Czynniki atmosferyczne mają duży wpływ na codzienne życie ludzi i firm, silne wichury i powodzie czynią duże szkody materialne. Duży wpływ natury na biznes jest szczególnie widoczny w świecie IT. Zarządzanie ryzykiem ma ścisły związek z lokalizacją oddziałów firmy. Wiele firm ma oddziały w całym kraju, sektor finansowy, energetyczny, zdrowia, branża FCMG posiadają najbardziej rozbudowane struktury wielooddziałowe w Polsce.

Wybór lokalizacji

Centrala firmy znajduje się zwykle w miejscu, gdzie biznes ma przyzwoite warunki do prowadzenia działalności, w Polsce taką funkcję zapewne spełnia Warszawa. Stolica Polski to miasto, gdzie najwięcej firmy ma swoje centrale. Centrala to zwykle siedziba zarządu firmy. W świecie IT centrala ma również inne znaczenie – centrala to miejsce, gdzie znajduje się serwerownia czyli centrum przetwarzania danych (z j.ang. Data Center – DC). DC zwykle jest położone w miejscu, gdzie jest dogodna infrastruktura teleinformatyczna – sieci informatyczne umożliwiające dostęp do ogólnokrajowej sieci WAN lub do Internetu. Wybór lokalizacji centrali przez biznes często jest postrzegany przez pryzmat kosztów (opłaty czynszowe, wykwalifikowana kadra). W przypadku systemów informatycznych pojawia się dodatkowy czynnik ryzyka – fizyczne położenie centrali.

Bezpieczne otoczenie

W przypadku miejsca na centralę firmy warto zwracać uwagę na historię i cechy fizyczne tego miejsca. Budynek biurowy, w którym znajduje się centrum przetwarzania danych jest mniej narażony na ryzyko niespodziewanych zakłóceń działalności jeśli jest położony w bezpiecznym miejscu. Bezpieczna lokalizacja budynku to miejsce, które nie znajduje się na terenach zalewowych, narażonych na cykliczne powodzie. Bezpieczna lokalizacja zwykle ma dobrą kanalizację przeciwburzową chroniącą budynek przed zalaniem. Bezpieczny biurowiec ma systemy odgromowe na wypadek gwałtownych wiosennych burz z piorunami. Bezpieczne budynki są zasilane z kilku niezależnych obwodów energii elektrycznej. W przypadku awarii jednego z łańcuchów dostawy energii, zasilanie elektryczne jest zapewnione przez inny łańcuch (sieci przesyłowe). Takie rozwiązanie nie zawsze jest możliwe, ponieważ generuje wysoki koszty dla biznesu. Jak w tej sytuacji zabezpieczyć serwerownię?

Naturalne katastrofy

Natura przynosi zdarzenia, które ludzie określają jako katastrofy. W przypadku serwerowni – brak zasilania elektrycznego to katastrofa dla biznesu. Odpowiedzialne firmy na wypadek zaniku napięcia elektrycznego mają przygotowany plan na wypadek awarii – zasilanie awaryjne z UPS. Awaryjne zasilacze UPS w przypadku bardzo dużej serwerowni stanowią ogromny koszt i zajmują sporo miejsca, stwarzając zagrożenie pożarowe (zasilane paliwem ciekłym). To przyczyna dla której rozwiązanie z setkami UPS nie zawsze sprawdza się w centrum dużego miasta. W takiej sytuacji warto zastanowić się nad budową zapasowego centrum przetwarzania danych oddalonego w znacznej odległości, które w przypadku katastrofy przejmuje funkcję podstawowego DC. Katastrofy towarzyszą ludziom od tysięcy lat, należy pamiętać aby je wkalkulować w czynniki ryzyka biznesowego.

Naturalne zagrożenia

Dla biznesu zagrożenie stanowią nie tylko silne wiatry, które potrafią uszkodzić czy zniszczyć anteny zapewniające łączność zapasową z centralą firmy oraz energetyczne sieci przesyłowe. Zagrożenie dla biznesu to również tereny zalewowe oraz miejsca gdzie dominują wysokie wody gruntowe. Budynki biurowe postawione w miejscach, gdzie pod ziemią dominuje woda są narażone na uszkodzenia fizyczne: przechyły, pęknięcia i katastrofy budowlane. W przypadku zagrożenia – zarząd firmy jest najmocniej zagrożony na ostatnim piętrze wysokiego biurowca. Wysokie budynki biurowe są szczególnie narażone na działania natury. Mocny grad, silny wiatr może przynieść z stałe fragmenty materii (dachówki, anteny) i powybijać szyby w biurze. Jeśli projektant nie uwzględnił takich ekstremalnych sytuacji – zagrożenie dotyczy nie tylko serwerowni ale i pracowników firmy. Brak zasilania oznacza zwykle unieruchomione windy, co wiąże się przymusową ewakuacją wyjściami awaryjnymi (czy wyjście awaryjne, drzwi są otwarte? Kto ma klucze? Czy informacja o dysponencie kluczy figuruje na drzwiach? – napiszcie w komentarzu). Podobnie sytuacja wygląda w przypadku zagrożenia pożarem – wysokie budynki biurowe muszą spełniać ostrzejsze kryteria ochrona przeciwpożarowej.

