Neprekinjeno poslovanje v luči informacijske varnosti

Neprekinjeno poslovanje v luči informacijske varnosti
V kolikor v podjetju nimamo izoblikovanega načrta neprekinjenega poslovanja za
informacijski sistem, se kaj kmalu lahko zgodi, da bomo zaradi nastopa informacijske nesreče
utrpeli astronomsko visoke finančne izgube ali bomo celo primorani prenehati s poslovanjem.
Pri nastopu varnostnih incidentov so daleč najpogosteje na udaru podatki, saj večina podjetij
po svetu hrani varnostne kopije podatkov na eni lokaciji, kar jih seveda ne zavaruje pred
požari, poplavami in drugimi naravnimi nesrečami.
Temu in drugim nevšečnim dogodkom (okvara strežnika, potres, poplave, namerna sabotaža
in podobno) se lahko na učinkovit način izognemo le s pripravo ustreznega načrta za
neprekinjeno poslovanje, ki omogoča pravočasno nadaljevanje izvajanja kritičnih procesov v
primeru njihove prekinitve. Načrt neprekinjenega poslovanja torej zajema vse pomembnejše
poslovne procese in informacije. Neprekinjeno poslovanje v luči informacijske varnosti
pomeni zagotovitev neprekinjenega delovanja in razpoložljivosti informacijskih sistemov,
omogoča hitro vzpostavitev poslovanja po katastrofalnih dogodkih in posledično pomaga
graditi zaupanje v samo poslovanje podjetja.
V kolikor želimo pripraviti učinkovit in zanesljiv načrt neprekinjenega poslovanja, moramo
najprej opraviti analizo tveganja. Z njo namreč določimo najpomembnejše procese, ki jih
podjetje nujno potrebuje za bolj ali manj nemoteno delovanje v primeru nastopa informacijske
nesreče. Ker podjetja seveda ne razpolagajo z neomejeno količino finančnih sredstev, moramo
skozi analizo tveganja določiti samo tiste procese in podatke, ki so nujno potrebni za
preživetje in zmanjšanje posledic zaradi prekinitve delovanja informacijskega sistema.
Nesporno dejstvo je, da je potrebno za procese in informacije, ki jih želimo imeti na razpolago
24 ur dnevno, odšteti občutno več denarja kot za procese in informacije, brez katerih lahko
podjetje normalno posluje tudi teden dni in več.
Ko opravimo analizo tveganja in določimo najpomembnejše procese, ki jih podjetje nujno
potrebuje za bolj ali manj nemoteno delovanje v primeru nastopa informacijske nesreče, je
potrebno pripraviti ustrezno in učinkovito strategijo neprekinjenega poslovanja. V strategiji
neprekinjenega poslovanja se določi najboljši način za obnovitev prizadetih, poškodovanih ali
celo povsem izgubljenih informacij in informacijskih sistemov. Dobra strategija
neprekinjenega poslovanja mora nujno vsebovati seznam ključnih poslovnih procesov,
aplikacij in informacijskih sredstev, taksativno naštete stroške (ocena), ki bi pri tem nastali
zaradi nabave računalniške opreme, njihovega vzdrževanja, rednega testiranja dodatnih
računalnikov in podobno, ter oceno potrebnega časa za ponovno vzpostavitev informacijskega
sistema, preden podjetje utrpi nenadomestljivo poslovno škodo (izguba ugleda, strank,
prihodkov in podobno).
Načrt neprekinjenega poslovanja mora nujno obsegati tudi dokumente, ki so ključni za
njegovo izvedbo. Sem sodijo dokumenti, kot so seznam oseb, ki so ključne za uspešno
izvedbo projekta (ime in priimek, naslov, telefonska številka in podobno), ključne informacije
o zavarovanju podjetja, izjava za javnost, definicije postopkov za zagotovitev oskrbe z
najnujnejšim materialom in opremo, natančne definicije postopkov za izdelavo rezervne

kopije podatkov in programov in še bi lahko naštevali. Število in vrsto dokumentov se
smiselno pripravi glede na velikost podjetja in zahtev, ki jih postavi vodstvo.
Ko so vse ključne dejavnosti in dokumenti neprekinjenega poslovanja pripravljeni in
definirani, je potrebno načrt seveda preizkusiti tudi v praksi. Preizkus je najpomembnejši in
hkrati tudi najbolj občutljiv del oblikovanja strategije neprekinjenega poslovanja. Brez
testiranja začrtanega načrta neprekinjenega poslovanja nam namreč nihče ne more zagotoviti,
da načrt dejansko tudi deluje. Preizkus načrta neprekinjenega poslovanja je potrebno natančno
preučiti, preden se ga izvede, saj se lahko kaj kmalu zgodi, da podjetje zaradi njega utrpi tudi
nepopravljivo škodo. Načrt neprekinjenega poslovanja ponavadi testiramo tedaj, ko podjetje
ne posluje s strankami oziroma posluje v omejenem obsegu (popoldan, sobote in nedelje,
prazniki, kolektivni dopusti in podobno). Pri testiranju načrta neprekinjenega poslovanja
ocenimo predvsem potreben čas za izvršitev predpisanih nalog, potrebno količino in vrsto
dela za obnovitev kritičnih informacijskih sistemov in podatkov, število uspešno obnovljenih
kritičnih sistemov in zapisov podatkov ter stopnjo natančnosti vnosa podatkov in njihovega
procesiranja po ponovni vzpostavitvi delovanja. Na podlagi rezultatov ustrezno popravimo in
dopolnimo načrt neprekinjenega poslovanja.
Kadar v podjetju postavimo načrt neprekinjenega poslovanja, se moramo zavedati, da gre tu
dejansko za proces, ki ga je potrebno neprestano obnavljati in dopolnjevati. Vsakokrat, ko se
spremenijo zahteve glede pomembnosti poslovnih procesov in informacij ali pa se doda nove
poslovne procese oziroma informacije, je namreč potrebno znova opraviti analizo tveganja,
izdelati načrt neprekinjenega poslovanja in ga preizkusiti v praksi.
Številna podjetja se projekta neprekinjenega poslovanja ne lotijo predvsem zaradi relativno
visokih začetnih stroškov in pomanjkanja znanja vodilnega in vodstvenega osebja. Pogosto je
težava tudi v podcenjevanju stroškov in posledic, ki bi lahko nastali v primeru izpada
informacijskega sistema. Dejstvo je, da s kakovostnim načrtom neprekinjenega poslovanja
lahko precej zmanjšamo tveganja, ki jih prinaša sodobna tehnologija in v primeru nastopa
informacijske nesreče lahko podjetju omogočimo izjemno hiter povratek v »normalno« stanje.
Zato se preden zavrnemo pobudo oblikovanja načrta neprekinjenega poslovanja najprej
vprašajmo, ali smo resnično pripravljeni nase prevzeti vsa tveganja, ki jih lahko prinese
prenehanje delovanja informacijskega sistema.