Disaster Recovery. Het rampenscenario

De beveiliging van informaticasystemen is geen “overbodige luxe”. Steeds meer bedrijven beseffen dit. Welke rampen kunnen ook u overkomen ? En wat kan u eraan doen ?

Eén van de meest bekende specialisten in de beveiliging van informaticasystemen is ook in België aktief. CDR Business Recovery is sedert ’82 met niets anders bezig dan met het interveniëren bij datarampen. Op de klantenlijst vindt men bedrijven terug uit alle industriële sektoren, gaande van de ASLK, langs SmithKline Beecham tot en met Boels & Begault en Arthur Pierre.

Datarampen komen vaker voor dan men denkt. CDR zelf komt tussen voor kleine feiten zoals een defekt aan een harde schijf, maar ook bij ernstige zaken zoals een totaal uitvallen van het systeem, oververhitting van de computers, explosies, bomalarmen, enzovoort. Ook het wegvallen van kommunikatiemiddelen is een ernstige zaak. Die kan in het algemeen wel worden opgelost door de systeembeheerders van het bedrijf zelf, maar vaak is het geruststellend om apparatuur in stand-by te hebben staan. De tussenkomst van bedrijven zoals CDR is geen overbodige luxe, getuige het volgende verslag.

MURPHY.

In de zomer van ’88 werd de Financial Times gekonfronteerd met een serie gebeurtenissen die uiteindelijk aanleiding zou geven tot het herdenken van het rampenplan. De boekhouding was net bezig met het vervangen van PDP11/70 machines door de toen nieuwe MicroVax 11. Omwille van plaatsgebrek had de firma de voorlaatste PDP11/70 moeten verkopen. Resultaat was dat er voor de laatste oude machine geen back-up meer voorradig was. Zoals volgens Murphy’s wet kon worden voorzien, kreeg deze machine een defekt op het niveau van de hardware. Systeembeheerder en onderhoudsploeg krikten de machine telkens opnieuw op tot hij het na een paar dagen weer liet afweten. Dat duurde drie weken.

Intussen lag het gewone werk om de paar dagen stil voor één dag, waardoor een achterstand ontstond die onhoudbare proporties aannam. Een eerste gevolg hiervan dat het management had kunnen voorzien was dat de bedienden zich verveelden, en het moreel van het gehele bedrijf werd aangetast. In afwachting van reparaties, zaten deze mensen telkens enkele dagen met de vingers te draaien. Na drie weken evalueren, werd een rampenplan in werking gesteld.

Maar de achterstand op het werkschema vergrootte ondertussen dramatisch en er moest dringend iets gedaan worden. Een aantal werkzaamheden werd noodgedwongen uitbesteed aan een extern bureau, en de lonen werden prioritair verwerkt op de laatste PDP11/70 die weer een paar dagen werkte.

Een Business Continuity Plan (BCP) kan ervoor zorgen dat een onderneming die getroffen wordt door een dramatisch verlies aan kapaciteit inzake gegevensverwerking, met minimale inspanning kan overleven. Volgens Martin Smith van Kroll Associates, een adviesbureau op het vlak van bedrijfsbeveiliging en rampenpreventie, en internationaal erkend deskundige terzake, dient een goed BCP te voldoen aan een aantal voorwaarden :

– het moet essentiële klantendiensten vrijwaren,

– het moet de inkomsten veilig stellen,

– de essentiële ondersteuningsdiensten moeten blijven funktioneren,

– de klanten, aandeelhouders, noch het personeel mogen het vertrouwen in de firma verliezen,

– het publieke imago van de firma moet intakt blijven.

STAND-BY.

Sommige bedrijfsleiders beseffen maar al te goed dat een ramp met bedrijfsinformatie verstrekkende gevolgen kan hebben. Zegt Serge Delchambre, verkoops- en marketingmanager bij CDR : “Vaak zetten de klanten ons in stand-by als ze bijvoorbeeld verhuizen. Ze zijn er zich van bewust dat zelfs zoiets eenvoudigs kan uitlopen op een ramp. Het is voor hen een bijkomende verzekering en een geruststelling te weten dat onze systemen klaar zijn om hun verwerking over te nemen, mocht er iets mis gaan tijdens het transport van hun materiaal. Ook bij het onderhoud van de lokalen of bij een software-upgrade worden de systemen van CDR regelmatig in paraatheid gebracht door de klant. “

Met een goed BCP merken de relaties van het getroffen bedrijf niet eens dat er iets ingrijpends is mis gegaan. Op 3 januari ’94 was er een explosie op het gelijkvloers bij Air Products in Brussel. De schade was groot. Kabels en stroomvoorziening waren volledig vernield, maar de systemen zelf waren nog intakt. CDR werd om interventie verzocht om 9 u.45. Om 11 u.30 besliste men de verwerking over te zetten op de hotsite. Onmiddellijk werd om bijkomende apparatuur verzocht bij het moederfiliaal in Engeland. ‘s Avonds om 19 u.20 waren alle systemen van Air Products overgezet op de computers van CDR. De interventie duurde nog tot 11 januari. De bedrijfsrelaties van Air Products hadden niets gemerkt.

