Neprekinjeno poslovanje v luÄi informacijske varnosti
Neprekinjeno poslovanje v luÄi informacijske varnosti
Neprekinjeno poslovanje v luÄi informacijske varnosti
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Neprekinjeno</strong> <strong>poslovanje</strong> v luči <strong>informacijske</strong> <strong>varnosti</strong><br />
V kolikor v podjetju nimamo izoblikovanega načrta neprekinjenega poslovanja za<br />
informacijski sistem, se kaj kmalu lahko zgodi, da bomo zaradi nastopa <strong>informacijske</strong> nesreče<br />
utrpeli astronomsko visoke finančne izgube ali bomo celo primorani prenehati s <strong>poslovanje</strong>m.<br />
Pri nastopu varnostnih incidentov so daleč najpogosteje na udaru podatki, saj večina podjetij<br />
po svetu hrani varnostne kopije podatkov na eni lokaciji, kar jih seveda ne zavaruje pred<br />
požari, poplavami in drugimi naravnimi nesrečami.<br />
Temu in drugim nevšečnim dogodkom (okvara strežnika, potres, poplave, namerna sabotaža<br />
in podobno) se lahko na učinkovit način izognemo le s pripravo ustreznega načrta za<br />
neprekinjeno <strong>poslovanje</strong>, ki omogoča pravočasno nadaljevanje izvajanja kritičnih procesov v<br />
primeru njihove prekinitve. Načrt neprekinjenega poslovanja torej zajema vse pomembnejše<br />
poslovne procese in informacije. <strong>Neprekinjeno</strong> <strong>poslovanje</strong> v luči <strong>informacijske</strong> <strong>varnosti</strong><br />
pomeni zagotovitev neprekinjenega delovanja in razpoložljivosti informacijskih sistemov,<br />
omogoča hitro vzpostavitev poslovanja po katastrofalnih dogodkih in posledično pomaga<br />
graditi zaupanje v samo <strong>poslovanje</strong> podjetja.<br />
V kolikor želimo pripraviti učinkovit in zanesljiv načrt neprekinjenega poslovanja, moramo<br />
najprej opraviti analizo tveganja. Z njo namreč določimo najpomembnejše procese, ki jih<br />
podjetje nujno potrebuje za bolj ali manj nemoteno delovanje v primeru nastopa <strong>informacijske</strong><br />
nesreče. Ker podjetja seveda ne razpolagajo z neomejeno količino finančnih sredstev, moramo<br />
skozi analizo tveganja določiti samo tiste procese in podatke, ki so nujno potrebni za<br />
preživetje in zmanjšanje posledic zaradi prekinitve delovanja <strong>informacijske</strong>ga sistema.<br />
Nesporno dejstvo je, da je potrebno za procese in informacije, ki jih želimo imeti na razpolago<br />
24 ur dnevno, odšteti občutno več denarja kot za procese in informacije, brez katerih lahko<br />
podjetje normalno posluje tudi teden dni in več.<br />
Ko opravimo analizo tveganja in določimo najpomembnejše procese, ki jih podjetje nujno<br />
potrebuje za bolj ali manj nemoteno delovanje v primeru nastopa <strong>informacijske</strong> nesreče, je<br />
potrebno pripraviti ustrezno in učinkovito strategijo neprekinjenega poslovanja. V strategiji<br />
neprekinjenega poslovanja se določi najboljši način za obnovitev prizadetih, poškodovanih ali<br />
celo povsem izgubljenih informacij in informacijskih sistemov. Dobra strategija<br />
neprekinjenega poslovanja mora nujno vsebovati seznam ključnih poslovnih procesov,<br />
aplikacij in informacijskih sredstev, taksativno naštete stroške (ocena), ki bi pri tem nastali<br />
zaradi nabave računalniške opreme, njihovega vzdrževanja, rednega testiranja dodatnih<br />
računalnikov in podobno, ter oceno potrebnega časa za ponovno vzpostavitev <strong>informacijske</strong>ga<br />
