Pontosan tudja, mit fog tenni, amikor bekövetkezik a baj, de még egyszer sem próbálta ki? Mi a garancia, hogy a gyakorlatban is működik a terve? A veszélyhelyzetekre való felkészülés és
reagálás lépései a fenti esetekben sem térnek el: figyeljen hova kerül a súlypont!
A cím meglepő lehet, és első hallásra az ember (még mi informatikusok sem) találunk túl sok közös vonást egy vállalati információs rendszerben és a siklóernyőzésben. Igaz, én mindkettőt már igen hosszú ideje "űzöm", mégis egy kedves ismerősöm felhívására gondolkodtam el a munkám és a hobbym közös
vonásain. Kicsit eltűnődve rá kellett jönnöm, hogy mind a két esetben ugyanaz a feladatom. (Csak más érdekében...)
Amiben a hobbim hasonlít a munkámhoz
A munkám: egy információs rendszer üzemeltetése az elvárt rendelkezésre állás mellett, valamint bármilyen nem megszokott
esemény hatására a rendszerek visszaállítása a már előre deklarált időn belül.
A hobbim: a repülés élvezete. Kifejezett célom a repülést túlélni minden olyan esemény, hatás, körülmény ellenére, amely a nem megszokott repülési helyzeteken túlmutat, előre nem látható
és kockáztatja a biztonságos landolást. Vészhelyzetek természetesen a repülésben is csak extrém, nem kiszámítható körülmények között adódnak.
Mi kell a biztonságos repüléshez?
Az informatikai rendszereket is sebezhetővé, kiszámíthatatlanná teszik, tehetik az ilyen események. Nekünk informatikusoknak az egyik feladatunk ezekre felkészülni, ellenintézkedéseket hozni, kontrollokat meghatározni. Különben repülhetünk.
Ugyanezt mondhatom, mint pilóta: a feladatom a kiszámíthatatlan eseményeket feltérképezni, rájuk felkészülni, valamint az ellenakciókat begyakorolni a katasztrófa bekövetkezésének
elkerülése érdekében. Pilótaként a tőlem elvárható maximumot kell hoznom: a katasztrófa az életembe kerülhet.
Mit tehet az informatikus?
Olyan informatikai rendszerkomponensekre fókuszáljunk, amelyek az üzleti folyamatok oldaláról kifejezetten fontosak, és ezt az üzleti kockázatelemzés is alátámasztotta. Első dolgunk a rendszer sebezhetőségeinek, sérülékenységeinek, és azok bekövetkezési valószínűségének feltérképezése (áramkimaradás, hardver hiba, szoftver hiba, természeti katasztrófa stb.).
Amennyiben egy sebezhetőségi mátrixot felállítottunk, megfelelő kontrollokat kell kidolgoznunk (UPS, RAID rendszer, rendszeres
mentés, két gépterem stb.). A kontrollok kidolgozása után azt mondhatjuk, hogy a rendszerünk sebezhetőségét, rizikópotenciálját minimalizáltuk.
De itt jön a lényeg, csak minimalizálásról beszélünk, és nem eliminálásról. Az esélye, hogy rendszerünk sérül, kompromittálódik, összeomlik, mindig fennáll. Ezekre az esetekre
dolgozzuk ki az üzletmenet folytonossági, vagy
katasztrófahelyzet elkerülését szolgáló terveket. Ezek a tervek egy nem várt esemény bekövetkezése esetén bekövetkező kár mértékét csökkentheti.
A tervek egy előre meghatározott cselekvéssort tartalmaznak, amely a rendszerek mihamarabbi, újbóli működőképességének elérését célozza meg. A terveket nem elég kitalálni, elkészíteni, azt folyamatosan tesztelni kell. Tesztelni, hogy jól működik-e, hogy a megváltozott körülmények között is helyénvaló, hogy munkatársaink minden elemi lépést készségszinten tudjanak.
