Når it-katastrofer inntreffer

Når it-katastrofer inntreffer

KRONIKK: Hva skal organisasjonen gjøre mens it-tjenestene ikke fungerer?

Finnes alternative it-tjenester som kan benyttes mens hovedtjenesten ikke fungerer? Finnes det velprøvde gjenopprettingsskript som sørger for best mulig gjenoppretting av it-tjenesten?

Når en katastrofe inntreffer er det ikke årsaken som er viktig, men hvor raskt og pålitelig tjenestene kan gjenopprettes, samt minimere uønskete negative konsekvenser underveis. Standard sikkerhetskopiering og redundante systemer er ikke godt nok. Det som er nødvendig er strategisk fokus på rask og øvet gjenoppretting.

Itil kan hjelpe

Rammeverket Itil beskriver prosesser for blant annet hvordan en skal preventivt planlegge for riktig tilgjengelighet av it-tjenestene, håndtere avvik, og gjenopprette tjenestenivå. Prosessene tilgjengelighetsstyring og kapasitetsstyring søker begge å redusere uønskete avvik på tjenestenivået.

Kontinuitetsstyring sørger for at organisasjonen er klar

Prosessen er ansvarlig for håndtering av risiko som kan ha alvorlig påvirkning på it-tjenestene. Hovedfasene til prosessen er 1) Identifisere kritiske it-tjenester 2) Gjennomføre konsekvensanalyse 3) Identifisere akseptabelt risikonivå 4) Gjennomføre tiltak for å komme til akseptabelt risikonivå 5) Utarbeide kontinuitetsplaner og gjenopprettingsskript 6) Regelmessig øve organisasjon i bruk av planer, og teste gjenopprettingsskript for systemer.

Uansett hvor mye en forbereder seg, så kan en ikke forhindre katastrofer. Gode preventive tiltak er selvsagt viktige, men organisasjoner må også fokusere på å øve i hvordan håndtere en slik hendelse.

Riktig tankesett

Prosessene i Itil er gode hjelpemidler til å klargjøre organisasjonen for katastrofer. I tillegg er det viktig at organisasjonen har riktig tankesett og kultur. Dette kan oppsummeres i syv punkter som it-direktører og organisasjonen må fokusere på:

  1. It-tjenester må sees i sammenheng med forretningsverdi og forretningsrisiko. Enhver gjenopprettingsstrategi må sees i sammenheng med mengden kostnader og ressurser en er villig til å bruke.
  2. Tren og simuler reelle hendelsesscenarioer. Planlegg scenarioer og gjennomfør øvelser som bidrar til å klargjøre organisasjonen, etablere riktig kultur og tankesett, og tydeliggjøre roller og ansvar.
  3. Evaluer nestenulykker. Evaluer og samle inn verdifull erfaring fra nesteulykker, slik at organisasjonen blir bedre rustet til fremtidige hendelser.
  4. Utnevn en ombudsmann for it-risiko. Det kan være hensiktsmessig å ha en ombudsmann som kan flagge risiko uten at det går utover hans eget virke.
  5. Overvei på nytt robustheten. Det er ikke nok med gode IT systemer. En må også tenke på ressurstilgjengelighet og avtaler med underleverandører.
  6. Ikke tenk bare gjennomsnittelighet. It må ta hensyn til sannsynlighetstopper og være klar til å håndtere hendelser som kommer på det verst tenkelige tidspunkt.
  7. Tenk helhet. Dagens it-systemer er ofte tett integrert med hverandre og de underliggende plattformene. Test av gjenopprettingsskript må gjøres i samsvar med hverandre, og ikke enkeltvis.

Organisasjoner som bruker prinsippene fra Itil og har riktig kultur og tankesett, vil være de som best kan håndtere katastrofehendelser. Vær en av dem!