Debata ITwizCXO HUBcentra danych / data centerBusiness Continuity PlanCloud computingCIOPolecane tematy

Debata o nowoczesnym podejściu do zarządzania ciągłością działania

CXO HUB

W jaki sposób zmienia się podejście do ciągłości działania biznesu oraz przywracania do działania po awarii wraz z rozwojem technologii, rosnącą złożonością środowisk IT i rosnącą dynamiką biznesu – dyskutowali uczestnicy debaty redakcyjnej ITwiz zorganizowanej we współpracy z firmami Beyond.pl oraz Hewlett Packard Enterprise.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Uczestnicy debaty

Czy gwarantowanie ciągłości krytycznych procesów staje się trudniejsze?

Jacek Cholc, Managing Director of IT Operations & Infrastructure Division, VeloBank: Jako dyrektor odpowiedzialny za eksploatację i utrzymanie infrastruktury informatycznej banku, traktuję kwestię Disaster Recovery jako kluczowy element bezpieczeństwa naszych operacji bankowych. Zarówno w obszarze DRC (Disaster Recovery Center), jak i DMP (Disaster Management Plan). Wszystkie procesy są ze sobą ściśle powiązane. Wraz z rozwojem technologii, zauważamy że zarządzanie ciągłością działania staje się bardziej złożone.

Ważną zmianę wprowadzają technologie chmurowe, których uwzględnienie wymaga wypracowania nowych planów i nowej strategii ciągłości działania. Zgodnie z tą potrzebą modyfikujemy i usprawniamy nasze procesy, oraz regularnie testujemy i aktualizujemy nasze procedury.

Krzysztof Szczepański, CSO, KIR: KIR jest firmą informatyczną, która odgrywa kluczową rolę w sektorze finansowym, obsługując całość rozliczeń w Polsce. Jako dostawca infrastruktury krytycznej dla gospodarki, przykładamy dużą wagę do planów ciągłości działania i reakcji na incydenty.

Z naszej perspektywy zmieniły się warunki techniczne, które pozwoliły nam podnieść wskaźniki dostępności czy szybkości reakcji.

Marcin Kabaciński, CISM, CISO, G2A.COM: Reprezentuję firmę G2A – największy globalny marketplace z cyfrową rozrywką, z wyborem ponad 75 000 ofert cyfrowych, w tym gier i DLC, a także kart podarunkowych, subskrypcji, oprogramowania, obsługujący ponad 30 milionów użytkowników z całego świata. Z punktu widzenia utrzymania ciągłości działania jest coraz trudniej i jest to coraz bardziej skomplikowane. Wraz z rozwojem oferty   oraz globalnej bazy klientów, zarządzanie ciągłością działania staje się coraz bardziej kluczowe i niezbędne. Utrzymanie i podniesienie dostępności krytycznych usług biznesowych wymaga nie tylko umiejętności technicznych, ale także uwzględnienia czynników ludzkich i psychologicznych.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Marcin Kabaciński, CISM, CISO, G2A.COM

Pracując w różnych branżach, takich jak FinTech i eCommerce, zauważyłem że zarządzanie ciągłością działania, bezpieczeństwem i przeciwdziałaniem nadużyciami staje się coraz bardziej złożone, a elementy tej układanki są od siebie współzależne. Współpraca z wieloma partnerami zewnętrznymi, różnorodne metody płatności i integracja z różnymi systemami zewnętrznymi i wewnętrznymi sprawiają, że nie ma momentu, w którym można by “zamrozić” i “odmrozić” systemy bez wpływu na ich funkcjonowanie.

Tomasz Piętak, Presales Director, Beyond.pl: Jestem szefem zespołu inżynierów wsparcia sprzedaży w firmie, która m.in. projektuje i utrzymuje środowiska DR dla klientów. Przez ponad 20 lat pracy z organizacjami z różnych sektorów zauważyłem, że największym wyzwaniem w zarządzaniu ciągłością działania jest testowanie, weryfikacja efektywności oraz zaangażowanie ludzi w proces.

Wdrożenie rozwiązań Disaster Recovery dla dużych przedsiębiorstw wymaga znacznych nakładów finansowych i technicznych. Najważniejszym elementem sukcesu jest jednak nie tyle strona techniczna, ile procesowa i ludzka. Zaangażowanie pracowników w testowanie procesów w ramach Business Continuity Plan okazuje się najtrudniejszym aspektem projektów. Zajmuje też wiele czasu.

