Здравствуйте, читатели!

Моя предыдущая статья на Хабре рассказывала о становлении функции обеспечения непрерывности бизнеса и об ее взаимодействии с другими корпоративными функциями, и носила в большей степени теоретический характер.

Сейчас же я хочу поделиться с вами практическими векторами внедрения процесса обеспечения непрерывности бизнеса (Business continuity management, BCM) и операционной устойчивости (Operational resilience, OpRes). А также реальными инициативами, которые могут последовать по итогам внедрения BCM & OpRes в компании и сопутствующего этому изучению ландшафта и процессов организации.

Что вы думаете и о чем вспоминаете, когда вам говорят про непрерывность бизнеса? Или когда вы слышите о том, что в вашей организации будут внедрять непрерывность бизнеса?

Уверен, что большинство из вас, кто слышал или сталкивался с этим раньше, считает, что снова придут и будут просить заполнить анкеты с вопросами «А какие процессы у вас в подразделении существуют?», «А какие риски вы видите для выполнения этих процессов?», «А как вы можете оценить потери (желательно в деньгах), если у вас почему-то вдруг остановится процесс?» и тому подобные вопросы. 

Разумеется, они вызывают у многих (если не большинства) некоторое раздражение, так как никакой практический пользы для себя никто не видит. Это негативное восприятие усиливается и тем, что подобные вопросы (если не точно такие же) вам задают в рамках регулярного(-ых) аудитов, и, если у вас в компании риск-ориентированная культура, то и в рамках регулярной самооценки рисков (risk control self assessment, RCSA).

Те кто знаком с информационной безопасностью назовут это «бумажной» безопасностью, другие могут назвать комплаенсом. И то и другое, важно, но часто для многих польза не является очевидной.

Но что, если попробовать найти в процессе обеспечения непрерывности бизнеса и практические аспекты, которые могут быть реализованы в организации. И, забегая вперед, скажу, что многие из них для большинства сотрудников организаций никогда не ассоциировались с непрерывностью бизнеса и операционной устойчивостью.

Меня зовут Сергей Рогачев и я эксперт в области проектирования и внедрения процессов и процедур обеспечения непрерывности деятельности, операционной устойчивости и нефинансовых рисках. Всегда рад поделиться опытом и открыт к общению с заинтересованными в тематическом канале Continuity & Resilience.

Далее я перечислю 10 (десять) практических шагов BCM&OpRes, которые при внедрении в ландшафт компании будут полезны, и они далеки от «бумажек». А также кратко укажу некоторые возможные цели и кейсы использования данных инициатив.

Примечания.

Цели и бизнес-кейсы не являются исчерпывающими и должны быть отдельно проработаны на этапе подготовки конкретной инициативы.

Еще одна небольшая ремарка - часть ваших информационных систем может выполнять двойную (тройную и более) функцию, поэтому именно в вашей компании интеграция может быть произведена в одну из имеющихся систем и, правильно сконфигурировав потоки данных, сможете сильно сэкономить и в процессе интеграции, и дальнейшей поддержке.

Также конкретные инициативы могут быть предложены исключительно исходя из вашей текущей ситуации, зрелости и текущего ИТ- и бизнес- ландшафта компании. 

Этот список инициатив аккумулирован из моего личного опыта, накопленного за несколько десятков проектов в различных компаниях и индустриях, в ролях эксперта (SME) и руководителя функций непрерывности бизнеса.

Список инициатив

1. Интеграция BCM&OpRes процесса и инструментов с Таск- и Баг-менеджерами.

• Бизнес-кейсы:

  • Мониторинг критических проблем с ИС и продуктами;

  • Отслеживание прогресса исполнения дорожных карт работ, бэклога задач и предыдущих замечаний (и даже устранения уязвимостей и митигации рисков);

  • Своевременное обнаружение существенных изменений в ИТ-ландшафте компании и продуктах компании, формирование реестра рисков;

  • Автоматизация процедур процесса обеспечения непрерывности бизнеса.

2. Интеграция с системой мониторинга инфраструктуры и прикладного уровня. А еще возможно создание единого мониторингового центра, совместно с СБ, АХУ и ИБ (не забываем про разделение прав доступа) - такие кейсы есть.

• Бизнес-кейсы:

  • Оперативное выявление сбоев в критичных компонентах ИТ-ландшафта, нарушении и рисках бизнес-процессов. И информирование владельцев функций и бизнес-процессов;

  • Учет тайминга простоев и времени реагирования на возникающие инциденты и проблемы;

  • Формирование базы для SLA, SLO, SLI, OLA, KPI, OKR команд и сотрудников;

  • Интеграция с практикой, подходами и методами DevOps, DevSecOps и SRE;

  • Дизайн и редизайн методологии Performance management;

  • Своевременное информирование регуляторов (при наличии данного требования).

3. Интеграция с ITSM-системой.

• Бизнес-кейсы:

  • Статистика по инцидентам, ответственным и владельцам систем;

  • Доступ к информации по причинам наступления инцидентов и их исправления;

  • Дизайн, редизайн и контроль процесса Performance management в организации.

4. Интеграция с системой управления активами (asset management).

