Непрерывность функционирования ритейл-бизнеса

Непрерывность функционирования
Retail-бизнеса – предложения Symantec
Игорь Минаев
Лидеры индустрии объединяются
Безопасность
информации
• Упреждающая защита от угроз
всех уровней инфраструктуры
• Раннее предупреждение о
новых угрозах
• Проверка систем на
соответствие нормативам
+
Доступность
информации
=
• Организация, оптимизация, контроль и
восстановление систем и
запоминающих устройств
• Гарантированный уровень
обслуживания
• Восстановление после аварий и
катастроф
Целостность
информации
Информация защищена и
доступна
• Повышение эффективности
• Снижение сложности
• Соответствие нормативам
• Сниженный риск
2
VS3
Портфель решений
Название
Управление
данными
Управление
производитель
ностью
Результаты
Управление ростом объемов данных
Повышение эффективности использования существующих ресурсов
Станадртизация и упрощение процедур управления данными
Сокращение рисков потери данных
- Определение узких мест
Представление параметрической информации о производительности систем
- Оптимизация производительности приложений
- Сокращение капитальных расходов
Оптимизация
ИТ-сервисов
Улучшение уровней предоставления ИТ услуг
Переход к сервисо-ориентированной модели
Оптимизация производительности приложений и ИТ услуг
Повышение доступности
Business
Continuity
Management
Определение и параметризация рисков
Помощь в удовлетворении требований регулирующих органов
Оптимизация времени восстановления бизнес процессов
Сокращение простоев
Решения по
безопасности
Проактивная защита от уязвимостей
Сокращение рисков
Повышение уровня конфиденциальности и достоверности информации
Помощь в удовлетворении требований регулирующих органов
3
Слайд 3
VS3
VERITAS Software; 19.05.2005
Непрерывность бизнеса – что это такое
Управление непрерывностью бизнеса (Business Continuity Management)
– это исчерпывающий набор процессов управления, с помощью
которых выявляются потенциальные воздействия, угрожающие
организации, и формируется структура для создания надежных средств
защиты интересов основных акционеров, репутации, торговой марки и
собственно предмета деятельности компании.
(Источник: British Standards Institute, PAS56)
Планирование Непрерывности Бизнеса – разработка набора процедур
и проведение ряда проактивных мероприятий, которые обеспечат
бесперебойное выполнение наиболее важных бизнес функций
организации или обеспечат их работу с минимальными изменениями в
случае возникновения негативных воздействий
(Источник: Disaster Recovery Institute International)
4
КОММУНИКАЦИИ И ПИАР
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
КАДРОВЫЕ РЕСУРСЫ
УПРАВЛЕНИЕ ЗНАНИЯМИ
КРИЗИСНОЕ УПРАВЛЕНИЕ
УПРАВЛЕНИЕ СРЕДОЙ
УПРАВЛЕНИЕ КАЧЕСТВОМ
ПОСТАВОК
УПРАВЛЕНИЕ ЦЕПОЧКОЙ
УПРАВЛЕНИЕ РЕСУРСАМИ
ПОСЛЕАВАРИЙНОЕ
ВОССТАНОВЛЕНИЕ ИТ
ЧРЕЗВЫЧАЙНОЕ УПРАВЛЕНИЕ
УПРАВЛЕНИЕ РИСКАМИ
Контекст ВСМ – о чем идет речь ?
