Geekly articles weekly

Leitfaden zur Analyse der GeschÀftsauswirkungen



Nicht jeder weiß, wo und wann er mit der Implementierung von Business Continuity-PlĂ€nen beginnen soll. Normalerweise sage ich Folgendes: Wenn die möglichen Verluste höher sind als die Kosten fĂŒr die BekĂ€mpfung der Bedrohung, ist es Zeit, Maßnahmen zu ergreifen, die Kosten sind angemessen. Umgekehrt. Wenn die Kosten der Gegenwirkung mehr oder weniger klar sind, ist die SchĂ€tzung von Verlusten keine triviale Aufgabe. Ich lade Sie in die Backstage eines Projekts ein, um die Auswirkungen von NotfĂ€llen auf ein Unternehmen zu bewerten (Business Impact Analysis - BIA) und eine Strategie zur GewĂ€hrleistung der IT-KontinuitĂ€t am Beispiel eines großen EinzelhĂ€ndlers zu entwickeln. Also lass uns gehen.

Starten Sie


Wir haben am Projekt der X5 Retail Group teilgenommen - dem grĂ¶ĂŸten EinzelhĂ€ndler in Russland. Das Unternehmen verwaltet die Netzwerke von Pyaterochka, Carousel und Crossroads.

Sie hatte bereits ihre eigene Richtlinie zum Management von Unterbrechungsrisiken, die Folgendes umfasste:

  1. Risikoversicherung;
  2. Bildung von Krisenmanagement;
  3. Minimierung der Risiken fĂŒr Leben und Gesundheit von Menschen;
  4. Kontrolle der Risiken der GeschÀftsverwaltbarkeit;
  5. Erstellung von NotfallwiederherstellungsplĂ€nen fĂŒr IT-Systeme.

In Übereinstimmung mit dieser Richtlinie erforderte eine zentralisierte IT-Infrastruktur die Entwicklung von PlĂ€nen fĂŒr die KontinuitĂ€t von IT-Diensten und Disaster Recovery. Die ideale Lösung wĂ€re, ein Backup-Rechenzentrum aufzubauen, eine synchrone Replikation einzurichten, eine Automatisierung fĂŒr die NotfallĂŒbertragung einzurichten und nach einer Stunde „H“ zu sehen, um zu sehen, wie IT-Systeme zum Backup-Rechenzentrum wechseln und grĂŒne Lichter aufleuchten, um zu signalisieren, dass keine Gefahr fĂŒr das GeschĂ€ft besteht.

Angesichts der Wirtschaftlichkeit des Prozesses schlug das Unternehmen jedoch vor, nur die kritischsten IT-Systeme zu reservieren, um eine angemessene Notfallmaßnahme zu erreichen, ohne die die Filialen nicht betrieben werden könnten und erhebliche finanzielle Verluste im Unternehmen entstehen wĂŒrden. Es stellt sich eine wichtige Frage: Welche Systeme und wie lange sollten wiederhergestellt werden?
Die IT-Abteilung des Kunden bestimmte die Klassifizierung der IT-Systeme und die akzeptable Wiederherstellungszeit fĂŒr jedes System. SpĂ€ter wurde jedoch beschlossen, eine vollstĂ€ndige Bewertung der Auswirkungen von NotfĂ€llen auf das GeschĂ€ft des Unternehmens (BIA) gemĂ€ĂŸ ISO 22301 und Best Practices durchzufĂŒhren.

Volumen und Grenzen


Das Theater beginnt mit einem KleiderbĂŒgel, und die BIA beginnt mit der Definition des Arbeitsumfangs. Dazu mĂŒssen Sie die GeschĂ€ftsprozesse, Dienstleistungen, AbschlĂŒsse, Beziehungen zu Partnern, Kunden und Auftragnehmern des Unternehmens untersuchen. Identifizieren und koordinieren Sie dann die wichtigsten GeschĂ€ftsprozesse und Services, die innerhalb der Projektgrenzen liegen. Die Dauer und die Kosten der BIA hĂ€ngen vom Volumen ab. DarĂŒber hinaus legen unsere Erfahrungen nahe, dass Sie das Projekt nicht lĂ€nger als 9 Monate verlĂ€ngern sollten.