Oczywiście jest to do wypracowania. Niektóre duże polskie firmy współpracujące z nami osiągnęły poziom, w którym regularnie testowały cały proces BCP, włączając w to przełączanie data center i pracę w trybie awaryjnym po to, aby sprawdzać nie tylko technicznie wydajność, ale czynnik ludzki w procesach.

Ryszard Mamoń, Head of Managed Network Services, Beyond.pl: Kieruję zespołem specjalistów Network i pełnię rolę architekta rozwiązań sieciowych, które są jednym z istotnych elementów skutecznego wdrożenia usługi Disaster Recovery. Zgadzam się z poprzednikami, że zarządzanie ciągłością działania staje się coraz bardziej złożone. Wynika to z kilku czynników.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Ryszard Mamoń, Head of Managed Network Services, Beyond.pl

Po pierwsze, umiejscawianie istniejących aplikacji w chmurze lub w zewnętrznych centrach danych sprawia, że stos aplikacyjny staje się trudniejszy do zarządzania, audytowania i testowania. Ponadto, wiele organizacji korzysta z historycznych aplikacji, które są trudne do zintegrowania z ekosystemem nowoczesnych rozwiązań.

Druga rzecz to wspominany już aspekt ludzki, który odgrywa newralgiczną rolę. Przekonanie klientów do regularnych testów i przełączeń jest wyzwaniem, a powrót do normalnego trybu pracy po testach może być jeszcze trudniejszy niż samo przełączenie.

Maciej Kalisiak, Data Services & Storage Sales Manager, Hewlett Packard Enterprise Polska: Odpowiadam za szeroko rozumiane przetwarzanie danych, backup i rozwiązania Disaster Recovery w HPE Polska. Pracując w tej dziedzinie od 17 lat, mogę oczywiście potwierdzić złożoność tego zagadnienia.

W przeszłości rozmowy na temat Disaster Recovery często ograniczały się do prostych rozwiązań, takich jak replikacja danych między dwoma serwerami. Obecnie świadomość klientów rośnie, a przykłady z życia – takie jak pandemia – pokazują, jak ważne jest uwzględnienie czynników ludzkich i geopolitycznych.

Zmiany w ekosystemie danych, miejscach ich składowania oraz czynniki geopolityczne sprawiają, że zarządzanie ciągłością działania staje się coraz bardziej skomplikowane, także przez rozwój innych procesów w firmie, jak np. procesy HR.

Jednocześnie, technologie wspierające utrzymanie i przywracanie działania również idą naprzód, co pozwala na opracowywanie bardziej zaawansowanych rozwiązań. Obiektywnie rzecz biorąc, zarządzanie ciągłością działania pozostaje dynamicznym obszarem, wymagającym stałego dostosowywania się.

Michał Kielczyk, CSO, Polpharma: Odpowiadam za całościowe zarządzanie bezpieczeństwem w wymiarze fizycznym, cybernetycznym, RODO i ciągłości działania. Tradycyjne podejście, polegające na identyfikacji i obsłudze procesów krytycznych, staje się coraz mniej praktyczne. Zamiast tego, skupiam się na procesach, które pozwolą nam przetrwać przez krótki czas, w którym będziemy mogli przywrócić pełne działanie.

Takie podejście wymuszają współczesne wyzwania, takie jak łączenie platform i mikroaplikacji, które wymagają elastycznego podejścia do odtwarzania IT. Trudno jest wydzielić zespół systemów odpowiedzialnych za konkretny proces. W praktyce okazuje się, że aby odtworzyć jakiś proces krytyczny, trzeba odtworzyć 90% IT.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Michał Kielczyk, CSO, Polpharma

Ponadto, tradycyjne testy stają się nieadekwatne w warunkach upowszechnienia metodyk zwinnych. Dlatego tym bardziej skłaniam się ku rozwiązaniom, które umożliwią nieprzerwaną pracę całego IT, jak techniki Load Balancingu i rozproszonego data center.

Ale to wszystko jest technika. To jest proste. Największym wyzwaniem pozostaje czynnik ludzki. Pandemia i inne nieprzewidziane zdarzenia dowiodły, jak ważne jest uwzględnienie tych aspektów w planach ciągłości. Chociażby choroby w zespole IT potrafią „rozłożyć” najlepszy plan ciągłości działania.

