозрительных сценариев тех или иных событий, должна пройти аудит и тестирование, а затем... весь этот цикл нужно повторять еще и еще раз, отвечая на новые угрозы или выявляя те, что остались незамеченными на предыдущих итерациях.
Наглядной иллюстрацией последнего тезиса стали второй и третий примеры из неспокойной жизни “Альфа-банка”. В январе 2003 г. в его корпоративную сеть проник вирус Helkren, поражающий компьютеры, на которых установлена СУБД Microsoft SQL Server. Периметр сети был хорошо укреплен, но беда пришла изнутри: один из сотрудников подключился к сети, принеся из дома собственный ноутбук. В результате в течение трех часов ресурсы центрального офиса были недоступны для филиалов и отсутствовал выход в Интернет. Сам инцидент свидетельствует о том, что подобная угроза заранее не принималась во внимание, однако быстрому решению проблемы способствовало наличие утвержденного к тому времени плана восстановления деятельности предприятия. Ну а третий пример связан с событием, затронувшим в той или иной мере всех москвичей. Февральский пожар на городской АТС лишил “Альфа-банк” 800 городских номеров, а 20 его отделений вообще остались без телефонной связи.
Причины перерывов в деятельности компаний
Источник: PricewaterhouseCoopers.
Конечно, нужно стремиться к тому, чтобы все возможные угрозы в BCP-плане были описаны, а ответные меры заблаговременно проработаны. Тем не менее реальная жизнь заставляет усомниться в выполнимости такого идеального сценария. И здесь необходимо задуматься о “приспособляемости” предприятия (adaptability) к самым разным нестандартным ситуациям. Об этом упомянула в своем выступлении старший вице-президент одной из крупнейших в мире страховых компаний MARSH Кристина Баэз-Сафа. Можно ли было предусмотреть угрозу, реализовавшуюся 11 сентября 2001 г.? Скорее всего, нет. Но иметь план работы в стрессовой ситуации компания обязана.
Офисы MARSH были расположены в обеих башнях World Trade Center (WTC), причем в первой из них, где работали 845 сотрудников, они находились между 93-м и 100-м этажами, куда и врезался первый угнанный самолет. В WTC размещался также один из центров обработки данных и телекоммуникационное оборудование. Говоря о катастрофе, ИТ-специалист думает в первую очередь о сохранности данных, дублирующих каналах связи и резервных вычислительных мощностях. Руководству же MARSH приходилось решать такие задачи, которые прежде им не виделись даже в кошмарных снах. Как наладить управление, если существенная часть топ-менеджеров на какое-то время выключена из игры? Где организовать рабочие места для тех сотрудников, что должны продолжить выполнение операций, и какие операции должны иметь высший приоритет?
Непрерывность бизнеса в президиуме конференции иллюстрируют
генеральный директор IBS Сергей Мацоцкий (справа) и руководитель
российского представительства Intel Алексей Наволокин
Если проанализировать, как происходит управление непрерывностью бизнеса на протяжении одного инцидента, то здесь, по мнению г-жи Баэз-Сафа, можно выделить несколько перекрывающихся по времени этапов. Сначала осуществляется раннее обнаружение проблемы и запускаются процедуры уведомления. Затем активизируется план действий в чрезвычайных обстоятельствах и предприятие постепенно переводится на кризисное управление. После отражения угрозы реализуется стратегия выхода из кризиса и обеспечивается восстановление важнейших бизнес-процессов. И наконец, после перехода к нормальной работе производится ретроспективный анализ сделанного и вносятся изменения в план BCP. Как показал сентябрьский опыт MARSH, огромное значение на этапе кризисного управления имеет постоянно поддерживаемая связь с собственными сотрудниками, клиентами и даже со средствами массовой информации.
Планируя мероприятия по обеспечению непрерывности бизнеса, начинать приходится с оценки самых разных рисков и поиска способов управления ими. Под риском обычно понимают произведение двух величин - вероятности некоторого события и наносимого им ущерба. По словам старшего менеджера по управлению рисками PricewaterhouseCoopers Бориса Львова, более чем в 80% случаев перерывы в деятельности компаний являются следствием ошибок людей или недоступности коммунальных услуг (см. диаграмму). Это, в частности, означает, что бессмысленно акцентировать внимание на технологических мерах, не озаботившись сначала организационными мероприятиями: как показывает исследование PricewaterhouseCoopers, компании, имеющие резервные копии данных и дублирующее оборудование, в 50-80% кризисных ситуаций находят этот резерв бесполезным.
