Sunteți pe pagina 1din 5

Recuperarea în caz de dezastre şi continuitatea afacerii

Business continuity/ disaster recovery planning

Planul continuităţii afacerii (Business Continuity Planning-BCP) reprezintă


procesul creat pentru reducerea riscurilor organizaţiei provenind din distrugerea
neaşteptată a funcţiilor/operaţiilor (manuale sau automate) necesare pentru
supravieţuirea organizaţiei. Planul include proceduri privind resursele umane/materiale
care susţin funcţiile/operaţiile şi asigură continuitatea serviciilor, la cel mai mic nivel.
Scopul planului continuităţii afacerii şi a recuperării în caz de dezastru este acela ca
intreprinderea să fie capabilă să-şi continue operaţiunile în urma dezastrului şi să
supravieţuiască întreruperilor sistemului informaţional. Acest plan trebuie să fie
compatibil cu activitatea societăţii şi să întreţină planul general al organizaţiei.
Principala responsabilitate, ce vizează integritatea activelor şi viabilitatea organizaţiei,
este a managerului general. Planul ar trebui să se adreseze tuturor funcţiilor cerute în
acest sens, pentru ca activitatea societăţii să continue şi pentru păstrarea succesul
dobândit. Acesta conţine continuitatea procedurilor precizate pentru supravieţuire şi
minimizarea consecinţelor întreruperii afacerii.
Primul pas în dezvoltarea planului continuităţii afacerii este acela de a îmbunătăţi
analiza riscului (identificarea riscurilor). Impactul analizei arată cât de mare a fost
paguba (financiară sau de altă natură) pe care fiecare risc o poate genera. Riscurile
trebuie să fie identificate înaintea impacturile acestora.
Planul continuităţii afacerii este mai mult decât un plan de informare. Acesta identifică
cum se va desfăşura activitatea în urma dezastrului.
O subcomponentă importantă a planului de continuitate a afacerii este planul de
recuperare în caz de dezastru.( Disaster Recovery Planning-DRP) Acesta cuprinde
detalii ale procesului tehnologiei informaţiei ce vor fi folosite pentru refacerea sistemului.
Planul de recuperare în caz de dezastru poate fi inclus în planul continuităţii afacerii sau
poate fi prezentat ca un document separat, în funcţie de cerinţele afacerii. DRP se
referă la aspectul tehnic al planului, în timp ce BCP ia în considerare aspectul
operaţional general şi de business.
DRP este utilizat pentru a concentra doar procese importante şi platformele de lucru,
fiind o solutie strict tehnică. Prin implementarea unui astfel de plan s-a constatat că
recuperarea unei/mai multor platforme nu a însemnat şi recuperarea afacerii.
Continuitatea afacerii se adresează funcţiilor non-tehnice care sunt cerute pentru a
restaura afacerea. Diferenţele dintre soluţia tehnică şi cea non-tehnică sunt :
- Din punct de vedere tehnic avem platforme de tip computer sau sistem (servere,
router-e, gateway, retele etc.) care sunt localizate în centre sau în departamentul
IT.
- Non-tehnice sunt funcţiile/procesele care suportă operaţii critice ale afacerii ce sunt
externalizate (ex.: resurse umane, departamentul de plăti, departamentul juridic,
centrul de informare).
Deoarece un plan de recuperare în caz de dezastre este un proces tehnologic,
personalul IT este cel în măsură să creeze şi să întreţină acest plan.
Din aceste puncte de vedere, nu toate sistemele vor necesita o strategie de
recuperare. Însă, bazându-se numai pe analiza riscurilor, managerii nu pot vedea
beneficiul recuperării sigure a aplicaţiilor în urma dezastrului.
O strategie de recuperarea este o combinaţie între măsurile de prevenire, detectare
şi corectare. Cele mai multe acţiuni vor fi de tipul îndepărtării vulnerabilităţilor,
reducerea efectelor, reducerea apariţiilor vulnerabilităţii.
Procesele de creare a planurilor, procesele şi/sau procedurile care restabilesc
funcţionalitatea afacerilor în cazul misiunilor critice într-un cadru de timp acceptabile,
reprezintă planificarea continuităţii activităţii şi recuperarea în caz de dezastre.
Construirea unui plan presupune mai multe etape, aşa cum sunt prezentate în
figura 1. La iniţierea unui proiect BCP, ar trebui să se ţină seamă de opiniile unui comitet
format din membrii conducerii (resurse umane,contabilitate, IT etc.).