Zapanowanie nad stroną techniczną jest dużo prostsze niż nad otoczką ludzko-procesową. Powoli trzeba zmienić sposób myślenia o procesach krytycznych. Wychodzę z założenia, że spadek efektywności działania jest dopuszczalny, przerwa już nie.

Borys Braun-Walicki, CISO, SMYK Group: Z mojej perspektywy, zarządzanie ciągłością działania staje się bardziej złożone ze względu na kilka czynników.

Pierwszy to automatyzacja systemów. W pełni zautomatyzowane systemy, jak np. w naszym magazynie centralnym, wymagają solidnych zabezpieczeń i backupów, aby uniknąć przerw w działaniu ze względu na wpływ na biznes.

Po drugie, wysoko uplasowałbym czynnik ludzki. Nie można polegać wyłącznie na pracownikach do obsługi krytycznych procesów. Należy rozważyć zdalne zarządzanie lub automatyzację.

Po trzecie, starsze systemy, takie jak nadal działające bankowe systemy z lat 70., stanowią wyzwanie przy próbach ich przeniesienia czy modernizacji.

W efekcie procesy Business Impact Analysis – czyli rozmowy z biznesem na temat identyfikacji kluczowych procesów – przypominają przeciskanie kamienia przez sito. Dostaniemy okruszki informacji, ponieważ użytkownicy biznesowi sądzą, że informacje, które dostarczają, nie są istotne i potrzebne. Tymczasem z punktu widzenia ciągłości działania są bardzo ważne.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Borys Braun-Walicki, CISO, SMYK Group

Poza tym, według mnie, redundancja jako strategia staje się coraz bardziej ograniczonym narzędziem. W praktyce mamy do czynienia ze zbiorami danych liczącymi 20-30 PB. Takie kolekcje danych nie są wyjątkiem w firmach. Nie skopiujemy ich i nie przeniesiemy, bo koszt byłby astronomiczny.

W efekcie, zarządzanie ciągłością działania jest coraz bardziej skomplikowane. Konieczne jest kompleksowe podejście, uwzględniające wszystkie wymienione aspekty.

Aleksander Surma, IT & Cybersecurity Director, CMC Poland: Nasza firma to jeden z czołowych producentów wyrobów stalowych w Polsce z nowoczesną hutą w Zawierciu. Obserwujemy, że pojawia się coraz więcej zmiennych i elementów do uwzględnienia w planach ciągłości działania. Dlatego regularnie aktualizujemy procedury, przeprowadzamy testy i inwestujemy w rozwiązania.

Mateusz Kopacz, CISO, Alma: Zarządzanie ciągłością działania staje się coraz trudniejsze. Szczególnie w kontekście przechodze- nia na chmurę i integracji z istniejącymi systemami.

Największym wyzwaniem jest przekonanie menedżerów o konieczności aktualizacji planów BCP w obliczu nowej rzeczywistości, w której częściowe przeniesienie do chmury wymaga również uzyskania zdolności do awaryjnego wyjścia z niej. Zapewnienie ciągłości danych, ale także konfiguracji, na tak wysokim poziomie złożoności, jest niezwykle trudne. Nawet eksperci mogą mieć problemy z zarządzaniem przepływem danych pomiędzy segmentami.

Szczególnym wyzwaniem jest przejście z papierowych planów na cyfrowe, ponieważ wymaga starannego planowania i integracji z istniejącymi systemami legacy. Nowe stosy technologiczne powinny być bezwarunkowo kompatybilne ze starszymi rozwiązaniami.

Zalecam pragmatyczne podejście, polegające na tworzeniu, kupowaniu i transferowaniu rozwiązań, które najlepiej odpowiadają potrzebom organizacji. Akceptacja ograniczeń i skupienie się na realistycznych planach B i C pozwolą na skuteczne zarządzanie ciągłością działania w zmiennym środowisku biznesowym.

Jacek Cholc: Muszę powiedzieć, że większość banków, z którymi miałem do czynienia, ma dwa centra danych z redundancją HA w układzie Active-Active. Zapewnia to wysoki poziom odporności na awarie.

Jednocześnie, aspekt ludzki jest kluczowy, dlatego regularnie przeprowadzamy testy gier sztabowych, które pomagają pracownikom lepiej zrozumieć role i procedury w sytuacjach kryzysowych. Współpraca z biznesem jest niezbędna przy opracowywaniu planów ciągłości biznesowej (BCP), ponieważ to biznes musi być przygotowany na ewentualne przerwy w działaniu systemów IT.

