有时你拉着短稻草。
这就是一个CSO的人在他的前雇主要求他创造正式时如何感受到业务连续性(BC)几年前的计划。
“这很难,对吗?”CSO说,当时为一家科技公司工作并要求保持匿名。“任何师都可以跌倒,植物可能会掉下来。一些分歧是好的,有些人没有。顶级黄铜关心的是20%的金钱,如果发生了一些事情,就会努力继续这将继续。”
[也在本次博士/博士的本特别报告中:4 IT业务连续性的关键趋势|灾难恢复是成功的只是等待发生]
尤其让他夜不能寐的一个部门是该公司拥有1万名员工的菲律宾业务。中央安全组织认为,这个地区非常容易受到至少四种潜在破坏的影响:火山、地震、海啸和政治动荡。这还只是个开始——它忽略了在任何一个欠发达国家,商业活动经常出现的中断和供应中断。
这个CSO很快意识到业务连续性的核心是确保公司可以在灾难后赚钱。因此,他确定了对该能力至关重要的功能,并计划在可能中断的频谱之后保持如何保持它们。然后他做了很多人可能嫉妒的事情:他将业务连续性功能交给了一个有才华的危险。
如果你不能做他所做的事情 - 完全卸下任务 - 你至少可以从那些在BC战壕中获得的经验教训中受益。业务连续性是一个广泛的学科,包括灾难恢复数据以及确保业务将在不利或灾难性事件的情况下进行事业的活动(或迅速恢复)。因此,BC跨部门削减并融入了人,流程和技术。
请记住,几乎每家公司接近业务连续性不同,所以任何一节课可能并不适用于你。不过,这是值得研究的常见错误,错误的思维方式和那些谁已经与制定业务连续性计划搏斗的启发轶事。
以下是来自CSO和专家的最高九个BC课程:
第1课:业务连续性是它自己的纪律;对待它的方式。
公司通常认为业务连续性与另一个学科的同义词,这是这项任务不常见的一个原因在安全领导者中删除。但这是一个错误,因为Denis Goulet,丹尼斯Goulet,培训师和持续的持续性培训师和校长,这种思维导致规划不足。“业务连续性不是安全性,它不是紧急管理,这不是风险管理,”Goulet说。
[获取的CSO业务连续性和灾难恢复的终极指南- 11PP PDF(需要免费CSO内幕登记)]
事实上,专业人士可以赚越来越多的业务连续性认证来自组织,包括DRI International,BCM研究所,业务连续性研究所,商业恢复认证财团国际,业务连续性培训研究所和国家业务连续性管理研究所。
为了区分业务连续性和风险管理,将风险管理视为识别不良事件和业务连续性的概率或原因,因为考虑到事件的影响,Goulet说。“我们对业务中断感兴趣 - 做生意的能力不再有更多 - 所以要备份并运行它会怎样才能失去信誉,客户或收入?”
Goulet说,换句话说,业务连续性占据风险管理离开的地方。所以,让我们说你假设在风险管理下,地震调平的概要你的曼哈顿办公大楼接近零。在风险管理下,您决定不花钱将另一个办公室位置作为备份。业务连续性说:“尽管概率低,但最糟糕的事情发生了;现在我们在做什么呢?”并且解决方案可能有些东西在家里拥有员工工作。
“总有从风险管理遗留下来的残余风险,”古莱特说。BC步骤来填补这一空白。
第2课:该过程是协作的,但最终CEO拥有它。
一个有问题的心灵集是,许多公司坚持认为,CSO可以成为业务连续性规划和测试的所有者。事实是,BC是其性质的合作努力,首席执行官是其最终所有者。
你是灾难大师吗?了解更多
“作为一个实际问题,它是各种各样的学科 - 它,安全,人力资源,业务系列 - 这可以是创建正式的公元前计划,”BC咨询凯切Consulting的总裁兼首席执行官Edward Brown说。
执行总裁领导该业务,因此这是他或她的职责,以确保它会继续,不论发生什么事情。在BC规划与高层管理工作强调它的重要性组织古莱特说。
“我培训过技术含量高的、技术含量低的、级别高的、级别低的人。没有预定义的路径。不管是好是坏,业务连续性都来自公司的不同领域。”
要记住的关键事情:获得铁包执行支持并与其他部门合作。
第三课:全面地进行业务影响分析。
业务连续性计划的退伍军人学到了艰辛的方式,BC规划(并因此需要一个正式BC程序时,要做的第一件事情之一)的基石,是一个业务影响分析(BIA)。
在这项练习中,您坐下来与跨学科团队坐下,检查贵公司的一切,并确定您的关键业务活动。基本问题是:在我们脱离商业之前,这个功能可以暂停多少时间?