• Бизнес-кейсы:

  • Информация в части каталога ИС, продуктов и сервисов и их поддержание в актуальном состоянии;

  • Оперативный доступ к агрегированной информации по активам (информационным) компании для проведения оценки рисков;

  • Учет владельцев и ответственных за активы.

5. Интеграция с uCMDB.

• Бизнес-кейсы:

  • Информация по составу ИС, конфигурационным единицам (КЕ), владельцам активов;

  • Своевременное информирование об изменении компонент ИС, появлении новых компонент, выведение старых из эксплуатации;

  • Возможность учета корректности и достаточности резервных мощностей;

  • Проактивное обнаружение недостаточности мощностей и сопутствующих этому рисков, интеграция с процессом capacity management (управление мощностями).

6. Интеграция с HRSM-системой.

• Бизнес-кейсы:

  • Своевременное информирование о появлении новых ролей или их изменении в периметре компании;

  • Уведомление, учет, обновление информации об ответственных и владельцах функций, процессов, продуктов и сервисов организации;

  • Выявление рисков в части процесса управления доступами - например, своевременный отзыв прав доступа и блокирование аккаунтов сотрудников при увольнении;

  • Поддержание в актуальном состоянии каналов коммуникации в случае инцидентов ИТ и кризисных ситуаций.

7. Интеграция тестов DR в авто-тесты в pipeline выпуска продуктов.

• Бизнес-кейсы:

  • Проактивное проведение DR-тестов (тестов восстановления функционирования) по заранее запланированным сценариям на этапе релизов продуктов - автотесты в части интеграционных, performance и функциональных тестов;

  • Существенное снижение T2M продуктов и сервисов компании и повышение эффективности продуктовой разработки.

8. Интеграция с GRC-системой.

• Бизнес-кейсы:

  • Единый автоматизированный учет контролей и статуса их внедрения;

  • Синхронизация процессов управления рисками и непрерывности бизнеса, обмен и наполнение недостающей информацией между функциями рисков, аудита и непрерывности деятельности без дублирующего привлечения сотрудников и бизнес-пользователей процессов и ИС - а значит не отвлекая сотрудников от их прямых обязанностей и общее повышение эффективности труда.

9. Интеграция с EA (enterprise architect)-системами организации.

• Бизнес-кейсы:

  • Выявление критически важных потоков данных в системах и их взаимодействие между ИС и продуктами в компании;

  • Обнаружение единых точек отказа (single point of failure, SPoF) при взаимодействии ИС и продуктов.

10. Интеграция с системами передачи отчетности во внешних регуляторов (для некоторых отраслей).

• Бизнес-кейсы:

  • Оперативное информирование и соблюдение регуляторных требований;

  • Автоматизация процесса и повышение эффективности труда.

Смею заверить, что это далеко не полный перечень практических шагов при внедрении процесса непрерывности бизнеса и операционной устойчивости, которые могут быть, и скорее всего будут, полезны именно вашей организации. Тем не менее выбор всегда остается за вами.

Что в итоге?

Ресурсы

Безусловно, подобные интеграции представляют собой полноценные проектные активности, которые не могут (или только в очень редких случаях могут) быть реализованы без соответствующего инициирования, планирования, бюджетирования, команды, «спонсоров» и их конечной реализации с последующей поддержкой функционирования.

Основа

Еще внимательный читатель заметил, что я не упомянул ранее и все еще остается открытым вопрос: «А что ты собрался интегрировать со всеми этими системами?».

В качестве основы могут быть рассмотрены и взяты те инструменты, которые есть в организации. Это может быть и классическая Jira, и sharepoint-портал, и любая другая CMS-система интранет портала, которая есть в организации или только планируется. Возможен и другой вариант, когда это будут просто отдельные дашборды с выводом необходимой информации в одной из BI-систем. Тоже рабочий вариант. 

Задача состоит в том, чтобы выбрать и взять за основу тот инструмент, который уже есть (при наличии ограниченного бюджета, а бывает иначе?), не планируется к декомиссии или выводу из эксплуатации, у него достаточный EOL/EOS и он готов к приему данных из требуемых систем. Да, это тоже отдельная и важная задача по выбору целевого решения.

Компетенции

Также подобные инициативы накладывают определенные требования (и высокие) к квалификации ваших сотрудников занятых во внедрении или поддержке процессов непрерывности бизнеса и операционной устойчивости. Да и не могут они появиться без должной подготовки по достаточно очевидным причинам.

Для появления подобных инициатив, не говоря уже про их защиту и последующее сопровождение требуется понимать принципы ИТ-архитектуры, ИТ-инфраструктуры, ITSM, DevOps, Информационной безопасности и так далее. И это помимо «бумажных» знаний о рисках, аудите, бизнес-анализе и других.

По требованиям к квалификации менеджера по непрерывности деятельности и операционной устойчивости я вскоре выпущу отдельную статью. 

Но все эти шаги могут быть реализованы и в конечном счете приносят пользу организациям, которая может быть оцифрована в реальных деньгах. А также они помогают наводить и поддерживать порядок в огромном и разнообразном ландшафте современных организаций.

Дерзайте!