Ο τελικός στόχος ενός business continuity πλάνου είναι να κρατήσει την επιχείρηση σε λειτουργία όταν κάτι δεν πάει καλά. Το πώς αυτό θα επιτευχθεί είναι ένα πρόβλημα που λύνεται με πολλούς τρόπους.

Μια αίθουσα με δεκάδες υπολογιστές σε πλήρη ετοιμότητα, αλλά άδεια από εργαζόμενους. Μια πρώτη σκέψη είναι ότι έχουν κάνει διάλειμμα. Ωστόσο, η πραγματικότητα δεν είναι αυτή. Οι υπολογιστές περιμένουν υπομονετικά μέχρι τα “είδωλα” τους, τα οποία βρίσκονται εκατοντάδες χιλιόμετρα μακριά και εξυπηρετούν τις ανάγκες κάποιας επιχείρησης να σταματήσουν για κάποιο λόγο να λειτουργούν. Ο λόγος μπορεί να είναι μια φυσική καταστροφή ή μια κυβερνοεπίθεση. Όταν συμβεί κάτι τέτοιο, η άδεια αίθουσα με τους standby υπολογιστές, θα φιλοξενήσει για όσο χρειαστεί τους εργαζόμενους της επιχείρησης που έπαθε την καταστροφή. Αυτή είναι μια από τις εικόνες που βλέπει ο επισκέπτης της Lamda Hellix, η οποία προσφέρει μεταξύ άλλων υπηρεσίες disaster recovery στους πελάτες της.

Από το disaster recovery στο Business Continuity
Γυρνάμε στις αρχές της δεκαετίας του 70, όπου έχει αρχίσει να αναδύεται ο όρος disaster recovery. Κυρίως χρηματοπιστωτικά ιδρύματα, είναι αυτά που έχουν την οικονομική δυνατότητα, αλλά και την ανάγκη να επενδύσουν σε ενοικίαση χώρων, όπου φυλάσσονται οι μαγνητικές ταινίες που περιέχουν τα backup data. Στις περισσότερες περιπτώσεις, μια φυσική καταστροφή ήταν η αιτία που έθετε σε λειτουργία το μηχανισμό ανάκτησης δεδομένων. Στη δεκαετία του 90, ο κόσμος άρχισε να ζει πιο έντονα το ρυθμό της παγκοσμιοποίησης. Οι εταιρείες άρχισαν να συνειδητοποιούν ότι χωρίς ένα Business Continuity (BC) πλάνο, είναι πολύ πιθανό να βρεθούν σε δυσχερή θέση, από ανταγωνιστές που λόγω τύχης ή ετοιμότητας ήταν περισσότερο προετοιμασμένοι. Την ίδια περίοδο, ένα πλάνο BC αποκτά μια πιο περίπλοκη δομή, καθώς πρέπει να συμπεριλάβει παράγοντες, όπως αρχιτεκτονικές εφαρμογών που βασίζονται σε μοντέλα κατανεμημένων πόρων, οι οποίοι θα μπορούσαν να βρίσκονται εντός ή εκτός των κεντρικών γραφείων της επιχείρησης ή σε κάποιο cloud ή και τα δύο.

Οι κυβερνοεπιθέσεις εξίσου επικίνδυνες με φυσικές καταστροφές
Πρακτικά, μια φυσική καταστροφή έχει τη δυνατότητα να καταστρέψει ένα κτίριο ολοσχερώς, οπότε χωρίς ένα BC πλάνο, θα χρειάζονταν ίσως και χρόνια μέχρι η εταιρεία να λειτουργήσει ξανά. Μια κυβερνοεπίθεση είναι προσωρινά αδύνατο να προκαλέσει μια τόσο μεγάλη καταστροφή. Συνήθως τα downtimes είναι από μερικά λεπτά μέχρι μερικές ώρες, οπότε η καταστροφή σε αυτήν την περίπτωση είναι η απώλεια δεδομένων. Η κατάσταση γίνεται πιο δύσκολη, αν η επίθεση έχει ως αποτέλεσμα το κλείδωμα των συστημάτων με απαίτηση λύτρων, οπότε πρακτικά η εταιρεία χρειάζεται ένα disaster recovery μέχρι να αποφασίσει αν θα πληρώσει τα λύτρα ή να βρει τον τρόπο να ξεκλειδώσει τα συστήματά της. Μέσα από αυτήν την οπτική, τα συστήματα ψηφιακής και φυσικής ασφάλειας της εταιρείας, εντάσσονται στο BC πλάνο.

