BCP, DR i rizici outsourcinga

Fotografija članka: BCP, DR i rizici outsourcinga

 Bilo je to tijekom onog zahlađenja gdje je svaki spomen hladne vode izazivao leđenje krvi u žilama. Da situacija bude dotjerana do groteske, u mojoj je zgradi pukla vodovodna cijev na sam dan konferencije tako da vode uopće nije bilo. Onaj tko je imao rezervnu lokaciju poput rodbine izvan Sigeta ili teniskog kluba (mene na primjer) mogao se istuširati ujutro, ali nekima je ostala na raspolaganju samo boca mineralne vode, toliko da se obriju, a ponekima niti to.

Što IT sigurnjak radi na konferenciji o strategiji energetskog razvoja Hrvatske? S obzirom na iskustva s toplom vodom, vodom i HEP-om uopće, želi saznati koliko je sigurna opskrba energijom kućanstava ili institucija, kolektiva, radnih organizacija i sl. Želi saznati kakva je zapravo strategija razvoja i može li se kao korisnik usluga na tu strategiju osloniti i što mu je činiti ako to nije slučaj.
 
Iako dobro organizirana, konferencija je ukazala na posvemašnji nedostatak strategije razvoja energetskog sustava te na rascjepkanost energetskih lobija i na činjenicu da je upravljanje opskrbom energije prešlo iz državnih ruku u ruke sitnih poduzetnika (više mentalna nego ekonomska kategorija)  kojima je profit najvažnija stvar. Jedina svijetla točka u cijeloj melodrami je pokušaj Vlade da se uskladi sa zakonodavstvom EU-a koje bi legislativno pokušalo osigurati nesmetanu opskrbu energijom svojih članica, što je podsjetilo na činjenicu kako su bitni infrastrukturalni objekti i administrativni sistemi u Hrvatskoj uspostavljeni i razvijeni tijekom Austrougarske vlasti i kako mi sami po sebi nismo u stanju osmisliti suvisli koncept, a kamo li plan koji bi nam osigurao kakvu, takvu energetsku sigurnost pa se možemo osloniti jedino na EU.
 
Kad se u ovu sliku uklopi i zastarjelo stajalište većine IT sigurnjaka da se BCP (Business Continuity Planning) ograničava samo na kocku, ili organizaciju u kojoj dotični žive i rade problem nesigurnosti postaje evidentan i postavlja se pitanje što učiniti da bi se takvo stanje prevladalo.
 
Jedan od najboljih primjera kako stvari mogu izmaknuti kontroli kad energetskim sektorom vladaju lobiji i zakoni profita i to u relativno uređenom društvu, komparirano s hrvatskim, je i kriza ili bolje rekuć katastrofa Aucklanda u Novom Zelandu kad se kvar na elektroenergetskom kablu pretvorio u potpunu tromjesečnu redukciju struje CBD-ju (central business districtu) u kojem su deseci poslovnih nebodera i stotine firmi i institucija pretrpjeli nesagledive štete. Tu se na praktičnom primjeru pokazalo koliko su tradicionalni BCP-ji neadekvatni da zaštite institucije i korporacije ukoliko njihovi planeri ne razmišljaju globalnije, izvan okvira svojih organizacija.

Za opis katastrofe Aucklanda koji je po dinamici i posljedicama nalikovao ratu svijetova pogledajte članak kolege kriptografa Petera Gutmanna koji se potrudio zabilježiti sva relevantna zbivanja, neuspješne pokušaje restauriranja opskrbe energijom, propale DR i BCP planove te pravne i ekonomske posljedice na:

Kad usporedimo takav događaj s mogućim scenarijima (sjetimo se samo kolapsa zračnog prometa prije mjesec dana radi vulkanskog pepela) i pripremljenošću i adekvatnošću sa mnogim BCP i DR planovima, vidimo koliko su ti planovi najčešće neadekvatni. Planirajući BCP nužno moramo povesti računa o okruženju u kojem funkcioniramo i uzeti u obzir jednostavne, ali i najcrnije moguće scenarije. Pri tome najcrnije ne znači nužno potres, sveopća poplava ili vulkanska erupcija, najcrniji scenario može nam doći od najbližeg susjeda koji nas opskrbljuje elementarnom uslugom kao što je npr. električna energija, telefon ili Internet. Tu nas nikakvi ugovori, SLA-i i redundancije dobavljaća neće spasiti niti nam nadoknaditi štetu ako dođe do potpunog kraha kod dobavljača. BCP i DR planeri moraju nužno preuzeti odgovornost i za eksternalizirane usluge te stvoriti planove koji će adekvatno odgovoriti na stanje dobavljača, a koje u našem primjeru s energijom nije sjajno.

Kako zaključuje kolega Gutmann, o događajima u Aucklandu koji su potpuno promijenili modele rizika i statističke parametre kojima se dotični koriste i izračunavaju, o propalim BCP i DR planovima mogla bi se održati višednevna konferencija. Guranjem glave u pijesak i neodgovornim preuzimanjem rizika naši IT sigurnjaci svakako ne čine uslugu svojim institucijama i firmama. Zato nam je potrebna potpuna promjena mentaliteta i bolje razumijevanje okoliša u kojem živimo i radimo. To naravno neće biti lako.

 

Oglas
Oglas
Pretplatite se na BESPLATNE
Tjedni pregled najzanimljivijih tehnoloških informacija
Poveznica se otvara u novom prozoru
Sigurnosna provjera: Upišite rezultat  6+1=

KOMENTARI


Neprimjerene komentare, poveznice, reklamiranje/promoviranje i komentare koji tematski nisu vezani uz vijest odmah ćemo ukloniti.