Με αναμφισβήτητη την αναγκαιότητα για εμπλοκή τόσο του business όσο και του ΙΤ για την επιτυχία ενός Business Continuity Management προγράμματος, ποιες είναι οι ευθύνες των δυο πλευρών, ποιες οι «γκρίζες» περιοχές και πώς μπορεί να γεφυρωθεί το χάσμα ανάμεσά τους; Η διαχείριση της επιχειρησιακής συνέχειας (Business Continuity Management) παραδοσιακά συνδέεται με μεγάλες εταιρείες και οργανισμούς του δημόσιου τομέα.
Σήμερα, ωστόσο, εταιρείες και οργανισμοί όλων των μεγεθών προσπαθούν να διασφαλίσουν ότι είναι ανθεκτικοί και προετοιμασμένοι για να επανέλθουν επιχειρηματικά οτιδήποτε και αν συμβεί.
Για του λόγου το αληθές, η τελευταία έρευνα του The Chartered Management Institute «A Decade of Living Dangerously: The Business Continuity Management Report» που δημοσιεύτηκε το Μάρτιο του 2009, δείχνει ότι ο αριθμός των εταιρειών με συγκεκριμένα σχέδια επιχειρησιακής συνέχειας αυξήθηκε από 47% το 2008 σε 52% το 2009.
Παρόλο που φαίνεται να αποτελεί πλέον σημαντική απαίτηση για κάθε εταιρεία, το Business Continuity Management φέρνει σημαντικές προκλήσεις, ιδιαίτερα για τις εταιρείες αυτές που υλοποιούν σχετικά συστήματα (BCMS) για πρώτη φορά.
Η μεγαλύτερη πρόκληση είναι πώς μπορεί μια εταιρεία να διασφαλίσει ότι ο σχεδιασμός της για την επιχειρησιακή συνέχεια είναι μια ολιστική για όλο τον οργανισμό προσπάθεια, και όχι περιορισμένη σε silo στα διαφορετικά τμήματα.
Το BCM δεν είναι ευθύνη του τμήματος ΙΤ
Ισως ο μεγαλύτερος μύθος γύρω από το Business Continuity είναι ότι η ευθύνη θα πρέπει να ανήκει στο τμήμα Πληροφορικής. Είναι προφανές από πού προκύπτει αυτό, καθώς το business continuity αποτελεί εξέλιξη του IT Disaster Recovery, όπου σαφώς και ήταν κατάλληλη η Διεύθυνση Πληροφορικής να ηγηθεί της προσπάθειας.
Και καθώς το downtime του ΙΤ αποτελεί ακόμα μία από τις μεγαλύτερες και σημαντικότερες αιτίες για τη διακοπή των επιχειρηματικών λειτουργιών, είναι επόμενο, αν και λανθασμένο, το συμπέρασμα ότι το ΙΤ πρέπει να ηγείται του Business Continuity Management. Ωστόσο, προκειμένου να είναι αποτελεσματικό, το Business Continuity Management πρέπει να είναι ευθύνη της διοίκησης και ο σχεδιασμός να καθορίζεται από το business. Αυτή η προσέγγιση υποστηρίζεται και από το BS 25999, το βρετανικό πρότυπο για το Business Continuity Management, το οποίο λανσαρίστηκε το 2006 από το BSI British Standard.
Το συγκεκριμένο Standard δηλώνει χαρακτηριστικά ότι «το Business Continuity Management είναι μία business-owned και business-driven διαδικασία που καθιερώνει ένα κατάλληλο στρατηγικό και λειτουργικό πλαίσιο το οποίο:
• προδραστικά βελτιώνει την ανθεκτικότητα ενός οργανισμού στις πιθανές διακοπές της ικανότητάς τους να επιτύχει τους βασικούς στόχους του
• παρέχει μία δοκιμασμένη μέθοδο για την αποκατάσταση της ικανότητας του οργανισμού να προμηθεύει και να παρέχει τα βασικά προϊόντα και υπηρεσίες του σε ένα συμφωνημένο επίπεδο μέσα σε συμφωνημένο χρονικό διάστημα μετά τη διακοπή και
• παρέχει μία αποδεδειγμένη ικανότητα για τη διαχείριση της επιχειρησιακής διακοπής και την προστασία της φήμης και του ονόματος της εταιρείας.