Chmura obliczeniowa może być – i bywa – wykorzystywana w strategii Disaster Recovery, ale wymaga to starannego planowania i uwzględnienia różnych dostawców. Rozwiązania multicloud wiążą się z dodatkowymi kosztami, ale pozwalają na elastyczność i zwiększoną redundancję dla systemów i usług IT.

Krzysztof Szczepański: Zgadzam się z Michałem, że koncepcja procesów krytycznych staje się coraz mniej istotna w obliczu współdzielonej infrastruktury i zależności między organizacjami. Nasze podejście także skupia się na priorytetyzacji odtwarzania usług i danych, a nie konkretnych procesów biznesowych.

Doświadczenia z ostatnich lat podniosły naszą świadomość i dojrzałość w zakresie zarządzania ciągłością działania. Zrozumieliśmy, że musimy brać pod uwagę nie tylko własne potrzeby, lecz także potrzeby i możliwości naszych klientów oraz innych uczestników rynku.

Nasze systemy płatności i rozliczeń są zależne od ciągłości działania całego sektora finansowego. Dlatego ważne jest, abyśmy skupiali się zarówno na własnej dostępności, jak i na zdolności naszych partnerów do przetrwania w trudnych warunkach. Jesteśmy częścią większej całości i do niej musimy odnosić nasze plany oraz strategie odporności cyfrowej i przywracania działania.

Wychodzę z założenia, że testy powinny być wyzwaniem, które pozwolą nam wyciągnąć wnioski i nadal się rozwijać. Dzięki temu możemy nie tylko ćwiczyć, lecz także doskonalić nasze procesy i przygotować się na różne scenariusze awaryjne.

Czy wobec tego testowanie lub gry sztabowe uwzględniają dziś również pozostałe podmioty w łańcuchu?

Krzysztof Szczepański: Naprzeciw wychodzi Digital Operational Resilience Act, które kładzie duży nacisk na testy scenariuszowe z interesariuszami. Jako podmiot finansowy świadczący usługi transakcyjne, jesteśmy jednocześnie klientem i dostawcą ICT. Musimy brać pod uwagę zarówno wymagania dotyczące łańcucha dostaw technologii IT, jak i własne potrzeby.

Maciej Kalisiak: W trakcie jednej z dyskusji na temat bez- pieczeństwa w sektorze publicznym i wśród producentów sprzętu podniesiono ważny w tym aspekcie problem certyfikacji dostawców. Nie chodzi tylko o zależności między dostawcami usług, lecz także o bezpieczeństwo sprzętu i oprogramowania.

Oprogramowanie stanowi szerszy temat ze względu na rosnące zagrożenia cybernetyczne. Bezpieczeństwo dostawców sprzętu i oprogramowania trzeba zatem uwzględnić w strategiach zarządzania ciągłością działania. Wymaga to zarówno monitorowania zależności między dostawcami usług, jak i dokładnej analizy i certyfikacji sprzętu i oprogramowania.

Aleksander Surma: Rozmowy z biznesem często koncentrują się na czasie odtworzenia (RTO) i punkcie odtworzenia (RPO), ale należy również uwzględnić czas potrzebny na przywrócenie integralności danych (Work Recovery Time).

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Aleksander Surma, IT & Cybersecurity Director, CMC Poland

Czasami odtworzenie danych może wymagać dodatkowych działań, aby zapewnić ich spójność i funkcjonalność. W przypadku produkcji procesowej, a z nią właśnie mamy do czynienia np. w hucie, nie ma możliwości przerwania i wznowienia pracy w dowolnym momencie. Wymaga to odtworzenia całego procesu od początku, co stanowi dodatkowe wyzwanie dla zarządzania ciągłością działania.

Tomasz Piętak: Firma musi dostosować podejście do zarządzania ciągłością działania do swoich specyficznych potrzeb i wyzwań biznesowych. Wymaga to elastyczności i otwartości na innowacje. Świadcząc usługi Disaster Recovery dla firm z różnych branż, zawsze projektujemy usługę dla konkretnego klienta. To nie jest prosty back-up, który można powielać.