Управление непрерывностью
бизнеса
Source: BSI PAS56
5
Управление Непрерывностью Бизнеса (BCM)
¾ Сохранение стоимости компании
• Инвесторы (подтверждение наличия планов по непрерывности бизнеса)
• Акционеры (качество предоставляемых услуг, знания, репутация и брэндменеджмент)
• Обеспечение непрерывности финансовых потоков (курс акций / уязвимость доверия
инвесторов)
¾ Безопасность персонала и материальных активов
• Эвакуация, первая помощь
• Защита материальных активов
¾ Зависимость бизнеса от системы поставок и единичных поставщиков
• Концентрация и интеграция бизнес-процессов
• Поставки по принципу just in time
¾ Современные тенденции в бизнесе
• Корпоративное управление
• Ориентирование на лучший мировой опыт
• Затраты на страхование
6
Незапланированные явления
США
ƒ 2001, 9/11
ƒ 2005, Катрина, Рита
Великобритания
ƒ 2005, Лондон, взрывы в метро
ƒ 2005, Бансфилд, взрыв нефтехранилища
Россия
ƒ 2005, май, Москва, «конец света»
ƒ Январь-февраль 2006, Потребление ЭЭ было
ограничено в часы пиковой нагрузки во время
сильных холодов, достигавших минус 34
ƒ 2006, январь, Владивосток, пожар
в СБ РФ
7
Реалии говорят за себя
Аварии случаются …
Вещи, которые НЕ спасут Ваш бизнес:
•
Страховка
•
Положительный отчет аудитора
•
Соответствие требованиям регулир. органа
•
PAS56
Помогут реальные, проверенные
средства восстановления
Основной принцип – только мотивация
и четкие цели определят Ваш успех
Соответствие требованиям регулирующих органов не является
достаточным мотивом
Будьте ориентированы на результат, а не на процесс
8
BCM Retail
Большинство программ Непрерывности Бизнеса (ВСМ)
адресовано к критичным бизнес-процессам:
“Типовые" процессы (т.е. HR, расчет зарплаты, бухгалтерия,
отношения с клиентами и инвесторами и т.д.)
Управление продуктом / процессы закупки
Склад / Действие центров дистрибуции
Call-центры
9
Пример из сектора: Marks & Spencer
Компания озаботилась созданием программы Business Continuity для
региональных филиалов и более 400 магазинов в UK.
Business continuity is about protecting people, property, profits
and the brand. We make sure everything we do protects our people and customers
first, then we work down the plan.’
Trevor Partridge, business continuity manager, Marks & Spencer
*Daniel Thomas, Computing 09 Feb 2006
В Марте 2004 огонь уничтожил сетевые кабели, расположенные в тоннеле под
Manchester Сity центром, нанеся ущерб 15 локальным филиалам.
“Это затронуло нашу способность коммуницировать с магазинами и передавать
данные. Мы не могли передать никаких данных о продажах или изменения цен этим
реселлерам. Но у нас была команда экспертов по управлению кризисами, которая
очень быстро минимизировала последствия и управляла данным событием”
- Trevor Partridge, business continuity manager, Marks & Spencer
10
Оценка стоимости простоя компании в секторах
The Costs of Enterprise Downtime: North American Vertical Markets 2005
Средние показатели
Финанс.
Здравохр.
Трансп.
Промыш.
Retail
Всего
Всего часов
1180
393
298
766
518
478
% от дохода компании
16%
4%
2%
9%
5%
6%
% от стоимости в
результате отключения
электричества
61%
59%
69%
69%
77%
65%
% от стоимости др.
причины
39%
41%
31%
31%
23%
35%
* Ifonetics researh, January, 2005
11
Повестка
1
Что есть ВСМ ?
2
Методология внедрения ВСМ
3
Учимся избегать ошибки
12
Общедоступная спецификация PAS 56 (BS 25999)
Устоявшиеся принципы, процессы и терминология ВСМ
Содержит описание практических приемов, шагов и результатов
Рекомендована AIRMIC в качества стандарта ВСМ
Простая модель из 6 шагов охватывает весь жизненный цикл ВСМ
Подходит для всех отраслей и секторов
Единое средство для обеспечения согласованности действий
организации в случае ЧС
13
Почему это важно для организации?
