Ничто не вечно, или немного о непрерывности бизнеса

Жизнь учит нас, что ничему не учит… Точнее, учиться на чужих ошибках нам не интересно.

Люди, профессионально занимающиеся непрерывностью бизнеса, могут пропустить этот пост – это из серии «наболело». Постараюсь изложить свои эмоции, не используя  профессиональных терминов с одной стороны, и нецензурных выражений с другой.

Три с половиной года назад сгорела редакция Комсомольской правды.

По заявлениям самой КП, «Номер, который уже был готов к подписанию, пришлось переписывать заново, потому что сгорели все серверы и вышли из строя компьютеры. Приютила нас на три дня «Экспресс-газета», которая находилась в соседнем здании. Ущерб от пожара насчитывает около 2 миллионов долларов.»

Сколько из этих двух миллионов пришлось на сгоревшие материальные ценности – я не знаю. Неизвестно также, пытался ли кто-то оценивать безвозвратно потерянную информацию. В любом случае - «Годы работы по созданию одного из крупнейших фотоархивов страны пошли насмарку. В редакции сгорели тысячи дисков с фотографиями за десятки лет. Выгорела ценнейшая библиотека.» [пруфлинк - здесь]

Теперь давайте посмотрим, что произошло на этой неделе с сайтом «Московского комсомольца». По сообщению самого МК, «Неустановленные пока злоумышленники атаковали интернет-сайт нашей газеты. В результате была уничтожена значительная часть информации на mk.ru, и ресурс был некоторое время недоступен для посетителей.[...] Команда сайта работает над восстановлением ресурса в первоначальном виде. К счастью, все тексты публикаций сохранились, однако значительная часть графических- и видеоматериалов была утрачена.»

Несмотря на то, что прямых материальных потерь не было (в смысле, ничего не сгорело, не было украдено и т.п.), по словам главного редактора МК «к сожалению, мы понесли большие финансовые потери, потому что появились большие вопросы с рекламодателями.»

В сухом остатке – безвозвратно погиб архив (или его часть), и на неопределенное время нарушена работоспособность сайта, являющегося, в частности, достаточно крупной рекламной площадкой.

Давайте теперь посмотрим, что общего в этих случаях, и что можно было бы сделать, чтобы избежать столь серьезных последствий.

1. Аксиома управления непрерывностью бизнеса – «shit happens».  Чрезвычайные ситуации случаются. Вне всякого сомнения, надо принимать меры по снижению рисков – и о противопожарной безопасности заботиться, и средства информационной безопасности активно внедрять, но тем не менее – 100% безопасности не бывает. Не у вас сгорит – так у соседей сверху, а вашу серверную для профилактики возгорания пожарные водой прольют. Итого – готовиться надо к худшему. Надеяться, что «со мной этого не случится» – не помогает категорически.

2. Если нет системного подхода к оценке ваших активов с точки зрения их значимости для бизнеса – то почти 100%, что часть останется за кадром. Какая именно часть – вы узнаете, когда случится очередное ЧП. Под словом активы я здесь подразумеваю информацию (как электронную, так и бумажные архивы), инфраструктуру, здания, сотрудников, и т.п. – все, на чем построен ваш бизнес.  Здесь очень важно, чтобы анализ проводился сверху вниз: «продукты и услуги вашей организации» ->»обеспечивающие их бизнес-процессы» -> «инфраструктура, данные, люди…», а не наоборот.

В качестве примера – если сайт дает сотни тысяч долларов выручки от рекламы  - то имеет смысл позаботиться о том, чтобы все данные, необходимые для его работы, были включены в процедуры резервного копирования, а процесс послеаварийного восстановления был спланирован и оттестирован. Здесь нет ничего сверхъестественного – есть методология, есть технические решения. Единственное, что требуется от руководства компании – это не пускать процесс на самотек.

Распространенное возражение – «это стоит денег». Да, это стоит денег. Такова жизнь. Ничего не стоит в основном то, что никому не нужно.  Другой вопрос – адекватность цены. Но именно для этого и делается анализ воздействия на бизнес, чтобы сравнить возможные потери и цену  предотвращения этих потерь. Если рискуем потерять 5 миллионов долларов, а вложить надо 50 тысяч – наверное, игра стоит свеч. Если нужно вложить 500 тысяч – уже не так очевидно, надо внимательнее анализировать вероятность риска. При этом всегда надо помнить, что для любой задачи есть решения разного уровня. Если мы говорим про ИТ-системы, то можно спроектировать одно решение, которое обеспечит полное восстановление в течение 5 минут, а можно другое  - со временем восстановления 24 часа. Затраты будут отличаться в разы, и надо смотреть, насколько критично, что сутки система не будет работать. Но, что важно – по истечении этих суток в обоих вариантах все будет восстановлено, а данные не будут безвозвратно потеряны.

3. Если нет стратегии обеспечения непрерывности бизнеса, то …

- Скажите, пожалуйста, куда мне отсюда идти?

- А куда ты хочешь попасть? – ответил Кот.

- Мне все равно… – сказала Алиса.

- Тогда все равно, куда и идти, –заметил Кот.

- …только бы попасть куда-нибудь, – пояснила Алиса.

- Куда-нибудь ты обязательно попадешь, – сказал Кот. – Нужно только достаточно долго идти.

С этим нельзя было не согласиться.

(Льюис Кэрролл. Приключения Алисы в стране чудес)

С необходимостью наличия стратегии можно соглашаться или нет, даже не применительно к вопросам непрерывности бизнеса. Бывают случаи, когда интуитивное ведение бизнеса дает очень даже неплохие результаты. Но, если посмотреть на компании, которые эффективно преодолевают чрезвычайные ситуации, то как правило у них такие стратегии есть, равно как и планы действий на случай чрезвычайных ситуаций…