Co ważne, projektowanie usługi Disaster Recovery musi odbyć się przy silnym zaangażowaniu ze strony IT klienta pełniącego rolę partnera. To kluczowy czynnik sukcesu. W praktyce ten etap często przybiera formę POC – zespół Beyond.pl i klienta wypracowuje optymalne rozwiązanie i testuje je, aby w kolejnym etapie przejść do obsługi procesu.

Borys Braun-Wielicki: W nieregulowanych biznesach pierwszym i podstawowym pytaniem jest zazwyczaj: Ile to kosztuje? W takim kontekście, ważne jest, abyśmy mogli przedstawić nie tylko koszty bezpośrednie związane z wdrożeniem nowych rozwiązań, lecz także potencjalne korzyści wynikające z ich implementacji.

Należy wyjaśnić, że inwestycje w nowoczesne technologie, takie jak cyfrowy bliźniak, mogą pomóc w redukcji kosztów związanych z niespodziewanymi zdarzeniami. Trzeba również uwzględnić apetyt zarządu na ryzyko i przedstawić realistyczne scenariusze korzyści oraz potencjalnych wyzwań związanych z wdrożeniem nowych technologii.

Krzysztof Szczepański: Uważam, że zarząd odgrywa kluczową rolę w definiowaniu poziomu akceptowalnego ryzyka. W mojej dziedzinie koncentruję się na wszystkich aspektach ryzyka – finansowym, strategicznym i opera- cyjnym. Najważniejsze jest jednak dla mnie to, aby właści- ciele biznesu byli świadomi i potrafili zdefiniować ryzyka wewnętrzne i zewnętrzne.

Ryzyko nie ogranicza się tylko do kwestii finansowych czy wizerunkowych. Musimy rozważyć wszystkie czynniki ludzkie i zewnętrzne, które mogą wpłynąć na stabilność i sukces biznesu.

Jacek Cholc: Odnosząc się do kwestii technologicznych, należy pamiętać, że choć niektóre rozwiązania, takie jak replikacja synchroniczna, mogą zapewnić wysoki poziom ciągłości działania, to wiążą się one z dodatkowymi kosz- tami i wyzwaniami logistycznymi.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Jacek Cholc, Managing Director of IT Operations & Infrastructure Division, VeloBank

Ważne jest również, aby uwzględnić ludzkie aspekty zarządzania ryzykiem i ciągłością działania. Ćwiczenia symulacyjne i gry sztabowe mogą pomóc w identyfika- cji kluczowych zagrożeń i przygotowaniu odpowiednich planów awaryjnych.

Marcin Kabaciński: Jestem wielkim zwolennikiem gier sztabowych. Muszą być one jednak dobrze zaplano- wane i uwzględniać wszystkie aspekty, w tym fizyczne i proceduralne.

Jacek Cholc: Chciałbym zaznaczyć, że gry sztabowe i testy są dwiema różnymi, ale komplementarnymi meto- dami oceny planów ciągłości działania.

Gry sztabowe polegają na symulacji teoretycznych scenariuszy i identyfikacji potencjalnych problemów w procesach i procedurach. Pozwalają na zbadanie różnych wariantów działania i zebranie wniosków do ulepszenia planów awaryjnych. Natomiast testy polegają na weryfikacji założeń i procedur w praktyce, w warunkach zbliżonych do rzeczywistych.

Ważne jest, aby gry sztabowe i testy były przeprowadzane w sposób systematyczny i powtarzalny. Dzięki temu możemy doskonalić nasze strategie.

Michał Kielczyk: Wydaje mi się, że jedną rzecz pominęliśmy. Mam tu na myśli kwestię integralności środowiska przy jego odtworzeniu. Jeśli w wyniku ataku cyberne- tycznego dojdzie do kompromitacji danych, a następnie przeprowadzimy proces odtwarzania z wykorzystaniem zainfekowanych kopii zapasowych, możemy ponownie narazić się na te same zagrożenia.

Tomasz Piętak: Celna uwaga. Obecnie jednym z największych wyzwań dla organizacji w kontekście zarządzania ryzykiem i ciągłością działania jest ochrona danych przed zaszyfrowaniem i atakami cybernetycznymi. Tradycyjne rozwiązania, takie jak replikacja synchroniczna i posiadanie wielu centrów danych, nie zawsze są wystarczające w obliczu nowoczesnych zagrożeń.

