Непрерывность бизнеса - это организационное решение

Николай Починок,
Главный консультант Symantec
в России и СНГ

Для обеспечения непрерывности бизнеса важны и кластерные технологии, и системы репликации данных, и стратегии резервного копирования. Но помимо того, что лежит на технологическом уровне, необходима комплексная целостная программа.

Создание такой программы - задача многоуровневая. Ее решение можно сравнить со сборкой паззла, когда выпадение даже одного фрагмента лишает картинку целостности. Точно так же и программа, обеспечивающая непрерывность бизнеса, состоит из отдельных блоков, и при выпадении одного из них о цельном, связанном решении не может быть и речи. Хотелось бы обратить внимание на то, что проблему нередко сводят только к послеаварийному восстановлению (disaster recovery в английской терминологии), но это всего лишь один из блоков. Есть немало и других задач, которые имеют не меньший приоритет. Это, в частности, чрезвычайное управление и кризисное управление. Важным звеном является управление рисками. Не менее значимо и всё, что связано с кадровыми ресурсами.

Нельзя упускать из виду и физическую безопасность. Последним по списку, но не по значимости, будет связь с внешним миром.
Угрозы, катастрофы, напасти - это, к сожалению, реальность. И мы не способны им противостоять, решая какую-то малую задачу, например, восстановление ИТ-ресурсов. Чтобы обеспечить выживание организации после такого рода события, необходимо предусмотреть более полную и комплексную программу мер, охватывающую не только технические и технологические решения.

Никто не даст гарантий

Кусочные решения, будь то покупка страховки, внедрение той или иной системы, формальное прохождение какого-либо аудита и галочка в подписанной бумажке, к сожалению, не являются гарантией защиты. Помочь может только комплексная продуманная программа, проверенные, связанные с регулярными тренировками решения, в которых мы уверены и которые созданы при нашем непосредственном участии и участии тех, кто занят эксплуатацией технических и технологических систем.

Залог успеха этой программы и самого выживания предприятия в случае чрезвычайной ситуации - в сильной мотивации ее участников и четко поставленных целях. Статистика ведется уже очень давно, и она показывает, что те компании, где серьезно подходят к подготовке, имеют шансы выжить. А те, где данные вопросы игнорируются, таких шансов практически не имеют. Именно поэтому, по данным Gartner, задачи, связанные с обеспечением непрерывности бизнеса, хоть и не занимают первых мест, но входят в первую пятерку. А это очень высокий приоритет задачи.

Что нам может помешать?

В чем состоят основные ошибки и что препятствует успешному внедрению программ обеспечения непрерывности бизнеса в организации? Прежде всего недопонимание проблемы во всей ее глубине. Надежда на стандартный подход, да и просто на "русский авось" (хотя это имеет место не только в России), что, мол, пронесет и с нами-то уж точно ничего не случится. Более сложный вопрос - выдать желаемое за действительное. Вполне возможно, что в организации существуют какие-то единичные решения, которые обеспечивают бесперебойную работу тех или иных инфраструктурных компонентов, поддерживающих её жизнедеятельность. Но комплексного подхода нет, как нет и какого-то работающего механизма, связывающего эти разнородные системы между собой. Еще один очень часто встречающийся момент - здоровый на первый взгляд прагматизм, желание сэкономить на тех решениях, которые мы не можем использовать на полную мощность. Но самым серьезным камнем преткновения обычно является то, что внедрение общекорпоративных программ обеспечения непрерывности бизнеса может выявить серьезные проблемы в деятельности самой организации. А это нередко встречает, скажем так, недопонимание у руководства. Весьма серьезным фактором может стать и недостаточная мотивация, отсутствие руководителя, который уделял бы данному вопросу должное внимание.

Несколько вредных советов, или Как сделать систему неработающей

Типичный пример неработающей программы обеспечения непрерывности бизнеса - непродуманные технические блоки. В частности, попытка восстановить слишком большое количество систем, что невозможно осуществить на практике. Это резервные вычислительные центры, которые располагаются там же, где и основные, или очень близко к ним (скажем, в центре города). Это громоздкие планы восстановления, которыми просто неудобно пользоваться и в которых нереально разобраться, особенно в аварийной ситуации. Это ограниченность процесса восстановления неким подмножеством ИТ-систем. Они, конечно, важны, но ими бизнес ни в коем случае не ограничивается. Что касается организационных моментов, то работоспособность организации нельзя восстановить в отрыве от внешнего мира, в некоем вакууме. Ну и, наконец, ориентация на отдельные команды, а не на процессы, которые нужно защищать, восстанавливать и поддерживать.

