Itaka: Łatwiej dostosować się do obecnej sytuacji zwinnym organizacjom

Przeczytasz w 6 min

Z Arkadiuszem Olchawą, dyrektorem IT w Biurze Podroży Itaka rozmawiamy o tym, jak na stan epidemii w Polsce reaguje branża turystyczna, czy można było się przygotować na taką sytuację, czym różni się od innych sytuacji kryzysowych, z jakimi, największymi problemami musiała sobie poradzić Itaka i w jaki sposób tego dokonano.‬

We wcześniejszych scenariuszach nie zakładaliśmy potrzeby pracy zdalnej dla naszych salonów sprzedaży i call center. Korzystaliśmy już wcześniej – w szczycie sezonu – z możliwości przekierowywania ruchu nadmiarowego do innych punktów sprzedaży. Także w razie niedostępności jednego z nich – z dowolnego powodu – przekierowujemy ruch z poszczególnych salonów do call center lub innych punktów. Każdy z nich jest połączony z pozostałymi w modelu Full Mesh oraz z każdym z naszych centrów danych. Obecnie jednak nasze punkty w galeriach handlowych zostały zamknięte. Wobec tego ciągłość działania call center mogłaby być zagrożona. Sytuacja ta wymagało więc od nas zorganizowania w krótkim czasie możliwości pracy zdalnej również dla tej grupy pracowników.

Czy da się przygotować na sytuację taką, z jaką mamy dziś do czynienia?

Do takiego zdarzenia nie można się przygotować w 100%. Można jednak opracowywać scenariusze bazujące na historycznych zdarzeniach, związanych z nimi doświadczeniach i adaptować do aktualnej sytuacji. Łatwiej jest też dostosować się organizacjom, które wykorzystuję zwinne metody zarządzania. Dużo o zwinności mówiliśmy przez ostatnie lata, teraz następuje weryfikacja tego, czy faktycznie organizacje potrafią działać w ten sposób.

Czy standardowe plany Business Continuity wystarczają? Zwykle dotyczą one problemów z funkcjonowaniem infrastruktury IT, a nie niedostatecznym, permanentnym brakiem pracowników…

Nie doświadczamy braku pracowników, za wyjątkiem osób pełniących opiekę na dziećmi. Co prawda w większości nie przebywają oni w biurach, ale są dostępni i codziennie pracują. Poza standardowymi obowiązkami, obsługują wszystkie wyjątkowe zdarzenia związane z obecną sytuacją, a w branży turystycznej jest ich niemało. Warto podkreślić, że wartością planów zapewniających ciągłość działania jest to, że są potwierdzeniem wykonanego planowania.

Jeżeli jest zespół profesjonalistów, który pracował nad analizą różnych możliwych scenariuszy, to ten zespół może teraz na bieżąco opracowywać adekwatny plan działania i jednocześnie go wdrażać. Osobiście jestem zwolennikiem planów i dokumentacji, które stanowią minimalną ramę i są użytecznym narzędziem. Z założenia Plany Ciągłości Działania, powinny być proste w formie i możliwie zwięzłe. Łatwo je wtedy dostosować do sytuacji. Zespól powinien móc działać bez takich planów, ale powinny one pozwalać mu działać automatycznie, oszczędzać czas i zasoby w przypadku zdarzeń wcześniej zdefiniowanych.

Czy w jakikolwiek sposób musieli Państwo dostosowywać swój plan działania do obecnej sytuacji? Z jakimi największymi problemami się Państwo spotkali i jakie działania musieli Państwo podjąć?

We wcześniejszych scenariuszach nie zakładaliśmy potrzeby pracy zdalnej dla naszych salonów sprzedaży i call center. Korzystaliśmy już wcześniej – w szczycie sezonu – z możliwości przekierowywania ruchu nadmiarowego do innych punktów sprzedaży. Także w razie niedostępności jednego z nich – z dowolnego powodu – przekierowujemy ruch z poszczególnych salonów do call center lub innych punktów. Każdy z nich jest połączony z pozostałymi w modelu Full Mesh oraz z każdym z naszych centrów danych. Obecnie jednak nasze punkty w galeriach handlowych zostały zamknięte. Wobec tego ciągłość działania call center mogłaby być zagrożona. Sytuacja ta wymagało więc od nas zorganizowania w krótkim czasie możliwości pracy zdalnej również dla tej grupy pracowników.

Planujemy pójść w kierunku architektury Zero Trust. Docelowo planujemy jednak pójść w kierunku pełnej architektury Zero Trust. Zakłada ona, że organizacja nie ufa żadnym podmiotom niezależnie, czy znajdują się wewnątrz, czy na zewnątrz i zapewnia ścisłą weryfikację i kontrolę nad każdym użytkownikiem, urządzeniem, aplikacją i siecią wykorzystywaną do uzyskiwania dostępu do danych. Jednocześnie – jako że 95% wykorzystywanych przez nas aplikacji, to aplikacje webowe, a pakiet Office 365 działa w chmurze – możemy przetwarzanie danych na komputerach użytkowników znacznie ograniczyć.

Jakie działania podjęto w pierwszej kolejności? Czy jest to zabezpieczenie narzędzi dla pracowników, którzy masowo zaczęli pracować zdalnie?

W naszym przypadku 2 marca zespól odpowiedzialny za bezpieczeństwo opracował scenariusz pracy na wypadek całkowitego braku dostępu do siedziby głównej i wszystkich oddziałów firmy. W tamtym czasie, wyglądało to na ćwiczenie teoretyczne. Firma ma strukturę rozproszoną i znaczna część pracowników wykorzystuje dostępy zdalne okresowo lub na co dzień, zadanie było wiec ułatwione. Poprosiliśmy osoby, które mają dostępy zdalne, o potwierdzenie poprawności ich działania i bieżące korzystanie z nich, żeby wychwycić ewentualne problemy przed kumulacja zapytań w momencie kryzysu. Następnie określiliśmy, które działy i osoby w tych działach powinny taki dostęp uzyskać, w razie sytuacji kryzysowej i zabezpieczyliśmy dla tych osób odpowiedni sprzęt i oprogramowanie. Kiedy ogłoszono stan zagrożenia epidemicznego, 75% pracowników przeniosło się na pracę zdalną. Pozostałe osoby pełnią dyżury stałe bądź rotacyjne, a w razie potrzeby również zaczną pracować zdalnie. Istotne było także określenie kluczowych specjalistów, partnerów, ich dostępów do systemów oraz działań koniecznych, w razie braku ich dostępności z powodu izolacji bądź kwarantanny.

Jak poradzić sobie z zarządzaniem zespołami, gdy ludziom doradza się zostanie w domach? Czy wdrożono jakieś narzędzia usprawniające tę pracę, czy też korzystali już z nich Państwo?

Korzystamy z rozwiązań chmurowych. Przykładowo wszyscy nasi pracownicy od kilku lat pracują na Office 365. Zaledwie kilka dni zajęło nam więc wdrożenie dla wszystkich pracowników aplikacji Microsoft Teams. W działach IT i eCommerce praca zdalna jest czymś normalnym. W przeszłości korzystaliśmy z wielu różnych narzędzi do komunikacji, więc możemy dziś skorzystać z tych doświadczeń.

W jaki sposób zabezpieczyć w obecnej sytuacji funkcjonowania centrów danych i działających w nich systemów IT? W jaki sposób zabezpieczyć bezpieczny dostęp do nich?

Korzystamy z rozwiązania Access VPN pozwalającego na identyfikację zarówno dowolnego urządzenia, jak i użytkownika. Umożliwia ono również wymuszanie szczegółowej kontroli dostępu w oparciu o stan zgodności każdego urządzenia i użytkownika. Docelowo planujemy jednak pójść w kierunku pełnej architektury Zero Trust. Zakłada ona, że organizacja nie ufa żadnym podmiotom niezależnie, czy znajdują się wewnątrz, czy na zewnątrz i zapewnia ścisłą weryfikację i kontrolę nad każdym użytkownikiem, urządzeniem, aplikacją i siecią wykorzystywaną do uzyskiwania dostępu do danych.

Jednocześnie – jako że 95% wykorzystywanych przez nas aplikacji, to aplikacje webowe, a pakiet Office 365 działa w chmurze – możemy przetwarzanie danych na komputerach użytkowników znacznie ograniczyć. Technologie zabezpieczeń aplikacji webowych są na tyle zaawansowane, że wszyscy korzystamy z aplikacji bankowych, a bezpieczeństwo naszych danych i pieniędzy jest zagwarantowane. Jest to więc możliwe również dla aplikacji korporacyjnych.

Jeżeli jest zespól profesjonalistów, który pracował nad analizą różnych możliwych scenariuszy, to ten zespół może teraz na bieżąco opracowywać adekwatny plan działania i jednocześnie go wdrażać. Osobiście jestem zwolennikiem planów i dokumentacji, które stanowią minimalną ramę i są użytecznym narzędziem. Z założenia Plany Ciągłości Działania, powinny być proste w formie i możliwie zwięzłe. Łatwo je wtedy dostosować do sytuacji. Zespół powinien móc działać bez takich planów, ale powinny one pozwalać mu działać automatycznie, oszczędzać czas i zasoby w przypadku zdarzeń wcześniej zdefiniowanych.

Czy rozważane jest np. przeniesieniem części zasobów do zewnętrznych centrów danych?