Dlatego firmy coraz częściej wdrażają rozwiązania opar- te na replikacji blokowej, które po pierwsze gwarantują możliwość weryfikacji danych przed ich odtworzeniem w środowisku produkcyjnym, a po drugie pozwalają na kontrolę, czy dane replikowane nie są właśnie nielegal- nie szyfrowane. Takie podejście umożliwia zwiększenie poziomu bezpieczeństwa danych i minimalizację ryzyka, a jednocześnie szybkie i efektywne odtworzenie syste- mów w razie wystąpienia awarii lub ataku.

Jacek Cholc: Ważne jest uwzględnienie specyfiki organizacji, jej procesów biznesowych i harmonogramów. W każdym sektorze występują specyficzne dni i godziny szczytowego obciążenia systemów. Konieczne jest dostosowanie planów ciągłości działania do tych wzorców. W tym celu można opracować macierz uwzględniającą różne scenariusze i harmonogramy, takie jak koniec miesiąca, szczytowe dni przepływów pieniężnych czy sesje rozliczeniowe.

Należy też pamiętać o znaczeniu wiedzy i doświadczenia pracowników w procesie zarządzania ryzykiem. Ćwiczenia i szkolenia praktykowane regularnie pozwalają na utrzymanie gotowości personelu do reagowania na różne scenariusze i zapewnienie ciągłości działania firmy.

Marcin Kabaciński: W handlu detalicznym kalendarz biznesowy jest ściśle powiązany z sezonowymi promocjami i okresami szczytowego obciążenia, takimi jak Black Friday, Cyber Monday czy okres przedświąteczny. W branży gamingowej, w jakiej działa G2A.COM, takie momenty to m.in. premiery nowych gier czy start no- wych wersji produktów cyfrowych. W tym czasie orga- nizacje muszą być szczególnie przygotowane na wzrost liczby transakcji i potencjalne zagrożenia związane z przeciążeniem systemów.

Skoro scenariusze mają uwzględniać nieprzewidziane sytuacje, czy bierze się także pod uwagę utratę kopii chmurowych albo trwałą utratę dostępu do chmury publicznej?

Jacek Cholc: Chmura jest czynnikiem, który wnosi dużo nowości technologicznych zwiększających poziom bezpieczeństwa i ciągłość działania, jednocześnie wymusza duże modyfikacje w zakresie procesów zarządzania ciągłością działania.

Wiele instytucji bankowych decyduje się na wdrożenie rozwiązań hybrydowych, łączących chmurę publiczną z prywatnymi chmurami w lokalnych centrach danych. Takie podejście pozwala na lepsze zarządzanie ryzykiem i zapewnienie ciągłości działania systemów krytycznych dla funkcjonowania banku nawet w przypadku utraty chmury publicznej.

Liczymy się z tym, że pewne usługi wystawione do chmury mogą być niedostępne przez jakiś czas w razie awarii chmury publicznej, ale nie dotyczy to usług krytycznych dla banku.

Maciej Kalisiak: Z perspektywy producenta, głównie infrastruktury IT, mam doświadczenie w wykorzystywaniu chmury publicznej i doceniam jej zalety, takie jak elastyczność i redukcja kosztów. Jednak ważne jest, aby podejść do niej z rozwagą i uwzględnić potencjalne ryzyka. Wdrożenie rozwiązań, takich jak „złota kopia” czy replikacja danych, może zwiększyć odporność systemów i umożliwić szybsze odtworzenie działalności w razie awa- rii chmury lub ataku cybernetycznego.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Maciej Kalisiak, Data Services & Storage Sales Manager, Hewlett Packard Enterprise Polska

Opieranie całej strategii Disaster Recovery na chmurze publicznej będzie jednak wiązać się z ograniczeniami i ryzykiem utraty kontroli nad infrastrukturą. Warto raczej rozważyć zastosowanie rozwiązań hybrydowych, a wła- ściwe proporcje tej hybrydy pomogą na pewno ustalić regularne gry sztabowe i ewentualnie dostawcę, z którym klient współpracuje.

Michał Kielczyk: Kwestia odpowiedzialności za dane i zarządzania ryzykiem związanym z ich utratą lub kompro- mitacją jest kluczowa w relacjach między dostawcami usług IT a ich klientami. Umowy mogą zawierać zapisy, które przenoszą odpowiedzialność za dane na klienta, co prowadzi właśnie do sytuacji, w której to klient musi samodzielnie zarządzać kopiami zapasowymi i procesami odtwarzania danych.

Ile kosztuje aparat utrzymania i przywracania procesów biznesowych? W jaki sposób dokonywać tych szacunków?