Figura 1. Plan de recuperare în caz de dezastre şi continuitatea afacerii

Următorul pas este transpunerea informaţiilor prin analiza impactului afacerilor (BIA
Business Impact Analysis - în această fază se identifică evenimentele variate care au un
impact în continuitatea operaţiunilor şi în organizarea din punct de vedere financiar,
resurse umane etc.) pentru a determina operaţiile critice. Apoi, se vor determina
strategiile şi obiectivele pentru recuperarea funcţiilor critice. În final, va fi necesar să se
întocmească un document, pe etape de recuperare, pentru a putea fi urmărit în cazul în
care se declară un incident.
Strategiile de recuperare pot fi multiple, în funcţie de bugetul de care dispune fiecare
societate. Acestea pot fi : procesarea manuală, să fii propriul tău recuperator, utilizând
locaţii multiple, contractul cu o societate recuperatoare, stabilirea unui parteneriat cu
societăţile client.
Un rol important îl are instruirea personalului angajat şi a altor persoane implicate în
activitatea societăţii, astfel se va testa planul, pentru a determina dacă functionează. Nu
totdeauna de reuşeşte acest lucru de prima oară. Testarea poate conţine exerciţii de
tipul : teste pentru componente ale planului sau execuţia planului în întregime. După
testare, acest plan va fi actualizat în conformitate cu rezultatele testului.
Vor fi necesare şi alte elemente în acest plan, cum ar fi:
- Asigurarea că salvarea datelor importante (pe hârtie, pe disc, etc.) se face într-o
locaţie sigură şi se poate avea acces la acestea. Fără aceste date, planul nu va
funcţiona.
- Menţinerea planului pe infrastructura actuală a societăţii.
- Conceperea planului privit din exteriorul societăţii ( „out of the box”).
Planul de recuperare în caz de dezastru şi continuitatea afacerii vă propune să ţineţi
seamă în detaliu, de următoarele :
1. Plan de atac
a. Discutaţi strategia de afaceri în concordanţă cu planul de continuitate a afacerii.
Determinaţi dacă strategia se focalizează pe planificarea IT de recuperare în caz de
dezastru. Aceasta ar putea fi limitată la restaurarea infrastructurii IT, într-o locaţie
alternativă sau mai multe, ce se concentrează pe reluarea tuturor operaţiilor critice de
afaceri. Evaluaţi în orice condiţii, strategia:
- Consideraţi conducerea afacerii, vulnerabilităţile, impactul;
- Riscurile prioritare şi alternative de recuperare în conformitate cu Analiza
Impactului Afacerii ;
- Adresarea proceselor de afaceri şi resurselor IT şi non IT ;
- A fost definit în mod formal, documentat şi comunicat ca parte a scopurilor BCP ;
- Managementului Continuităţii Afacerii.
b. Aflaţi opinia conducerii privind cele mai critice procese de afaceri, evaluaţi
capacitatea personalului societăţii de a relua operaţiile afacerii într-o eventuală
întrerupere.
Determinaţi bazele evaluării (ex: reacţia, experienţa în timpul unui eveniment anterior).
Discutaţi condiţiile în care Procesele de Management ale Continuităţii Afacerii existente
sunt adecvate cerinţelor societăţii.
2. Stabilitate şi siguranţă
a. Determinaţi dacă riscurile de afaceri şi impactul unor întreruperi neaşteptate au fost
indentificate şi determinate sub raport cantitativ de către conducere. În discuţie,
determinaţi condiţiile în care:
-Aplicaţiile critice şi procesele de afaceri au fost indentificate ;
-Vulnerabilităţiile şi riscurile la resursele critice au fost indentificate ;
-A fost stabilită o analiză de risc formală ;
-Un potential impact al întreruperilor de afaceri a fost indentificat ;
-Afacerea conţine necesitatea continuării livrării serviciilor afacerii.
b. Treceţi în revistă analiza testelor anterioare ale continuităţii afacerii societăţii.
Determinaţi dacă testele au avut succes.
Dacă nu, de ce?
Indentificaţi repetarea incidentelor sau alte arii ale potenţialelor incidente şi înţelegeţi
motivele existentei lor.
Mai există alte arii de afaceri care nu au fost prezentate în plan sau în test?
Dacă da, de ce?
3. Procese
a. Treceţi în revistă documentaţia pe care societatea a dezvoltat-o cu privire la
procesele de continuitate a afacerii, politicile, standardele şi convenţiile la nivel de
servicii(service). Determinaţi dacă procesele sunt documentate adecvat, menţinute şi
