5 kroków do przygotowania skutecznej strategii Business Continuity Planning

Bartosz Martyka
Bartosz Martyka - Redaktor naczelny Brandsit
7 min

Awarie są uniwersalnym zjawiskiem. Paraliż systemów biletowych na lotniskach, brak zasilania oraz awaria systemów chłodzących, to przykłady potencjalnych i nieoczekiwanych scenariuszy. Trudno przewidzieć każdą ewentualność, stąd pomocne są świadomość ryzyka oraz posiadanie wiedzy i odpowiednich procedur w firmie, jak postąpić w przypadku incydentu w celu zminimalizowania jego skutków. Według danych tzw. deficyt dostępności dotyka aż 82% przedsiębiorstw i może kosztować je średnio 21,8 mln dol. rocznie[1].

  1. Zrozumienie własnej organizacji

Znajomość procesów wewnętrznych w organizacji, zgłębienie zależności między danymi elementami, identyfikacja roli i zakresów odpowiedzialności pracowników i łączących ich stosunków biznesowych, są elementarnymi kwestiami i to od nich powinno się zacząć proces planowania ciągłości działania. Podział ról jasno określa, kto i w jakim zakresie będzie podejmował decyzje i kto będzie go mógł w tym zastąpić.

  1. Analiza ryzyka

Każda organizacja ma indywidualne wymagania co do dostępności systemów, ludzi czy innych zasobów niezbędnych do działania organizacji. Dlatego też bardzo ważne jest określenie, co jest dla niej najważniejsze oraz odpowiedź na kilka pytań. Przykładowo, jak długo firma przetrwa bez dostępu do systemu CRM? Jak długo poradzi sobie bez poczty e-mail? Odpowiedzi na te zagadnienia pomogą oszacować, jak duży wpływ na działanie organizacji wywrze zakłócenie ważnego procesu biznesowego.

W procesie analizy ryzyka istotne są dwa pojęcia: RTO – Recovery Time Objective oraz RPO – Recovery Point Objective. RTO to czas, w którym organizacja może funkcjonować bez procesów o znaczeniu krytycznym. Wskaźnik ten warunkuje wszystkie inne prace projektowe, jak np. ustalenie współczynników oznaczających poziom przywracania. Przykładowo, jeśli incydent nastąpił o godzinie 13.00, przerywając proces biznesowy, RTO ustawione na 4 godziny oznacza, że powinien on zostać ponownie uruchomiony najpóźniej o godz. 17.00. RPO zaś odnosi się do akceptowalnego poziomu utraty danych, na który może sobie pozwolić organizacja. Oznacza aktualność danych odzyskanych po awarii, np. dane odtworzone z backupu wykonywanego co noc mają RPO równe 24 godziny.

- Advertisement -
  1. Plany i procedury

To jeden z kluczowych punktów w całym procesie tworzenia strategii Business Continuity, na który składa się kilka czynników. Jednym z nich jest outsourcing usług. Wielkie korporacje już wiele lat temu zrozumiały, że współpraca z wyspecjalizowanymi podmiotami może im przynieść wymierne korzyści, jak obniżenie kosztów działalności przedsiębiorstwa czy kwestie związane z cyberbezpieczeństwem. Często niedoceniony jest jednak dialog między działami w organizacji. Na przykład, czy dział marketingu informuje specjalistów IT o planowanej kampanii w sklepie internetowym, co wiąże się ze zwiększeniem ruchu na stronie, lub czy departament IT przekazał działowi rozliczeń informacje o planowanej aktualizacji systemu?

Planowanie ciągłości biznesowej oznacza zapewnienie redundancji, czyli nadmiarowości. W e-commerce może to być wykorzystanie usługi chmurowej, która zapewni skalę działania, np. na wypadek wzrostu ruchu w sklepie, w IT posiadanie przynajmniej dwóch lokalizacji, w których posiadamy serwery czy usługi cloud. W razie wystąpienia poważnej awarii w ośrodku podstawowym, zapasowe centrum danych może przejąć proces przetwarzania danych. W przypadku firmy wytwórczej może to być dodatkowa linia produkcyjna lub umowa z podwykonawcą, który będzie w stanie zastąpić nasze systemy, co zapewni płynność działania w przypadku niespodziewanej sytuacji. Firmy oferują różne rozwiązania na wypadek awarii lub poważniejszego kryzysu, często określając swoje plany jako Disaster Recovery oraz Business Continuity.

Znając wyniki analizy ryzyka, łatwo określić, które dane są dla biznesu ważne oraz gdzie są zlokalizowane. Mając taką wiedzę, można rozpocząć budowę strategii ochrony danych i ich przywracania.

  1. Wdrożenie

Przygotowanie planów i procedur to jedno, a skuteczne ich wdrożenie to zupełnie odrębna kwestia. Istotne jest, żeby w przypadku wprowadzenia planu ciągłości działania w korporacji przeszkolić współpracowników, bardzo skrupulatnie informując ich o wdrożeniu. Uświadomienie wagi i znaczenia business continuity jest jednym z głównych wyzwań dla korporacji.

  1. Przeprowadzanie testów i ciągły rozwój

Proces Business Continuity nie kończy się na napisaniu procedur i odłożeniu ich na półkę. Należy stale testować różne rozwiązania oraz wprowadzać innowacje. Realia firmowe się zmieniają i następuje rotacja pracowników, stąd istotne jest, żeby nowe osoby w organizacji zostały zaznajomione ze strategią działania w przypadku kryzysu. Warto także pamiętać, że każda gałąź gospodarki posiada swoją własną specyfikę i tempo wdrażania zmian i cyfrowych narzędzi oraz że nie ma złotego środka, który zadziała w każdym przypadku. Te czynniki są istotne z tego względu, że w przypadku wystąpienia incydentu każda chwila jest ważna.

Plan B, czyli co robić, gdy przedsiębiorstwo doświadczy kryzysu

a) Transparentna komunikacja

W przypadku wystąpienia sytuacji kryzysowej, kluczowa jest jasna i zrozumiała komunikacja ze wszystkimi podmiotami, których dotknęła nieoczekiwana sytuacja. Korzyści z transparentnego przekazu będą o wiele większe niż w przypadku zatajenia lub ujawnienia niepełnych informacji.

b) Komunikacja do wielu

Prowadzenie komunikacji do każdej osoby indywidualnie byłoby żmudne i czasochłonne. Z pomocą przychodzą media społecznościowe. Komunikację do wielu osób ułatwiają również systemy IVR (ang. Interactive Voice Response). Firmy, w których są stosowane, mogą obsługiwać dużą liczbę połączeń telefonicznych od klientów. Posiadają funkcjonalności automatycznego call center. Przy okazji IVR oferuje również usługi dodatkowe m.in. płatności. Jego zastosowanie pozwala na redukcję kosztów oraz poprawę obsługi klienta.

c) Kontakt z działem IT i dostawcą rozwiązania

Badania wskazują, że duża część zagrożeń związana jest z IT. Z tego powodu nie należy unikać w sytuacji kryzysowej kontaktu z dostawcą rozwiązania. Otwarta komunikacja powinna przyczynić się do szybszego rozwiązania problemu.

Firmy, bez względu na to, czym się zajmują, można podzielić na dwie kategorie: te, które mają gotowy plan postępowania na wypadek wystąpienia awarii, oraz te, które będą go miały.

[1] Veeam, Availability Report, 2017
Udostępnij
Leave a comment

Dodaj komentarz

- REKLAMA -