Antologie BCM, část IV.: Testování plánů kontinuity

DSM 3/2022 Zobrazení: 168
Antologie BCM, část IV.: Testování plánů kontinuity

Různá témata, různé příběhy a různé zkušenosti spojené jednou ústřední myšlenkou: „Zajistit existenci společnosti či organizace a kontinuitu jejich obchodních či zákonem stanovených činností.“

Screenshot 2022 10 11 at 14.15.30

plány kontinuity              BCMS                 paper test              full-scale exercise          functional drill

Testování plánů kontinuity

Zjistit, že plány kontinuity nejsou zcela funkční, až když je potřebujeme pro rychlou obnovu, je pozdě. Této nepříjemné situaci se však můžeme snadno vyhnout pravidelným testováním.

„Jak prosté,“ řekl by Sherlock Holmes svému Watsonovi, „pokud chceme, aby něco fungovalo, musíme to čas od času vyzkoušet.“ Kdo však zkusil testovat plány kontinuity, ví, že to tak prosté není.

Největším problémem při testování plánů kontinuity je zajištění zdrojů, zejména v podobě alokace potřebného času všech zúčastněných. Dalším problémem často bývá, že když už se testování plánů provádí, nejsou o něm vyhotoveny záznamy.

Jak zvládnout testování plánů kontinuity

Příručku „Testování plánů kontinuity snadno a rychle“ vám sice neslíbím, ale podělím se s vámi o své dlouholeté praktické zkušenosti a ukážu, že testování plánů kontinuity nemusí být komplikované, nebo dokonce nemožné.

Pro úspěšné zvládnutí testování plánů kontinuity jsou zapotřebí tři věci:

  • jasně definovat účel, rozsah a způsoby testování,
  • stanovit proces,
  • připravit plán testování.

Účel stanoví, na co se v testování budeme zaměřovat, způsob určuje formu provedení jednotlivých typů testů. Rozsah testování by pak měl pokrýt všechny procesy, výpadky a ztráty technologií, pro které jsou vyhotoveny BCP nebo DRP plány.

Proces definuje pravidla, povinnosti a postupy aplikované v rámci testování.

Plán testování schválený vedením fixuje časový rámec a alokaci potřebných zdrojů pro provedení testování.

Dalším důležitým aspektem jsou výstupy z testování plánů kontinuity. Výstupy testování by měly být vhodně interpretovány a předkládány vedení ať již jako součást přezkoumání BCMS (Business Continuity Management System) [1], nebo v rámci přezkoumání ISMS (Information Security Management System) [2], kde aspekty BCM jsou jednou z důležitých oblastí ochrany informací, nebo v samostatném reportu, pokud tyto systémy řízení nejsou v organizaci zavedeny.

Účel, rozsah a způsoby testování

Základním účelem testování BCP je ujištění, že postupy k zajištění kontinuity činností v daném business procesu jsou funkční a že zajistí jeho obnovení v dostatečné výkonnosti (parametr LBC) dříve, než by nastaly nežádoucí ztráty, tedy v čase menším nebo rovném hodnotě RTO stanovené pro daný proces (bližší vysvětlení parametrů LBC a RTO najdete v [3] a [4]).

Účelem testování DRP je ověřit, zda postupy k obnově zničené technologie jsou funkční, efektivní a zda zajistí obnovu konkrétního informačního systému XY ve stanoveném čase RTOIS-XY.

Rozsah testování by měl pokrýt otestování všech BCP a DRP pro všechny relevantní dopadové scénáře například:

  • ztráta budovy nebo základních služeb,
  • pandemie nebo nedostupnost klíčových osob,
  • nedostupnost informačních systémů nebo ICT služeb,
  • výpadek klíčového dodavatele.

V případě použití dopadových scénářů prosím nezaměňujte dopady za hrozby nebo rizika. Dopadem je následek, který může způsobit vícero hrozeb například: kyberútok, výpadek napájení, požár, malware nebo povodeň mohou způsobit nedostupnost ICT služeb. Je dobré si uvědomit, že plány kontinuity jsou reaktivní opatření a řeší následek, tedy dopad, nikoli příčinu, tedy omezení působení hrozby. K tomu slouží jiná preventivní opatření zodolňující organizaci jako je redundance, geolokace apod.

Více o definici dopadových scénářů relevantních pro danou organizaci si můžete přečíst v díle věnovaném přípravě plánů kontinuity [4].

Testovat plány kontinuity lze mnoha způsoby, nejčastěji se používají tyto typy testů:

Kontrola obsahu plánu (Paper test)

Forma testu: Procházení obsahu plánu z pohledu jeho úplnosti a aktuálnosti.
Praktické provedení: Revize dokumentu popisující postupy zajištění kontinuity a obnovy činností, případně dalších relevantních dokumentů obsahující postupy a reakce na nastalou událost (seznamy kontaktních osob, způsob aktivace subdodavatelů, …).