Το εύρος του BC πλάνου διευρύνεται
Ξεκινήσαμε από το disaster recovery με φύλαξη των μαγνητικών αποθηκευτικών μέσων και σήμερα το BC πλάνο καλύπτει διαδικασίες που μεριμνούν ώστε η επιχείρηση να παραμείνει σε λειτουργία ανεξάρτητα της αιτίας παύσης των πρωτευόντων συστημάτων της, η οποία θα μπορούσε να είναι ακόμα και μια κατάληψη του κτιρίου από τους εργαζόμενους. Επιπλέον, η προστασία των δεδομένων, της εταιρικής φήμης και η διατήρηση των πελατών ακόμα και μετά από κάποια κρίση, εντάσσονται στο πλάνο. Σύμφωνα με την IDC, κατά μέσο όρο μια αστοχία στη λειτουργία των υποδομών, μπορεί να κοστίσει μέχρι και 100.000 δολάρια ανά ώρα, ενώ σε σοβαρότερες περιπτώσεις, το κόστος μπορεί να φτάσει μέχρι και το 1 εκατομμύριο δολάρια ανά ώρα. Η ανάρρωση της Maersk από την κυβερνοεπίθεση που δέχτηκε, η οποία έγινε γνωστή ως “NotPetya” κόστισε σύμφωνα με εκτιμήσεις πάνω από 300 εκατομμύρια δολάρια και για να αποκατασταθεί η λειτουργία της εταιρείας στο 100%, χρειάστηκε σχεδόν ένα έτος.

Η ανάγκη ενός πλάνου μεγάλου εύρους σε συνδυασμό με το γεγονός ότι δεν έχουν όλες οι εταιρείες, τον προϋπολογισμό που χρειάζεται για να το υλοποιήσουν στο 100%, ωθεί συχνά τα άτομα που θα χρειαστεί να το σχεδιάσουν και να το υλοποιήσουν να αναρωτιούνται από που να ξεκινήσουν και ποια βήματα μπορούν να παραλείψουν αν ο προϋπολογισμός δεν είναι αρκετός για το σύνολο του έργου. Τομείς, όπως η διαχείριση της κρίσης, η επαναλειτουργία βασικών επιχειρηματικών διαδικασιών και η ανάκτηση των δεδομένων είναι συχνά ψηλότερα στις προτεραιότητες, αλλά όχι απαραίτητα με αυτή τη σειρά.

Ας δούμε ένα απλό παράδειγμα. Ο οικιακός μας υπολογιστής παθαίνει βλάβη και χρειάζεται να βρούμε άμεσα ένα αρχείο που θα πρέπει να στείλουμε με email για να ξεκινήσει μια συνάντηση με ένα σημαντικό επενδυτή στην εταιρεία μας. Ας υποθέσουμε ότι είμαστε προνοητικοί και το περασμένο βράδυ, έχουμε κάνει backup το αρχείο σε ένα USB stick. Οπότε, έχουμε διαθέσιμο το αρχείο, αλλά δεν έχουμε υπολογιστή να το στείλουμε.

Το ίδιο συμβαίνει και με μια επιχείρηση, η οποία βασίζεται σε υποδομές πληροφορικής για να λειτουργήσει. Οπότε, το πρώτο για το οποίο χρειάζεται να μεριμνήσει είναι η διαθεσιμότητα των υποδομών πληροφορικής. Αυτό μπορεί να σημαίνει από μια γεννήτρια που θα λειτουργήσει σε περίπτωση διακοπής ρεύματος, μέχρι και ένα disaster recovery site, όπως αυτό που περιγράψαμε στην αρχή του άρθρου.

