Disaster Recovery plánování
Během posledního desetiletí jsme svědky trendu neustále se zvyšující závislosti obchodních procesů na informačních systémech, a to napříč společnostmi bez ohledu na typ podnikání. Ať už jde o řízení výroby, elektronické zpracování informací nebo on-line přístup k bankovnímu účtu, vždy do hry nějakým způsobem vstupuje elektronické zpracování informace.
Základním předpokladem, který umožní správné fungování všech elektronicky zpracovávaných agend, je zajištění dostupnosti, integrity a důvěryhodnosti zpracovávaných informací. Hlavním tématem pro Disaster Recovery plánování je pak zajištění dostupnosti informace a souvisejících elektronických agend sloužících k jejich zpracování.
Představme si situaci, kdy některý z kritických informačních systémů havaruje. Všechny závislé obchodní procesy nebudou rovněž fungovat, a to minimálně do doby, než bude havárie vyřešena. Většinou totiž provázanost mezi informačními systémy a obchodními procesy dosahuje takové míry, že nelze udržet obchodní proces při životě alternativním způsobem. Nemožnost vykonávat obchodní proces znamená přímou finanční ztrátu, která může v důsledku vést až k úpadku společnosti.
Je nabíledni, že čím kratší, profesionálnější a více ozkoušená bude reakce odpovědného personálu, tím kratší dobu bude trvat vlastní náprava havarijního stavu do normálního režimu. Navíc pokud se někdo dopředu zamyslí, jaké hrozby jsou pro jeho informační systém relevantní a jaká je pravděpodobnost jejich výskytu, může řadu těchto takzvaných rizik eliminovat formou preventivních opatření. Prevence spolu s řízenou reakcí jsou dvěma základními rovinami, kterými lze efektivně řešit problematiku tvorby havarijních neboli Disaster Recovery plánů.
Naše společnost má dlouholetou zkušenost s celou problematikou havarijního plánování. Naši konzultanti spolu s týmem certifikovaných odborníků jsou schopni nabídnout pomocnou ruku při libovolné fázi procesu tvorby, testování nebo údržby havarijních plánů.
Kdo by se měl touto problematikou zabývat? Jsme toho názoru, že nelze dělit společnosti na vhodné nebo nevhodné kandidáty. Ať bankovní dům garantující trvalou dostupnost svého centrálního systému vůči klientům, nebo malá společnost, jejíž veškerá agenda závisí na jednom PC, vždy je třeba se touto problematikou zabývat, identifikovat dopad nedostupnosti informačního systému a jeho eskalaci v čase a na základě finanční analýzy rozhodnout o míře nutnosti eliminovat identifikovaná rizika.
Jak přistoupit k řešení této problematiky? Komplexně a systematicky kombinací opatření v rovině lidských zdrojů, procesů a technických prostředků. Pouze dobře připravený personál postupující podle předem definovaných postupů s pomocí sofistikovaných nástrojů může zajistit, že reakce na výskyt havárie bude řízená, profesionálně organizovaná, s obnovou v co možná nejkratším čase vzhledem k míře investovaných prostředků.
Ačkoliv jde o kontinuální proces, implementace probíhá formou projektu s jasně definovaným fázováním dle následujících bodů:
- plánování a příprava
- analýza rizik a hodnocení dopadů havarijních situací na činnost organizace
- vypracování dokumentu „Havarijní plán“
Každá z fází se dále člení do etap tak, aby mohl být efektivně ze strany zákazníka kontrolován postup prací na projektu. Společnost S&T má zpracovánu vlastní metodiku pro proces tvorby, údržby a testování havarijních plánů, která striktně vychází z obecně platných doporučení BS25999 a NIST 800.34.
Vypracováním dokumentu však práce zdaleka nekončí, základním předpokladem pro fungování plánu je zajištění pravidelné aktualizace vyplývající ze změn v rámci informačních systémů, pro jejichž obnovu plán slouží. Ještě důležitějším faktorem je však pravidelné nacvičování postupů v plánu tak, aby se prověřila připravenost odpovědného personálu.
Konzultanti naší společnosti se problematice havarijního plánování věnovali již v desítkách případů, za nejvýznamnější implementace však považujeme následující:
- Bawag Bank CZ, a.s.
- ČEPS, a.s.
- Factoring KB, a.s.
- Penzijní Fond KB, a.s.
- VÚB CZ, a.s.
