Kategória: Szakmai cikkek

ÜZLETMENET-FOLYTONOSSÁG – AMIT MINDEN VEZETŐNEK TUDNIA KELL

BIA, BCP, DRP: nem IT-zsargon, hanem üzleti túlélés

Miért fontos az üzletmenet folytonosság egy cég életében?

 

A legtöbb szervezet kritikus üzleti folyamatai informatikai rendszerekre épülnek. Számlázás, ügyfélkezelés, levelezés, raktárkészlet, gyártásirányítás – ha ezek leállnak, a működés is leáll. És nem kell hozzá hackertámadás: elég egy szerverhiba, egy zsarolóvírus, egy áramszünet vagy egy rosszul sikerült frissítés.

A kérdés nem az, hogy bekövetkezik-e ilyen helyzet, hanem hogy mikor – és hogy fel vagyunk-e rá készülve.

Az üzletmenet-folytonosság (Business Continuity) lényege egyszerű: hogyan tartjuk fenn a működést akkor is, amikor valami nagyon rosszul sül el? És ha leálltunk, hogyan állunk vissza a lehető leggyorsabban?

Ez nem csak szabályozási kérdés, hanem üzleti érdek és felelősség is.

Néhány valós forgatókönyv:

 

Zsarolóvírus: Hétfő reggel a kollégák bekapcsolják a gépeket, és minden fájl titkosítva van. A támadók 50.000 eurót kérnek bitcoinban. Nincs friss mentés, mert a backup rendszer már hónapok óta hibás volt, csak senki nem ellenőrizte. A cég 3 hétig nem tud számlázni.

Szerverhiba: A 8 éves szerver, ami az ügyviteli rendszert futtatja, pénteken délután megáll. Alkatrész nincs hozzá, a gyártó már nem támogatja. A legutóbbi működő mentés 4 napos. A hétvégi rendelések elvesztek.

Áramszünet: Nyári vihar miatt 6 órás áramkimaradás. A szerverek UPS nélkül futottak, a hirtelen leállás megrongálta az adatbázist. A helyreállítás részleges csak és 5 napig tart.

Ezek nem extrém esetek – minden nap megtörténnek valahol. A különbség az, hogy aki felkészült, az órákon belül újra működik. Aki nem, az napokat vagy heteket veszít és rengeteg pénzt, ügyfeleket, bevételt, hírnevet.

Ezek elkerülése és a kár minimalizálása érdekében jött létre az üzletmenet folytonosság kialakításának igénye.

 

A három alapfogalom: BIA, BCP, DRP

 Sokan összekeverik őket, pedig mindegyiknek más a szerepe:

 

BIA – Business Impact Analysis (Üzleti hatáselemzés)

A BIA nem technikai-informatikai elemzés, hanem üzleti. Azt vizsgálja:

  • Mely folyamatok kritikusak a működéshez?
  • Mi történik, ha ezek leállnak? (pénzügyi veszteség, jogi következmények, ügyfélvesztés)
  • Mennyi ideig tolerálható a leállás?
  • Milyen erőforrások kellenek a helyreállításhoz?

A BIA az alap – enélkül nem lehet értelmes tervet készíteni, mert nem tudjuk, mit védünk és miért.

 

BCP – Business Continuity Plan (Üzletmenet-folytonossági terv)

A BCP arra ad választ: hogyan működünk tovább, ha valami kritikus kiesik?

Ez nem feltétlenül a teljes visszaállításról szól, hanem arról, hogyan tartjuk fenn a minimális működést addig, amíg a probléma megoldódik. Tartalmazhat:

  • Alternatív munkavégzési módokat (pl. home office, papíralapú folyamatok)
  • Helyettesítési rendeket
  • Kommunikációs protokollt (ki kit értesít, hogyan)
  • Prioritási sorrendet (mi a legfontosabb, mi várhat)

 

DRP – Disaster Recovery Plan (Katasztrófa-helyreállítási terv)

A DRP már a technikai oldal: hogyan állítjuk vissza a kiesett rendszereket és adatokat?

Tartalma:

  • Mentési rend (mi, hova, milyen gyakran mentünk)
  • Helyreállítási eljárások lépésről lépésre
  • Felelősök és elérhetőségek
  • Tesztelési ütemterv

 

Hogyan kapcsolódnak?

A DRP minden esetben elindul, ha valami kiesik – megpróbáljuk a működést helyreállítani. A kérdés, hogy ez tervszerűen, logikai lépések mentén, vagy ad hoc jelleggel történik. A BCP akkor aktiválódik, ha a helyreállítás tovább tart, mint amit a működés tolerál. A BIA pedig megadja, hogy hol van ez a határ.

