Technology

22_storm-sandy_420
Forrás: -

Tervezni a tervezhetetlent

„Mindenkit érhet baleset”: nem lehet elkerülni a nem tervezhető eseményeket. A természeti katasztrófákat, sztrájkokat, terrortámadásokat, az elektromos vagy informatikai rendszerek összeomlását, stb. Kellő felkészültséggel mégis hatékonyan lehet reagálni, és az üzletmenet folytonosságának biztosításával minimalizálhatjuk a kárt.

A biztonság és üzletfolytonosság érdekében a vállalatok számára manapság elengedhetetlen a vészhelyzetekre adott reakciók megtervezése. A részletesen kidolgozott vészhelyzeti intézkedések és katasztrófaelhárítási terv (disaster recovery plan, drp) lehetővé teszik a megfelelő reakciót és a tevékenységek minél hamarabbi folytatását.

De ne higgyük, hogy a vészhelyzeti intézkedések csak az üzleti világra jellemzőek, a kormányok vagy a társadalom éppen úgy megpróbál felkészülni, illetve minimalizálni a kockázatokat. Például elővigyázatosságból Károly és Vilmos herceg sohasem utazik ugyanazon a repülőgépen. Mert ha, ne adja Isten, mindketten lezuhannának, gondok lennének a brit trónöröklés folyamatosságával, aminek adott esetben negatív üzleti következményei is lehetnek – mutat rá Rónaszéki Péter, a Secure-IT Hungary Kft. ügyvezetője.

 


 

 

Felkészülés a váratlanra

Az üzletfolytonosság-menedzsment (business continuity management, bcm) felkészülés a váratlan működési fennakadásokra, amelyek bekövetkezési valószínűsége kicsi, de hatásuk jelentős. A krízismenedzsment-folyamatok (cm), az incidensmenedzsment, a katasztrófa utáni helyreállítás, az üzletfolytonossági tervek (bcp) és más kockázat-ellenőrző programok (mint a rendszeres műszaki felülvizsgálatok) egy sor iparágban létfontosságúnak bizonyulhatnak, mutatnak rá más szakértők.

Az eljárásrendszer hatékony döntéseket biztosít, és csökkenti a speciális munkaerőtől való függőséget, minimalizálja az adat-, bevétel- és ügyfélveszteséget, megkönnyíti az üzleti funkciók időben történő helyreállítását, aminek révén a vállalat elkerülheti a komolyabb fennakadásokat. Egy jól működő üzletmenet-folytonossági program garancia lehet arra, hogy egyetlen, fenyegető tényező sem veszélyeztetheti érdemben az adott vállalat üzleti jó hírnevét.

A bcm nem különálló projekt, sem pedig egyszeri, meghatározott ideig tartó feladat – minden nagyobb szervezet alapvető képessége. Folyamatos és eleven program, amely számos egymástól függő és ismétlődő projektet tartalmaz.

 

Katasztrófák nyomán

Egy-egy pusztító hurrikán, szökőár után újból és újból felmerült a kérdés, mennyire felkészültek a vállalatok arra, hogy egy természeti katasztrófa esetén biztosítsák a folyamatos működést. Nos, nem eléggé, még az ilyen katasztrófák által gyakran sújtott térségekben sem. Például illene a tartalékgenerátorokat nem olyan pincében elhelyezni, amelyeket garantáltan elönt a bel- vagy az árvíz. Ugyanakkor az áram- és távközlési szolgáltatók kiszolgáltatottsága érthető: elvégre nem akadályozhatják meg, hogy vezetékeiket, bázisállomásaikat ne tépázza meg a forgószél.

Nálunk nincsenek hurrikánok, talán ezért is alacsony vállalataink felkészültsége a váratlan helyzetekre. Nálunk még nincs hagyománya a bcm-nek mint kockázatkezelési technikának. Pedig egy hekkertámadás, rendszerhiba, a telekommunikációs hálózat kiesése vagy egy közlekedési sztrájk esetén itthon is szükség lehet ilyenre.

 

Lassú ébredés

A reményt azonban nem szabad feladni, s ezt igazolta a KPMG tavaly év végi felmérése is. Míg ugyanis a cég 2011-ben, hasonló témakörben végzett felmérésének időpontjában a megkérdezettek mindössze harmada rendelkezett bcm-keretrendszerrel, addig 2012-ben már kétharmad volt ez az arány. Vannak már kijelölt bcm-felelősök is, de árnyalja a képet, hogy a bcm-hez dedikált költségvetéssel a szervezetek többsége nem rendelkezik. Az is elgondolkodtató, hogy a számos időkritikus üzleti folyamattal működő pénzintézetek harmada bizonytalan a bcm működőképességében, pedig itt a jogszabályok is megkövetelik a megfelelően kialakított, tesztelt és naprakész üzletfolytonossági tervek meglétét.

