Kategoria
Zeskoczmy z wozu dla orkiestry

Nie milkną pełne zgrozy komentarze po pożarze serwerowni @OVHcloud w Strasburgu. OVH zbiera cięgi, inni dostawcy ośrodków przetwarzania danych wykupują kampanie reklamowe (pod wdzięcznymi hasłami typu: „Problem z dostawcą usług data center?”), a niemal wszyscy, zaczęli nawoływać do wdrażania zabezpieczeń, budowy i wdrażania planów BCP, DRP, BRP oraz innych wymyślnych skrótowców.

Zachęcam do zeskoczenia z tego wozu dla orkiestry. OVH być może nie jest bez winy. To się zapewne okaże za jakiś czas. Ja także patrzę nieufnie na „oszczędne” technologie budowy data center, ale nie wykluczam, że da się to robić z głową i bezpiecznie. Przede wszystkim jednak zachęcam Was do zajęcia się sobą i przeprowadzenia „rachunku sumienia”, czy aby na pewno jesteśmy święci?

Oszczędności to słowo-klucz, które otwiera wszystkie bramy i serca klientów, kierownictwa i akcjonariuszy. Jednak oszczędności w bezpieczeństwie się mszczą – taka już ich natura. Jeśli nie wykupujemy usługi backupu, nie zapewniamy redundancji ufając w zabezpieczenia dostawcy, to akceptujemy ryzyko – dokładnie takie, jakie zmaterializowało się w OVH.

Redaktor Maciej Samcik (link do artykułu), autor popularnego bloga o finansach oszacował potencjalne straty OVH, ale stawiam dolary przeciw śliwkom, że to ułamek rzeczywistych strat. Być może kiedyś poznamy ich skalę.

Takie zdarzenia jak pożar serwerowni SBG2 (która zdaje się nie była „kontenerową” serwerownią jak SBG1 – być może wyprowadzicie mnie z błędu) musimy wykorzystywać do analiz scenariuszowych „#whatif?”. A co, jeśli podobny pożar wybuchnie w serwerowni naszego dostawcy? Albo stanie się cokolwiek innego – burza, huragan, trzęsienie ziemi. Do znudzenia podkreślam – w #BCM przyczyna nie ma znaczenia, liczą się #SKUTKI.

Pokażcie kierownictwu potencjalny wpływ takiego zdarzenia i jeśli jest katastrofalny, prawdopodobieństwo nie będzie miało już większego znaczenia – ono zawsze będzie wyższe od zera.

Pokazując kierownictwu wyniki metodycznej analizy potencjalnego wpływu (#analizaBIA idealnie nadaje się do tego celu - azchęcam do przeprowadzenia takich warsztatów BIA z udziałem doświadczonego moderatora), umożliwiamy im podjęcie świadomej decyzji. Warto pamiętać, że zarząd ma prawo zaakceptować ryzyko utraty dostępności krytycznego dostawcy, lokalizacji, systemu. Warto też pamiętać, że to nie jest decyzja osób zarządzających infrastrukturą IT, bezpieczeństwem fizycznym lub #cybersecurity.

Waszą rolą jest dostarczać rzetelnych informacji na temat istniejących zabezpieczeń, rolą biznesu jest oszacować wpływ, a decyzja należy do kierownictwa, a czasem do właściciela, czyli rady nadzorczej – w zależności od poziomu wymaganych inwestycji i tego, kto ostatecznie podejmuje decyzje o ich uruchomieniu.

#CyberMonday

Chcesz dowiedzieć
się więcej?