sistema, preden podjetje utrpi nenadomestljivo poslovno škodo (izguba ugleda, strank,<br />
prihodkov in podobno).<br />
Načrt neprekinjenega poslovanja mora nujno obsegati tudi dokumente, ki so ključni za<br />
njegovo izvedbo. Sem sodijo dokumenti, kot so seznam oseb, ki so ključne za uspešno<br />
izvedbo projekta (ime in priimek, naslov, telefonska številka in podobno), ključne informacije<br />
o zavarovanju podjetja, izjava za javnost, definicije postopkov za zagotovitev oskrbe z<br />
najnujnejšim materialom in opremo, natančne definicije postopkov za izdelavo rezervne
kopije podatkov in programov in še bi lahko naštevali. Število in vrsto dokumentov se<br />
smiselno pripravi glede na velikost podjetja in zahtev, ki jih postavi vodstvo.<br />
Ko so vse ključne dejavnosti in dokumenti neprekinjenega poslovanja pripravljeni in<br />
definirani, je potrebno načrt seveda preizkusiti tudi v praksi. Preizkus je najpomembnejši in<br />
hkrati tudi najbolj občutljiv del oblikovanja strategije neprekinjenega poslovanja. Brez<br />
testiranja začrtanega načrta neprekinjenega poslovanja nam namreč nihče ne more zagotoviti,<br />
da načrt dejansko tudi deluje. Preizkus načrta neprekinjenega poslovanja je potrebno natančno<br />
preučiti, preden se ga izvede, saj se lahko kaj kmalu zgodi, da podjetje zaradi njega utrpi tudi<br />
nepopravljivo škodo. Načrt neprekinjenega poslovanja ponavadi testiramo tedaj, ko podjetje<br />
ne posluje s strankami oziroma posluje v omejenem obsegu (popoldan, sobote in nedelje,<br />
prazniki, kolektivni dopusti in podobno). Pri testiranju načrta neprekinjenega poslovanja<br />
ocenimo predvsem potreben čas za izvršitev predpisanih nalog, potrebno količino in vrsto<br />
dela za obnovitev kritičnih informacijskih sistemov in podatkov, število uspešno obnovljenih<br />
kritičnih sistemov in zapisov podatkov ter stopnjo natančnosti vnosa podatkov in njihovega<br />
procesiranja po ponovni vzpostavitvi delovanja. Na podlagi rezultatov ustrezno popravimo in<br />
dopolnimo načrt neprekinjenega poslovanja.<br />
Kadar v podjetju postavimo načrt neprekinjenega poslovanja, se moramo zavedati, da gre tu<br />
dejansko za proces, ki ga je potrebno neprestano obnavljati in dopolnjevati. Vsakokrat, ko se<br />
spremenijo zahteve glede pomembnosti poslovnih procesov in informacij ali pa se doda nove<br />
poslovne procese oziroma informacije, je namreč potrebno znova opraviti analizo tveganja,<br />
izdelati načrt neprekinjenega poslovanja in ga preizkusiti v praksi.<br />
Številna podjetja se projekta neprekinjenega poslovanja ne lotijo predvsem zaradi relativno<br />
visokih začetnih stroškov in pomanjkanja znanja vodilnega in vodstvenega osebja. Pogosto je<br />
težava tudi v podcenjevanju stroškov in posledic, ki bi lahko nastali v primeru izpada<br />
<strong>informacijske</strong>ga sistema. Dejstvo je, da s kakovostnim načrtom neprekinjenega poslovanja<br />
lahko precej zmanjšamo tveganja, ki jih prinaša sodobna tehnologija in v primeru nastopa<br />
<strong>informacijske</strong> nesreče lahko podjetju omogočimo izjemno hiter povratek v »normalno« stanje.<br />
Zato se preden zavrnemo pobudo oblikovanja načrta neprekinjenega poslovanja najprej<br />
vprašajmo, ali smo resnično pripravljeni nase prevzeti vsa tveganja, ki jih lahko prinese<br />
prenehanje delovanja <strong>informacijske</strong>ga sistema.