План обеспечения непрерывности бизнеса (Business Continuity Plan, BCP), как правило, содержит четкие рекомендации о продолжении функционирования компании в случае незапланированного перерыва в работе. Такой документ является весьма масштабным, поскольку охватывает непредвиденные обстоятельства относительно бизнес-процессов, активов, сотрудников фирмы и деловых партнеров. Неудивительно, что процесс его создания сопровождается многочисленными трудностями и сомнениями.

Проблемы бесперебойности работы

Непрерывность бизнеса означает поддержку ключевых функций компаний или их быстрое возобновление в случае серьезного сбоя, вызванного пожаром, наводнением или кибер-атакой. План обеспечения непрерывности деятельности позволяет идентифицировать и синхронизировать баланс между текущими рабочими процессами и установленной IT-инфраструктурой. Согласно IDC, в среднем сбой корпоративной системы может стоить до 100 000 дол. в час, а критический сбой приложения обойдется в сумму от 500 тыс. до 1 млн. дол. в час (Пресс-релиз «Worldwide Digital Transformation» для IDC, 2019).

Разработка комплексного плана обеспечения непрерывности бизнеса усложняется ввиду использования гибридных IT-систем, т.е. состоящих из разноплановых приложений и платформ. Когда одно звено в цепи разрывается или подвергается атаке, негативное влияние распространяется по всему предприятию. Компания может столкнуться с потерей дохода и подрывом доверия клиентов, если не сможет быстро адаптироваться к новым рискам.

План обеспечения непрерывности бизнеса, как правило, содержит контрольный список расходных материалов, оборудования, резервных копий данных и мест их расположения. Ключевым компонентом плана выступает алгоритм аварийного восстановления корпоративной системы, который включает стратегии для устранения сбоев в сетях, серверах, персональных компьютерах и мобильных устройствах. Помимо названного, план должен охватывать способы восстановления офисной производительности и внутреннего программного обеспечения для удовлетворения основных бизнес-потребностей.

Анализ влияния на бизнес (Business Impact Analysis, BIA) также выступает составляющей BCP. BIA определяет влияние внезапной потери определенной бизнес-функции относительно получения прибыли. Подобный вид работы помогает оценить, следует ли отображать непрофильные виды деятельности в плане по непрерывности бизнеса. Выделяют три основных свойства BCP:

  • Доступность. Следует побеспокоиться о возможности доступа к жизненно необходимым данным и приложениям независимо от локальных сбоев. Многие компании используют внешние консалтинговые услуги по управлению непрерывностью бизнеса. В частности, существуют проактивные сервисы, такие как IBM IT Infrastructure Recovery Services, которые помогают идентифицировать риски и гарантируют обнаружение, реагирование и восстановление внутренней системы после сбоя.
  • Непрерывность операций. Защитите способность компании поддерживать работу во время сбоев, а также плановых отключений, посредством таких инструментов как плановое резервное копирование или обслуживание.
  • Аварийное восстановление. Установите центр обработки данных компании на другом сайте, если авария нарушила работу основного сайта или иным образом вывела его из строя. С ростом числа кибер-атак многие фирмы переходят от ручного восстановления к автоматизированному подходу отказоустойчивости. Некоторые компании обращаются к облачным сервисам резервного копирования, таким как IBM Disaster Recovery as a Service (DRaaS), для обеспечения непрерывной репликации критически важных приложений и данных с целью быстрого восстановления после сбоя IT-службы. Существуют также опции виртуальных серверов, такие как Cloud Virtualized Server Recovery, для защиты корпоративных серверов в режиме реального времени.

Немаловажной проблемой также выступает увеличение объемов данных, что может потребовать дополнительных инвестиций для поддержки онлайн-хранилищ. В частности, в докладе по планированию непрерывности бизнеса IBM Redbooks указано, что ежегодный прирост новых данных находится в диапазоне от 40% до 70%, тем самым усложняя их обработку и хранение (Доклад «IBM System Storage Business Continuity» для IBM, 2019).