Однако важно помнить не только о вероятности той или иной кризисной ситуации, но и о величине сопряженного с ней потенциального ущерба; именно поэтому даже очень маловероятные события иногда не следует сбрасывать со счетов. Особенно это относится к отказам высокотехнологичного оборудования, чреватым огромными потерями. Вот суровая статистика: 43% компаний не способны сразу после аварии возобновить нормальную деятельность, а 29% и вовсе прекращают свое существование в течение последующих двух лет. Оценка ущерба - задача далеко не тривиальная. Здесь приходится учитывать и прямые потери, и дополнительные расходы, и потерю производительности, и штрафы за невыполнение контрактных обязательств, и даже упущенные доходы будущих периодов. А ведь есть еще и ущерб, который невозможно оценить непосредственно в деньгах: потеря деловой репутации и доверия клиентов, снижение кредитного рейтинга, ухудшение имиджа. Поэтому при составлении BCP-планов чрезмерный акцент на показатели скорости возврата инвестиций может оказаться пагубным: в конкурентной среде ценой вопроса нередко становится само существование бизнеса.
Борис Львов
При восстановлении нормального функционирования компании приходится искать компромисс: с одной стороны, чем быстрее нужно вернуться в штатный режим, тем дороже комплекс необходимых мероприятий; с другой - чем длительнее этот процесс, тем больше суммарные потери из-за остановки бизнеса. Один из вариантов решения указанной проблемы - переложить специфические задачи сопровождения технологической инфраструктуры на профессионалов. О решениях, предлагаемых центром обработки данных Data Fort, рассказал его коммерческий директор Дмитрий Комиссаров.
Речь идет о предоставлении в аренду вычислительных мощностей или бизнес-приложений центра Data Fort, доступ к которым клиент получает со своего предприятия по выделенным каналам связи. При этом Data Fort берет на себя все заботы по развертыванию территориально распределенных резервных площадок, организации резервного копирования данных, проверке благонадежности персонала и фактически продает клиенту набор услуг с заранее оговоренным уровнем качества. Сколько будет стоить такой сервис? По оценкам Data Fort, информационная система типичного российского отделения компании, занимающейся поставками товаров широкого потребления (два сервера, 60 Гб данных с возможностью их восстановления с магнитных лент в течение восьми часов, учетно-управленческая прикладная система и VPN-подключение пользователей), обойдется ей в 24 тыс. долл. в год плюс 5 тыс. долл. за инсталляцию. Финансовой компании, которая эксплуатирует 11 серверов, желает восстанавливать 700 Гб данных за один час, имеет выделенную линию E1 и подключена к онлайновым торговым площадкам ММВБ, РТС и МФБ, придется выложить уже 234 тыс. долл. за год плюс 58,2 тыс. долл. за инсталляцию.
Что делать, если организация комплекса мероприятий, необходимых для парирования определенного риска, слишком дорога для данного предприятия или неприемлема для него по иным причинам? Такие риски можно страховать, и этим в нашей стране намерена заниматься страховая компания MARSH, ведущая, в частности, переговоры с Data Fort. Впрочем, как сообщил г-н Комиссаров, речь в данном случае идет о рисках самой Data Fort, а не потребителей ее услуг. Страхование ИТ-рисков - дело для России совершенно новое, но попытки уже делаются: по утверждению директора департамента развития инвестиционной компании “Атон” Александра Свинцова, ей впервые в нашей стране удалось застраховать ИТ-риски ряда своих клиентов.
Планирование непрерывности бизнеса - процесс, который никогда не прекращается и требует самого серьезного к себе отношения. Если какие-то важные угрозы выпадут из поля зрения менеджеров, отвечающих за BCP, остальная их деятельность теряет смысл. Составление всех возможных кризисных сценариев и документов, регламентирующих действия подразделений и отдельных сотрудников, - занятие весьма кропотливое и в какой-то степени нудное. Каждый может себе представить реакцию ИТ-менеджера, получившего 70-страничную анкету с вопросами, не имеющими на первый взгляд никакого касательства к реальной жизни. Что может заставить его отложить текущие дела и тщательно продумать свои ответы? Рецепт прост - инициатором и движущей силой BCP должно стать высшее руководство компании. Об этом говорили практически все участники конференции.
Как проверить, готова ли ваша компания к неожиданностям? Для этого Олег Туманов предложил присутствующим задать себе несколько вопросов. Что произойдет, если нарушится целостность здания, случится эпидемия среди сотрудников, кто-то пригрозит взорвать офис, отключат электричество или неожиданную инициативу проявят регулирующие органы? Хорошо бы, если бы и рядовые сотрудники задумались, как им быть, к примеру, в случае приостановки работы почтовой системы. Сказать коллеге: “Пойдем покурим” - или немедленно оповестить об этом системного администратора.