Aleksandra Porębska, Datapoint, prezentacja pod tytułem "Od planowania ciągłości biznesu do planowania ciągłości systemów IT - czyli jak przygotować się na najgorsze"
1. Od planowania ciągłości biznesu
do planowania ciągłości systemów IT
Jak przygotować się na najgorsze?
2. Usługa Virtual Data Room
standard realizacji złożonych i poufnych transakcji z udziałem zewnętrznych
doradców finansowych i prawnych
Kim jesteśmy?
• Bezpieczeństwo danych na poziomie serwisów bankowych
• Specjalistyczne funkcje dedykowane do obsługi transakcji kapitałowych
• Profesjonalne i specjalistyczne doradztwo przy procesie
DATAPOINT
to pionier na polskim rynku kapitałowym, który w oparciu o usługę Virtual Data Room
wspiera największe transakcje M&A, IPO, restrukturyzacje, inwestycje PE i prywatyzacje,
w Polsce oraz w innych krajach Europy Środkowej i Wschodniej
4. → Usprawnia współpracę z doradcami
→ Zwiększa efektywność procesu
→ Zapewnia poufność, dostępność i integralność informacji
.
DATAPOINT VDR
Transakcje na rynkach kapitałowych
Dlaczego Virtual Data Room?
7. ISO 27 001, ITIL
Międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji.
Wyróżnia 11 obszarów, mających wpływ na bezpieczeństwo informacji, m.in.:
• Bezpieczeństwo fizyczne i środowiskowe
• Zarządzanie systemami i sieciami
• Kontrola dostępu
• Zarządzanie ciągłością działania
Information Technology Infrastructure Library
Zbiór dobrych praktyk postępowania dla działów IT, obejmuje n.in:
• Zarządzanie zespołem Service Desk
• Zarządzanie incydentami , problemami, zleceniami
• Zarządzanie zmianą, konfiguracją, dostępnością, pojemnością systemu
• Zarządzanie ciągłością działania systemu
ISO 27 001
ITIL
10. Business Continuity Planning
Zapewnienie możliwie najniższego:
• RTO - Recovery Time Objective
• RPO - Recovery Point Objective
Zbiór działań w zakresie tworzenia, weryfikacji
i aktualizacji planów wznawiania działania
w obszarze kluczowych procesów w organizacji,
na wypadek wystąpienia katastrofy.
Planowanie ciągłości działania
Zarządzanie ciągłością działania
11. Case study - BCP w korporacji
→ Systemy klasy ERP
→ Kilkanaście krajów
→ Kilka tysięcy użytkowników
→ Kilkadziesiąt aplikacji
→ Kilkadziesiąt serwerów
→ Ponad 100 różnych typów
interfejsów
→ Kilka miesięcy i kilkadziesiąt osób
zaangażowanych w projekt
12. Case study - BCP w korporacji
→ Zidentyfikowanie wszystkich komponentów systemu, w tym :
• systemów magazynowych, które synchronizują dane z głównym systemem klasy ERP
• interfejsów automatycznych i ręcznych
→ RBA - oszacowanie konsekwencji utraty poszczególnych komponentów
→ Zdefiniowanie, udokumentowanie i przetestowanie procedury postępowania na wypadek
awarii kluczowych komponentów
→ Testy procedur odtwarzania systemu:
• Potwierdzenie czasu, w jakim firma jest w stanie przywrócić system fizycznie, odtworzyć dane i
zsynchronizować je z systemami zewnętrznymi - RTO
• Potwierdzenie maksymalnego poziomu utraty danych - RPO
• Przypisanie ról i przeszkolenie dziesiątek specjalistów i menedżerów
→ Utrzymywanie, aktualizacja i doskonalenie procedur
13. Case study - BCP w start-up`ie
→ Zidentyfikowany kluczowy system - Virtual Data Room
→ Działająca serwerownia produkcyjna oraz disatser recovery
→ Funkcjonujący mechanizm replikacji danych
14. Case study - BCP w start-up`ie
→ Udokumentowanie procesu odtwarzania systemu w środowisku Disaster Recovery
→ Spisanie czynności i analiza kolejności ich wykonania
→ Udokumentowanie systemu wykonywania kopii zapasowych oraz przywracania danych na
ich podstawie
→ Przetestowanie procedur i przeszkolenie Zespołu
→ Potwierdzenie RTO & RPO
→ Kilka tygodni prac
15. BCP - Od czego zacząć?
→ Uświadom sobie i przełożonym, że planowanie ciągłości jest ważne
→ Stwórz diagram całego systemu
→ Zidentyfikuj elementy systemu, które są kluczowe z punktu widzenia organizacji
→ Rozważ różne scenariusze awarii
→ Opisz krok po kroku jak należy odtwarzać poszczególne komponenty
→ Przeanalizuj kolejność kroków i zależności między nimi
→ Zaplanuj i przeprowadź testy zachowania ciągłości
→ Udoskonalaj procedury i dbaj o szkolenia
To, czy firma będzie w stanie sprawnie przywrócić świadczenie swoich usług często wykracza poza interes jej właścicieli (utarta zysku, kary umowne) i staje się przedmiotem interesu podmiotów zewnętrznych. Tak jest w sektorach ważnych z punktu widzenia społecznego i gospodarczego, dlatego ustawodawca umieścił wytyczne dotyczące zapewnienia ciągłości m.in. w Ustawie Prawo energetyczne, Prawo pocztowe, komunikacyjne czy bankowe.
Zarządzanie ciągłością działania ma na celu zapewnienie wszystkim interesariuszom (a więc zarówno klientom, jak i regulatorom i udziałowcom), że w przypadku awarii, przywrócenie krytycznych funkcji biznesowych realizowanych przez organizację nastąpi w znanym, możliwie najkrótszym czasie, i przy określonym poziomie utraty danych. I nie chodzi tutaj tylko o reagowanie na zaistniałą sytuację, ale przede wszystkim o przygotowanie organizacji na możliwość jej wystąpienia.
opracowania ciągłości działania w Datapoint - Bezp Info - z racji tego, że pracujemy z poufnymi dokumentami - musieliśmy potraktować bardzo poważnie, chcieliśmy się certyfikować w zakresie normy 27001. Mieliśmy dużo łatwiejsze zadanie niż wspomniana korporacja, ponieważ nie musieliśmy prowadzić analizy i szacowania ryzyka, w celu określenia kluczowego dla firmy systemu. Wiedzieliśmy, że to powstający właśnie system VDR.
Był udokomentowany system – diagram
Zatem na czym pplegal projekt?