Tabletop cvičení

Forma testu: Řízené procházení plánu formou moderované diskuse k použití plánu.
Praktické provedení: Schůzka za účasti jednoho nebo více konkrétních zaměstnanců a moderátora. Zaměstnanci se scházejí v zasedací místnosti, aby diskutovali o svých povinnostech a reakcích na různé scénáře mimořádných nebo krizových situací předkládaných moderátorem.

Nácvik postupů (Functional drill)

Forma testu: Nácvik reakce na simulované situace v částečně simulovaném nebo reálném prostředí.
Praktické provedení: Jedná se o cvičení řízené facilitátorem, kdy všichni dotčení zaměstnanci a třetí strany skutečně vykonávají své činnosti pro daný scénář nouzové nebo krizové situace. Zahrnuje reálnou realizaci vybraných aktivit (přesun zaměstnanců do náhradní lokality apod.) ve snaze upevnit návyky pro komunikaci a provádění postupů uvedených v plánech obnovy.

Cvičení v plném rozsahu (Full-scale exercise)

Forma testu: Nácvik zvládání reálné nežádoucí situace v reálném prostředí.
Praktické provedení: Nouzová situace je simulována co nejvěrněji té skutečné. Testování zahrnuje všechny plány pro zajištění obnovy, zpracování dat a transakcí v místě obnovy včetně prověření součinnosti dodavatelů. Prakticky se jedná o skutečné přerušení činností a jejich obnovu. Tato forma testu vždy vyžaduje souhlas vrcholového vedení. Testem tohoto typu je i aktivace plánu během skutečné nouzové nebo krizové situace.

V rámci provedení testů se prověřuje faktická funkčnost postupů, identifikují se problematická místa, kde dochází ke zbytečným prodlevám, a průběžně nebo na závěr se hledají cesty, zda danou část postupů nelze řešit jiným způsobem, který by byl jednodušší nebo by lépe navazoval na předchozí a následné aktivity, popřípadě zda nezměnit pořadí aktivit nebo některé aktivity paralelizovat.

Důležitým bodem je také aktuálnost kontaktů a jejich reakce, zejména pokud některé klíčové aktivity zajišťuje dodavatel.

Při využívání dodavatelů ať už při dodávkách HW a SW potřebného pro obnovu, nebo při outsourcingu účetnictví, ICT služeb apod. je dobré alespoň čas od času provést ověření dostatečnosti zdrojů dodavatelů (zde úmyslně nezmiňuji konkrétní časovou periodu, která by měla zohlednit dynamiku poskytovaných služeb, období, na které byl dodavatel vybrán, kritičnost služeb pro organizaci apod.). To znamená, zda je dodavatel schopen dodat potřebné zboží v požadovaném čase a zda má dostatečnou kapacitu pracovníků při řešení nežádoucích událostí celé oblasti. Obvykle dodavatel těmi samými pracovníky zajišťuje činnosti u více společností. Zajímavým cvičením pak je scénář zničení datového centra (třeba požárem), ve kterém se nacházelo více zákazníků, pro které daný dodavatel zajišťoval ICT služby, a sledovat, jak bude dodavatel řídit priority mezi jednotlivými zákazníky.

Plány kontinuity by pak měly být doplněny i o postupy plošného zničení a zohlednit situaci, že dodavatel bude schopen poskytnout pouze 30 % potřebné kapacity.

Proces testování plánů kontinuity

Typický proces testování včetně očekávaných vstupů a výstupů je znázorněn na Obr. 1.

Screenshot 2022 10 11 at 14.16.40Obr. 1: Proces testování plánů kontinuity

Základním vstupem pro proces testování plánů kontinuity jsou výsledky analýzy dopadů (BIA), což je typicky seznam procesů a ICT technologií, pro které by měly být vytvořeny BCP a DRP. Dále proces řídí jednotlivé aktivity a poskytuje očekávané výstupy, kterými jsou jednotlivé záznamy o provedených testech, souhrnná zpráva a seznam aktivit vedoucí k nápravě nedostatků či ke zlepšení efektivity a rychlosti obnovy. Veškeré činnosti v rámci procesu měly být řízeny a pro jejich výkon stanoveny jasné pravomoci a odpovědnosti.

Plán testování

Plán testování je základním prvkem pro řízení jednotlivých testů. Detail plánu se může lišit podle potřeb organizace, vždy by však měl obsahovat:

  • ID testu.
  • Stručný popis testovacího scénáře a cíle testu.
  • Identifikaci dotčených aktiv.
  • Typ testu.
  • Datum předpokládaného provedení testu.
  • Osobu odpovědnou za provedení testu.

Za přípravu plánu testování obvykle odpovídá BCM manažer, který by měl při přípravě plánu testování plánů kontinuity zohlednit následující aspekty:

  • Seznam aktiv s připravenými plány kontinuity.
  • Časový rámec stanovený pro provedení jednotlivých typů testů.
  • Provedené testy u jednotlivých aktiv.
  • Vazby mezi jednotlivými aktivy za účelem komplexního otestování jednotlivých oblastí.
  • Technické, organizační a finanční možnosti provedení testů.