Первый реальный стандарт ВСМ
Дает согласованность, структуру и приносит реальную
пользу
Позволяет оценивать и испытывать ВСМ
Придает уверенность страховщикам и инвесторам
Простой, всеобъемлющий и гибкий жизненный цикл
ƒ Учитывает Вашу готовность принять некие риски
ƒ Обеспечивает экономически эффективные результаты,
планы и решения
ƒ Помогает управлять сложными и важными цепочками
поставок
14
Жизненный цикл ВСМ
Понимание
своего бизнеса
Жизненный цикл BSI PAS 56 -
Стратегии
непрерывности
бизнеса
Учения,
поддержка и
контроль
Управление
программой
Создание и воспитание
культуры непрерывности
бизнеса
Планы обеспечения
непрерывности бизнеса и
реагирования
15
Управление программой
Обеспечение руководства и выполнения
целей
Роли, распределение ответственности и
структура
Связь с другими проектами по
управлению рисками
Связь с процессами управления
изменениями
Часть политики компании
Измерения и информационноуправляющая система
16
Понимание своего бизнеса
Карты процессов
Определение критичных бизнес процессов (Mission Critical Activity)
Выявление, определение и оценка рисков
ƒ На уровне компании
ƒ На уровне офиса
ƒ На уровне процесса
Готовность рисковать (желание организации принимать
определенный уровень риска)
Анализ влияния на бизнес
ƒ Опора всего процесса ОНБ
ƒ Производственное и финансовое влияние
ƒ Восходящие/нисходящие зависимости
ƒ RTO, RPO и уровень непрерывности бизнеса
17
Практические аспекты.
Что дает оценка стоимости простоев ?
Нед
Дни
Часы
Мин
Сек
Сек
Мин
Часы
Дни
Мес
Потеря данных
Простой
(целевая точка восстановления)
восстановления)
(целевое время восстановления)
восстановления)
Потеря данных/наработок
ƒ Целевая точка восстановления (Recovery Point
Objective, RPO) - точка, определяющая состояние данных,
в котором они должны быть восстановлены
Простой
ƒ Целевое время восстановления (Recovery Time
Objective, RTO - время, за которое функционирование
бизнес процессов должно быть восстановлено
18
Практические аспекты.
Приоритезация задач с точки зрения восстановления
Нед
Дни
Часы
Мин
Сек
Сек
Мин
Часы
Дни
Мес
Потеря данных
Простой
(целевая точка восстановления)
восстановления)
(целевое время восстановления)
восстановления)
Биржевые сделки
Денежные переводы
Поддержка банкоматов
Электронная
почта
Биржевые сделки
Поддержка банкоматов
Электронная почта
Денежные
переводы
19
Стратегии непрерывности бизнеса
Корпоративный уровень
ƒ Стратегия ВСМ организации
ƒ Общий подход
ƒ Подчиненность сверху вниз
ƒ “Что надо защищать – чем можно пожертвовать”
Уровень процесса
ƒ Восстановление ключевых процессов
Восстановление ресурсов
ƒ Корпоративный уровень или уровень
процессов
ƒ Экстренные меры и ресурсы
20
Планы и процессы обеспечения непрерывности бизнеса
Планы непрерывности бизнеса ƒ Что, как и где
ƒ Удовлетворение RTO, RPO
Внедрение решений по
восстановлению
ƒ ИТ ресурсы и телекоммуникации
(IT DR)
ƒ Технические средства
ƒ Внешние хранилища данных,
бункеры, командные центры
ƒ Организационные мероприятия
21
BCM - Как все работает
План действий в чрезвычайной
ситуации
Цель - безопасность людей,
активов компании и окружающей
среды
План кризисного управления и
коммуникаций
Цель - управление ситуацией и ее
последствиями
План обеспечения
непрерывности бизнеса
Цель - скорейшая стабилизация
и восстановление важнейших
бизнес процессов
Снижение риска
9Оценка риска
9Предотвращение
Пред-кризисное
планирование
Сопровождение
9Аудит
9Контрольные
проверки
9Тренинг
персонала
После кризиса
?