Duże miasta przyciągają mnóstwo szczurów, które żywią się odpadkami i w wielu przypadkach niszczą wewnętrzne instalacje sieciowe, warto przewidzieć również i to zagrożenie. Budynki biurowe z reguły rzadko stanowią własność firm, zwykle są wynajmowane przez deweloperów lub zarządców. Wydaje się sensowne, aby deweloperzy budujący biurowce korzystali z usług profesjonalistów zajmujących się ochroną informacji, dzięki czemu budynki biurowe mogą spełniać wysokie standardy odnośnie bezpieczeństwa fizycznego oczekiwane przez wymagające firmy.

Bezpieczeństwo fizyczne

Firmy są narażone na katastrofy w każdym miejscu, zarówno centrala firmy jak i oddziały firmowe podlegają zagrożeniom natury. W przypadku zdalnych lokalizacji w mniejszych miejscowościach warto uwzględnić infrastrukturę drogową i dostępność wody (szybki dojazd straży pożarnej). Warto zwrócić uwagę czy do danej miejscowości dociera tylko jedna energetyczna linia przesyłowa, dodatkowo przewidzieć miejsce na UPSy (hałas i zagrożenie przeciwpożarowe). Działy bezpieczeństwa IT w firmach wskazują zagrożenia zarówno ze strony natury (pomagają w tym wywiady z długoletnimi mieszkańcami), ze strony ludzi i od strony technicznej. Szacowanie ryzyka biznesowego uwzględnia wszelkie aspekty zagrożeń i pomaga podejmować właściwe, optymalne kosztowo decyzje co do lokalizacji oddziałów firmy i ich odpowiednich zabezpieczeń.

Plan B – Disaster Recovery

Bezpieczeństwo fizyczne jest nieodłącznie związane z przestrzeganiem regulacji prawnych, najlepszych standardów i praktyk branżowych (industry best practices). Certyfikacja CISSP obejmuje 10 domen bezpieczeństwa, które przewidują różne zagrożenia, doświadczony fachowiec potrafi je zaimplementować w firmie w celu ochrony informacji. Jeśli mowa o bezpieczeństwie, warto przypomnieć o wykonywaniu regularnych kopii zapasowych na wypadek katastrofy. W wielu mniejszych firmach pracuje tylko jedna osoba odpowiedzialna za IT, warto pomyśleć o drugiej osobie w dziale informatyki na wypadek gdyby pierwszy pracownik został poszkodowany przez siły natury. W przypadku katastrofy firma może sprawnie funkcjonować jeśli ma przygotowane odpowiednie procedury, które uruchamiają plany postępowania w przypadku różnych awarii. W tym roku Polska doświadczyła plagi suszy w wielu rejonach, co mogło powodować braki wody dla elektrowni (chłodzenie bloków).

Nie wiadomo co przyniesie przyszłość, warto pamiętać, że natura jest zmienna a sytuacja zmienna. Powodzie i ulewne deszcze mogą ponownie zaskoczyć wielu administratorów obiektów w których działają firmy, częściej wynajmowanych niż budowanych (kapitałochłonność).  To zadanie dla deweloperów budowlanych niż dla firm, które wynajmują budynki od właścicieli biurowców. Czym zaskoczy nas natura w przyszłym roku, jak zakłóci funkcjonowanie firm? Czy budynki w których pracujecie Wy lub Wasi znajomi są zalewane przez wodę? Jak funkcjonuje wsparcie informatyczne gdy brak informatyka lub specjalisty ds bezpieczeństwa? Czy Twoja firma dba nie tylko o  bezpieczeństwo fizyczne serwerowni ale również o bezpieczeństwo informacji? Czy kierownictwo firmy uwzględnia naturalne zagrożenia w planach awaryjnych?
Drogi czytelniku podziel się obserwacjami w komentarzu.