Σε δεύτερη μοίρα βρίσκεται η συνέχιση των επιχειρησιακών διαδικασιών και συχνά είναι αυτή που απαιτεί το μεγαλύτερο κόστος σε επένδυση και χρόνο. Ένα μεγάλο ποσοστό των επιχειρησιακών διαδικασιών θα μπορούσε να επαναλειτουργήσει με αυτοματισμούς, όχι όμως όλες. Σε κάποιες περιπτώσεις, οι διαδικασίες θα πρέπει να γίνουν από διαφορετικούς ανθρώπους από αυτούς που τις είχαν στην ευθύνη τους και μάλιστα σε περιβάλλον πίεσης. Εύκολα θα πει κάποιος ότι είναι ένα πρόβλημα εύκολα επιλύσιμο, δεδομένου ότι κάποιος άλλος εργαζόμενος μπορεί να αναλάβει αυτήν την εργασία. Για αυτό το λόγο άλλωστε τα αεροπλάνα έχουν δύο πιλότους. Ωστόσο, η πράξη αποδεικνύει ότι η μεταφορά των “ευθυνών” δε ρέει όπως το νερό στο αυλάκι. Αυτός είναι και ο λόγος που όσον αφορά τη συνέχιση των επιχειρησιακών διαδικασιών απαιτούνται συχνές ασκήσεις ετοιμότητας, οι οποίες έχουν σημαντικό κόστος.

Τέλος, στη σειρά έρχεται το θέμα της διαχείρισης της κρίσης, το οποίο πλέον αποκτά μεγαλύτερη βαρύτητα λόγω του πλαισίου που ορίζεται από το GDPR. H διαχείριση κρίσης έχει να κάνει κυρίως με τους πελάτες και τους προμηθευτές της εταιρείας, χωρίς να υποβιβάζουμε το ζήτημα της εμψύχωσης του ανθρώπινου δυναμικού.


Αποκλείεται όλα να πάνε καλά
Ίσως ένα από τα πιο σημαντικά λάθη που γίνονται στο σχεδιασμό ενός BC πλάνου είναι η υπερβολική λεπτομέρεια. Μπορεί οι επιχειρήσεις να λειτουργούν σε ένα περιβάλλον ανταγωνισμού, αλλά αυτό δε σημαίνει ότι ένας πελάτης και μάλιστα ένας ευχαριστημένος πελάτης θα διακόψει τη σχέση του με την εταιρεία, επειδή η εξυπηρέτησή του δεν ήταν εξίσου άψογη πριν και μετά από μια καταστροφή. Το ίδιο ισχύει και για τον προμηθευτή, ο οποίος θεωρητικά θα πρέπει να έχει συμπεριλάβει στο δικό του BC πλάνο τους σημαντικότερους τουλάχιστον πελάτες του.

Ένας δεύτερος λόγος αστοχίας των BC plan είναι οι “πρόχειρες” ασκήσεις ετοιμότητας. Το πιο συνηθισμένο παράδειγμα είναι η δοκιμή συστημάτων πυρόσβεσης, η οποία συχνά ολοκληρώνεται χωρίς αυτά να ενεργοποιηθούν.

Η λίστα θα μπορούσε να συμπληρωθεί με αρκετούς ακόμα παράγοντες, αλλά από αυτούς θα ξεχωρίσουμε έναν που θεωρούμε ως τρίτο σημαντικότερο και είναι η ανεπαρκής ασφαλιστική κάλυψη. Αν φανταστούμε την επιχείρηση σαν ένα αυτοκίνητο και παρομοιάσουμε την καταστροφή με ένα τρακάρισμα, αντιλαμβανόμαστε τη σημασία της ποιοτικής ασφαλιστικής κάλυψης. Αν δεν έχουμε καμία και το κεφάλαιο μας δεν είναι επαρκές, τότε δεν έχουμε τη δυνατότητα να αγοράσουμε ξανά αυτοκίνητο. Αν έχουμε, αλλά δεν περιλαμβάνει οδική βοήθεια, θα πρέπει να πληρώσουμε γερανό για να μας μεταφέρει το αυτοκίνητο στο συνεργείο και τέλος, αν έχουμε μια πολύ καλή κάλυψη, την επόμενη μέρα θα έχουμε αυτοκίνητο αντικατάστασης για να συνεχίσουμε να κινούμαστε.

ΣΤΡΑΤΗΓΙΚΗ ΕΠΙΛΟΓΗ ΤΟ ΠΛΑΝΟ BC

    Ο Αλέξανδρος Μπεχράκης, Chief Commercial & Technology Officer της Lamda Hellix, εξηγεί τη σημασία ενός ολοκληρωμένου πλάνου Επιχειρησιακής Συνέχειας (Business Continuity) και πως μπορεί να εξασφαλίσει την ομαλή λειτουργία μιας επιχείρησης αλλά και να συνδράμει στην ανάπτυξή της.

