Az üzletmenet-folytonosság ideális esetben azt jelenti, hogy a szervezet kritikus folyamatai zavartalanul működnek, az azokhoz szükséges erőforrások kellő mértékben rendelkezésre állnak. Ez az állapot azonban csak elméletileg létezik. A mindennapi működés során bekövetkezhetnek olyan váratlan események, amelyek veszélyeztetik a kritikus folyamatok zavartalan működését (lásd táblázat). Amennyiben a szervezet nem készül fel ezekre a helyzetekre, akkor a felmerült problémára adott válaszok tervezetlenek, lassúak, koordinálatlanok lehetnek, így megeshet, hogy a bekövetkező károk mértéke is nagyobb lesz. Veszélyek és költségek Az üzletmenet-folytonossági terv kialakítása egy szervezetnél, vállalatnál alapvetően felkészülési, biztonságnövelő akció, amelyet – ha az egyéb védelmi intézkedések jól működnek – csak nagyon ritkán kell használni. Éppen ezért nagyon fontos, hogy a szervezet azokra a veszélyekre, és olyan mértékben készüljön fel, hogy a felkészülés és a védelmi akcióterv költségei arányban legyenek a védett folyamatok leállása esetén bekövetkező károk mérséklésével. Egy példával illusztrálva, ha egy folyamat leállása kapcsán csak annyi kár származik, hogy pár nappal később végzik el „kampányszerűen” a tevékenységeket, ugyanakkor az érintett ügyfeleknek ez csak kisebb kellemetlenséget okoz, akkor felesleges óriási összegeket költeni tartalék informatikai rendszer felállítására. Ekkor elegendő a jó kommunikáció, és a leállás alatt – az informatikai rendszer kiesése kapcsán – a papír alapú adatrögzítés lehetőségének megteremtése. Az üzletmenet-folytonossági terv kialakítása során, a fentieket szem előtt tartva, a folyamatok közül azonosítani kell a valóban kritikusakat. Ez a lépés az egyik legfontosabb a tervezés során, hiszen ha nem csak a ténylegesen kiemelt folyamatok fenntartására koncentrál a szervezet, az a rendelkezésre álló erőforrások szétforgácsolódásához vezethet. Szélsőséges esetben az is előfordulhat, hogy a legkritikusabb folyamatok fenntartása ellehetetlenül. Éppen ezért rendkívül fontos, hogy a folyamatok kritikusságának meghatározása az üzleti, szolgáltató területek döntéshozóinak bevonásával, az általuk meghatározott szempontok szerint történjen meg. A jó megoldás kialakításához elengedhetetlen, hogy meghatározzuk a folyamatokat veszélyeztető eseményeket, eseménytípusokat, amelyekre fel kell készülni. Gyakori hiba, hogy a szervezetek csak az informatikai rendszerek sérülésére, kiesésére készülnek fel, ugyanakkor védtelenek maradnak egyéb jellegű események hatásaival szemben. Ahhoz, hogy a folyamatokat veszélyeztető veszélyforrások, események meghatározhatók legyenek, ismerni kell azokat az erőforrásokat, amelyek az adott folyamat fenntartásához szükségesek. Hiába rendelkezik egy szervezet kitűnő tartalék infrastruktúrával, ha nem készül fel például az üzemeltető vagy akár a folyamatot működtető személyzet kiesésével (például tömeges felmondás, járvány). Minden folyamatot más-más veszélyforrás más-más mértékben fenyeget, és azok bekövetkezése különböző mértékű károkat okozhat. Az egyes folyamatok folytonosságára természetesen kihathatnak az egyéb kapcsolódó procedúrák működései is, így azokat együttesen kell vizsgálni, feltárva az esetleges függőségi viszonyokat. Tervezett cselekvés A terv kialakítása során olyan védelmi akciókat kell definiálni, amelyek lehetővé teszik a rendkívüli helyzetekben történő működést, méghozzá olyan mértékben, hogy a folyamat az ügyfelek számára is elfogadható módon, költséghatékonyan működhessen. Ezek az akciók lehetnek informatikai jellegűek (pl. tartalék rendszer), de lehetségesek az informatikai támogatás nélküli akciók is (pl. papír űrlapok, naplók, vagy egyszerű kommunikációs tervek). Az üzleti, szolgáltató területek cselekvési tervei írják le, hogy egy adott folyamat működését miként kell biztosítani a különböző veszélyek bekövetkeztekor (hogyan kell felkészülni ezekre, ki és mikor rendelhet el rendkívüli helyzetet, mi a teendő ilyen esetben, és a veszély elmúltával hogyan kell visszatérni normális működésre). A cselekvési terveken belül külön-külön foglalkozni kell a jellemző esetekkel, azaz szcenáriónként külön akciókat célszerű megfogalmazni. A cselekvési tervek fontos része a normál működésre történő visszatérés feladatainak meghatározása. Könnyen belátható, hogy ha az alternatív működés során az adatrögzítés például papír alapon történik, akkor az így rögzített adatoknak a normál üzemmódba történő visszatérést követően be kell kerülniük az informatikai rendszerbe. Ennek egyrészt erőforrás-szükséglete is van, de nem szabad megfeledkezni annak vizsgálatáról sem, hogy az információfeldolgozó rendszerek képesek-e az utólagos adatfeldolgozásra. Tájékozottság és tájékoztatás Az AAM Vezetői Informatikai Tanácsadó Zrt. (AAM) megközelítésmódja szerint az üzletmenet-folytonossági