Mateusz Kopacz: Należy rozważyć nie tylko aspekty techniczne, lecz także biznesowe, prawne i społeczne. Można powiedzieć, że most kosztuje X pieniędzy, ale można też powiedzieć, że dziennie przejeżdża nim do pracy i szkoły określona liczba osób czy samochodów itd. Warto uwzględnić zatem wartość niematerialną, taką jak informacje strategiczne, dane klientów czy wiedza ekspercka.

Krzysztof Szczepański: W interesie utrzymania ciągłości działania jest, aby organizacje inwestowały w rozwój kompetencji pracowników, zarówno w zakresie obsługi systemów, jak i zarządzania ryzykiem i ciągłością działania.

Debata o nowoczesnym podejściu do zarządzania ciągłością działania
Krzysztof Szczepański, CSO, KIR

Pracownicy powinni być świadomi znaczenia poszczególnych procesów i ich wpływu na działalność firmy, a także wykazać się umiejętnością skutecznego reagowania na zagrożenia i awarie.

Borys Braun-Walicki: Do tego niezbędne jest opraco- wanie i wdrożenie planu sukcesji, który uwzględnia możliwość odejścia najważniejszych pracowników. Elementem planu ciągłości działania jest więc regularne analizowanie zasobów ludzkich oraz identyfikacja potencjalnych luk kompetencyjnych. Szkolenie i rozwijanie umiejętności pracowników jest kluczowe dla zapewnienia ciągłości wiedzy i doświadczenia. W przypadku złożonych systemów konieczne jest zapewnienie mechanizmów dokumentacji i transferu wiedzy między pracownikami.

Mateusz Kopacz: W tym kontekście warto zastanowić się, jak technologie – takie jak image to text i text to speech – będą zmieniać sposób nauki i przyswajania wiedzy. Z jednej strony, te narzędzia ułatwiają dostęp do informacji, ale z drugiej – stawiają wyzwania w zakresie rozwijania umiejętności krytycznego myślenia. Istnieje ryzyko, że jedyna umiejętność, jaką posiądą adepci takiej edukacji – szkolnej lub zawodowej – będzie parafrazowanie.

Wobec tych zmian, istotne jest, abyśmy jako społeczność doceniali wartość wiedzy i dbałości o jej przekazywanie. Musimy zadbać o to, aby w firmie informacje i konfiguracje były odpowiednio propagowane i udo- kumentowane, nawet jeśli nie wszyscy będą w stanie w pełni zrozumieć ich złożoność.

Ważne jest, abyśmy zachęcali do otwartej wymiany myśli, krytycznej refleksji. To się przekłada na spójność i jakość procesu zapewnienia ciągłości działania firmy.

Tomasz Piętak: Automatyzacja i narzędzia chmurowe są dziś kluczowe dla efektywności i szybkości wdrażania rozwiązań IT. Ważne jest jednak, aby nie stracić z oczu kompetencji i złożoności tych technologii.

Z jednej strony, narzędzia takie jak Terraform pozwalają na zaawansowaną automatyzację i budowanie skomplikowanych rozwiązań. Z drugiej – wymagają specjalistycznej wiedzy i doświadczenia. Przeciętny użytkownik może korzystać z uproszczonych interfejsów do wdrażania podstawowych usług, takich jak serwery wirtualne, bazy danych czy proste usługi.

To co wydaje się proste i łatwe na powierzchni, w rzeczywistości wymaga ogromu pracy i przygotowania pod spodem. Automatyzacja, obsługa czarnych scenariuszy i rzetelne planowanie to najważniejsze elementy, które nie mogą być pominięte.

Niedocenianie kompetencji i doświadczenia zespołu odpowiedzialnego za te zadania stanowi poważne ryzyko dla projektu.

Debatę prowadził i spisał Szymon Augustyniak, ITwiz.

KOMENTARZ EKSPERTA
Tomasz Piętak, Presales Director Beyond.pl

Gdzie przechowywać replikowane dane i w jakim modelu?
Czy lokalizacja środowisk Disaster Recovery ma znaczenie?