Кризисная ситуация
BCM: модель реагирования
на происшествия/кризис
9Организационная структура
9Критерий оценки
9Критерий эскалации
Анализ/ оценка
9Работа с убытками
9Действия во время
кризиса/
улучшение
процедур УНБ
22
Воспитание культуры ОНБ
Зачем ? – Люди – это главная “движущая сила”
Поддержка ВСМ высшим руководством
Осведомленность по всей организации
Материалы по пропаганде ВСМ
Все изменения, происходящие в организации должны
отражаться на программе ВСМ
. . . часть повседневной
деятельности.
23
Учения, поддержка и контроль
Почти все планы при первой реализации проваливаются!
Определение программы учений
ƒ Типы
•
•
Имитационные, теоретические, функциональные или полномасштабные
Включают проверку: схем оповещения, технологических решений, Резервных ВЦ,
действий команд восстановления
ƒ График проведения и Приоритеты
Определение режима управления
ƒ Частота пересмотра программы
ƒ Связь с процессами управления изменениями
Аудит и контроль
ƒ Политика, стратегия, структура, PAS 56 и т.п.
ƒ Проверка процедур и процессов кризисного
управления
24
Повестка
1
Что есть ВСМ ?
2
Методология внедрения ВСМ
3
Учимся избегать ошибки
25
В чем причина несерьезного отношения к BCM?
Недопонимание проблемы
«Страусиная политика» и «Авось»
Выдача желаемого за действительное
Дороговизна решений по ВСМ
Некоторые компании не так подвержены
риску
Прагматизм зачастую означает, что делается
только половина работы
Внедрение ВСМ часто выявляет
фундаментальные проблемы в организации
Недостаточная мотивация
26
Примеры Неработающих программ ОНБ
Технология
¾
ТераБайты данных, требующие
восстановления в случае ЧС
¾
«Холодное» восстановление >100
систем
¾
Использование старого
оборудования для восстановления
ИТ систем
Помещения
¾
Резервные ВЦ в центре города
¾
Совместное использование
офисных помещений с другими
компаниями
¾
Использование помещений не
соответствующих требованиям ИТ
Организация
¾
Планы восстановления,
ориентированные на команды, а
не процессы
¾
Аутсорсинг команд кризисного
реагирования
¾
Восстановление организации в
изоляции от внешнего мира
Процессы
¾
Фокус на восстановлении, а не
обеспечении надежности
¾
Восстановление ИТ систем без
кризисного управления и
восстановления рабочих мест
¾
Планы восстановления на 100 стр
¾
Ограничение тестов только ИТ
27
Фокус на реальных задачах
Усиление службы эксплуатации
Проведение комплексных тренировок
Тестирование в реальных условиях
Не пропускать проблемные сценарии
Не игнорировать цепочки поставок
Не полагаться на коммуникации и
транспорт, которых может не быть в ЧС
Рассмотрение всей цепочки бизнес
процессов
Кризисное управление и техническая
инфраструктура одинаково важны
Необходимость одобрения и участия на
уровне руководства компании
28
Оцените свою готовность !
Проведите анализ текущего состояния
ƒ Оцените готовность ИТ и бизнеса в Вашей организации
ƒ Определите по-настоящему критичные бизнес процессы
ƒ Определите минимально допустимые параметры
функционирования организации
ƒ Определите степень готовности организации и «аппетиты» по
отношению к ОНБ
ƒ Произведите оценку существующих стратегий
В процессе, не забывайте о конечных целях
ƒ
ƒ
ƒ
ƒ
Используйте здравый смысл
Выбирайте тактические шаги к достижению стратегической цели
В случае ЧС не менее важно понимание того, что не нужно делать
Будьте ответственны и прагматичны …
29
Спасибо!
Минаев Игорь
igor_minaev@symantec.com
Моб. +7-915-120-00-55
30