terv egyik legfontosabb része az it-katasztrófaelhárítási terv, amely azokat a feladatokat foglalja össze, amelyeket az informatikának kell elvégeznie a rendkívüli helyzetekre való felkészülés, az esemény bekövetkezésekor szükséges átállás, a rendkívüli működés támogatása, a normál infrastruktúra visszaállítása, valamint a megszokott működésre való visszatérés során. Az ebben szereplő akciókat olyan módon kell kialakítani, hogy azok megfelelően illeszkedjenek az üzleti, szolgáltatási területeken szükséges és elégséges működési biztonság megteremtéséhez. Az it-katasztrófaterv egyes vállalatoknál, szervezeteknél nem képezi szerves részét az üzletmenet-folytonossági tervnek, ez a megoldás azonban kockázatokat rejt. Az infrastruktúra helyreállításának időszükséglete ugyanis szoros összefüggésben áll az alternatív működés fenntartásával, így elvész az összhang a helyreállítás és az alternatív folyamatok fenntartása, fenntarthatósága között. Az üzleti területek és az informatika megfelelő együttműködését olyan válságmenedzselési eljárásokkal kell biztosítani, amelyek lehetővé teszik a nagyon gyors döntéshozatalt. Az ehhez szükséges felelősségeket, irányítási, szervezési feladatokat definiálja a menedzsmentterv. Kritikus tényező az elhárításban, illetve az alternatív működés fenntartásában részt vevő kulcsmunkatársak elérhetőségének biztosítása. Ennek érdekében – a menedzsmentterv részeként – ki kell alakítani az ügyeleti és riadóterveket is. A katasztrófahelyzetek hatékony kezelésének másik kulcsfontosságú eleme a megfelelő kommunikáció – mind az érintett üzleti és informatikai területek, mind a külső partnerek, társszervezetek, hatóságok felé. A kommunikációval kapcsolatos kérdéseket (ki, mikor, mit és kinek kommunikálhat) válaszolja meg a kommunikációs terv. Ennek fontos és gyakran elfelejtett tényezője a vállalaton, szervezeten belüli kommunikáció. Fontos, hogy az alternatív folyamatok végrehajtásában, illetve a helyreállításban érintett munkatársak értesüljenek az eseményekről, de ugyanilyen fontos, hogy a közvetlenül nem érintett munkatársak, partnerek is megkapják a kellő mértékű tájékoztatást. Pályafutásom során tapasztaltam már olyat is, hogy az adott vállalat gondoskodott az elhárításban részt vevő munkatársai családtagjainak tájékoztatásáról is. Az üzletmenet-folytonossági tervezés egyik leginkább elfelejtett területe a kárfelmérési terv. Ennek segítségével a katasztrófa bekövetkezésekor rövid idő alatt – igaz, csak hozzávetőleges pontossággal – meghatározhatók a bekövetkezett károk. Ez nagyban segítheti például a biztosításokkal kapcsolatos ügyintézést. Vigyázz, kész, teszt! Az üzletmenet-folytonossági terv tapasztalataink szerint akkor sikeres, ha az üzleti, illetve szolgáltató területek aktívan részt vesznek a cselekvési tervek kialakításában – együttműködve az informatikával, hogy költséghatékony megoldások szülessenek. A tervek kidolgozásában való részvétel mellett az üzleti, szolgáltató területeknek felelősséggel kell döntést hozniuk abban a kérdésben, hogy az egyes folyamatok mennyire kritikusak. A kérdés ekkor az, hogy szükséges-e biztosítani működést a katasztrófahelyzetekben, és ha igen, milyen mértékben. Az elkészített terv akkor lesz igazán megfelelő, ha azt a szervezet végre is tudja hajtani. Ennek alapfeltétele a tesztelés, illetve a teszt eredményeinek beépítése a végleges tervbe. Ezután következhet a terv vonatkozó részeinek az egyes területek munkatársaival történő megismertetése, oktatása. Meg kell határozni a terv karbantartásának módját is, hiszen ez szavatolja, hogy az abban foglaltak naprakészek és végrehajthatók lesznek. A tervezési folyamat végén előáll az üzletmenet-folytonossági terv. Nem mindegy ugyanakkor, hogy annak fizikai megtestesülése milyen. A tökéletes tartalom ellenére ugyanis elveszti a használhatóságát, ha formailag kezelhetetlen, áttekinthetetlen. Ma már számos rendszer létezik az üzletmenet-folytonosság tervezésének támogatására, de pusztán papír alapon is lehet olyan megoldásokkal élni, amelyek növelik a terv használhatóságát. Egy jól kialakított struktúra nemcsak áttekinthetővé teszi a tervet, de biztosítja azt is, hogy minden érintett megtalálja benne a rá vonatkozó feladatokat, sőt – nem mellékes módon – a terv aktualizálását is könnyebbé teszi. Az üzletmenet-folytonossági tervezés mindazonáltal nem egyszerű feladat, a fentieken túl számos speciális tényező is befolyásolhatja a tervben foglalt megoldások kialakítását, illetve a terv sikerét. Az AAM sokéves, a kockázatkezelés és üzletmenetfolytonosság-tervezés terén megszerzett tapasztalatával tudja támogatni ügyfeleit abban, hogy üzletmenet-folytonossági tervüket elkészíthessék, tesztelhessék és bevezethessék. Ezáltal a rendkívüli helyzetekben biztosítható a vállalat fő tevékenységét a lehető legkisebb mértékben zavaró működés.