Σύμφωνα πάντα με το βρετανικό πρότυπο, η συμμετοχή της ανώτατης διοίκησης «είναι βασική για τη διασφάλιση ότι η Business Continuity Management διαδικασία θα εισαχτεί, θα υποστηριχθεί επαρκώς και θα καθιερωθεί ως κομμάτι της εταιρικής κουλτούρας».
Οπότε, αφού η βέλτιστη πρακτική ως προς αυτό το κομμάτι, δηλαδή τη συμμετοχή του business και της διοίκησης, είναι σαφής, τότε γιατί τόσες πολλές εταιρείες αποτυγχάνουν σε αυτό; Εν μέρει αυτό συμβαίνει γιατί είναι μία «δουλειά σε εξέλιξη». Το κάλεσμα για την εμπλοκή σε επίπεδο διοίκησης στο Business Continuity Management είναι πρόσφατο και για κάποιες εταιρείες αυτή η απαίτηση δεν έχει ακόμα φιλτραριστεί. Ωστόσο, για άλλες εταιρείες υπάρχουν πιο σοβαροί, συστημικοί λόγοι.
Σε κάποιες εταιρείες το τμήμα Πληροφορικής λειτουργεί σχεδόν σαν ένα κλειστό μαγαζί. Δεν εκτιμά τις επιχειρηματικές και λειτουργικές ανάγκες του ευρύτερου οργανισμού, ενώ και ο υπόλοιπος οργανισμός βλέπει το ΙΤ σαν ένα ακατανόητο βασίλειο επιστημονικής φαντασίας, μέσα στο οποίο μιλούν μία διαφορετική, τεχνική γλώσσα.
Μπορεί η παραπάνω παρομοίωση να είναι υπερβολική, αλλά αποτελεί συχνά την πραγματικότητα. Και από την οπτική της διαχείρισης της επιχειρησιακής συνέχειας, μπορεί να προκαλέσει σοβαρές δυσκολίες τόσο σε επίπεδο ανάπτυξης όσο και σε επίπεδο διαχείρισης των προγραμμάτων business continuity.
Η εμπειρία έχει δείξει ότι για την υλοποίηση, για παράδειγμα, ενός business continuity management συστήματος, τα business στελέχη που είναι υπεύθυνα/ αρμόδια για αυτό πρέπει να αποφασίσουν σχετικά με δύο βασικές μετρικές: τους στόχους του χρόνου ανάκτησης (recovery time objectives – RTOs) και τους στόχους των σημείων ανάκτησης / ανάκαμψης (recovery points objectives – RPOs).
Πρόκειται για το χρονικό πλαίσιο μέσα στο οποίο θα πρέπει τα κρίσιμα συστήματα να επανακτήσουν τη λειτουργική τους ικανότητα, καθώς και για το χρονικό σημείο στο συστήματα και τα δεδομένα θα πρέπει να έχουν αποκατασταθεί και ανακτηθεί μετά από ένα περιστατικό.
Από τη στιγμή που τα κρίσιμα συστήματα θα περιλαμβάνουν αναπόφευκτα την Πληροφορική, το τμήμα ΙΤ θα πρέπει να εμπλακούν ενεργά στην παροχή πληροφοριών για τον καθορισμό των RTOs και των RPOs. Το business πρέπει να είναι σε θέση να αρθρώσει σαφώς ποια πληροφορία απαιτεί και το τμήμα Πληροφορικής πρέπει να καταλάβει τι του ζητείται και να παρέχει αυτή την πληροφόρηση με σαφήνεια και ακρίβεια.