In unserem Fall hat der Kunde die Grenzen bereits durch Auswahl der wichtigsten GeschĂ€ftsprozesse fĂŒr HandelsaktivitĂ€ten festgelegt.

Das Interview




Sobald die Grenzen und Rahmenbedingungen der BIA festgelegt sind, wird eine Liste der Stakeholder aus dem Unternehmen und anderen Abteilungen festgelegt, mit denen Sie ein Interview fĂŒhren möchten. Es ist sehr wichtig, Informationen aus verschiedenen Abteilungen zu sammeln, um ein objektives Bild der Prozesse im Unternehmen zu erhalten, ihre Funktionsweise zu verstehen und eine EinschĂ€tzung darĂŒber zu erhalten, was passieren wird, wenn .... In dieser Phase erhalten wir Informationen darĂŒber, wie genau GeschĂ€ftsprozesse von der IT abhĂ€ngen, und erstellen eine Matrix dieser AbhĂ€ngigkeiten. Außerdem bewerten Unternehmensvertreter und am GeschĂ€ftsprozess interessierte Parteien die Konsequenzen, möglichen SchĂ€den und möglichen Szenarien. Zu diesem Zweck haben wir einen speziellen Fragebogen entwickelt und etwa 50 Befragte befragt (50 PrĂ€sentationen ĂŒber das Projekt selbst prĂ€sentiert, alle ausgefĂŒllten Fragebögen durchgefĂŒhrt, empfangen und verarbeitet).

GeschÀftsprozesse


Parallel zu den Befragungen haben wir GeschĂ€ftsprozesse beschrieben, wobei wir die Zeit fĂŒr die Fertigstellung einzelner VorgĂ€nge und die Tiefe der Ausarbeitung berĂŒcksichtigt haben, die fĂŒr die weitere Analyse ausreicht. Die Aufteilung eines Prozesses in kleinere Komponenten und bestimmte VorgĂ€nge ist erforderlich, um zu verstehen, wie sich ein IT-System auf einen bestimmten Prozess zu verschiedenen Tageszeiten und zu verschiedenen Jahreszeiten auswirkt. In dieser Phase ist es wichtig zu verstehen, dass wir GeschĂ€ftsprozesse nicht nach GOST oder einer anderen Methodik beschreiben. Wir optimieren GeschĂ€ftsprozesse nicht und geben im Allgemeinen keine Empfehlungen zur Verbesserung von GeschĂ€ftsprozessen, zumindest innerhalb der BIA. Wir beschreiben GeschĂ€ftsprozesse so detailliert, dass wir die Methode zur Berechnung von Verlusten begrĂŒnden und Verluste nach mehreren Kriterien bewerten können. FĂŒr eine grafische Beschreibung wurden die Notationen EPC, ARIS und MS Visio als Werkzeuge verwendet.

Schwellenwerte


Um die objektive Zielwiederherstellungszeit zu bestimmen, mĂŒssen wir uns am Ufer auf die Kriterien einigen, anhand derer wir den Schaden bewerten, und auf ihre Schwellenwerte. Wenn diese Schwellenwerte ĂŒberschritten werden, betrachten wir den Schaden als kritisch und das Zeitintervall, in dem der Schwellenwert erreicht wird, wird zur Zielwiederherstellungszeit. Es wurden zwei Optionen vorgeschlagen:

  • RTO anhand eines Kriteriums bestimmen - finanzielle Verluste;
  • Bestimmen Sie die RTO anhand von drei Kriterien: finanzieller Verlust, Reputationsverlust, Verlust der Kontrollierbarkeit von GeschĂ€ftsprozessen.