Η βιωσιμότητα των σύγχρονων επιχειρήσεων είναι απόλυτα συνυφασμένη με την αδιάλειπτη λειτουργία των υπολογιστικών τους συστημάτων. Οι παράγοντες που μπορούν να επηρεάσουν την ομαλή λειτουργία μιας επιχείρησης, ωστόσο, είναι αναρίθμητοι όπως φυσικές καταστροφές, κοινωνικές ή πολιτικές αναταράξεις, λάθη από ανθρώπινη υπαιτιότητα, τηλεπικοινωνιακός αποκλεισμός κλπ. Στη σημερινή ψηφιακή οικονομία το κόστος ενός down-time για μια επιχείρηση μπορεί να φτάσει τις πολλές χιλιάδες ευρώ ανά λεπτό και είναι ένα δυσανάλογο ρίσκο τόσο για την οικονομική ευημερία όσο και τη φήμη μιας επιχείρησης. Γι’ αυτό, λοιπόν, απαιτείται η δημιουργία ενός ολοκληρωμένου πλάνου Business Continuity όπου θα έχει προβλεφθεί η αδιάλειπτη λειτουργία της επιχείρησης ανεξαρτήτως κινδύνου σε ένα απόλυτα ασφαλές περιβάλλον. Τα data centers της Lamda Hellix είναι πλήρως πιστοποιημένα και πολλαπλά βραβευμένα ως τα πλέον ασφαλή κέντρα δεδομένα της ΝΑ Ευρώπης, Μέσης Ανατολής και Βόρειας Αφρικής. Το εξειδικευμένο προσωπικό μας μαζί ειδικούς συμβούλους μπορεί να καταγράψει τις ανάγκες σας και να βοηθήσει στο σχεδιασμό ενός πλάνου Business Continuity που να ανταποκρίνεται στις ανάγκες της εκάστοτε επιχείρησης, προτείνοντας ένα φάσμα επιλογών θέσεων εργασίας αποκλειστικής ή μοιρασμένης χρήσης βάσει συμφωνημένων SLAs καθώς και συμπληρωματικών υπηρεσιών όπως το workplace recovery όπου μπορεί να αντικατοπτρίζεται το περιβάλλον εργασίας του χρήστη, ως προς τις εφαρμογές λογισμικού, μειώνοντας το χρόνο που απαιτείται προκειμένου να αρχίσουν οι χρήστες να εργάζονται αποδοτικά σε ένα «προσωρινό» αλλά κατά τα λοιπά οικείο χώρο.

ΕΜΦΑΣΗ ΣΤΗ ΔΙΑΧΕΙΡΙΣΗ ΚΡΙΣΕΩΝ

    Ο Εμμανουήλ Αλβίζος, IT Governance Senior Consultant της PRIORITY, αναδεικνύει την αυξανόμενη σημασία που αποδίδεται στην αποτελεσματική Διαχείριση Κρίσεων.

Στα σχεδόν δέκα χρόνια ενασχόλησής μας με τη συμβουλευτική στην επιχειρησιακή συνέχεια, την τελευταία διετία, παρατηρούμε αύξηση στο ενδιαφέρον που δείχνουν οι ανώτερες διοικήσεις στη διαχείριση κρίσεων. Και αυτό είναι καλό , αναφέρει ο Εμμανουήλ Αλιβίζος στέλνοντας ένα θετικό μήνυμα σχετικά με τα βήματα βελτίωσης της λειτουργίας των ελληνικών επιχειρήσεων.

Παραδοσιακά, η επιχειρησιακή συνέχεια επικεντρώνεται στην ανάπτυξη σχεδίων που αναφέρονται με λεπτομέρεια στη συνέχεια της λειτουργίας μετά από κρίσιμα περιστατικά. Πολλές φορές, όμως, ο σχεδιασμός παραμένει σιωπηλός μπροστά στις ιδιαίτερες προκλήσεις που καλείται αιφνίδια να αντιμετωπίσει η ανώτερη Διοίκηση. Η λήψη αποφάσεων σε στενά χρονικά περιθώρια και, σχεδόν πάντα, με ελλιπή πληροφόρηση, είναι εξαιρετικά δύσκολη δίχως προετοιμασία και εξάσκηση. Με άλλα λόγια, δίχως ένα σχέδιο διαχείρισης κρίσεων.

