Bezpieczny ERP

Jest poniedziałek, ósma rano. Pracownicy jednej z firm działających w branży spożywczej, po leniwie spędzonej niedzieli, przecierają oczy ze zdumienia. Wielokrotne próby zalogowania się do systemu informatycznego kończą się fiaskiem. Efekt? Pracownicy działu księgowości nie wiedzą jakie zobowiązania mają uiścić, nie mogą przygotować deklaracji podatkowych i innych raportów. Dział sprzedaży nie wie jakie produkty i w jakich ilościach zostały zamówione przez kontrahentów, nie może więc ich wysłać. Na linię produkcyjną nie można przekazać informacji o tym, co i w jakiej ilości produkować. Nie można też wydać towarów z magazynu a kadry nie są w stanie przygotować dokumentów płacowych. Rośnie też panika wśród menedżerów, którzy nie dysponują informacjami potrzebnymi do podejmowania trafnych decyzji biznesowych. W takiej sytuacji firma zaczyna działać w sposób doraźny, próbując prowadzić ewidencję ręcznie. Straty rosną z każdą godziną.

Utopić Passata

Ta sytuacja jest hipotetyczna, ale w rzeczywistości całkiem realna. Według opublikowanego kilka lat temu przez Główny Urząd Statystyczny raportu, jedynie 10 procent polskich firm prawidłowo chroni strategiczne dane. Wśród głównych błędów związanych z polityką bezpieczeństwa i zabezpieczeniem danych jest brak szkoleń kadry pracowniczej oraz nieuwzględnianie w polityce sytuacji awaryjnych, kiedy backup nie zadziała lub kiedy jego zawartość nie zawiera istotnych danych. Duże firmy radzą sobie wprawdzie z tym nieco lepiej, ale średnie, nie wspominając o małych już znacznie gorzej. Według GUS-u jedynie 20% średnich firm i 10% małych posiada politykę bezpieczeństwa.

Tymczasem awarie zdarzają się w najmniej spodziewanym momencie czego świadkami byli w ostatnim czasie klienci jednego z operatorów telekomunikacyjnych. Od momentu stwierdzenia awarii do jej usunięcia minęło ponad 8 godzin. Na szczęście awaria wystąpiła w nocy więc poza nadszarpnięciem wizerunku operatora obyło się bez większych strat. Byłoby z pewnością inaczej gdyby przerwa w dostępie usług została stwierdzona rano. Tak jak miało to miejsce w przypadku hipotetycznego zdarzenia opisanego wyżej, dotyczącego braku dostępu do systemu ERP.

Przyjmując, że firma zatrudnia około 300 osób, samodzielnie prowadzi działalność handlową i dystrybucyjną oraz generuje miesięczne obroty na poziomie 10 mln. zł, dzienną stratę ze sprzedaży można określić na poziomie 50 tysięcy zł. Doliczając wszelkie inne koszty – wynikające np. ze wstrzymania produkcji, przestojów w pracy załogi czy taboru transportowego możemy zaryzykować stwierdzenie, że 8-godzinne wstrzymanie pracy systemu kosztowałoby firmę nawet 100 tys. zł.

Niebezpieczna firma

Wyobraźmy sobie, że w naszym hipotetycznym przypadku nastąpiła awaria serwerów bazy danych – urządzenia eksploatowane ponad 3 lata, doraźnie konserwowane, nie posiadają już gwarancji. Ustalono, że awarii uległy istotne komponenty komputera, co spowodowało uszkodzenie systemu bazy danych.

O ile przywrócenie do działania sprzętu komputerowego jest stosunkowo proste – już po 6 godzinach informatycy są teoretycznie gotowi do jego ponownego uruchomienia – to aby móc korzystać ponownie z wszystkich aplikacji, należy odtworzyć oprogramowanie, które było zainstalowane na serwerach, a nade wszystko odtworzyć zapisane dane. Tymczasem nawet jeśli były wykonywane kopie zapasowe systemu, to zwykle nie odtwarza się zapisów w związku z czym nie ma żadnej pewności, że procedura wykonywania kopii jest prawidłowa i kompletna a dane użyteczne. Realnym zagrożeniem może być również kwestia zabezpieczenia back-up’u. Nawet poprawnie przygotowana kopia zapasowa często nie jest przechowywana w bezpiecznym miejscu poza siedzibą firmy.

Firmowe Quo Vadis

Jak więc należy postępować, by zapobiec katastrofie? Bardzo istotna w tym kontekście jest regularna kontrola odtwarzalności kopii zapasowych systemów i baz danych. Warto przechowywać kopię danych w dodatkowej lokacji poza firmą, np. w bankowej skrytce. Ważna jest ponadto regularna modernizacja środowiska serwerowego. Niezależnie od powyższych wskazówek, działy IT powinny także przechowywać dane kontaktowe całodobowego pogotowia odzyskiwania danych, dzięki któremu w kryzysowej sytuacji będą mogły zasięgnąć bezpłatnej porady i zaplanować kolejne kroki postępowania.

Z pewnością firmy powinny przeprowadzać także cykliczne szkolenia dla swych pracowników w zakresie ochrony danych oraz specjalistyczne audyty bezpieczeństwa. Pozwalają one wykazać, które zasoby są strategiczne, kto ma do nich dostęp, jakie rozwiązania informatyczne są stosowane i jakie mogą być scenariusze zagrożeń. Dokument taki jest bazą, na podstawie której można przystąpić do tworzenia polityki bezpieczeństwa.

Jacek Wichary, Dyrektor ds. Technologii Systemowo - Sprzętowych i Baz Danych w BPSC SA
Źródło: www.bpsc.com.pl