DRP a BCP nejsou pouze pro velké

Vezmeme-li různé studie, které se zabývají připraveností firem na mimořádné situace, tedy existenci Disaster Recovery a Business Continuity plánů, tak v případě optimistického pohledu je takových firem okolo 40 %.
Mezi nejlépe připravenými jsou samozřejmě obecně velké společnosti, a ty jejichž podnikání je ve vysoké míře založeno na online dostupnosti. S klesající velikostí firmy, procento připravených klesá – částečně i proto, že pod Disaster Recovery a Business Continuity si management malých a středních firem představí něco jako naplánování invaze na Mars.

Proto jsme se namátkou zeptali v 50 malých firmách od 10 do 50 zaměstnanců z různých průmyslových odvětví, jak jsou připraveni na problémy s nedostupností IT. Následující údaje berte jako ilustrační, jde skutečně o malý vzorek, sloužící pro nástin stavu. Je logické, že ne všechny firmy si mohou ekonomicky dovolit projít sofistikovaným procesem hodnocení rizik nebo na případnou ztrátu 100 tisíc Kč investovat 200 tisíc do potřebných řešení. Nicméně v rámci přiměřenosti by měly být na významnou ztrátu dat připraveny všechny společnosti.

Z námi oslovených firem mělo komplexní vypracované plány pro případ výpadku a nedostupnosti informačních systémů pouze 12. Deset z nich patřilo do oblasti poskytování IT/Telco služeb (včetně distribuce zboží), zbylé dvě provozovaly maloobchodní e-shopy; navíc 4 podobné plány musí mít vypracovány s ohledem na zákon o kybernetické bezpečnosti.

Zhruba 20 firem mělo v nějaké formě nebo části procesů vypracovány postupy, jak nahradit výpadek zákaznických systémů (většinou e-shopy, rezervační služby apod.), aby nebylo zasaženo jádro jejich podnikání. Zde se však začaly objevovat detaily, které mohou úspěšné pokračování obchodních aktivit narušit. Zbývající firmy řeší hrozby omezeně, většinou se zaměřují na zálohování, které považují za dostatečné řešení a vzhledem k jejich ziskům/obratům to lze i pochopit, či dokonce i říci, že v jejich případech to vlastně stačí.

Co se však jeví u většiny dotázaných jako problematický bod, je skutečnost, že téměř 80 % neví, jak dlouho by obnova dat potřebných k jejich činnosti trvala, respektive nemají odzkoušeno, jak dlouho trvá obnova ze záloh. Zajímavé určitě je, že 60 % firem používá politiku lokální a cloudové zálohy, ovšem pouze 15 % v režimu kontinuální synchronizace, kdy primární záloha nese aktuální data, ale do sekundární jsou kopírována pouze po určitých intervalech – většinou pouze 1x za den.

Problematické je často i vyhodnocení rizik. Menší firmy spoléhají na to, že v případě nutnosti zvládnou zaměstnanci aktivity z domova, protože vlastně částečně pracují z „home office“. Bohužel zde často chybí ověření, že tomu tak skutečně je. Například přístup do ekonomického systému přes VPN a vzdálenou plochu je nastaven pouze na využití on-site licence a v cloudové záloze jsou vlastně pouze „otisky“ databází, respektive celého serveru. Zde se často spoléhá no to, že vlastně proběhne obnovení image celého systému zpět na lokální server. Podvědomě či na základě jakési pravděpodobnosti jsou tak vyloučeny přírodní katastrofy jako bouře, požár nebo prosté vykradení.

Velmi vágně je často nastaven RPO (Recovery Point Objective), tedy čas před havárií, ze kterého jsou schopny provést obnovu dat. Jednoduše řečeno, o kolik dat si mohou dovolit havárií přijít. To přímo souvisí se špatně nebo vůbec nezmapovanými obchodními procesy.

Posledním problémem je chybějící management změn. U společností, které nemají komplexně naplánované BPO/DR nedochází často k aktualizaci jejich plánů, které nezachycují aktuální stav systémů nebo potřeb.

A proč se vlastně zajištěním obnovy a následným pokračováním činnosti zabývat? Protože třeba v USA 40 % společností zasažených významnou ztrátou dat nepřežilo a 50 % skončilo do dvou let.