 

Ezért, amikor amikor bekövetkezik a kár az üzletmenet folytonosság abban segít, hogy ez:

  • szabályozott kommunikációs láncon keresztül
  • tiszta felelősségi körökkel
  • gyors döntéshozatallal
  • mindenki számára hozzáférhető ÜFT tervekkel
  • feltételek, eszközök biztosítása mellett

valósuljon meg. 

kép forrása: Tamásné Vőneki Zsuzsanna Osztályvezető OTP Bank Nyrt. Működési Kockázatok Osztály 

RTO és RPO – a két szám, amit ismernie kell

Ha a vezetőség egyetlen dolgot jegyez meg ebből a témából, ez a kettő legyen:

Fogalom

Mit jelent

Példa

RTO (Recovery Time Objective)

Mennyi idő alatt kell helyreállni?

RTO 4 óra = 4 órán belül újra kell működnie a rendszernek

RPO (Recovery Point Objective)

Mennyi adatvesztés engedhető meg?

RPO 1 óra = maximum 1 órányi munka veszhet el

 

Miért fontosak?

Mert ezekből derül ki, milyen mentési és helyreállítási megoldásra van szükség:

  • Ha az RPO 24 óra, elég a napi mentés
  • Ha az RPO 1 óra, folyamatos replikáció kell
  • Ha az RTO 4 óra, elég lehet a felhőből visszaállítás
  • Ha az RTO 15 perc, redundáns rendszer kell

És ami a legfontosabb: ezeket nem az IT dönti el, hanem a vezetőség – mert ez üzleti döntés, nem pedig technikai. Az IT megmondja, mennyibe kerül az adott RTO/RPO elérése (fejlesztési – beruházási költség), a vezetőség pedig eldönti, mekkora kockázatot vállal.

Mi a helyzet ma a legtöbb cégnél?

Őszintén? Nincs BIA, nincs definiált RTO/RPO, a mentés "valahogy működik" (de senki nem tesztelte), és ha valami történik, akkor mindenki kapkod.

Ez nem kritika – ez a valóság. A legtöbb KKV nem foglalkozik ezzel, amíg nem történik baj. De ha történik, akkor derül ki, hogy:

  • A mentés hibás volt, vagy túl régi
  • Senki nem tudja, melyik rendszer a kritikus
  • Nincs eljárásrend, mindenki mást csinál
  • A helyreállítás napokig-hetekig eltart, és közben áll a cég

 

Hogyan kezdjünk hozzá?

Nem kell rögtön 50 oldalas dokumentációval indítani. Az első lépések egyszerűek:

1. Azonosítsa a kritikus rendszereket: Melyek azok a rendszerek, amelyek nélkül a cég nem tud működni? (ügyvitel, számlázás, email, gyártásirányítás, logisztika?)

2. Határozza meg az RTO-t és RPO-t Mennyi leállás és adatvesztés engedhető meg? Ez vezetői döntés.

3. Ellenőrizze a mentést Van mentés? Működik? Mikor teszteltük utoljára visszaállítással? Hol van fizikailag? (Ha ugyanabban az irodában és épületben, az nem mentés, az másolat.)

4. Írja le az alapvető eljárásrendet Ki a felelős? Kit kell értesíteni? Mi a sorrend?

5. Teszteljen A terv annyit ér, amennyit teszteltek belőle. Évente legalább egyszer szimuláljanak egy kiesést.

Miben tudunk mi segíteni?

Az 5N Kft. az alábbi szolgáltatásokkal támogatja ügyfeleit az üzletmenet-folytonosság kialakításában:

  • BIA elvégzése: Kritikus folyamatok azonosítása, RTO/RPO meghatározásának segítése.
  • Kockázatelemzés: Fenyegetések felmérése, priorizálás
  • BCP/DRP kidolgozása: Testreszabott tervek a szervezet igényei szerint
  • Mentési rendszer felülvizsgálata: Működik-e és megfelel-e a szervezet igényeinek?
  • Tesztelés: Szimulált helyreállítás, gyengeségek feltárása

Mivel ismerjük ügyfeleink rendszereit, a tervezés nem általános sablonokból indul, hanem a valós működésből.

 

Összefoglalva

Az üzletmenet-folytonosság nem IT-projekt , hanem üzleti kockázatkezelés, ahol bizonyos lépések informatikai háteret igényelnek.

kép forrása: Tamásné Vőneki Zsuzsanna Osztályvezető OTP Bank Nyrt. Működési Kockázatok Osztály 

A kérdés nem az, hogy bekövetkezik-e incidens, hanem hogy felkészülten ér-e bennünket, amikor megtörténik.

Két szám, amit jegyezzen meg: RTO (mennyi idő alatt kell visszaállni) és RPO (mennyi adatvesztés engedhető meg). Ha ezeket tudja, már többet tud a témáról, mint a cégek többsége.

A részletes módszertani hátteret (GAP analízis lépései, válságstáb felállítása, infrastruktúra felmérés checklistje, audit előkészítés és felkészülés) külön dokumentumban tesszük elérhetővé.

 

Szabó Roxána © 2026 5N Kft.

Amennyiben további információra lenne szüksége, vagy kérdése van, keresse kapcsolattartó kollégánkat a megadott elérhetőségein!