Μία άλλη περιοχή όπου το χάσμα ανάμεσα στο business και στο IT μπορεί να προκαλέσει μεγάλα προβλήματα, ακόμα και παταγώδη αποτυχία στο Business Continuity, αφορά στη φάση της ανάλυσης της επίδρασης στο business (Business Impact Analysis – BIA). Εδώ, οι κάτοχοι της business continuity διαδικασίας πρέπει να κατανοήσουν ακριβώς τι είναι κρίσιμης σημασίας όσον αφορά στο σύνολο των επιχειρηματικών διαδικασιών και συστημάτων – συμπεριλαμβανομένων αυτών που ανήκουν στο ΙΤ. Κάτι που προκύπτει συχνά είναι ότι το BIA περιλαμβάνει συστήματα ανώτατου επιπέδου, αλλά έχει έλλειψη σε granularity.
Αυτό συμβαίνει γιατί το business δεν εκτιμά τις περίπλοκες εξαρτήσεις και ανεξαρτησίες που υπάρχουν στα συστήματα ΙΤ και κατ’ επέκταση αποτυγχάνει να θέσει στο ΙΤ τις κατάλληλες ερωτήσεις για να το ενθαρρύνει να εμβαθύνει στα συστήματά του για να επισημάνει τα κρίσιμα sub-components και να επιτύχει ένα κατάλληλο επίπεδο granularity.
Πώς γεφυρώνεται το κενό;
Είναι σαφές ότι για να υλοποιηθεί επιτυχώς ένα σύστημα διαχείρισης της επιχειρησιακής συνέχειας, θα πρέπει να βρεθεί κάποιος τρόπος να γεφυρωθεί το χάσμα ανάμεσα σε αυτά στα οποία εστιάζει το ΙΤ και το business. Πώς όμως θα επιτευχθεί αυτό;
Ενας κατάλληλος ανάδοχος
Αυτό που ξεκάθαρα χρειάζεται είναι ένας «πρεσβευτής»: ένα άτομο που μπορεί να καταλάβει και τις δύο πλευρές. Κάποιος που μπορεί να μιλήσει τόσο τη γλώσσα του business όσο και αυτή των ανθρώπων της Πληροφορικής και μπορεί να καταλάβει τις ανάγκες και τις απαιτήσεις αμφότερων. Πολλές εταιρείες καταλήγουν ότι εδώ είναι που μπορεί να χρειαστούν τη βοήθεια ενός ειδικευμένου, εξωτερικού συμβούλου.
Οι εξωτερικοί σύμβουλοι φέρνουν επίσης τεχνογνωσία και διδάγματα από την εμπειρία της συνεργασίας τους με άλλους οργανισμούς, διασφαλίζοντας ότι απλά λάθη δεν θα επαναληφθούν και δεν θα χρειαστεί να ξανα-ανακαλυφθεί ο τροχός, μειώνοντας κατ’ επέκταση τη σπατάλη πόρων και προσπαθειών.
Βέλτιστες πρακτικές και πρότυπα
Τα πρότυπα αποτελούν ένα πολύ χρήσιμο σύνολο εργαλείων για τη γεφύρωση του χάσματος ανάμεσα στο business και το ΙΤ. Εχουν αναπτυχθεί για να «αιχμαλωτίσουν» τις βέλτιστες πρακτικές και να βοηθήσουν στη διασφάλιση ότι όλα τα σημαντικά στοιχεία μιας διαδικασίας καταγράφονται.
Δοκιμή και άσκηση
Ενα άλλο πολύ σημαντικό σύνολο εργαλείων για τη «συνάντηση του ΙΤ με το business είναι οι δοκιμές και οι ασκήσεις (testing & exercising). Κάθε business continuity management σύστημα πρέπει να δοκιμαστεί προκειμένου να διασφαλιστεί ότι είναι κατάλληλο για τους σκοπούς της εταιρείας, καθώς και για να υπογραμμιστούν οι πιθανές αδυναμίες. Είναι πολύ σημαντικό επίσης να γίνουν «ασκήσεις» ώστε οποιοσδήποτε εμπλέκεται στο business continuity πρόγραμμα να μπορεί να εξασκηθεί και να κατανοήσει το ρόλο του. Αυτό διασφαλίζει ότι στην πραγματική κρίση θα μπορούν όλοι να ανταποκριθούν γρήγορα και αποτελεσματικά.