comunicate personalului potrivit.
b. Determinaţi dacă există un plan de continuitate a afacerii şi evaluarea gradului în care
au fost definite, documentate, testate, menţinute şi comunicate, elementele
componente.
Consideraţi următoarele :
- Se referă la aplicaţii şi procese critice?
- Se referă la back-up, proceduri de operare alternative şi recuperare ?
- Cerinţele personalului ?
- Se referă la reluarea serviciului IT, cât şi la operaţiile de afaceri ?
- Când a fost testat ultima oară ?
- Când a fost actualizat ultima oară?
- Cine menţine planul şi cum?
- Cum sunt cerinţele de comunicaţie îndeplinite de la şi la unităţile de afacere?
4. Tehnologii
Determinaţi gradul în care societatea utilizează instrumente software pentru a facilita
procesele continuităţii afacerii.
Spre exemplu:
- instrumente de analiză a fluxului serviciului pentru a identifica toate
componentele sistemului unei sarcini date ;
- instrumente manageriale de sistem şi reţea utilizate pentru identificarea
potenţialelor întreruperi de servicii sau de notificare automată a personalului ;
- instrumente automate pentru backup şi recuperare a resurselor critice ;
- instrumente manageriale de documentare ce conduc la schimbările planului de
continuitate a afacerii.
5. Managementul rezultatelor
a. Determinaţi ce condiţii sunt între funcţia ce priveşte nivelul de servicii pentru suporturi
variate ale organizaţiei şi alte unităţi de afacere.
Înţelegeţi ce convenţii includ şi discutaţi criteriul pentru determinarea SLA (SERVICE
LEVEL AGREEMENT) realizat. Service level agreement cuprinde : servicii de livrare,
performanţă, urmărire, raportare. managementul incidentelor, cheltuieli, obligaţiile
clienţilor şi responsabilităţi.
Au fost exemplificate ? Unde au fost realizate şi unde nu au fost realizate?
b. Identificaţi procesul pentru testarea planului de continuitate a afacerii.
Determinaţi dacă frecvenţa testării este adecvată.
Executaţi teste care reflectă un set de scenarii reale?
Cum sunt evaluate şi utilizate rezultatele testelor raportate pentru îmbunătăţirea
continuă?
6. Capital Uman
a. Determinaţi dacă responsabilitatea pentru dezvoltare, testare şi mentenanţă a
planului de continuitate a afacerii au fost încredinţate unei persoane particulare sau unui
grup.
Discutaţi responsabilităţile grupului pentru coordonarea planificării, testarea şi execuţia
PCA(Plan de Continuitate a Afacerii).
Au fost documentate şi comunicate rolurile şi responsabilităţile grupului?
b. Discutaţi relaţiile dintre responsabilitatea grupului pentru coordonarea activităţii de
conducere a continuităţii afacerii şi suportul pentru alte funcţii ale afacerii.
Discutaţi cum interacţionează varietatea funcţiilor afacerii pentru a înţelege relaţiile
dintre procesele afacerii şi cum se utilizează această informaţie pentru a dezvolta şi
menţine PCA.
Există aplicaţii ce pot construi un plan de recuperare în caz de dezastre şi
continuitatea afacerii. În acest sens, Phoenix este un program creat pentru asistarea la
întocmirea unui BCP. Acesta conţine şabloane (templates) pentru principalele etape ale
planului şi generează un document ce conţine cuprinsul planului, caracteristicile
incidentului, procesul afectat, personalul ce răspunde de reluarea activităţii, măsurile ce
se vor lua, cauza şi efectul precum şi timpul de recuperare. Documentul va fi implicit
semnat de utilizatorul ce întocmeşte acest plan.

Deşi este o componentă vitală în desfăşurarea activităţii, multe societăţi nu


implementează un plan de continuitate a afacerii şi recuperare în caz de dezastru decât
atunci când au pagube importante.
Întocmirea unui astfel de plan este necesară pentru supravieţuirea activităţii
societăţii, fiind o măsură importantă de protecţie.
La nivel mondial sunt utilizate astfel de măsuri, există publicaţii de tipul  « Jurnal
de recuperare în caz de dezastre » sau «Managementul şi planificarea activităţii » ;i
chiar organizaţii sau societăţi care se ocupă cu întocmirea, testarea, actualizarea
planului .

Bibliografie
www.service-level-agreement.net
www.riskworld.net
www.isaca.org
www.binomial.com
www.intranetjournal.com
www.cisco.com
www.uti.ro
www.gecad.ro
www.disaster-resource.com