Amennyiben mindez teljesül mondhatjuk azt, hogy előre nem várt esemény bekövetkezése esetén az üzlet által elvárt időn belül a rendszer működését visszaállítjuk.
Mit tesz az informatikus?
- Üzleti igények definiálása
- Kockázati mátrix felállítása
- Kontrollok definiálása
- Fennmaradó kockázatra akcióterv kidolgozása (BCP, DRP)
- Akciótervek tesztelése
Mi a helyzet a siklóernyőzésnél?
A tanfolyam első óráján a növendék ismertetőt kap a rá "leselkedő" veszélyekről, amelyek első hallásra el is kedvtelenítik, sőt meg is félemlítik, de sok esetben - mint nálam is - a repülés iránti vágy ezt legyőzi. Repülni akarunk (=üzleti igény), meggyőzzük magunkat: a kontrollált repülés nem is olyan veszélyes.
Mitől féljünk?
- önmagunktól: ne vállaljuk túl magunkat és mindenre figyeljünk oda, értékeljük az adott helyzetet az értékének megfelelően
- a természettől: időjárási viszonyok, természetes és mesterséges terepviszonyok, stb.
A lehetséges helyzeteket nem lehet és nem is érdemes leírni, mert igen hosszú lenne a lista (=kockázati lista). Egy biztos, vannak kontroll lehetőségek, amikkel egyes eseteknek, egyes
eseményeknek bekövetkezését kizárhatjuk, illetve az abból eredő kárt, sérülést minimalizálhatjuk. Néhány kontroll a teljesség
igénye nélkül:
- Preventív kontrollok: repülés előtti meteorológia megfigyelése, start előtt a tapasztaltabb pilóták kikérdezése, előttünk indulók megfigyelése, a levegőben a többi pilótatárs folyamatos szemmel tartása
- Korrektív kontrollok: védőfelszerelés használata (sisak,protektoros beülő, zárt ruházat, magas szárú, keménytartású bakancs)
A kellő körültekintés ellenére is sok esetben kerülhetünk olyan helyzetbe, amikor a repülési körülmények olyan gyorsan és nagymértékben megváltoznak, amely katasztrófa helyzetet
eredményezhetnek (az ernyő összecsukódik, összeomlik, becsukódik). Az ilyen helyzetek kezelésére külön repüléstechnikai/biztonsági tanfolyamok léteznek, ahol mesterségesen is elő lehet idézni az adott vészhelyzetet, és be lehet gyakorolni a megfelelő ellenintézkedéseket, az ernyő gyors normális repülési helyzetének visszaállását. (=BCP, DRP)
Ezeket a helyzeteket évente legalább egy alkalommal érdemes biztonságos körülmények között (víz felett, rádió irányítás mellett) gyakorolni. Amennyiben ugyanis már voltunk ilyen helyzetben, egy éles esetben sokkal higgadtabban, rövidebb reakcióidővel tudjuk megoldani, ami adott esetben ez életünket
mentheti meg (=teszt).
Mit tesz a siklóernyős?
- Repül (cél definiálása)
- Vészhelyzetek elemez (kockázati mátrix felállítása)
- Kontrollokat definiál
- Vészhelyzetek elemez, hogyan lehet, kell elkerülni a katasztrófát
- Vészhelyzetek gyakorol
Ilyen egyszerű!
A felsorolás kísértetiesen hasonló! Elgondolkozva a párhuzamos listán, látszik, hogy mind a két esetben egy nem várt esemény bekövetkezésére készülünk fel és az esemény katasztrofális következményeit próbáljuk meg kivédeni.
A repülésnél biztos, hogy mindenki a tökéletes megoldásra törekszik az emberi élet megóvása és egy esetleges tragédia elkerülése érdekében. Egy informatikai rendszernél a rendszer üzletre
gyakorolt hatása következtében a cég anyagi veszteségének elkerülése, vagy szélsőséges esetben a cég tönkremenetelének megakadályozása a cél.