Első látásra talán kicsit ijesztőnek tűnik ez a cím, pedig nincs szó másról, mint útmutatásról arra az esetre, ha a minimálisra szorított kockázati tényezők ellenére – akár egy kisebb hiba folytán is – valamilyen zavar keletkezik az általunk használt vagy a velünk szorosan kapcsolatban álló rendszerben. Különösen fontos egy ilyen stratégia olyankor, amikor kiemelten fontos informatikai rendszer esetleges kieséséről van szó, ha a probléma számos veszélyt sejtő folyamatokat érint vagy jelentős veszteségeket okozhat. Az ennek következtében jelentkező károk rendkívül széles körben válthatnak ki nem kívánt hatásokat.
Ajánlások
A káros következmények kiküszöbölésére alkotta meg az Informatikai Tárcaközi Bizottság a kockázatok menedzselésére irányuló ajánlásait. Ezt követve, legelső szempontként érdemes megfontolni a következő kérdéseket:
- Milyen hatást gyakorolna ránk, ha valamelyik fő szállítónk katasztrófa áldozatává válna vagy tönkremenne? (Mert elhanyagolták az ezredfordulóval kapcsolatos kérdéseket.)
- Mennyire vagyunk mi magunk sebezhetők a telekommunikációs szolgáltatások késése vagy a legfontosabb szakembereink elérhetetlensége esetén?
- Vádolhatnak-e minket gondatlansággal, esetleg felelőssé tehetnek-e bennünket, ha nem készítettünk ésszerű terveket az ilyen eshetőségekre?
Nagy a valószínűsége, hogy a fentiek bármelyike előfordulhat, ha elmulasztjuk az ezredfordulós dátumváltás problémájából adódó teendőink hatékony elvégzését.
Alapkérdések
A cég katasztrófatervének elkészítéséhez jó, ha a következő kérdésekre tudunk választ adni, egyrészt általánosságban, másrészt a 2000-rel kapcsolatos dátumváltás összefüggésében is:
- Tudjuk-e, hogy melyek cégünk kritikus folyamatai, rendszerei?
- Elkötelezett-e a cég vezetése az illető kritikus folyamatok és rendszerek megóvása iránt?
- Vannak-e tervek és eljárások a hibák megakadályozására, illetőleg a meghibásodás helyreállítására, és naprakészek-e ezek az eljárások?
- Ha már rendelkeznek a nem tervezhető események felléptének esetére szóló tervekkel, ezek csupán az informatikai rendszerekkel foglalkoznak-e, vagy kiterjednek-e a személyzetre, az elhelyezésre, a telekommunikációra, a papíralapú nyilvántartásokra és minden más, a fő folyamatok újraindításához szükséges kritikus eszközre és szolgáltatásra is?
- Az ezredfordulós problémára vonatkozó kockázatfelmérés kiterjed-e a fentiek teljes körére?
- Rendszeresen tesztelik-e a tevékenység folyamatosságának fenntartására irányuló terveiket?
- Kiterjednek-e ezek a válságkezelésre és a külső kapcsolattartás területére?
- Biztos abban, hogy az ön cége strukturált módon foglalkozott minden kérdéssel?
A katasztrófatervezés szakaszai
Első szakasz
Az első szakasz a kezdeményezés, amely meghatározza a cég katasztrófatervezésének irányelveit, biztosítja annak integrálását a többi üzleti, műszaki irányelvekkel.
Második szakasz
A második szakasz a követelmények felmérése és a stratégia kidolgozása, amely felméri a potenciális hatásokat és kockázatokat, azonosítja és értékeli a kockázatcsökkentésre és a folyamatok helyreállítására rendelkezésre álló lehetőségeket, és kidolgozza a katasztrófaterv költséghatékony stratégiáját.
Harmadik szakasz
A harmadik szakasz a megvalósítás, amely kialakítja a folyamatosságot megvalósító programot, megvalósítja a katasztrófaterv-stratégián belül meghatározott készenléti eszközöket és költségcsökkentési intézkedéseket, kialakítja a szükséges tevékenység-helyreállítási terveket és eljárásokat, valamint sort kerít a kiindulási tesztelésre.
