Acest site este cofinanţat din Fondul Social European prin Programul Operaţional Sectorial Dezvoltarea Resurselor Umane 2007-2013 Investeşte în oameni!

Biroul Virtual de Consultanţă Antreprenorială

Recuperare în caz de dezastru vs continuitate afacere

Adăugat de Rodica Dimitriu la M, 09/05/2012 - 00:00

1. Definiții

O căutare pe Internet pentru a ne lămuri ce înseamnă continuitatea afacerii scoate la iveală definiții destul de omogene. Astfel, potrivit Wikipedia.org continuitatea afacerii este "activitatea desfășurată de către o organizație pentru a se asigura că funcțiile esențiale ale unei afaceri sunt disponibile permanent pentru clienți, furnizori, regulatori economici și alte entități care trebuie să aibă acces la aceste funcții".

Mai toate definițiile publicate pe diferite situri Internet descriu continuitatea afacerii ca ansamblu de procese și proceduri implementate de către o organizație pentru a se asigura că funcțiile esențiale ale afacerii pot continua în timpul și după apariția unui dezastru. Ele sunt consistente cu definiția dată de BS 25999-2:2007, standardul britanic pentru managementul continuității afacerii, potrivit căruia continuitatea afacerii reprezintă "capacitatea strategică și tactică a unei organizațiii de a planifica și de a răspunde la incidente și întreruperi ale activității, în scopul de a continua operațiunile de afaceri la un nivel predefinit ca fiind acceptabil".

Definițiile publicate pe Internet pentru recuperarea în caz de dezastru sunt mai puțin clare fapt care a indus și un anumit nivel de confuzie. Astfel conform dicționarului pentru afaceri recuperarea în caz de dezastru este procesul de “întoarcere a unei organizații, societăți sau a unui sistem la o stare de normalitate, după producerea unui eveniment dezastruos”. Definiția pare echivalentă cu definiția continuității afacerii.

Potrivit PC Magazine recuperarea în caz de dezastru reprezintă "un plan pentru duplicarea sistemelor informatice, în cazul în care apare o catastrofă, cum ar fi un incendiu sau cutremur. Aceasta include în mod obișnuit locația externă de backup, precum și procedura pentru activarea sistemelor vitale de informații într-o locație nouă". Din această definiție am putea trage concluzia că recuperarea în caz de dezastru este o chestiune care ține numai de tehnologia informației.

O definiție asemănătoare dar puțin mai generală furnizează și Wikipedia.org: "Procesul, politicile și procedurile referitoare la pregătirea pentru recuperarea sau menținerea în stare de funcționare a infrastructurii tehnice care este critică pentru o organizație, după un dezastru natural sau după un atac produs de om". Aici este referită infrastructura tehnică a unei organizații în general nu numai cea de prelucrare și transmitere electronică a informației.

În ciuda ambiguităților din definițiile de mai sus rezultă că recuperarea în caz de dezastru este un concept orientat tehnic și are legătură cu asigurarea stării de funcționare a infrastructurii tehnice a unei organizații, în timp ce continuitatea afacerii este un concept orientat operațional și are legătură cu asigurarea condițiilor pentru exercitarea funcțiilor de afaceri. Prin urmare, recuperarea în caz de dezastru este o componentă a continuității afacerii. Pentru afacerile care depind esențial de tehnologie această componentă reprezintă o parte importantă a Planului de continuitate a afacerii.

2. De unde provine confuzia?

În foarte multe situații managementul organizațiilor atribuie responsabilitatea implementării continuității afacerii departamentelor TI&C. De ce consideră managerii că recuperarea în caz de dezastru este același lucru cu continuitatea afacerii?

Conceptul de continuitate a afacerii s-a conturat mai târziu decât cel de recuperare în caz de dezastru. El s-a cristalizat după atacul terorist din 11 septembrie 2001 care a demonstrat încă o dată importanța asigurării continuității activităților organizațiilor afectate de incident. Recuperarea în caz de dezastru este însă un concept care s-a consolidat încă de la începuturile industriei informatice. Prin însăși natura prelucrării elecronice a informației, aceasta este expusă permanent la riscul de pierdere și de aceea importanța operațiunilor de salvare este introdusă cu prioritate utilizatorilor de TI&C.

Dependența de tehnologia informației și de cea de comunicații a devenit astăzi atât de mare încât este de neconceput ca o organizație să nu adopte măsuri de protecție în caz de dezastru pornind de la simpla salvare a datelor până la crearea de infrastructuri redundante capabile să reproducă complet funcționalitatea sistemelor informatice în caz de incident.

Pentru a ne convinge că cele două concepte, deși legate, au semnificație diferită ar trebui să ne întrebăm ce s-ar întâmpla dacă, pentru o insfrastructură tehnică complet funcțională nu ar exista operațiuni de afaceri. O afacere însemnă mult mai mult decât tehnologie funcțională. Înseamnă asigurarea unui mediu corespunzător de lucru, a serviciilor suport și nu în ultimul rând a resurselor umane. Principala problemă în cazul unor dezastre naturale de proporții sau a unor atacuri teroriste este asigurarea forței de muncă pentru reînceperea operațiunilor din cadrul organizației.