Τα Capital Controls ήταν σίγουρα ένα ορόσημο που έβαλε το Crisis Management πιο ψηλά στην ατζέντα των Διοικητικών Συμβουλίων. Έκτοτε, όμως, η σχεδόν καθημερινή δημοσιοποίηση high-profile περιστατικών (βλ. cyberattacks, product failures, κλπ.) φαίνεται να εντείνει την ανησυχία υψηλόβαθμων στελεχών και προκαλεί γόνιμο ενδιαφέρον για πιο ολοκληρωμένες προσεγγίσεις.


Business Continuity στο cloud

    Ο Παναγιώτης Κουρής, CEO της Office Line εστιάζει στις δυνατότητες του cloud και συγκεκριμένα του Microsoft Azure, ως σημαντικό στοιχείο στο σχεδιασμό ενός business continuity plan.

Στις σημερινές δύσκολες και ανταγωνιστικές συνθήκες του επιχειρείν, είναι εξαιρετικά σημαντικό η κάθε επιχείρηση να προστατεύει τα δεδομένα της είτε από ενδεχόμενη φυσική καταστροφή ή από κακόβουλη ενέργεια και να έχει ένα αξιόπιστο περιβάλλον για την αδιάκοπη λειτουργεία της.

Τα δεδομένα αποτελούν την ψυχή του οργανισμού και στην ουσία είναι αναντικατάστατες πηγές άμεσης και σφαιρικής πληροφόρησης του επιχειρηματία. Η τυχόν απώλεια τους εγκυμονεί σοβαρούς κινδύνους για την ομαλή συνέχιση της επιχειρηματικής λειτουργίας.

Εδώ ακριβώς διαπιστώνουμε την αναγκαιότητα του σχεδιασμού και της υλοποίησης ενός business continuity plan χρησιμοποιώντας τεχνολογίες Microsoft Azure Cloud οι οποίες είναι οι πλέον αποτελεσματικές υπηρεσίες προσιτού κόστους για την αδιάκοπη λειτουργία της επιχείρησης, της διαφύλαξης των πάσης φύσεως επενδύσεων και κεφαλαίων, εφ’ όσον όλα τα data του οργανισμού είναι ανά πάσα στιγμή διαθέσιμα στο «Σύννεφο»

Λαμβάνοντας υπόψιν ότι εμείς ως Office Line, έχουμε ήδη υλοποιήσει μια σειρά από επιτυχημένα έργα Business Continuity επιτυγχάνοντας οικονομία περίπου 90% μεταξύ της Αzure και της on- premise λύσης (με τις απαιτήσεις σε εξοπλισμό και προγράμματα), απευθύνουμε ένα προσκλητήριο στην επιχειρηματική κοινότητα, να διασφαλίσουν τώρα την συνέχιση της επένδυσής τους σε συνεργασία με την Office Line με την κατάρτιση ενός σχεδίου business continuity προσαρμοσμένο στις ανάγκες κάθε οργανισμού.

BUSINESS CONTINUITY – ΣΗΜΑΣΙΑ, ΕΜΠΟΔΙΑ ΚΑΙ ΛΥΣΕΙΣ

    O Άγγελος Βλασσόπουλος, Managing Director, Prudea Business Systems LTD, αναλύει τα οφέλη από την εφαρμογή και ανάπτυξη αποτελεσματικού Σχεδίου Επιχειρησιακής Συνέχειας.

Όταν ένας Οργανισμός εφαρμόζει ένα ολοκληρωμένο πρόγραμμα για τη Διαχείριση της Επιχειρησιακής Συνέχειας διασφαλίζει σε μεγάλο βαθμό, ότι θα είναι σε θέση να συνεχίσει να προσφέρει προϊόντα και υπηρεσίες, σε περίπτωση έλευσης έκτακτων περιστατικών ή και απρόβλεπτων γεγονότων. Με τον τρόπο αυτό, περιορίζονται οι επακόλουθες οικονομικές, λειτουργικές και νομικές συνέπειες και κυρίως προστατεύονται ανθρώπινες ζωές.

