Hirdetés
. Hirdetés

Üzletmenet-folytonosság - így alakítsuk ki a rendszert

|

A World Trade Center 2001 évi katasztrófája után számos cikk jelent meg arról, hogy azok a cégek maradtak "életben", akiknek volt üzletmenet-folytonossági tervük.

Hirdetés

Talán ez a tapasztalat is hozzájárult ahhoz, hogy a 2011-ben az ISACA magyar szervezete által készített információbiztonsági felmérés szerint a magyar vállalati és közszféra legfontosabb szereplőinek 52%-a üzletmenet-folytonossági tervvel, míg 62%-a katasztrófaelhárítási tervvel rendelkezik. Utóbbi az üzletmenet-folytonossági terv része, de sokan készítenek még ma is csak a katasztrófa-helyreállítás folyamatát tartalmazó tervet.
Az alábbiakban röviden ismertetjük az üzletmenet-folytonosság menedzsmentrendszer kialakításának főbb lépéseit.

ronkos_judit

Rönkös Judit - vezető tanácsadó, Noreg Kft. Associate Member of the Business Continuity Institute

Üzleti hatáselemzés (BIA - Business Impact Analysis)
A rendszer kialakítását megelőző legfontosabb lépés az üzleti hatáselemzés elvégése. A hatáselemzés során át kell tekinteni a szervezet valamennyi folyamatát, azok függőségét más folyamatoktól, és ki kell választani a szervezet számára kritikus tevékenységeket. Az egyes folyamatért felelős vezetőknek meg kell határozni, hogy a folyamat leállása mennyi ideig tolerálható (RTO), illetve a folyamatok által használt adatok melyik időponttól állíthatók vissza (RPO) anélkül, hogy a cég/szervezet elfogadhatatlan kárt szenvedne. Az értékek meghatározásánál figyelembe kell venni többek között a törvényi követelményeket, a hírnévvesztést, az anyagi veszteséget stb. Nagyon fontos, hogy az egyes alkalmazások felelősei által meghatározott igényeket - valamennyi folyamatot együtt szemlélve – jóváhagyja/módosítsa egy felső szintű vezető, aki a teljes vállalati profilt átlátja. Tapasztalatunk szerint ugyanis az egyes alkalmazások, folyamatok fontosságát a felelőseik gyakran túlértékelik. Így fordulhatott elő egy nagy közüzemi szolgáltatónál folytatott projekt során, hogy az első felmérés alapján a munkaruha-nyilvántartó alkalmazást felelőse”legkritikusabb” kategóriájúnak minősítette.
Meg kell határozni azt a minimális szintet is, aminek a működésére a helyreállítás után feltétlenül szükség van. Egy részleges informatikai környezetben például - ha lassabb feldolgozás mellett is - a kritikus alkalmazások működtethetőek.

Kockázatbecslés
A szervezetnek meg kell állapodnia egy kockázatelemzés-módszertanban. Néhány kockázatelemzési szabvány, ajánlás a teljesség igénye nélkül: ISO 27005, RISK IT, NIST SP-800-39, CRAMM, OCTAVE, FAIR, amelyeket az adott szervezetre kell szabni minden esetben.
A kockázatelemzés során fel kell mérni, hogy mely fenyegetések okozhatnak kritikus leállást, adatvesztést a szervezetben. A fenyegetések számbavételéhez segítséget nyújthatnak fenyegetéskatalógusok, az egyes szabványok fenyegetéslistái és az auditorok tapasztalata.
Nagyobb szervezetek és komplex rendszerek esetében javasolt ezeket az információkat egy támogató informatikai rendszerben rögzíteni, amely a továbbiakban a változásokat képes kezelni, modellezni és a BCM-folyamatokat részben automatizálni.

Az intézkedések kiválasztása
Amennyiben a kockázat mértéke meghaladja a BIA–ban meghatározott tolerálható mértéket, akkor el kell dönteni, hogy a szervezet hogyan kezeli a kockázatot az egyes tevékenységekre meghatározott RTO és RPO-nak megfelelően.
A kockázatok csökkentése: a kockázatok számos módon csökkenthetők, pl. tartalék eszközök beszerzésével, megelőző intézkedések megvalósításával.
A kockázat elfogadása: előfordulhat, hogy a kivédésre fordítandó összeg nem áll arányban a „haszonnal”, ilyenkor a bekövetkezés nagyon kis valószínűsége esetén dönthet úgy a vezetőség, hogy elfogadja a kockázatot.
A kockázat áthárítása: a kockázat áthárítható biztosítással vagy szerződéssel, de például a hírnévvesztés vagy a törvényi követelmények be nem tartása nem áthárítható kockázat.

BC-stratégia és a BCM-tervek elkészítése és bevezetése
Ki kell jelölni a katasztrófa események menedzseléséhez megfelelő felelősséggel, jogosultsággal és szakértelemmel rendelkező személyeket, akik a terv alapján meghatározzák az incidens fokát, és elindítják az ennek megfelelő válaszlépéseket.
A tervnek tartalmaznia kell minden olyan információt, amelyre egy incidens vagy katasztrófa esetén szükség lehet. Ezek közé tartozik az egyes felelősök szerepe és elérhetősége, valamely helyreállítási terv használata, a helyreállítást támogató szervezetek, erőforrások, érintettek naprakész elérhetősége, a kommunikációs stratégia, a dokumentálás lépései sablonokkal segítve, és a kritikus tevékenységek helyreállítási prioritásai. A tervnek tartalmaznia kell a helyreállítási stratégiát és a helyreállítási terveket is, amely tartalmazza a helyreállításhoz szükséges erőforrásokat, eszközöket, adatokat, információkat, másodlagos helyszínt és a szolgáltatókat is. Tipikus hiba, hogy ezekből az erőforrásokból kimaradnak a belső erőforrások, vélelmezve, hogy az úgyis rendelkezésre áll.

A BCM terv tesztelése karbantartása és a felülvizsgálata
A tervek elkészítését annak oktatása, majd tesztelése kell, hogy kövesse. Tapasztalatunk szerint gyakran elmaradnak ezek a lépések, holott minden szakirodalom leírja fontosságát. Több tesztelést kísértünk végig, és minden esetben adódtak olyan pontok a helyreállítási terv szerinti végrehajtás során, ahol vagy egy információ nem volt aktuális (támogató szervezet időközben megváltozott), vagy hiányzott (nem volt elérhető a hivatkozott telepítő média), vagy nem úgy működött a rendszer (újabb szoftververzió miatt), ahogy azt a tervben elképzelték.
A BCM tervet minden a céget/szervezetet érintő változás vagy incidens esetén, de legalább évente át kell tekinteni, hatékonyságát növelni, illetve a változásoknak megfelelően módosítani.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.