Mi okozhatja ezt a bizonytalanságot? Egyrészt a résztvevők fele szerencsére még nem használta terveit, így nem is volt módjuk meggyőződni azok működőképességéről, másrészt nincs független szakértői véleményük a rendszerről.

 

A lényeg a részletekben rejlik

Csak úgy biztosítható az üzletmenet-folytonosság, ha részleteiben ismerjük üzleti folyamataink sajátosságait, az ezeket támogató erőforrásokat (az informatikai rendszereket, külső szolgáltatókat) és az ezek kiesését okozó főbb kockázatokat.

De vajon melyek ezek az üzleti folyamatok, emberi és technikai erőforrások, továbbá milyen rendelkezésre állási kritériumok vonatkoznak rájuk, és milyen összhang szükséges közöttük az említett termékek és szolgáltatások zavartalan biztosításához?

A KPMG szakértői szerint az üzletfolytonossági keretrendszer és tervek kidolgozásakor ez az első és egyik legfontosabb kérdés, amely rendszerint felmerül. Tapasztalatok alapján a szervezetek egy része úgy véli, hogy ezeket a kritikus szolgáltatásokat és folyamatokat, valamint a támogató erőforrásokat könnyen és gyorsan képes azonosítani, akár egy rövid workshop alkalmával.

Kérdés persze, vajon ők rendelkeznek-e elegendő információval a kritikus folyamatok és erőforrások pontos és teljes körű azonosításához? Rendelkeznek-e a szervezet minden területére vonatkozóan operatív szintű rálátással? Azzal a rálátással, minek folytán képesek ezeket nemcsak megnevezni, hanem a rendelkezésre állási kritériumokat, a megengedett kiesési időket, a folyamatok és erőforrások közötti összetett függőségeket is meghatározni. Vajon képesek a rendelkezésre állást fenyegető kockázatok és a jelenlegi üzletfolytonossági képességek pontos azonosítására?

 

Elemezni kell!

Átfogó, alapos és minden részletre kiterjedő üzletihatás-elemzés (business impact analysis, bia) nélkül aligha, mutat rá a KMPG tanulmánya. A bia a kidolgozandó üzletfolytonossági és katasztrófaelhárítási tervek alapját jelenti. E nélkül, vagy felületes kivitelezése esetén nagy a valószínűsége, hogy a kritikus folyamatokat és erőforrásokat, valamint az üzletfolytonossági kockázatokat nem pontosan vagy teljeskörűen tárják fel. Így majd az informatikai infrastruktúra és rendszerek hibatűrő megoldásai nem felelnek meg az üzleti követelményeknek, és az üzletfolytonossági tervek hiányosak lesznek, vagyis nem nyújtanak elégséges megoldást a nem várt események kezelésére.

 

Nem figyelnek rá

Bár a fejlettebb országokban jogszabályok is előírják alkalmazását, az üzletmenet-folytonosság Magyarországon mégsem kapja meg azt a figyelmet, ami megilletné. Ez azt is jelenti, hogy a vállalatok többsége – a megfelelő felkészülés hiányában – nem lenne képes átvészelni egy katasztrófahelyzetet, folytatja Rónaszéki Péter.

A nagyvállalatok és a multik többsége foglalkozik ugyan az üzletmenet-folytonosság témakörével, de leginkább az anyavállalati vagy felügyeleti szerveknek való megfelelés érdekében. Kis- és középvállalatoknál sokszor még a fogalmakkal sincsenek tisztában, így a bcm irányítási rendszerének az alapjai is hiányoznak. Az üzletihatás-elemzésről pedig még kevésbé van fogalmuk a hazai cégeknek. Itt lényeges, hogy eszünkbe véssük: a bia mozaikszó ‘a’ betűje analízist jelent – ez nem szubjektív vélemény. Személyes véleményünket tehát a lehető legnagyobb mértékben próbáljuk háttérbe szorítani.

Ezek után még mindig felmerülhet a kérdés: kell-e, érdemes-e foglalkozni a témával? A Business Continuity Institute (BCI, Üzletmenet-folytonossági Intézet) felmérése alapján a bcm-rendszerrel nem rendelkező vállalatok 75 százaléka a katasztrófát követő három éven belül tönkremegy. Egy jól működő bcm-rendszerrel rendelkező vállalatnak viszont – még ha nem is kell éles helyzetben elővennie folyamatosan karbantartott és letesztelt programját – megvan az a magabiztossága, hogy felkészült a legrosszabbra, és megtervezte a tervezhetetlent.