Negyedik szakasz
A negyedik szakasz az operatív menedzsment, amely biztosítja a tevékenység folyamatosságának fenntartására szolgáló stratégia, tervek és eljárások tesztelésének, felülvizsgálatának és karbantartásának állandó jelleggel történő folytatását és a megfelelő oktatási és figyelemfelkeltési programok megvalósítását.
Veszélyforrások
Számos olyan veszélyforrás merülhet fel a cégnél, amellyel a 2000. év dátumváltozásán kívül még számolni kell. Ezek a következők:
- a telephely megközelítésének lehetetlenné tétele,
- a létfontosságú szolgáltatások (távközlés, energiaszolgáltatás) elérhetetlenné válása,
- a létfontosságú szállítók, disztribútorok, egyéb érintett partnerek mulasztása vagy nem teljesítése különösen ott, ahol kulcsfontosságú funkciókról van szó,
- emberi mulasztások, műszaki vagy környezeti meghibásodások,
- zsarolás, ipari kémkedés,
- a számítástechnikai rendszerek szándékos megfertőzése vírussal vagy más rosszindulatú szoftverformákkal,
- a kulcsfontosságú személyzet elérhetetlensége, alkalmazások meghibásodása.
A katasztrófatervezés szükségességét többek között az alábbi érvek indokolják:
- kockázatok, sebezhetőség,
- a kockázatok bármelyikének valóra válásából eredő potenciális hatások,
- az egyes kockázatok valóra válásának valószínűsége,
- a személyes feladatok és felelősségek, külső nyomások (pl.: a szabályozók részéről).
A katasztrófaterv elkészítése
Első lépésként elvégezhetjük a katasztrófaterv terjedelmének meghatározását, mely a következőket foglalja magában:
- a fontos folyamatok és a szóba jöhető kockázatok felsorolását;
- magas szintű hatáselemzést, bemutatva a kulcsfontosságú erőforrások tartós kiesésének hatásait;
- a kritikus meghibásodási pontok felsorolását;
- ahol azonnal látható, ott azoknak a pontoknak a felsorolását, amelyekre szükség esetén támaszkodni lehet a létfontosságú folyamatok esetében, vagy pedig néhány olyan lehetőség felsorolását, amelyek alkalmazásával csökkenthetők a kockázatok;
- a (belső és külső) jogi következmények felmérését a kockázatok és az ellenük való védekezés tekintetében;
- a katasztrófatervben szereplő intézkedésekkel kapcsolatos beruházásigények magas szintű értékelését.
Természetesen fel lehet készülni az ezredfordulóra a teljes katasztrófaterv rendszerének kialakítása és bevezetése nélkül is. Ne hagyjuk azonban figyelmen kívül, hogy a katasztrófaterv megfelelő perspektívát biztosít és elkerülhetjük a feladatvállalás kettőzését.
Mindig szem előtt kell tartani, hogy a 2000. év mint határidő nem tolható ki. Csak olyasmit szabad megpróbálnunk, ami az ezredfordulóig hátralevő rövid idő alatt megvalósítható.
A katasztrófatervezés elveinek felhasználásával elemezzük a cég összes fő funkcióját, és mérjük fel az adott funkciók kiesése következtében elszenvedhető kár mértékét! Ez jelezheti az egyes folyamatok fontosságát. Ezt követően gondoljuk át az alkalmazott információtechnológiát! Tekintsük át az egyes folyamatokat támogató informatikai funkciókat, és állapítsuk meg az egyes informatikai rendszerek helyreállításának prioritását! Egyes rendszereket ezt követően létfontosságúnak fogunk találni. Nem szabad azonban elfelejteni, hogy a nem kritikusnak tekintett rendszerek némelyike kritikusnak tekintett rendszerekkel állhat kölcsönhatásban, akár a dátumadatokon keresztül.