Soms heeft de dreiging van een ramp niets te maken met het bedrijf zelf. Serge Delchambre : “In februari ’94 werd Brussel opgeschrikt door een bomalarm aan het Centraal Station. Onze computers werden toen in stand-by gezet door Diners Club. De politie had immers iedereen verplicht in een straal van 500 meter de gebouwen te verlaten. De systemen van Diners Club waren daardoor gedurende enkele uren niet bereikbaar. De gegevensverwerking dreigde onderbroken te worden. Een ramp hoeft dus niet altijd gepaard te gaan met branden en explosies. “

Een BCP bestaat uit een contingency plan waarin bepaald wordt welke apparatuur en software in reserve dienen te staan, welke uitwijkmogelijkheden er zijn, enzovoort en een organizatorisch gedeelte dat toelaat op een gestruktureerde manier te reageren op een incident. Voor bedrijven met verscheidene filialen is het soms aan te raden een BCP op te stellen voor heel het bedrijf, zodat het onderhoud ervan wordt vereenvoudigd.

Toen Jean-Marie Gendarme, de IT-manager van het farmaceutisch bedrijf Baxter in Lessines in ’93 een BCP moest implementeren, was hij aanvankelijk gewonnen voor de diensten van een extern konsulent. Maar de keuze viel uiteindelijk op een team van specialisten van binnen het bedrijf, die een geïntegreerde oplossing zouden zoeken op Europees niveau.

Zegt Gendarme : “De oplossingen die we mochten voorstellen, waren uitgewerkt op nationaal niveau, maar men wilde een synergie bereiken met andere Europese sites. Daarom moesten alle vestigingen samenwerken met Amerikaanse deskundigen van Baxter zelf. Externe advizeurs waren daarbij van geen enkel nut meer. ” Een BCP moet in laatste instantie inderdaad gedragen worden door hen die operationele verantwoordelijkheid dragen voor de bedrijfsaktiviteiten.

EXTERN ?

In de praktijk is dat vaak de IT-manager. Een externe advizeur kan enkel begeleiding bieden. Martin Smith van Kroll Associates zegt daarover het volgende : “Terwijl externe konsulenten zeer nuttig werk kunnen verrichten in het begeleiden van het management, blijft het af te raden de konsulent enige verantwoordelijkheid te laten dragen in het ontwikkelen van het plan. Het plan moet als het ware het eigendom zijn van het IT-departement. De externe advizeur is alleen aanwezig om de kwaliteit van het plan te verbeteren. “

Serge Delchambre : “Wij geven advies en opleiding als de klant daarom vraagt, maar we zien het niet als onze voornaamste aktiviteiten. ” De ontwikkeling van een BCP laat verantwoordelijken toe de tijd te nemen voor het evalueren van een probleem op het moment dat het zich voordoet omdat een aantal cruciale beslissingen zijn voorgeprogrammeerd. Het globale risico op het uitvallen van alle bedrijfsaktiviteiten wordt zo aanzienlijk verminderd. Voorwaarde voor een geslaagd plan is wel het testen en de periodieke herziening ervan.

BCP moet ervoor zorgen dat een incident geen katastrofe wordt. Zo moet voorgeprogrammeerd worden dat evacuatie voorgaat op alle overige overwegingen indien de ramp levensbedreigend is. Daartoe dienen evacuatieprocedures te worden opgesteld, waarbij het mogelijk is dat een deel van het personeel de taak krijgt indien fysiek mogelijk de gegevensbestanden mee te evacueren.

Indien de ramp niet levensbedreigend is, moet de systeembeheerder ervoor zorgen dat systeemtaken netjes worden afgewerkt, zodat systemen fatsoenlijk en op de korrekte wijze kunnen worden stilgelegd, en netwerken onder juiste voorwaarden worden afgekoppeld. Back-up sites dienen hierna te worden gewaarschuwd dat een uitwijk wordt voorbereid.

Een goed plan valt uiteen in verschillende niveaus. Arthur Hutt, een Engelse konsulent die reeds verscheidene artikels publiceerde over dit onderwerp, onderscheidt drie niveaus : de onderbreking, de kleine rampen (die worden gedefinieerd als onderbrekingen van lange duur), en tenslotte de katastrofes (rampen die de gehele infrastruktuur dreigen te vernietigen). Hij stelt plannen altijd in cascadevorm op, zodat voor eenvoudige onderbrekingen geen loodzware procedures worden ingeschakeld.

Om rampen zo suksesvol mogelijk te kunnen opvangen, moet een systeemstrategie worden uitgewerkt. Eén van de kenmerken van een goede systeemstrategie is het gebruiken van software die voldoet aan een industriële standaard zoals bijvoorbeeld WordPerfect jarenlang de standaard was voor tekstverwerking. Het kan ook zinvol zijn de verwerkingskapaciteit te verspreiden over het gehele bedrijfsterrein, op voorwaarde dat het groot genoeg is.

Maar zelfs dan denken sommige bedrijfsleiders nog in termen van preventie. Om maar één voorbeeld te noemen. Zo heeft BASF Duitsland, waarvan het fabrieksterrein toch enkele vierkante kilometers groot is, 13 sites bij CDR in backup staan.

ALPHONS EBERLIN

SERGE DELCHAMBRE (CDR BUSINESS RECOVERY) “Vaak houden klanten ons zelfs paraat wanneer ze verhuizen. “

BRANDGEVAAR Evacuatie van personeel en indien fysiek mogelijk, gegevensbestanden gaat voor alles.

SOCIALE AKTIES Gevaar voor het uitvallen van computerapparatuur of het niet bereikbaar zijn ervan, kan erdoor bedreigd worden.