Între continuitatea afacerii și recuperarea în caz de dezastru trebuie să existe raporturi de condiționalitate în sensul că planul de recuperare în caz de dezastru trebuie să răspundă cerințelor de continuitate a afacerii. Dacă nu se ține cont de acest lucru consumul de resurse financiare pe diverse soluții de recuperare nu va fi de nici un folos. O soluție tehnică, oricât de modernă și ambițioasă nu poate garanta prin sine continuitatea afacerii.

Standardul ISO/IEC 27002 tratează în capitolul 14 problema includerii securității informației în planul de continuitate a afacerii. Pentru protejarea informației standardul stabilește cerințe referitoare la recuperare în caz de dezastru astfel:

  • Existența procedurilor de repornire și recuperare în cazul unei căderi de sistem
  • Verificarea procedurilor de repornire și recuperare în cazul unei căderi de sistem, la acceptanța sistemelor informatice noi
  • Planuri și proceduri de recuperare în cazul atacurilor cibernetice
  • Salvarea periodică și testarea prin restaurare a informației salvate ca mijloc de recuperare în caz de deteriorare a mediilor de stocare sau ca urmare a unor dezastre de altă natură
  • Protecția cheilor criptografice și stabilirea metodelor de recuperare a informației în cazul pierderii sau deteriorării cheilor.
  • Existența unor proceduri adecvate de comunicare cu cei afectați sau implicați în operațiuni de recuperare ca urmare a unui incident de securitate a informației.

Din informațiile cuprinse în acest standard rezultă că într-o ierarhie de generalizare operațiunile de salvare restaurare și recuperare a informației sunt mijloace tehnologice care fac parte dintr-un plan mai larg de recuperare în caz de dezastru care presupune în plus și alte elemente cum ar fi sisteme redundante și replicare date la distanță, metode de răspuns la atacuri din exterior, repornire sisteme în caz de cădere, recuperare de chei criptografice etc. La rândul său, planul de recuperare în caz de dezastru face parte din planul de continuitate al afacerii care cuprinde aspecte mai largi legate de asigurarea resurselor umane, energie, mijloace de transport, etc.
Discursul logic de mai sus privește numai tehnologia informației dar recuperarea în caz de dezastru vizează toate domeniile tehnologice de care depinde desfășurarea activității unei organizații: transport, construcții, etc. Fiecare componentă a planului de recuperare în caz de dezastru este parte a planului de continuitate a afacerii.

3. Concluzii

Decizia de a plasa continuitatea afacerii în responsabilitatea departamentului de tehnologia informației este neinspirată și poate deveni păguboasă deoarece continuitatea afacerii este în primul rând o problemă de afaceri. Chiar dacă departamentele de IT trebuie să joace un rol important în planificarea continuității afacerii ele nu trebuie să conducă această activitate.

Nivelul critic al afacerii și al informațiilor manipulate în cadrul afacerii nu poate fi stabilit de către inginerii de la departamentul de tehnologia informației oricât de mult ar depinde organizația de prelucrarea și transmiterea electronică a datelor. Mai mult, lansarea programului de continuitate a afacerii necesită autoritatea și angajamentul managementului pe care departamentul TI&C nu le poate asigura.

Cel mai bun mod de a organiza punerea în aplicare a conceptului de continuitate a afacerii este lansarea unui program în cadrul organizației prin care fiecare structură organizatorică să își dezvolte propriul proiect și sa contribuie la elaborarea planului de continuitate a afacerii, la implementarea și menținerea acestuia. Această abordare ar contribui la conștientizarea angajaților cu privire la importanța problemei. Departamentele de TI&C dezvoltă planuri și proceduri de recuperare a informațiilor ca parte a obligațiilor profesionale curente. Ele vor contribui oricum în cadrul unui astfel de program cu planuri de recuperare în caz de dezastru.

4. Referințe

[ 1 ] ***), Business continuity, http://en.wikipedia.org/
[ 2 ] ***), Business continuance (business continuity), http://searchstorage.techtarget.com/
[ 3 ] ***), Business continuity planning, http://en.wikipedia.org/
[ 4 ] ***), ISO/CEI 27002, Information technology -- Security techniques -- Code of practice for information security management, http://www.praxiom.com/
[ 5 ] ***), Disaster recovery, http://www.businessdictionary.com/
[ 6 ] ***), Disaster recovery, http://www.pcmag.com/
[ 7 ] ***), Disaster recovery, http://en.wikipedia.org/
[ 8 ] Drew Robb, Disaster Recovery Vs. Business Continuity, 28 aprilie 2005, http://www.esecurityplanet.com/
[ 9 ] Dejan Kosutic, Disaster Recovery Vs. Business Continuity, 09 noiembrie 2010, http://www.drj.com/
[ 10 ] David Honour, Defining Business Continuity, http://www.continuitycentral.com

Descărcaţi: 
© 2010 - 2011 Biroul virtual de asistenţă antreprenorială. Drupal theme by Kiwi Themes.
logo MNM Software logo CEED Romania

Pentru informaţii detaliate despre celelalte programe cofinanţate de Uniunea Europeană, vă invităm să vizitaţi www.fonduri-ue.ro .
Conţinutul acestui material nu reprezintă în mod obligatoriu poziţia oficială a Uniunii Europene sau a Guvernului României.