CIO, varmista firman toipuminen it-kriisistä

Toipumissuunnitelma (disaster recovery plan) listaa ne toimet, joilla it-palvelut saadaan kokonaan tai osittain käyttöön häiriötilanteiden aikana tai niiden jälkeen. Varovainen it-johtaja käy läpi hätäsuunnitelmansa aika ajoin.

Useimmat CIO:t väittävät, että heidän yrityksissään toipumissuunnitelmat käydään läpi ainakin kerran vuodessa. It-häiriöiden jättämät todisteet kuitenkin viittaavat siihen, että näin ei suinkaan ole, Cio.com kirjoittaa.

Tutkimusyhtiö Forresterin mukaan it:n kriiseihin varautumisessa monilla firmoilla riittää paljon parantamisen varaa. Hyvistä aikeista huolimatta toipumisvalmiuksien käytännön koeponnistus jää usein torsoksi.

CIO:lta voi esimerkiksi puuttua muun johdon ja alaisten tuki tai hän voi arastella sitä, että it-valmiuksien koekäyttö rassaa firman päivittäisiä bisneksiä.

Forrester on listannut kymmenen kohdan muistilistan, jonka avulla CIO voi kohentaa yrityksen hätävalmiuksia ja toipumista.

1. Määrittele tavoitteet etukäteen

Harjoittelu harjoituksen vuoksi on ajanhukkaa. CIO:n pitää määritellä kulloisenkin harjoituksen tavoitteet hyvissä ajoin, jotta niihin yltäminen voidaan myös helposti todentaa.

Tavoitteet voi määritellä esimerkiksi käytetyn ajan tai yksittäisten toimintojen virkoamisen kautta. Osa tavoitteista voi olla yleisiä, osa puolestaan hyvinkin yksityiskohtaisia.

2. Ota omistajat leikkiin mukaan

Yrityksen omistajilla ja muilla avainryhmillä on tärkeä merkitys elvytysharjoituksissa.

Heillä sentään on eniten pelissä, mikäli yrityksen it-järjestelmät kaatuvat tai tuhoutuvat. Siksi omistajien on myös nähtävä, miten järjestelmät saadaan pelittämään uudelleen kriisin jälkeen.

Tästä on sekin etu, että tärkeät sidosryhmät tietävät, että it-kriisi voi merkitä yritykselle jopa kuolinkellojen kuminaa.

3. Kierrätä henkilöstön vastuita

Toipumissuunnitelman toteuttaminen ei saa riippua yhdestä ainoasta henkilöstä.

Tositilanteiden varalta vastuita on hyvä vuorotella eri henkilöiden ja ammattiryhmien kesken. Joskus on hyvä panna vaikkapa järjestelmähallinnan ammattilainen johtamaan kadonneiden tiedostojen metsästystä.

Vastuiden kierrättäminen toteuttaa henkilöstön ristiinkouluttamisen periaatteita; tarpeen vaatiessa moni osaa erilaisia tehtäviä.

4. Luo käytännön uhkatekijöitä

Monissa toipumissuunnitelmissa ei jäljitellä oikeaa kriisiä vastaavia oloja. Yrityksen elvyttämisessä tarvittavat käytännön toimet jäävät hämäriksi, jos it-henkilöstöä ohjeistetaan vain kuvittelemaan, että datakeskuksesta on jäljellä savuavat rauniot.

Riskiskenaariot saavat aikaan todentuntuisemman tilanteen, johon hätäryhmän pitää reagoida.

Erilaiset tilanteet vaativat myös erilaisia toimintatapoja, joten it-henkilöstö on hyvä totuttaa erilaisiin uhkiin.

Osa uhkatekijöistä voi olla vaikutukseltaan pitkäaikaisia, jolloin pelkät it:n varatoiminnot eivät enää riitä yrityksen toiminnan turvaamiseen.

5. Varmista bisnesten jatkuminen

Vallankin suurilla yrityksillä on erikseen dr- ja bc-tiimit. Ensin mainittu ryhmä hoitaa nimen omaan toipumise ja toinen vastaa liiketoiminnan jatkumisesta (bcp, business continuity plan).

Liiketoiminnan jatkuvuuden suunnittelu pyrkii määrittämään vastatoimet, joilla ehkäistään poikkeustilanteita. Esimerkiksi käy vaikkapa vikasietoinen verkkoyhteys.

Forresterin mukaan monessa yrityksessä dr- ja bc-tiimit harjoittelevat erikseen, joka johtaa vähintäinkin viestinnän ongelmiin joukkueiden välillä.

Siksi kummankin ryhmän pitäisi harjoitella yhdessä vähintään kerran vuodessa. Tämä on tärkeää varsinkin silloin, kun datakeskus sijaitsee pääkonttorin yhteydessä.

6. Vaihtele harjoitusten malleja

On yleistä, että erilaisia läpikulkuharjoituksia ja pöydän ääressä tehtäviä kokeita aliarvioidaan. Kuitenkin nämä harjoitustavat pitävät uhat henkilöstön mielissä, vaikka ne eivät pyrikään jäljittelemään teknisiä harjoituksia saati tositilanteita.

Monet Forresterin tutkimukseen vastanneet ovat valittaneet sitä, etteivät käytännön harjoitukset ole sujuneet suunnitellulla tavalla. Erilaisten toimintojen "läpikävelyt" ainakin poistavat viestinnän ongelmia ja muistuttavat eri työntekijöitä heidän rooleistaan tositilanteissa.

7. Käy säännöllisesti läpi koko infra

Yrityksen koko it-infrastruktuuri kannattaa käydä läpi useammin kuin kerran vuodessa. Tehokkaimmat dr-tiimit harjoittelevat jopa neljä kertaa vuodessa.

Täysimittaisten kriiharjoitusten lisäksi hyvät yritykset järjestävät erilaisia komponenttien ja järjestelmien osien testaustilanteita. Uudet työntekijät pitää tietenkin ottaa mukaan harjoituksiin.

8. Valitse avainhenkilöt huolellisesti

It-kriisin pituus ja vakavuus vaihtelee, ja eri ihmiset kestävät paineita eri tavalla. Avainhenkilöstön valinnassa pitää kiinnittää huomiota paineensietokykyyn ja jopa siihen, kuinka heidän toimintakykynsä säilyy unenpuutteessa.

Perusteellisissa kokeissa tällaiset ominaisuudet, tai niiden puutteet, on helppo tunnistaa.

9. Ota opiksi virheistä

Toipumisharjoitusten tarkoituksena on löytää ongelmat ja esteet valvotuissa oloissa ja jo hyvissä ajoin ennen kriisiä. Jos ongelmia ei synny harjoituksissa, it-johdolta on voinut jäädä jotakin tärkeää huomaamatta.

Kunnon testeissäkin tehdään virheitä, mutta niistä pitää ottaa opiksi vastaisen varalle. Kokeiden jälkeen yrityksen toipumissuunnitelmat ja parhaat käytännöt pitää myös päivittää.

10. Kerro tuloksista omistajille

Yrityksen osakkeenomistajat ja muut tärkeät sidosryhmät ansaitsevat yksityiskohtaisen raportin toipumiskokeiden tuloksista. Ne ovat sentään investoineet rahojaan siihen, että yritys toimii kaikissa tilanteissa tehokkaimmalla tavalla.

It-johtajan katsaus ei ole pelkkä lista siitä, mikä meni hyvin ja mikä huonosti. Raportissa pitää kiinnittää huomiota niihin seikkoihin, jotka vaativat korjauksia.