Οι δοκιμές και οι ασκήσεις είναι πολύ χρήσιμες, καθώς μπορούν να αξιοποιηθούν για να φέρουν κοντά ανθρώπους που συνήθως δεν συναντιούνται για επιχειρηματικούς σκοπούς και αυτό από μόνο του μπορεί να καταρρίψει εμπόδια και τείχη. Ωστόσο, το να πρέπει από κοινού να συμμετάσχουν σε μία δοκιμή ή άσκηση και η συνεπακόλουθη ενημέρωση και ανάλυση μπορεί να βοηθήσει στην ανάδειξη των περιοχών αυτών που χρειάζονται αποσαφήνιση. Για αυτό το λόγο μία αποτυχημένη δοκιμή δεν πρέπει να εκλαμβάνεται σαν κάτι αρνητικό, αλλά αντίθετα σαν μία θετική ευκαιρία για βελτίωση του business continuity management προγράμματος.
Συμπέρασμα
Το καλύτερο και πιο αποδοτικό business continuity σύστημα υλοποιείται μέσα από μία ολιστική προσέγγιση. Ωστόσο, αυτό δεν είναι κάτι αυτονόητο, ούτε έρχεται φυσικά για πολλές εταιρείες, όπου συχνά επικρατεί ένας διαχωρισμός ανάμεσα στο τμήμα ΙΤ και το υπόλοιπο business. Με δεδομένο ότι το ΙΤ είναι ένα κεντρικό κομμάτι των περισσότερων business continuity πλάνων, ο πειρασμός για την ανάθεση της συνολικής ευθύνης για το business continuity στο ΙΤ. Μια τέτοια προσέγγιση όμως πρέπει να αποφευχθεί.
Το Business Continuity πρέπει να οδηγείται από το business, αλλά το business πρέπει να είναι σε θέση να επικοινωνεί με το τμήμα IT και να κατανοεί την τεχνική γλώσσα και τη εξαιρετικά πολύπλοκη υποδομή. Διαφορετικά, το αποτέλεσμα θα είναι ένα πιθανώς άχρηστο πρόγραμμα επιχειρησιακής συνέχειας.
10 πράγματα που πρέπει να καλύψετε στο business continuity plan
Το business continuity δεν είναι απλώς μια «φανταιζί» λέξη για το «backup» – παρόλο που κάποιοι οργανισμοί το αντιμετωπίζουν έτσι. Ενα περιεκτικό και συνεκτικό business continuity plan (BCP) απαιτεί ένα roadmap για τη συνέχεια και/ ή την αποκατάσταση των κρίσιμης σημασίας λειτουργιών κατά τη διάρκεια και μετά από μια καταστροφή, όπως μία φωτιά, μία πλημμύρα ή ακόμα και μία επιδημία.
Η TechRepublic συμβουλεύει να σκεφτείτε διεξοδικά, να καταγράψετε και να διανείμετε το BCP της εταιρείας σας στο προσωπικό, και φυσικά πολύ πριν συμβεί ένα περιστατικό που μπορεί να προκαλέσει διακοπή των επιχειρηματικών λειτουργιών. Αντίγραφα του σχεδίου πρέπει να αποθηκεύονται και εκτός εταιρείας – μια προφανής ανάγκη που συχνά όμως παραβλέπεται.
Τα 10 πράγματα που πρέπει να περιλαμβάνει ένα καλό BCP σύμφωνα με την Techrepublic είναι:
1. Ανάλυση των πιθανών απειλών
2. Περιοχές υπευθυνότητας
3. Πληροφορίες επαφών έκτακτης ανάγκης
4. Off-site backup σημαντικών πληροφοριών
5. Disaster recovery ομάδα
6. Backup συμφωνίες παροχής ενέργειας
7. Εναλλακτική στρατηγική επικοινωνίας
8. Εναλλακτική τοποθεσία λειτουργιών
9. Backup βασικού εξοπλισμού και υπηρεσιών
10. Φάση ανάκαμψης.