Die erste Option mit einem Kriterium scheint vorzuziehen zu sein, da Verluste bedingt in Geld umgewandelt werden können - die Hauptsache ist, sich auf eine Neuberechnungsformel zu einigen. Wie die Praxis zeigt, rechnet niemand Reputationsverluste speziell in finanzielle Verluste um, und die Genehmigung einer solchen Formel kann eine unbestimmte Zeit in Anspruch nehmen. Es wurde beschlossen, die Wiederherstellungszeit fĂŒr beide Optionen zu berĂŒcksichtigen, und in der Phase der PrĂ€sentation der Ergebnisse wird der Kunde selbst bestimmen, welche die RealitĂ€t objektiver widerspiegelt.



Mit Blick auf die Zukunft möchte ich sagen, dass sich bei Verwendung der ersten Option mit einem Kriterium herausgestellt hat, dass die RTO im Preisfindungsprozess beispielsweise 10 Tage erreichen kann. Bei der Berechnung der zweiten Option hat die RTO 24 Stunden nicht ĂŒberschritten. In jedem Fall bleibt die Entscheidung des Managements - welche Verluste zu berĂŒcksichtigen sind und welche nicht - beim Kunden.

Die Risiken


Gemeinsam mit dem Kunden haben wir die Liste der operationellen Risiken festgelegt. Das heißt, diejenigen, die sich auf die IT auswirken, und diejenigen, die sich wiederum auf GeschĂ€ftsprozesse auswirken, die ... nun, Sie verstehen. Diese Phase ist wichtig, da ein Notfall nicht als kugelförmiges Pferd im luftleeren Raum betrachtet wird. Sie sagen, was mit dem Mutterland und uns passieren wird, wenn wir die IT verlieren. Die Risiken wurden in globale und lokale Risiken unterteilt. FĂŒr jeden von ihnen wurden unter BerĂŒcksichtigung der Ergebnisse des Interviews ein Entwicklungsszenario und Auswirkungen auf die Unternehmensprozesse ermittelt. NatĂŒrlich kann dasselbe IT-System im Falle eines Ausfalls mehrere GeschĂ€ftsprozesse beeinflussen, aber wir waren schrecklich besorgt ĂŒber nur zwei Prozesse im Projekt. Dann haben wir die AnsprĂŒche gemĂ€ĂŸ den folgenden Parametern bewertet:

  • Bedrohungsausbreitung;
  • die FĂ€higkeit zu alarmieren;
  • Expositionsdauer;
  • Eintrittswahrscheinlichkeit;
  • geschĂ€tzter Schaden.

Als Ergebnis erstellten sie eine Heatmap, auf der jede Anwendung eine Bewertung erhielt, wie heiß das Unternehmen wĂ€hrend seiner Ausfallzeit brennen könnte. Zum Beispiel erhĂ€lt das Unternehmen fĂŒr 4 Stunden Ausfallzeit einzelner SAP-Module immer noch keine ernsthaften Probleme, aber selbst die ersten Stunden Ausfallzeit von Registrierkassensoftware auf der Heatmap sind feuerrot markiert.

Es muss klargestellt werden, dass die Risikobewertung und das weitere Ranking mithilfe einer Expertengruppe erstellt werden und erforderlich sind, um die kritischsten Situationen fĂŒr den Kunden zu ermitteln.