Анатомия планирования

В планировании непрерывности бизнеса могут участвовать не только члены правления, но и отдельные департаменты, специализирующиеся на решении определенного типа кризиса. Выделяют следующие шаги для создания BCP:

1.  Оценка и определение приоритетных угроз. На начальном этапе стоит выделить ситуации, представляющие наибольшую потенциальную опасность для бизнеса. Разные обстоятельства создают разные угрозы, но не все могут парализовать текущие процессы. Составление актуального реестра рисков облегчит прогноз угроз и их влияние на компанию. Данный пункт состоит из следующих процедур:

  • Определение сферы действия плана и ключевых бизнес-направлений
  • Разработка критических функций
  • Выявление зависимости между различными сферами деятельности и функциями
  • Определение допустимого времени простоя для каждой критической функции
  • Создание резервного плана для обслуживания операций

2.  План готовности. Одним из лучших способов создать надежный план непрерывности бизнеса – это сформировать команду специалистов, представляющих разные отделы фирмы. Если Вы полагаете, что поставщики или иные заинтересованные стороны имеют решающее значение в указанном вопросе, важно также привлечь для составления BCP. К основным элементам плана относятся:

  • План эвакуации
  • Антикризисный план с подробной контактной информацией
  • Специальные инструкции

3.  Реализация плана и подготовка кадров. После составления проекта координатору непрерывности бизнеса и генеральному директору следует утвердить план. Сотрудники должны располагать контактной информацией, инструкциями и иными материалами, предусмотренные BCP. Команды по обеспечению непрерывности бизнеса и группа кризисной связи обязаны пройти дополнительный курс обучения по использованию конкретных алгоритмов действий в различных ситуациях.

4.  Тестирование плана. По словам Л. О’Доннелл, тестирование – это единственный способ по-настоящему понять сработает ли задумка (Статья «How To Create an Effective Business Continuity Plan» для CIO, 2017). Многие компании тестируют BCP 2-4 раза в год. Частота проверок зависит от типа организации, объема текучести кадров, количества бизнес-процессов и изменений в IT-инфраструктуре.

Общие тесты включают в себя имитационное моделирование, структурные тактики и симуляции. Команды тестирования обычно состоят из координатора по восстановлению корпоративной системы и членов функциональных подразделений. Имитационное моделирование, как правило, проводится в конференц-зале, где команда рассматривает план, ищет пробелы и обеспечивает присутствие в нем всех бизнес-единиц.

При изучении структурных тактик каждый член команды детально просматривает свои компоненты плана для выявления слабых сторон. Часто команда проходит тестирование с учетом конкретной катастрофы. Выявленные недостатки исправляются, а обновленный план распространяется среди соответствующих сотрудников.

Хорошей идеей служит проведение учений по полной эвакуации, хотя бы один раз в год. Эта процедура позволит определить, нужно ли принимать специальные меры для эвакуации сотрудников, имеющих физические ограничения. Симуляция бедствий, или сценарный метод, также должен проводиться ежегодно. Для этого теста необходимо создать среду, имитирующую катастрофу, со всем необходимым оборудованием, расходными материалами и персоналом, включая деловых партнеров и поставщиков. Цель симуляции – определить, сможет ли компания выполнять важные бизнес-функции во время кризиса.

На каждом этапе тестирования плана в группу тестирования включается несколько новых сотрудников для обнаружения пробелов, которые опытные члены команды могли пропустить. Перед проведением проверки запросите отзывы сотрудников о плане непрерывности бизнеса. С этой целью попросите все отделы компании пересмотреть BCP, включая филиалы и другие удаленные подразделения.

Стоит отметить, что план обеспечения непрерывности бизнеса должен активно поддерживаться руководством компании. Грамотное управление и представление плана способствуют повышению уровня сознательности сотрудников. Хотя распространением плана и последующим обучением могут заниматься руководители бизнес-подразделений, лучше обратиться к проверенным специалистам и, тем самым, подчеркнуть значимость BCP для фирмы.

Таким образом, компании заинтересованы в разработке комплексных планов обеспечения непрерывности бизнеса для поддержки привычного рабочего режима, защиты данных, привлечения клиентов и снижения общих эксплуатационных расходов в долгосрочной перспективе. Наличие плана обеспечения непрерывности бизнеса поможет свести к минимуму время простоя и улучшить возможности корпоративного управления кризисами.

 

Источники:

https://www.ibm.com/services/business-continuity/plan

https://www.cio.com/article/2381021/best-practices-how-to-create-an-effective-business-continuity-plan.html

https://www.agilityrecovery.com/how-to-create-a-business-continuity-plan/

Читайте также: