如何让管理者认同你的灾难恢复策略

Paul Kirvan，CISA、CSSP、FBCI、CBCP、商业连续研究院美国分部的董事会成员，在本次采访中将给出一些建议，告诉您如何说服企业的高级管理者制定灾难恢复策略是十分重要的。让管理者认同一个灾难恢复计划是一件头痛的事，它本不应该如此。

在本次采访中，你将了解到为何推荐你的灾难恢复计划是一个挑战;然后将讨论呈现你的策略给管理者时需要说明的重要事宜以及如何获得股东的一致意见。

John Hilliard：我们从读者中了解到最大的挑战之一是将商业连续和灾难恢复计划推荐给管理者。首先，为什么会这样?随着灾难报告覆盖所有媒体，你不认为推荐应该更容易吗?

Paul Kirvan：但是，这些年，商业连续和灾难恢复获得了一个需要持续投入而回报很少甚至没有的名声。我需要直接的指出。对于公司，投入了不菲的资金到灾难恢复程序和计划中，但真的很少用到，这确实是一个问题。但是你可以说公司购买保险来保护它，那商业连续计划为何不被认为是一种保险?

灾难恢复来自与IT世界，同时也被视为一种IT活动，尽管它可以很容易的被划入企业的其它部分，例如审计部门、风险控制部门，甚至管理部门。商业持续来自灾难恢复，但不同于灾难恢复的是需要一个更大、更全面的企业视角，而不像灾难恢复仅仅是系统、网络、数据和人员。

两者都是重要的商业活动。所以我们面临一个两难的境地：商业持续专家很少在其本身职业与推销两方面都是专家。我们擅长我们会的，而对于让组织中正确的人知道我们却不擅长。我们推荐商业连续和灾难恢复的困难在于我们很难得到高级管理者对于商业连续或者说灾难恢复程序的认同。

John Hilliard：当展现BC/DR投资必要性时，什么是最重要的事情?

Paul Kirvan：一旦你能让一名高级执行官，或者一群高级执行官，或许是总负责人，或者类似的人成为你的听众，那么商业连续专家需要全面的理解企业是如何运行的，企业所面临的风险，内部和外部存在的弱点，以及企业根本的长处和弱点。

商业连续负责人需要有让高级管理者能了解的沟通能力，那样做以后，高级管理者才能知道和接受风险以及对于风险的潜在解决方案，例如商业连续活动。一旦他们接受了这些，他们应当会有更好的准备去赞成商业连续和灾难恢复活动。高级管理者必须清楚风险的存在，威胁和弱点的存在，他们最终会负责确保组织我喜欢称为参与、阻止、减缓和从不可预知的事件中恢复。我们做的越好—作为商业连续专家—越能帮助高管理解形势，越能让我们的计划得到批准。

John Hilliard：商业活动上是否有重叠的地方，BC/DR可以被整合到一起来说明?

Paul Kirvan：这么多年的经验告诉我一件事，当你呈现商业连续计划给管理者时，你需要确定它是从整个企业组织出发来定义。不要仅仅从一个方面来定义，例如IT部门，或者其他部门。

让BC与管理、风险和遵循活动联系在一起，因为这些活动，以及其他一些活动是高管的责任。需要说，这种情况对于商业连续不太可能。总体来说，GRC更能被高管认同和接收。所以商业连续可以放在第四问题上，和GRC一起。有朝一日，一个不可预料的中断事件发生，同时GRC活动无法处理这样的事故，但是一个商业连续计划将响应该事故。所以那是为何我们认为商业连续是处理GRC之外另一个重要活动。

John Hilliard：您是否有任何建议关于获得股东的一致意见?

Paul Kirvan：如果你能让它发生，有一种方式看起来比较有效，让组织上下的所有人都思考商业连续。我们认为让商业连续融入到公司的文化中。

绝大多数组织—无论他们是两个还是三个人，或则100,000人—都有某种根本的文化与公司如何运作以及人们如何与其他人交往相关。所以，商业连续专家需要接触到企业的每个人，特别是企业管理团队。现在，做这些事情不仅需要接触内部管理者，同时需要了解股东例如投资者和关键供应商。

商业连续专家需要一个清晰、准确关于企业面临风险的消息，进一步，商业连续计划如何能阻止、缓解和从中断事件中恢复企业。现在，如果我们从技术角度来看，一个商业连续专家的消息应当包括—需要说明—预先有效地方法来保护和恢复关键系统和数据。但最终，商业连续负责人需要被可见、主动、融入企业，这样他们能持续的发出和强调这些信息，商业连续是组织和它文化的重要组成。