Ciągłość biznesowa jest pojęciem o wiele pojemniejszym niż „backup”, a im bardziej precyzyjny powstanie plan oraz im więcej decydentów zostanie zaangażowanych w jego stworzenie, tym łatwiejsze będzie skoordynowanie działania w warunkach, gdy zabraknie czasu na jego uzgadnianie. Prace nad Business Continuity stymulują wymierne korzyści, np. usprawnienie procesów biznesowych oraz funkcjonowanie systemów IT w organizacji. Przekłada się to z kolei na wzrost efektywności oraz zmniejszenie częstotliwości występowania błędów w systemach informatycznych. Poniżej 5 kroków, które mogą być pomocne przy tworzeniu strategii Business Continuity oraz „Plan B” na wypadek wystąpienia sytuacji kryzysowej.

1. Zrozumienie własnej organizacji

Znajomość procesów wewnętrznych w organizacji, zgłębienie zależności między danymi elementami, identyfikacja roli i zakresów odpowiedzialności pracowników i łączących ich stosunków biznesowych, są elementarnymi kwestiami i to od nich powinno się zacząć proces planowania ciągłości działania. Podział ról jasno określa, kto i w jakim zakresie będzie podejmował decyzje i kto będzie go mógł w tym zastąpić.

2. Analiza ryzyka

Każda organizacja ma indywidualne wymagania co do dostępności systemów, ludzi czy innych zasobów niezbędnych do działania organizacji. Dlatego też bardzo ważne jest określenie, co jest dla niej najważniejsze oraz odpowiedź na kilka pytań. Przykładowo, jak długo firma przetrwa bez dostępu do systemu CRM? Jak długo poradzi sobie bez poczty e-mail? Odpowiedzi na te zagadnienia pomogą oszacować, jak duży wpływ na działanie organizacji wywrze zakłócenie ważnego procesu biznesowego.

W procesie analizy ryzyka istotne są dwa pojęcia: RTO – Recovery Time Objective oraz RPO – Recovery Point Objective. RTO to czas, w którym organizacja może funkcjonować bez procesów o znaczeniu krytycznym. Wskaźnik ten warunkuje wszystkie inne prace projektowe, jak np. ustalenie współczynników oznaczających poziom przywracania. Przykładowo, jeśli incydent nastąpił o godzinie 13.00, przerywając proces biznesowy, RTO ustawione na 4 godziny oznacza, że powinien on zostać ponownie uruchomiony najpóźniej o godz. 17.00. RPO zaś odnosi się do akceptowalnego poziomu utraty danych, na który może sobie pozwolić organizacja. Oznacza aktualność danych odzyskanych po awarii, np. dane odtworzone z backupu wykonywanego co noc mają RPO równe 24 godziny.

3. Plany i procedury

To jeden z kluczowych punktów w całym procesie tworzenia strategii Business Continuity, na który składa się kilka czynników. Jednym z nich jest outsourcing usług. Wielkie korporacje już wiele lat temu zrozumiały, że współpraca z wyspecjalizowanymi podmiotami może im przynieść wymierne korzyści, jak obniżenie kosztów działalności przedsiębiorstwa czy kwestie związane z cyberbezpieczeństwem. Często niedoceniony jest jednak dialog między działami w organizacji. Na przykład, czy dział marketingu informuje specjalistów IT o planowanej kampanii w sklepie internetowym, co wiąże się ze zwiększeniem ruchu na stronie, lub czy departament IT przekazał działowi rozliczeń informacje o planowanej aktualizacji systemu?

Planowanie ciągłości biznesowej oznacza zapewnienie redundancji, czyli nadmiarowości. W e-commerce może to być wykorzystanie usługi chmurowej, która zapewni skalę działania, np. na wypadek wzrostu ruchu w sklepie, w IT posiadanie przynajmniej dwóch lokalizacji, w których posiadamy serwery czy usługi cloud. W razie wystąpienia poważnej awarii w ośrodku podstawowym, zapasowe centrum danych może przejąć proces przetwarzania danych. W przypadku firmy wytwórczej może to być dodatkowa linia produkcyjna lub umowa z podwykonawcą, który będzie w stanie zastąpić nasze systemy, co zapewni płynność działania w przypadku niespodziewanej sytuacji. Firmy oferują różne rozwiązania na wypadek awarii lub poważniejszego kryzysu, często określając swoje plany jako Disaster Recovery oraz Business Continuity.

Znając wyniki analizy ryzyka, łatwo określić, które dane są dla biznesu ważne oraz gdzie są zlokalizowane. Mając taką wiedzę, można rozpocząć budowę strategii ochrony danych i ich przywracania.

4. Wdrożenie

Przygotowanie planów i procedur to jedno, a skuteczne ich wdrożenie to zupełnie odrębna kwestia. Istotne jest, żeby w przypadku wprowadzenia planu ciągłości działania w korporacji przeszkolić współpracowników, bardzo skrupulatnie informując ich o wdrożeniu. Uświadomienie wagi i znaczenia business continuity jest jednym z głównych wyzwań dla korporacji.

5. Przeprowadzanie testów i ciągły rozwój

Proces Business Continuity nie kończy się na napisaniu procedur i odłożeniu ich na półkę. Należy stale testować różne rozwiązania oraz wprowadzać innowacje. Realia firmowe się zmieniają i następuje rotacja pracowników, stąd istotne jest, żeby nowe osoby w organizacji zostały zaznajomione ze strategią działania w przypadku kryzysu. Warto także pamiętać, że każda gałąź gospodarki posiada swoją własną specyfikę i tempo wdrażania zmian i cyfrowych narzędzi oraz że nie ma złotego środka, który zadziała w każdym przypadku. Te czynniki są istotne z tego względu, że w przypadku wystąpienia incydentu każda chwila jest ważna.

