Secţiunea Statistică - Informatică economică

PROTECŢIA SISTEMELOR INFORMAŢIONALE ŞI PLANUL DE ASIGURARE A CONTINUITĂŢII

AFACERII
drd. Măzăreanu Valentin Petru
Universitatea “Al.I.Cuza” Iaşi,
Facultatea de Economie şi Administrarea Afacerilor

Abstract: Everything in business contains an element of risk…so a

Risk Management policy is required. We know that risk management
deals with risk identification, analysis, evaluation, mitigation and more.
Any methodology adopted for information systems risk analysis will try
to define the system at least in three components: human, informatics
and physics. In this spirit, this paper is trying to get on to some aspects
about nature vs. system, about information security, so vital for a
business and the way disasters can affect it. Learning about this will
make the process of risk analysis more productive and so leading to a
successful management.

Key words: risk management, business disaster recovery plan, business continuity
plan

Esenţial în administrarea oricărei resurse informaţionale, fie că vorbim despre

securitatea unui computer personal sau consistenţa unei baze de date, fie că vorbim
despre complexitatea unui sistem de tip Enterprise Resource Planning (ERP), e-
Business sau mai noile sisteme de Guvernare Electronică (e-Government) şi
Democraţie Electronică (e-Democracy) este partea de implementare a proiectului
asistată de un ireproşabil management al riscului.
Iar în cazul administrării riscurilor asociate componentei fizice partea de
proiectare este vitală.
Acest aspect a fost important din totdeauna, dar poate nu atât de mediatizat ca
după evenimentele de la 11 septembrie 2001. Dintre efectele economice imediate:
- la scurt timp au început să se înregistreze pierderi pe pieţele financiare
internaţionale;
- companiile aeriene din întrega lume au fost drastic afectate de o scădere dramatică
a numărului de pasageri;
- industria asigurărilor a înregistrat cea mai mare pagubă din istorie;
- industria comunicaţiilor a suferit o bruscă întrerupere;
- pierderi de documente şi fişiere esenţiale derulării unor afaceri;
- etc
Efectul imediat al unui factor fizic care ar putea tulbura desfăşurarea normală a
unui sistem informaţional ar fi, în absenţa planurilor de recuperarea afacerii (business
recovery), sau de continuitatea afacerilor (business continuity), întreruperea activităţii,
iar riscul producerii acestui fenomen este unul complex şi foarte greu de gestionat în
industria IT&C.
 Pierderea totală este de cele mai multe ori mult mai mare decât daunele
materiale survenite, iar scăderea veniturilor greu de calculat. Problemele ce apar sunt
multiple iar rezolvarea lor constă în înţelegerea naturii acestor probleme şi în pregătirea
răspunsului la acestea, având în vedere informaţiile limitate disponibile şi dificultăţile
inerente ce se vor ivi în analizarea pierderii produse de un astfel de incident.
Alte efecte ale acestui fenomen – cu implicaţii directe în veniturile, costurile şi
performanţele companiei:
- venituri pierdute (directe, din plăţi compensatorii, investiţii);
- cheltuieli suplimentare (costuri de restaurare, plata orelor suplimentare, costuri de
deplasare, risc de fraudă crescut, rată mare a erorilor);
- scăderea productivităţii (suprasolicitarea angajaţilor, colectare întârziată, pierderi de
facturare, pierderi din discounturi);
- penalităţi (contractuale, legale);
- reputaţie afectată (clienţi, furnizori, parteneri, bănci).
Analizele statistice de profil arată că:
- 80% din companiile care au suferit un dezastru major au ieşit din afaceri în
următorii 5 ani;
- 50% din companiile care au suferit un dezastru şi nu au avut un astfel de plan au
ieşit din afaceri în urmatorii 2 ani;
- 29% din companiile care au suferit un dezastru major şi-au oprit operaţiunile în 2
ani;
- 43 % nu le-au mai redeschis niciodată.
Prezentăm în continuare câteva tipuri de ameninţări fizice / naturale, sub
rezerva că mai pot fi şi altele, dar şi faptul că acestea pot avea forme de manifestare şi
rate de apariţie specifice, în raport cu obiectul de activitate al companiei respective:
- cutremure, inundaţii, alunecări de teren, variaţii bruşte de temperatură, incendii,
explozii, fenomene astrofizice, fenomene biologice.
Din datele statistice înregistrate în ultimii 15 ani, mai multe furtuni catastrofale
au afectat diverse regiuni ale Europei de Vest cauzând daune importante, în acelaşi
timp, mai multor reţele aparţinând unor companii de transport şi distribuţie a energiei
electrice.
În urma acestora s-au efectuat o serie de cercetări efectuate de companii
independente de evaluare a riscurilor precum şi de departamente specializate din cadrul
companiilor internaţionale de reasigurări care au scos în evidenţă o serie de
particularităţi ale acestui tip de risc şi au generat noi forme de contracarare a pagubelor.
Însă cu toate eforturile de prevenire şi contracarare a pagubelor, potenţialul de
risc al acestor factori rămâne oricând foarte ridicat, imprevizibil şi aproape imposibil de
cuantificat dinainte.
Acest fapt justifică necesitatea planurilor de asigurare a continuităţii afacerii şi
de asigurare a recuperării afacerii (business disaster recovery plan, business continuity
plan).

După IT Expert definiţiile acestor concepte sunt:

Business Continuity (Continuitatea afacerii): Abilitatea de a menţine
disponibilitatea proceselor şi informaţiilor de afaceri în cadrul companiei.
Disaster Recovery (Restaurarea după dezastru): Restaurarea sistemului de
calcul şi de comunicaţie după un dezastru natural sau creat de om, într-un interval de
timp definit.
 Secţiunea Statistică - Informatică economică

Când are nevoie o companie de un plan de asigurare a continuităţii afacerii şi

recuperare în urma dezastrelor?
Tot în opinia specialiştilor de la IT Expert:
- clienţii companiei se aşteaptă ca furnizarea de produse şi/sau servicii să fie
continuă, indiferent de situaţie - aceasta înseamnă că personalul companiei trebuie
să aibă acces permanent atât la datele curente cât şi la istoricul unui client;
- acţionarii companiei se aşteaptă ca managementul companiei să păstreze sub
control orice situaţie de criză - aceasta înseamnă ca managementul trebuie să aibă
acces la toate documentele companiei, incluzand şi faxuri, note de serviciu, e-mail-
uri, fişiere PC, date financiare sau bugetare, contracte de afaceri şi multe altele;
- furnizorii companiei aşteaptă o relaţie de afaceri fără întreruperi – e necesar accesul
permanent la facturile lor, ordinele de cumparare ale companiei, ofertele alternative
de la alţi furnizori şi date de inventar;
- un organ de control fiscal se aşteaptă ca o companie să-şi respecte obligaţiile faţă de
stat, indiferent de circumstanţe, încluzând completarea raportărilor lunare, fără
omisiuni şi la timp
În urma atentatelor din 11 septembrie 2001, o cercetare publicată de Business
Continuity Institute şi McKinsey, care a analizat eficienţa planurilor existente, a tras
următoarele concluzii:
- Numeroase planuri de continuitate nu erau actualizate;
- Majoritatea planurilor nu au luat în considerare pierderea angajaţilor-cheie din
cadrul companiei;
- Timpul necesar pentru reluarea activităţii în condiţii normale a fost subestimat;
- Consilierea post-traumatică a angajaţilor nu a fost luată în considerare în
majoritatea planurilor;
- Dependenţa de mijloacele de comunicare şi de echipamentele electronice a fost
subestimată;
- Locaţiile unde era planificatã relocarea şi echipamentele de rezervă disponibile s-au
dovedit insuficiente.
Una dintre principalele lecţii învăţate în urma acestor teribile evenimente a fost
că nimeni nu poate anticipa toate cauzele posibile ale unui dezastru. De aceea în
planurile de continuitate a afacerii accentul trebuie pus atât pe modul în care un
eveniment neprevăzut poate afecta afacerea în sine şi mediul/comunitatea în care
aceasta operează, cât şi pe diminuarea acestui impact negativ.
În opinia specialiştilor de la Marsh SRL, elaborarea planului de continuitatea a
afacerii ar trebui să surprindă următoarele aspecte:
- evaluarea dimensiunii proiectului;
- evaluarea riscului;
- elaborarea planului de acţiune în caz de urgenţe, axat pe primele momente de după
producerea evenimentului şi focalizat în principal pe asigurarea sănătăţii şi
siguranţei angajaţilor precum şi pe identificarea primelor măsuri ce trebuie luate;
- elaborarea planului de gestionare a crizei, ce ar trebui să acopere primele zile de la
incident (structura organizatoricã a echipei de gestionare a crizei, criterii de
identificare a unei situaţii ce are potenţialul de a se transforma într-o criză, roluri şi
responsabilităţi ale membrilor echipei şi ale personalului firmei, comunicări interne
şi externe care trebuie avute în vedere);
- conceperea strategiei de recuperare (priorităţile firmei în cadrul procesului de
reluare a activităţii, cum se vor relua activităţile cheie ale firmei, ce alternative
temporare pot permite reluarea rapidă a acestora, care este planul pentru readucerea
la un nivel normal a activităţii firmei);
- testarea, pregătirea personalului şi actualizarea periodică a planului (implementarea
şi testarea planurilor şi recomandărilor rezultate din paşii anteriori; reevaluări
periodice).
Domeniul IT vine cu îmbunătăţiri ale acestui plan, în opinia experţilor din
cadrul companiei Lucent Technologies planul de asigurarea continuităţii afacerii
trebuind să respecte următorii paşi:
- evaluare şi recomandare;
- identificarea componentelor critice (ex. reţeaua de calculatoare, sisteme
informatice, procese, proceduri) şi identificarea riscurilor potenţiale;
- determinarea importanţei timpului în procesele organizaţionale, administrative
sau ale afacerii;
- evaluarea impactului dezastrului sau a întreruperii activităţii asupra acestor
elemente critice;
- descrierea elementelor critice;
- cuantificarea aplicaţiilor existente şi recomandarea celor care corespund cel mai
bine nevoilor existente.
- design şi implementare;
- conceperea strategiilor alternative de asigurare a continuităţii afacerii şi
pregătirii pentru dezastre;
- evaluarea costurilor/beneficiilor/disponibilităţii soluţiilor recomandate;
- precizarea facilităţilor, locaţiile fizice, calculatoarelor, echipamentelor de birou
şi de comunicare;
- implementarea soluţiilor, instalări de componente hard sau soft.
- testare şi întreţinere;
- asigurarea înştiinţării şi trainingul întregului personal;
- dezvoltarea planurilor de testare şi realizarea de exerciţii de simulare;
- stabilirea perioadelor de revizie şi întreţinere.

Atunci când se vorbeşte de strategiile de asigurare a continuităţii afacerii un

accent deosebit necesită partea de protejare a datelor şi informaţiilor stocate pe medii
electronice la un nivel care să asigure recuperarea completă a acestora după orice tip de
dezastru. Iar sistemul back-up-ului, deşi reprezintă o componentă importantă a acestor
planuri, nu este suficient pentru a asigura un nivel de protecţie ridicat. Asta datorită
faptului că de multe ori acest aspect se ignoră, fie prin amânarea procedurii de realizare
a copiilor de siguranţă, fie prin amânarea verificărilor integrităţii şi consistenţei copiilor
deja realizate. La acestea se mai adaugă şi faptul că unele companii păstrează aceste
suporturi cu baze de date la sediul firmei, ceea ce nu asigură protecţie împotriva unui
număr mare de posibile dezastre, cum ar fi incendiile, inundaţiile sau actele de
vandalism.
La realizarea planurilor de asigurare a continuintăţii afacerilor este
necesar a se avea în vedere şi importanţa datelor nestructurate (ex. datele şi informaţii
ce se găsesc în documentele scrise pe hârtie, faxuri, note scrise de mână pe unele
documente, diverse rapoarte şi situaţii de client, fişiere stocate pe staţiile de lucru,
 Secţiunea Statistică - Informatică economică
desene CAD, imagini, corespondenţă sau mesaje şi ataşamente sosite pe e-mail, fişiere
XML sau download-uri HTML.)
Analiştii de profil estimeaza că peste 80 % din datele unei organizaţii sunt date
nestructurate.
Există diverse strategii de asigurare a continuităţii afacerii din prisma protejării
datelor, informaţiilor sau a aplicaţiilor folosite în cadrul unei instituţii.
Microsoft oferă soluţii bazate pe tehnologii de replicare, soluţii axate pe:
- replicarea fişierelor – e vorba de realizarea copiilor de siguranţă a diferitelor fişiere,
cel mai întânit la copierea script-urilor de login sau a fişierelor ce nu se modifică
des;
- replicarea aplicaţiilor – e vorba de copierea unor date specifice ale diverselor
aplicaţii, aproape exclusiv folosit la copierea datelor aplicaţiilor de baze de date;
- replicarea componentelor hard – e vorba de realizarea copiilor de siguranţă pe o altă
unitate de stocare simultan cu salvarea datelor pe prima unitate de stocare;
- replicarea soft – e vorba de realizarea copiilor de siguranţă a fişierelor ce se
modifică în timpul operării; aceste fişiere sunt trimise către server, în timp ce
fişierul original se află încă sub operare; salvarea copiei de siguranţă se poate face
pe acelaşi server, pe servere separate aflate în acelaşi LAN sau conectate prin
intermediul internetului.
O altă tehnologie despre care se vorbeşte în cazul asigurării disponibilităţii
datelor este tehnologia cluster. Sistemele cluster reprezintă colecţii de calculatoare
contectate prin intermediul reţelei, fiecare nod din arhitectura de tip cluster rulând un
sistem de operare diferit faţă de celelalte noduri, astfel că o aplicaţie poate fi împărţită
între noduri sau în caz de necesitate, preluată de un nod anume.
Printre metodele tehnologice de implementare propuse de către IT Expert:
1. Remote Data Mirroring - Stocarea la distanţă a unor copii în oglindă ale
datelor.
- duplicarea datelor într-o reţea sigură şi stocarea lor într-o locaţie predeterminată sau
în mai multe locaţii;
- strategia presupune realizarea frecventă de copii ale informaţiilor, minimizând
astfel potenţialele pierderi.
2. Business continuance volumes - Volume de siguranţă pentru continuarea
afacerii.
- presupune realizarea de copii periodice point-in-time ale unui singur sau ale mai
multor servere;
- datorită frecvenţei lor pot oferi o imagine actualizată a unor aplicaţii critice care se
transformă continuu, cum ar fi bazele de date.
3. Remote tape backup - Copii de siguranţă la distanţă stocate pe bandă
magnetică.
- oferă atât avantajele unor copii în reţea, cât şi securitatea unor copii aflate într-o
altă locaţie. Datele sunt trimise printr-o conexiune securizată într-o locaţie aflată la
distanţă, unde sunt înscrise pe bandă magnetică;
- oferă protecţia arhivării la distanţă, menţinând şi gradul sporit de accesibilitate al
datelor.
4. Backup - Backup regulat.
- esenţial este ca aceste proceduri să devină o rutină;
- trebuie să existe testări periodice pentru a verifica dacă datele pot fi într-adevar
recuperate;
- planurile de backup eficiente trebuie să includă backup atât la sediul companiei, cât
şi într-o locaţie diferită.
5. Off-site tape archiving - Arhivare pe benzi magnetice într-o locaţie diferită.
- oferă protecţia datelor la costuri relativ reduse;
- problema o constituie recuperarea datelor, care poate dura câteva zile, ceea ce ar
putea implica costuri mai mari.

Nu există însă o soluţie ideală aplicabilă tuturor domeniilor de afaceri. Cea mai
buna soluţie trebuie să ia în considerare atât problemele existente cât şi cele viitoare.
Pentru unele companii e util crearea unui departament de analiză a acestor
riscuri, care furnizează proprii soluţii de business continuity, alte companii apelează la
serviciile unor firme de consultanţă specializate, furnizori de servicii de stocare
(Storage Service Providers), lansându-se astfel conceptul de outsourcing.

BIBLIOGRAFIE
1. Articole din revista „Risc Consult” - http://www.riskmanagement.ro
- Industria asigurărilor grav afectată de loviturile teroriste - Revista
„Risc Consult”, nr.3/2001,
- Riscuri ale reţelelor de transport şi distribuţie a energiei electrice -
Revista „Risc Consult”, nr.2-3/2002
- Planificarea continuităţii afacerii - Revista „Risc Consult”, nr.1/2002
2. Business Continuity & Disaster Preparedness - Lucent Technologies,
http://www.lucent.com
3. Building Better Protected Storage using Windows® Storage Server 2003-
White Paper, http://www.microsoft.com
4. IT Expert-soluţii informatice - Strategii pentru continuitatea afacerii
http://www.it-expert.ro

Aparut in Măzăreanu, V., Protecţia sistemelor informaţionale şi planul de asigurare

a continuităţii afacerii, Revista Tinerilor Economişti, Facultatea de Ştiinţe
Economice, Universitatea din Craiova, An III, Nr.4, ISSN 1583-9983