Četnost provedení jednotlivých testů by měla zohledňovat možnosti organizace. V Tab. 1 můžete vidět příklad reálného pravidelného testování plánů kontinuity.

Screenshot 2022 10 11 at 14.15.56Tab. 1: Proces testování plánů kontinuity

Při stanovení periody a při přípravě plánu testování je nutné zvážit i různou ekonomickou náročnost jednotlivých typů testů a porovnat ji s finančními možnostmi organizace na provedení testů. U vyšších testů je nutno k nákladům na provedení testu ještě připočíst předpokládané ztráty ke kterým dojde při přerušení obchodních činností, než tyto budou zahájeny po dokončení obnovy. To je také důvod proč se „Cvičení v plném rozsahu“ provádí velmi výjimečně a obvykle pouze ve velmi opodstatněných případech.

Velmi dobrou a osvědčenou praxí je zařazení otestování plánů obnovy jako součásti akceptačních testů. Obvykle to bývá první a poslední možnost provést „Cvičení v plném rozsahu (Full-scale exercise)“, v rámci kterého se prověří obnova informačního systému od instalace operačního systému až po obnovu a ověření správnosti dat. V ideálním případě test obnovy provádí provoz ICT podle materiálu připraveného dodavatelem. Tímto postupem se ověří, že DRP je srozumitelný i pro jiné pracovníky než jen pro ty, kteří jej tvořili.

Metodika testování by kromě testů v plánu testování měla postihovat i testování v reakci na výjimečné situace nebo na změnu prostředí. Tyto testy by měli prověřit, zda plány kontinuity budou funkční i za změněných podmínek a zda předpokládané zdroje budou dostupné. Například předpokládané přepnutí na dieselagregáty při výpadku napájení bude při současném nedostatku nafty fungovat pouze do spotřebování aktuálních zásob.

Příprava testovacích scénářů

Jednotlivé testovací scénáře doporučuji vytvářet stručné, prakticky by měly jen popisovat nežádoucí situace, které v daném čase nastávají a na které by měli účastníci testu reagovat. Na Obr. 2 je uveden příklad takového scénáře. Testovací scénáře by měly být také reálné pro dané prostředí, ve kterém se organizace nachází. Scénář, kdy se 50 m od datacentra rozvodnila řeka, když tam ve skutečnosti žádná není, bude na účastníky testování působit jako fraška a také tak k němu budou přistupovat.

Screenshot 2022 10 11 at 14.16.14Obr. 2: Příklad testovacího scénáře

Záznamy z testování plánů kontinuity

Záznamy z testování jsou důležitým prvkem dokladujícím probíhající testování. Aby byl záznam vypovídající, měl by obsahovat následující položky:

  • Identifikaci testovaného plánu kontinuity.
  • Datum provedení testu.
  • Testovanou oblast (identifikace business procesu nebo technologického celku).
  • Typ testu.
  • Stručný popis testovacího scénáře.
  • Testované komponenty – business služby, technologie, lokality, organizační jednotky, …
  • Vyhodnocení testu
    • Odchylky od testovacího scénáře.
    • Celkové vyhodnocení funkčnosti testovaného plánu kontinuity.
    • Identifikované nedostatky.
  • Opatření ke zlepšení nebo nápravě (následné aktivity)
    • Odpovědná osoba za realizaci.
    • Termín realizace.
  • Identifikaci osoby, která zpracovala záznam

Interpretace výsledků testování plánů kontinuity

Na závěr se ještě jednou vrátím k interpretaci výsledků testování, která je nesmírně důležitá. Správné shrnutí pro vedení by nemělo být jen výčtem bezchybných testů a nedostatků, ale mělo by obsahovat vyhodnocení příčin a slabých oblastí včetně doporučení ke zlepšení, případně návrh na změnu strategie BCM, přechod na jinou technologii umožňující rychlejší obnovu (virtualizace), změnu strategie zálohování atd. Takovéto zhodnocení ukáže vedení reálný a jasný obraz o schopnosti organizace čelit nežádoucím situacím a obnovy obchodních činností, což vedení pomůže správně rozhodnout o dalším postupu.

Doufám, že informace v tomto článku vám pomohly se zorientovat v problematice testování plánů kontinuity, a přeji vám hodně zdaru s realizací testování.

Screenshot 2022 10 11 at 14.15.17

Použité zdroje:

[ 1 ] ČSN EN ISO 22301:2020 „Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky“
[ 2 ] ČSN ISO/IEC 27001:2014 „Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky“
[ 3 ] MICHÁLEK, Richard, Antologie BCM: část II., Analýza dopadů – BIA, časopis DSM 4/2021
[ 4 ] MICHÁLEK, Richard, Antologie BCM: část III., Plány kontinuity, časopis DSM 2/2022

Screenshot 2022 10 11 at 14.15.42Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Vytisknout