Wybór odpowiedniego miejsca do przechowywania replikowanych danych, a także model ich utrzymania, to jedna z kluczowych decyzji związanych z uruchomieniem Disaster Recovery (DR). W Beyond.pl projektujemy, budujemy i utrzymujemy środowiska klienckie DR we własnych, certyfikowanych centrach danych. To istotne, ponieważ wyspecjalizowane ośrodki zewnętrzne gwarantują najwyższy poziom bezpieczeństwa fizycznego, są wyposażone w zaawansowane systemy przeciwpożarowe, redundancję zasilania czy chłodzenia, co znacząco wpływa na poziom ochrony przechowywanych danych. Jako właściciel i operator centrum danych mamy pełną kontrolę nad miejscem, w którym dane są utrzymywane. Ich lokalizacja w Polsce może być dodatkowym atutem, szczególnie dla branż regulowanych, gdzie kluczowe jest przestrzeganie lokalnych regulacji w zakresie ochrony i przetwarzania danych.

Co do lokalizacji geograficznej miejsca przechowania zabezpieczonych danych, ma ona znaczenie z dwóch perspektyw. Pierwszą istotną kwestią jest odległość od obiektów niebezpiecznych czy zagrożeń powodziowych. W obecnych realiach zwracamy również uwagę na sytuację geopolityczną, w tym na odległość od wschodniej granicy, co pozwala minimalizować ryzyko związane z potencjalnymi konfliktami. Druga kwestia to ewentualnie opóźnienia w przesyle danych. Lokalizacja musi być tak dobrana, aby czas transmisji mieścił się w granicach akceptowalnych przez klienta. Jest to o tyle istotne, że ewentualne opóźnienia w transmisji mają istotny wpływ na kluczowe parametry usługi DR, jak RPO czyli punk w czasie z dostępnymi danymi. Jako partner technologiczny przy projektach DR wspieramy merytorycznie i realizacyjnie wszystkie obszary ze szczególnym naciskiem na obszar infrastruktury sieciowej, który często bywa pomijany podczas projektowania usługi Disaster Recovery. W praktyce ma on bardzo duży wpływ na integrację, automatyzację i bezpieczeństwo całego procesu DR obejmującego replikacji danych, dostępność do usług dla pracowników, użytkowników zewnętrznych czy partnerów.

Centrum zapasowe w chmurze

Sam model utrzymania środowisk DR zależy od preferencji klienta, jego polityki biznesowej czy możliwości finansowych. Obecnie, głównie z uwagi na ich skalowalność oraz możliwość optymalizacji kosztów coraz częściej wybierane są rozwiązania chmurowe. W Beyond.pl jesteśmy w stanie w pełni zaadresować takie potrzeby. Dysponujemy rozwiązaniami i kompetencjami technicznymi niezbędnymi do tego, aby nawet najbardziej złożoną usługę DR z powodzeniem zbudować na chmurze publicznej lub prywatnej. Dla większych firm, które potrzebują środowiska Disaster Recovery pod kluczowe procesy i dane, najczęściej projektujemy i utrzymujemy środowiska DRC oparte na dedykowanej chmurze prywatnej wykorzystującej technologie VMware. To ważne, ponieważ po zmianach w zasadach licencjonowania i współpracy z partnerami VMware, które miały miejsce na początku 2024 roku, jesteśmy jednym z nielicznych dostawców usług IT w Polsce ze statusem partnerskim VMware Cloud Service Provider (VCSP) – Premier Partner.

DRC może wspierać cyberbezpieczeństwo

W odpowiedzi na rosnące potrzeby w obszarze cyberbezpieczeństwa i wymagań stawianych przez regulacje NIS2 i DORA, w najbardziej wymagających projektach, proponujemy klientom wykorzystanie rozwiązania Zerto, które rozwija firma HPE. Jednym z jego przewag jest efektywny mechanizm malware detection oparty na nieustannym pomiarze entropii replikowanych danych i sygnalizowaniu anomalii mogących wskazywać na rozpoczęcie szyfrowania danych czy inną ingerencję. Nasza usługa DR oparta o możliwości oprogramowania Zerto jest więc równolegle narzędziem dla działów bezpieczeństwa, jak i zespołów Security Operations Center – wspomaga dwa istotne aspekty walki z ransomware: detekcję i przywracanie danych. W przypadku przywracania środowisk po zainfekowaniu mamy możliwość wybrania wielu punktów przywracania RPO, co pozwala z dużą precyzją cofnąć się do kopii z nienaruszonymi danymi. Aktualnie rozwiązanie Zerto jest jednym z naszym podstawowych narzędzi do budowania i świadczenia usług z obszaru DR. 

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *