Sviluppo del piano di continuità aziendale
Questo articolo fornisce indicazioni sullo sviluppo di un piano di continuità aziendale che tenga conto delle dipendenze di Microsoft 365. Qui è consigliabile usare metodi per analizzare le funzioni aziendali e identificare quelle che dipendono dai servizi di Microsoft 365. Si eseguirà questa analisi con la consapevolezza che si verificheranno errori dei servizi e che è necessario prepararsi per questa eventualità.
In generale, la pianificazione della continuità aziendale implica quattro aspetti, ovvero la valutazione, la pianificazione, la convalida delle funzionalità, nonché le comunicazioni e il coordinamento.
Valutazione
È necessario prima di tutto identificare le funzioni aziendali presenti nell'organizzazione e i servizi e i processi che le supportano. Questo include il completamento di un'analisi dell'impatto aziendale, nota come Business Impact Assessment (BIA), in cui ogni funzione aziendale è classificata in base alla criticità e si identificano i processi e i servizi da cui ognuna di esse dipende. Ecco una tabella di esempio che può essere utile per iniziare a creare la propria valutazione.
Esempio di Business Impact Assessment (BIA)
Questo è un documento BIA per name of the service, system, process, or function
| Campi BIA | Descrizione |
|---|---|
| Tipo BIA | is it a business process or technology, service or system? |
| Nome BIA | name of the service/system/function/process |
| Descrizione servizio | give a full description of the service, process, or function |
| Funzione Enterprise | some examples: customer services; legal; marketing; risk management, security, sales, information technology, production, manufacturing |
| Anno fiscale | the current fiscal year, re-evaluate these on a regular basis |
| Criticità | develop your own classifications, but here are some examples: mission critical, important, deferrable |
| Business unit | name of the business unit that owns this business function |
| Processo (servizio, funzionalità) | the name of the process, service, or feature |
| Leader senior del gruppo aziendale | the name and contact information of the senior leader of the business group that owns this business process |
| La tecnologia ha un contratto di servizio interno (SLA) o un contratto di servizio (OLA)? | please explain in as much detail as possible |
| La tecnologia ha uno SLA o un OLA esterno stabilito? | please explain in as much detail as possible |
| La tecnologia ha un mandato esecutivo noto per la gestione dello SLA di uno specifico processo? In caso affermativo, spiegare in dettaglio. | details here |
| La perdita o la compromissione dei dati associati a questo servizio attiverà un evento principale? In caso affermativo, spiegare in dettaglio. | details here |
| Il servizio dispone di un'alternativa per alcune o tutte le relative funzioni e funzionalità principali? In caso affermativo, spiegare in dettaglio. | details here |
| Il servizio elabora, archivia o trasmette dati dei clienti, ad esempio informazioni personali? In caso affermativo, spiegare in dettaglio. | details here |
| Stato BIA | develop your own status classification, here are some examples: planned, started, in-progress, complete, on-hold, expired |
| Data di completamento | the date this BIA was completed |
| Facilitatore BIA | name of the person or group who is responsible for developing and maintaining this BIA |
| Approvazione BIA | name of the person or group who is the executive sponsor of this BIA and who has responsibility for approving it. |
| Collaboratori | optional list of the people who helped develop this BIA and their contact information |
| Posizione approvazione BIA | indicate where the executive approval is located, or attach proof to this document |
Pianificazione
Successivamente, si esamineranno i processi aziendali per identificare le eventuali relazioni di dipendenza a catena. In base al risultato, è possibile definire le priorità e creare strategie di resilienza, oltre a procedure operative standard a supporto delle strategie.
Per semplificare questa operazione, si può usare Mapping dei servizi Microsoft. Microsoft Service Map individua automaticamente i componenti dell'applicazione nei sistemi Windows e Linux e esegue il mapping di tutte le dipendenze TCP, identifica le connessioni e i sistemi remoti di terze parti da cui dipende l'app. Inoltre, esegue il mapping delle dipendenze ad aree della rete tradizionalmente oscure, come Active Directory.
Ecco un esempio di analisi delle dipendenze da cui è possibile iniziare. Nell'applicazione livello dati si identificheranno ed esamineranno le dipendenze del processo. Assicurarsi di includere persone, fornitori, clienti, partnership e strutture. I dati provenienti da questa analisi verranno usati per identificare le discrepanze tra i requisiti di ripristino di un processo e le funzionalità di ripristino delle dipendenze di supporto.
| Campo | Descrizione |
|---|---|
| Tipo di processo | |
| Facilitatore | |
| Completato da | |
| Data di completamento | |
| Collaboratori |
Convalida delle funzionalità
Dopo aver inventariato i processi aziendali e aver mappato tutte le relazioni con altri processi e tecnologie, è necessario creare scenari di convalida per tutti i processi. In pratica, capire come si intende convalidare i piani di continuità dei processi aziendali. Probabilmente si scoprirà che alcuni sono più importanti di altri e si vorrà dare loro la priorità. Non dimenticare che una volta stabilito il piano, è importante formare regolarmente i dipendenti sulle misure di risposta e continuità degli eventi imprevisti. È opportuno usare revisioni post evento per migliorare le strategie di resilienza, incorporando quanto appreso da ogni convalida o test.
Comunicazioni e coordinamento in caso di incidenti
Durante un evento imprevisto del servizio, i normali canali di comunicazione possono essere interessati o degradati, quindi è consigliabile prevedere alternative per consentire all'organizzazione di rimanere connessa durante un evento imprevisto. È fondamentale che i canali di comunicazione vengano stabiliti, controllati per la sicurezza e la conformità e gli utenti sottoposti a training sul loro uso prima di un'interruzione. Passare da uno stato noto a un altro stato noto è di gran lunga preferibile a utenti che, nel bel mezzo di una crisi, propongono soluzioni ad hoc e sconosciute.
In Microsoft, ogni team di servizio ha stabilito canali di comunicazione alternativi interni che consentono di coordinarsi quando i normali canali di comunicazione non sono disponibili. Queste includono le soluzioni di telefonia e audioconferenza di backup, i gruppi Viva Engage, i gruppi di Teams, i dashboard di integrità dei servizi interni e il software di gestione degli eventi imprevisti interno.
Durante l'BIA e l'da da, si eseguirà il mapping dei processi critici e delle tecnologie o dei servizi da cui dipendono. Prestare particolare attenzione alle comunicazioni in questa fase della pianificazione e pensare a soluzioni alternative. Ecco alcuni esempi.
- Se la posta elettronica è il metodo principale per informare utenti e stakeholder e il servizio di posta elettronica è danneggiato o non disponibile, è possibile usare un altro servizio, ad esempio Microsoft Teams, Viva Engage o un altro servizio di terze parti come backup. La chiave consiste nello stabilire tutto questo in anticipo e nell'insegnare agli utenti dove andare. Un thread Viva Engage non sarà utile se nessuno sa che esiste o se nessuno lo ha aggiunto ai segnalibri.
- Se i processi interni di gestione degli incidenti si basano sulle comunicazioni vocali per coordinare le risposte, stabilire una soluzione di telefonia alternativa da usare durante una crisi. Questa soluzione non deve avere la parità completa con il servizio primario, ma deve fornire il livello minimo di collaborazione per coordinare i team di continuità aziendale e gestione degli eventi imprevisti. Inoltre, chiedere agli utenti di pubblicare i numeri di telefono cellulare nell'elenco indirizzi globale può fornire un ulteriore livello di comunicazione di backup nei casi più estremi.
- Può essere utile creare un dashboard di integrità dei servizi personalizzato o un altro sito di questo genere, che possa fornire aggiornamenti sullo stato durante un evento imprevisto. Informare gli utenti in anticipo su dove rivolgersi per ottenere informazioni contribuirà a ridurre le chiamate superflue all'help desk e a infondere fiducia nella base degli utenti sul fatto che la situazione viene gestita in modo rapido ed efficiente. Usare l'API di comunicazione del servizio O365 per collegare queste informazioni a Microsoft 365 per un livello di visibilità ancora maggiore.
- È fondamentale che la posizione dei piani di continuità aziendale e delle procedure operative standard sia nota. È consigliabile mantenere copie online e offline della documentazione critica, ad esempio con SharePoint o OneDrive configurato per la sincronizzazione automatica con i dispositivi locali. Per service/network operations center e altri team simili che sono critici per il ripristino, è anche possibile mantenere le copie cartacee disponibili per l'uso in caso di emergenza.
Conoscere i punti di integrazione esterni
Indipendentemente dal modello di business, ogni azienda ha punti di integrazione con clienti, partner e fornitori. La supply chain del valore aziendale è basata sull'integrazione con entità esterne. Il miglioramento della continuità aziendale per le interruzioni del servizio richiede considerazione e protezione di ogni punto di integrazione.
Quando si analizza la supply chain, è necessario considerare le comunicazioni esterne nello stesso modo in cui si analizzano le comunicazioni interne. I clienti fanno affidamento sui server di Exchange Online come unico metodo per contattare l'organizzazione? Sono stati stabiliti e comunicati ai fornitori metodi di comunicazione alternativi, per i casi in cui l'operatività sia stata compromessa? Ecco una tabella di esempio che suggerisce come organizzare il proprio ragionamento.
| Nome entità esterna | Impatto sugli scenari di evento imprevisto | Servizi Microsoft 365 integrati | Alternative |
|---|---|---|---|
vendor name |
Flusso di posta | Exchange Online è l'unico mezzo di comunicazione con Contoso | Configurare canali esterni di Microsoft Teams o software di collaborazione di terze parti |
service supplier name |
Chat | Microsoft Teams | Messaggistica istantanea di terze parti |
partner name |
Voce | Microsoft Teams | Pstn per dispositivi mobili o pubblici |
supplier name |
Condivisione di file | Siti di SharePoint condivisi esternamente e OneDrive | Condivisione di file di terze parti |