Eventualrisiko und Szenario. Feuer im Rechenzentrum: Der Serverraum ist vollstĂ€ndig durchgebrannt, das am Nachschubprozess beteiligte SAP-Modul ist nicht verfĂŒgbar. Dies bedeutet, dass bis zur Wiederherstellung des verbrannten SAP-Moduls tĂ€glich die Produktpalette reduziert wird. Dies betrifft zum einen verderbliche Produkte, zum anderen stark nachgefragte Produkte (z. B. Getreide und Brot) und zum anderen Haushaltschemikalien. Offensichtlich wird diese Situation zu einem UmsatzrĂŒckgang in den Filialen fĂŒhren. Dies ist jedoch nicht ganz offensichtlich: Der KĂ€ufer, der wegen Bier und Zigaretten gekommen ist, kann ohne eine der Waren höchstwahrscheinlich nichts kaufen. Ähnliches gilt fĂŒr den Preisfindungsprozess. Wenn ein bedingter Kunde, der am Mittwoch um 12:00 Uhr von Rabatten erfahren hat, am Nachmittag im GeschĂ€ft ankommt und der Prozess „Preisgestaltung“ nicht funktioniert (dh Preise ohne Rabatte), dann:

A) kauft nichts (= finanzieller Verlust);
B) beschuldigt das GeschÀft des Betrugs (= Reputationsverlust)
B) beschwert sich bei der Aufsichtsbehörde (= Strafe fĂŒr unfaire Werbung).

VerlustschÀtzungstechnik


Wie Sie wahrscheinlich aus dem oben Gesagten verstanden haben, ist es zur Berechnung der finanziellen Verluste erforderlich, eine Methodik und Formeln fĂŒr deren Berechnung zu entwickeln, die Rabatte, Sonderangebote, Tageszeit und Hochsaison (z. B. Aufregung Ende Dezember) berĂŒcksichtigen. Die Methodik sollte einen beschreibenden Teil (woher er kommt und warum er mit Gewichten multipliziert wird) sowie Tabellen und Grafiken zur Klarheit der Wahrnehmung enthalten.

Die Technik beschreibt auch:

  • Wie die Wiederherstellungszeit fĂŒr einen GeschĂ€ftsprozess bestimmt wird
  • Wie sich die Wiederherstellungszeit fĂŒr einen GeschĂ€ftsprozess in RTO / RPO fĂŒr IT-Systeme niederschlĂ€gt
  • KritikalitĂ€tsklassen und Wiederherstellungsklassen - warum ist dies erforderlich?

Wir gehen weiter.

RTO-Berechnung


Nachdem alle Interviews durchgefĂŒhrt wurden, werden GeschĂ€ftsprozesse beschrieben, Risiken bewertet, eine Methodik definiert und genehmigt und Verluste berechnet. Da sich das GeschĂ€ft von Pyaterochka, Carousel und Crossroads zumindest in der GrĂ¶ĂŸenordnung unterscheidet, haben wir fĂŒr jedes Netzwerk unsere eigenen Tabellen, unsere eigenen ZeitplĂ€ne und Verlustberechnungen entwickelt.

FĂŒr den gesamten GeschĂ€ftsprozess wird die Wiederherstellungszeit bestimmt (siehe Methodik), wenn Verluste den Schwellenwert ĂŒberschreiten (siehe Schwellenwerte). Diese Wiederherstellungszeit wird den IT-Systemen zugewiesen, die am GeschĂ€ftsprozess beteiligt sind (siehe Interview und AbhĂ€ngigkeitsmatrix). Es scheint, dass die Parameter der KontinuitĂ€t definiert sind - das Projekt ist abgeschlossen (siehe Grenzen und Rahmen). Es reicht jedoch nicht aus zu sagen, dass der Prozess in 12 Stunden wiederhergestellt werden sollte. Es ist wichtig zu bestimmen, wie dies jetzt funktioniert. Wie viele Stunden kann ein IT-System heute wiederbelebt werden? Und was ist, wenn die aktuelle Wiederherstellungszeit lĂ€nger oder deutlich lĂ€nger als das Ziel ist? FĂŒr diejenigen, die immer noch Vernunft und Konzentration bewahren, willkommen in der GAP!