Отсутствие поддержки со стороны руководства - первый и самый важный фактор, делающий невозможным полноценное внедрение программ обеспечения непрерывности бизнеса в организации. Сюда же относятся и более тривиальные проблемы, такие как неотработанность методик перехода с основного ЦОД на резервный. Очень важный вопрос внедрения этой программы состоит в наличии процессов управления конфигурациями и изменениями. Без всего этого говорить о создании работающего решения применительно хотя бы к ИТ нет никакого смысла.

Слабая оргструктура также является серьезным препятствием. Обеспечение непрерывности бизнеса - не только и не столько технологические решения, сколько организационные мероприятия и процедуры, опирающиеся на четкую структуру компании. И если четко выстроенной структуры нет, то шансы малы.

Ну и, пожалуй, самая главная причина - неструктурированность бизнес-процессов. Если не определена предметная область, то мы не знаем, что, собственно говоря, нужно защищать и непрерывность чего обеспечивать. Так что хорошо структурированные и формализованные бизнес-процессы - залог успешного внедрения проекта, связанного с обеспечением непрерывности бизнеса.
Согласно западной статистике такие программы курируют или управляющие компаний, или ИТ-директора. Рейтинг всех прочих, как показывают данные опросов, существенно ниже.

Что делать?

Какие же практические шаги мы может рекомендовать, чтобы хотя бы подготовиться к внедрению такого рода проекта? Прежде всего, следует сконцентрироваться на выборе и решении правильной задачи. Как только начинается какое бы то ни было обследование в рамках предметной области, оно обнаруживает огромное количество незакрытых вопросов и проблемных зон. Поэтому нужно выделить правильные задачи, приоритизировать их и не распыляться. Подготовка к внедрению программ, обеспечивающих непрерывность бизнеса, должна включать и наведение порядка в том, что касается формализации бизнес-процессов. Возможны также какие-то мероприятия, первичные шаги по минимизации вероятных рисков. Потребуется четкая приоритизация бизнес-процессов. Мы должны ясно понимать, что следует защищать в первую очередь, что во вторую, а что вообще можно игнорировать. Надо привести в порядок инфраструктуру. Чем она проще и чем более стандартизована, тем легче будет построить отказоустойчивую систему. Ну и, наконец, мы рекомендуем относиться к средствам восстановления как к крайней мере, когда последствия чрезвычайной ситуации не удалось предотвратить полностью или хотя бы минимизировать.

Еще раз о главном. Необходимо сфокусироваться на реальных конкретных задачах. Мы должны быть прагматиками в хорошем смысле этого слова. Надо обратить максимальное внимание на усиление службы эксплуатации. Необходимы регулярные комплексные тренировки персонала, которые должны охватывать не только технические, технологические и организационные вопросы. При проведении таких тренировок нельзя игнорировать проблемные сценарии защиты процессов и задач, критически важных для бизнеса каждой конкретной кампании, в тех или иных чрезвычайных ситуациях. Иначе мы потеряем деньги зря просто потому, что персонал не сможет, когда в этом возникнет реальная необходимость, вовремя перевести пользователей на резервный ЦОД с поднятием всех сервисов.

Что мы предлагаем сделать? В чем конкретно может помочь компания Symantec? Своим заказчикам мы рекомендуем начинать работу с анализа текущего состояния. Это оценка ИТ-инфраструктуры и бизнеса в целом, анализ бизнес-процессов, определение готовности компании к вступлению в эту программу, понимание того, каковы могут быть первые шаги в реализации, самые легкие и быстрые, которые позволили бы получить пусть первичные, но ощутимые результаты. Ну и, самое главное, в ходе реализации необходимо помнить о конечных целях и не углубляться в процесс. Программа обеспечения непрерывности бизнеса является всеобъемлющей и комплексной, если её запустить в полном объеме, то она имеет множество параллельных ветвей. И их очень важно свести воедино для успешного достижения тех целей, которые мы перед собой поставили.