Είναι λοιπόν απαραίτητο, να εξασφαλίζεται ότι η ανάπτυξη και εφαρμογή του προγράμματος Διαχείρισης Επιχειρησιακής Συνέχειας (Business Continuity Management), ακολουθεί τις βέλτιστες πρακτικές και μεθόδους (π.χ. ISO22301), αλλά και το εκάστοτε κανονιστικό πλαίσιο.

H ανάπτυξη και εφαρμογή ενός αποτελεσματικού Σχεδίου Επιχειρησιακής Συνέχειας (Business Continuity Plan – BCP), απαιτεί τη συμμετοχή ενός ικανού αριθμού ανθρώπων, που στελεχώνουν θέσεις-κλειδιά. Με τη συνδρομή τους, θα παραχθούν αξιόπιστες Αναλύσεις Επιχειρησιακών Επιπτώσεων και Αναλύσεις Κινδύνων, ενώ θα καταρτιστούν Εναλλακτικά Σενάρια και Στρατηγικές Ανάκαμψης. Θα εκπληρωθούν δηλαδή τα προαπαιτούμενα για την ανάπτυξη και εφαρμογή ενός αποτελεσματικού Σχεδίου Επιχειρησιακής Συνέχειας.

Παρά το γεγονός ότι το διακύβευμα είναι εξαιρετικά σημαντικό, πολλοί Οργανισμοί διαθέτουν ιδιαίτερα περιορισμένους πόρους για την εκπόνηση ενός ολοκληρωμένου Προγράμματος Διαχείρισης της Επιχειρησιακής Συνέχειας. Επιπλέον εμπόδιο, αποτελεί η έλλειψη εξειδικευμένου προσωπικού και σχετικής τεχνογνωσίας. Παράλληλα, η χρήση των κλασσικών μεθόδων για την ανάπτυξη του Σχεδίου (BCP), π.χ. MS Excel / Word, είναι πλέον αποδεδειγμένα ανεπαρκής. Το αποτέλεσμα είναι η έκθεση του οργανισμού σε κινδύνους.

Η λύση είναι να εισάγουμε την απαραίτητη τεχνογνωσία στον Οργανισμό χρησιμοποιώντας εργαλεία που παρέχουν εξειδικευμένες πλατφόρμες λογισμικού (Integrated Risk Management platforms), οι οποίες επιφέρουν τεράστια εξοικονόμηση στους απαιτούμενους πόρους (χρόνος, χρήμα, ανθρώπινο δυναμικό, κ.λπ.). Τέτοιου είδους εργαλεία αποτελούν ολοκληρωμένες λύσεις που μπορούν να διαχειριστούν πλέον όχι μόνο θέματα Επιχειρησιακής Συνέχειας, αλλά και θέματα Συστημάτων Πληροφορικής (IT Risks and Disaster Recovery), Διαβάθμιση Συστημάτων και Αξιολόγηση Κινδύνων Ασφαλείας Πληροφοριών (Cyber and Information Security Risk Assessment), Αξιολόγηση Λειτουργικών Κινδύνων (Operational Risk Assessment), GDPR compliance assessments, Audit Management, κ.λπ.. Τα εργαλεία αυτά διατίθενται είτε μεμονωμένα, είτε ως ολοκληρωμένα συστήματα. Ωστόσο, απαιτείται ιδιαίτερη προσοχή ώστε το λογισμικό που θα επιλεγεί να είναι εύκολο και απλό στην χρήση, να έχει κόστος ανάλογο με το μέγεθος Οργανισμού και να συμμορφώνεται με τα διεθνή πρότυπα και το νομικό πλαίσιο. Έτσι, μικρότεροι σε μέγεθος Οργανισμούς θα μπορέσουν να διαχειριστούν αποδοτικά ένα ευρύ φάσμα θεμάτων, με καλύτερη αξιοποίηση του υπάρχοντος προσωπικού. Αντίστοιχα, μεγαλύτεροι σε μέγεθος Οργανισμοί θα είναι σε θέση να παράγουν ακόμη πιο ποιοτικά αποτελέσματα και να αναβαθμίσουν τις υπηρεσίες τους, απελευθερώνοντας παράλληλα πόρους και χρόνο για περισσότερους πρακτικούς ελέγχους (testing, auditing, performance monitoring, κ.λπ.).