古利特说:“有些功能会停止一周,有些会停止一小时,有些会停止一个月。”从那里,您将定义一个解决方案(可能是技术性的和非技术性的),该解决方案将在您决定的时间内重新启动函数。这就是所谓的恢复时间目标(recovery-time objective,简称RTO)。业务影响分析将确定组织中每个业务功能的RTO。
有时,BIA的结果可能是惊人的。例如,威士忌制造商的最重要的功能可能会变成是分配,保证了产品获取到商店的货架上,而不是生产,这可能会停止对相当长一段时间的客户或市场会知道什么是错了。
这里的关键课程不是尝试通过过程进行快捷方式。许多高管认为他们对没有检查一切的东西最重要的感觉。Goulet说,这不对。“你没有开始用高级管理层识别前三项活动。您可能会遗漏从顶部不易看到的业务的基本部分。”
例如,你可能会认为销售将是任何公司最重要的功能之一,因为没有人可以不卖东西生存。但事实证明,这可能并非如此,至少从业务连续性的角度来看。“销售人员得到的钱,他们出售给新客户创造增长。有一件事你不想处理[立即]灾难后是一个新的客户。有一段时间,你要专注于保持现有客户,而不是”古莱特说。
第4课:专注于业务价值,而不是资产或职能。
由于电气资本的CISO,Karen Avery对业务连续性的看法发生了很大的变化。当时,她根据需要采取的决定,以保留特定资产(如建筑物)或函数(如会计)启动和运行。现在,作为咨询沼泽业务弹性解决方案的董事总经理,她采用基于价值的方法来确定BC优先级。通过旧方法,她将通过查看建筑物或技术资产或营销或营销或金融的功能来开始她的规划。但是,她说,它更有效,从组织如何在市场上创造价值。
“去从收入的角度,然后看看价值链的支持是收入。该功能将调整它,帮助你快速识别整个价值链的脆弱性,”埃弗里说。
第5课:不要独自走吧。
丹尼斯Dayman可以归纳出他在一个句子了解业务连续性最好的一课:自我评估是毫无价值的。由于他的公司其BC计划年度审查的一部分,他经常有不舒服的感觉,该公司失去了一些东西。
“没有人想谈论自己的故障和漏洞,”Eloqua的Dayman说,一位软件服务供应商。
“现在我们有一个第三方,Truste,进来说出我们错过了什么。”作为一名志愿者消防员每年在他的城镇中回应几十个紧急呼叫,日曼都知道灾难发生的事情并可能破坏公司 - 更不用说生活。正如他所学到的那样,避免近视在您的BC计划中的最佳方式是让参与第三方。(也看看如何评价BCDR顾问。)
第6课:要小心ROI陷阱。
另一个普遍持有的信念是,业务连续性是一种投资,就像其他任何投资一样,可以是成本合理的。但古莱特认为,企业需要放弃这种有害的想法。BC应被视为一项费用和经营成本。
在他看来,这是不列颠哥伦比亚省和它的姊妹学科,风险管理,这降低风险基础上的溶液中的可能损坏的光成本之间一个明显的区别。风险管理重的选择,而业务连续性说:“我们知道这是远程的,但我们需要计划为最坏的情况。”
“ROI是一个陷阱,”Goulet说。“每个人都努力寻找对金融人士说的话,但这是一个陷阱。业务连续性是做生意成本的一部分。如果我们不一定,我们不会投掷数百万美元,但如果我们必须, 我们会。”
但BC是不是在一个不太可能的结果无限的消费。它是关于消费一切必要 - 只有什么是必要的 - 让公司不良事件后存活。“如果你想要一个廉价的解决方案,没有做任何事情,”古莱特说。
忽略ROI可以是吞咽管理的硬丸,特别是如果它们植根于风险管理世界,那么一切都是概率和返回的。如果您陷入了困境,Avery建议您使用建模来量化函数的值。“公司陷入困境,因为他们经历了一个过程,他们拥有所有这些价格的所有解决方案,他们无法证明投资,”她说。
“如果您采取基于价值的方法并嵌入一些分析,您可以模拟曝光与风险投资回报。然后,您可以向您的首席执行官牺牲费用。”首先,尽管如此,最好说服管理层,即BC是做生意的成本。
第7课:建立一些灵活性。
据John South,CSO为Heartland Pumpeary Systems,介绍了允许对本地区别的一些灵活性进行标准化,而这一有意义。
“我们期待在业务连续性作为分布式功能,通过区域运营经理共同承担责任,”他说。华伦发出对业务连续性的标准格式,它预计其所有配套业务部门发展自己的业务连续性计划时采用,但它知道,这些单位也需要灵活地将本地操作的参数范围内确定他们的计划,南解释说。
为了给一个例子,当当地运营拥有自己的设施时,它可能面临不同的BC问题,而不是租用其建筑的单元,即使他们是同一公司的一部分。
第8课:向客户展示您的计划。
CSO必须意识到业务连续性正在超出企业的四墙之外。客户和供应链伙伴越来越多地了解您的业务连续性计划。
这是有道理的,因为一家公司只是作为供应链中最薄弱的联系的强大。交换BC计划正在成为做生意的一部分,可以实现竞争差异。
贝克尔和POLIAKOFF,律师事务所,拥有在佛罗里达州和几个十几个办事处,在其他国家,再加上一个在欧洲。阿里所罗门,IT主管认为,客户端可以通过描绘它们的优先级与BC规划帮助。“他们想知道他们将如何与律师取得联系,如果有一个中断,”他说。在一场灾难,“他们真的不那么在乎让文件出来,只要他们可以与他们的律师沟通。”
并鉴于该公司的主要办公室位于佛罗里达州南部,中断并不罕见。“其他人称之为灾难事件,我平静地打电话,”所罗门说。“飓风总是来这里;这就像我们只是坐在这里等待他们发生的事情。我不打算灾难,我计划正常的生活现实。”
第9课:确保每个人都知道该怎么做。
确定你的业务连续性讨论是否获得牵引力的快速,无成本的办法是有一个人问你的CEO在那里,如果他们的办公室被夷为平地的员工会去。
“如果他们说,'我可能会在家工作,'这是一个不好的标志,”布朗说。“你需要说,'根据我的计划,每个人都会在家工作。如果他们说'可能'或'也许',它没有被写下来,它不存在。“
也许你尚未被要求抬起业务连续性规划,但一旦你已经召唤了,就必须有一个基础来做一个可信的工作。您公司的未来可能会受到威胁。
这个故事,“如何启动业务连续性计划”最初发布CSO 。