GAP-Analyse und Aktionsplan


Als Ergebnis der vorherigen Schritte haben wir den Zustand fĂŒr die Prozesse und TO TO-Systeme bestimmt, dh wie er idealerweise sein sollte. Zum gegenwĂ€rtigen Zeitpunkt bestimmen wir den Status von "AS IS". Gleichzeitig berĂŒhren wir GeschĂ€ftsprozesse in geringerem Maße und konzentrieren uns auf die IT-Komponente. FĂŒr den Kunden haben wir seine aktuellen Lösungen im Hinblick auf die Wiederherstellung nach einem Notfall bewertet. DarĂŒber hinaus war es in diesem Fall nicht erforderlich, eine echte Wiederherstellung mit einem Timer durchzufĂŒhren. Es war genug, um tief in die Details zu gehen und genug Desktop-Tests, um zu verstehen, dass die Ziel-RTO nicht erreichbar ist.

Danach haben wir eine Reihe allgemeiner Empfehlungen entwickelt (um die IT-KontinuitĂ€t zu gewĂ€hrleisten), die sich direkt auf IT-Systeme und deren Architektur beziehen. Dies sind Skizzen technischer Lösungen und eine grobe SchĂ€tzung der Kosten ihrer Implementierung. In der Tat gibt es jetzt eine Grundlage fĂŒr eine Entscheidung. Auf der einen Seite der Skala - Verluste und auf der anderen Seite - die Kosten der Maßnahmen.
Wenn einige IT-Systeme keiner GAP-Analyse unterzogen werden oder ihre Wiederherstellungszeit lĂ€nger als das Ziel ist, erstellen wir ein Projektprogramm zur Erreichung des Zielzustands oder, wenn Sie möchten, eine Roadmap mit BegrĂŒndung der Projektsequenz und einer Zwischenbewertung zur Verbesserung der Nachhaltigkeit der Organisation.

DarĂŒber hinaus haben wir fĂŒr den Kunden methodische Materialien und Vorlagen fĂŒr die Erstellung von KontinuitĂ€tsplĂ€nen und Disaster Recovery-PlĂ€nen entwickelt.

Strategie


Warte, warte, ich bin fast fertig.

Basierend auf den BIA-Ergebnissen haben wir eine IT-KontinuitĂ€tsstrategie entwickelt. Die KontinuitĂ€tsstrategie beschrieb zwei SchlĂŒsselpunkte.

  1. Welche IT-Risiken, die sich auf die AktivitĂ€ten des Unternehmens auswirken, berĂŒcksichtigt werden und welche nicht (dh wovor wir Angst haben und im Rahmen der KontinuitĂ€t entscheiden werden und wovor wir keine Angst haben, und dafĂŒr haben wir Incident Management).
  2. Welche organisatorischen, architektonischen, infrastrukturellen und anderen Lösungen werden wir gegen Bedrohungen verteidigen?

Durch Strategie schlagen wir zwei Fliegen mit einer Klappe. Erstens versteht jeder im Unternehmen, wie und wovor wir uns schĂŒtzen werden. Zweitens sieht der Prozess der Budgetierung von IT-Disaster-Recovery-Lösungen fĂŒr IT-Nichtspezialisten (z. B. Finanziers) transparenter aus. Und egal wie erbĂ€rmlich es auch klingen mag, die Strategie hilft dabei, die richtigen Managemententscheidungen zu treffen (es besteht immer die Möglichkeit, kein Geld fĂŒr DR auszugeben, und jetzt wissen wir genau, wie sich dies im Falle eines Unfalls auf das Unternehmen auswirkt).

Was weiter? Weitere Implementierung der KontinuitĂ€tsstrategie und der Analyse der GeschĂ€ftsauswirkungen fĂŒr andere GeschĂ€ftsprozesse und IT-Systeme. Entwicklung von KontinuitĂ€tsplĂ€nen, regelmĂ€ĂŸige ÜberprĂŒfung dieser PlĂ€ne, aber das ist eine ganz andere Geschichte.

Igor Tyukachev, Berater, Jet Infosystems Design Center

Source: https://habr.com/ru/post/de428465/

More articles:


All Articles