Od kilku lat nie posiadamy własnego data center. Korzystamy z kolokacji własnej infrastruktury w profesjonalnym centrum danych, zasobów IT udostępnianych w postaci usługi przez lokalnych dostawców DC, a także chmury publicznej. Taka architektura pozwala nam działać nieprzerwanie niezależnie od lokalizacji pracowników i dostępności biur. Ma też taką zaletę, że możemy ją dopasować do aktualnego obciążenia, a jego rozkład jest dzisiaj diametralnie inny niż jeszcze trzy tygodnie temu. Przy okazji chciałbym podziękować wszystkim partnerom IT naszej firmy – nie tylko dostawcom usług data center – za idealną, i jest to jedyne właściwe słowo, współpracę, w tym turbulentnym czasie.

Czy w związku z tym, że rośnie zapotrzebowanie na zdalny dostęp do zasobów zwiększają Państwo w jakiś sposób przepustowość łączy?

Tak, była taka potrzeba i nasi partnerzy zaalokowali dla nas dodatkową przepustowość, którą będziemy mogli wykorzystać w przypadku incydentalnego wzrostu obciążenia.

Czy masowe przejście pracowników na pracę zdalną zwiększa ryzyko tzw. cyberataków? Hakerzy już wykorzystują strach przed COVID-19…

To jest ryzyko, które należy brać pod uwagę. Na bieżąco monitorujemy wiarygodne źródła informacji o takich atakach, aby – w razie potrzeby – informować o nich pracowników. Są to najczęściej ataki socjotechniczne, ale rozważamy też inne zagrożenia.

Czy w związku z tym wzrosło zapotrzebowanie w Państwa firmach na rozwiązania z zakresu bezpieczeństwa, np. konieczne jest zakupienie dodatkowych licencji na VPN?

W naszym przypadku z racji modelu licencjonowania, nie było takiej potrzeby.

Czy – w związku z obecną sytuacją – wymagana jest zmiana w konfiguracji systemów bezpieczeństwa, np. zwiększenia stopnia segmentacji dostępu do poszczególnych zasobów?

Jak wcześniej mówiłem, w mniejszej skali korzystamy ze zdalnych dostępów do systemów w normalnej sytuacji, w związku z czym, obecnie nie są konieczne do wprowadzenia znaczne zmiany, wyłącznie bieżące dostosowania.

Rozmawiał Adam Jadczak


Działania, które Biuro Podróży Itaka podjęło w pierwszej kolejności w związku z epidemią koronawirusa

  1. Już 2 marca zespól odpowiedzialny za bezpieczeństwo opracował scenariusz pracy na wypadek całkowitego braku dostępu do siedziby głównej i wszystkich oddziałów firmy. W tamtym czasie, wyglądało to na ćwiczenie teoretyczne.
  2. Biuro Podróży Itaka ma strukturę rozproszoną i znaczna część pracowników wykorzystuje dostępy zdalne okresowo lub na co dzień, zadanie było wiec ułatwione. Poproszono osoby, które mają dostępy zdalne, o potwierdzenie poprawności ich działania i bieżące korzystanie z nich, aby wychwycić ewentualne problemy przed kumulacją zapytań w momencie kryzysu.
  3. Określono, które działy i osoby w tych działach powinny taki dostęp uzyskać, w razie sytuacji kryzysowej. Zabezpieczono dla tych osób odpowiedni sprzęt i oprogramowanie.
  4. Kiedy ogłoszono stan zagrożenia epidemicznego, 75% pracowników przeniosło się na pracę zdalną. Pozostałe osoby pełnią dyżury stałe bądź rotacyjne, a w razie potrzeby również zaczną pracować zdalnie.
  5. Istotne było także określenie kluczowych specjalistów, partnerów, ich dostępów do systemów oraz działań koniecznych, w razie braku ich dostępności z powodu izolacji bądź kwarantanny.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przeczytaj też:

Przeczytasz w 5 min
0

Transformacja zwinna w telekomie, czy to ma sens?

Przeczytasz w 5 min Zacznijmy od pytania, czy to w ogóle ma sens? Kilka tysięcy osób, kilkaset systemów, kilkadziesiąt jednostek organizacyjnych. Jak możemy mówić tutaj o zwinności? Warto – próbując odpowiedzieć na te pytania – odnieść się do trzech poziomów „Flight Levels” Klausa Leopolda oraz świetnej lektury „Rethinking Agile: Why Agile Teams Have Nothing To Do With Business Agility”.

Przeczytasz w 5 min
0

Opowieść managera IT: od startupu, po akwizycję i dalej

Przeczytasz w 5 min Każda organizacja na świecie potrzebuje partnera w postaci zespołu IT, który będzie dla niej wiatrem w żaglach okrętu, a nie kotwicą, która będzie ciągnąć biznes w dół. Gdybyśmy przenieśli się w czasie do epoki wielkich odkryć i Krzysztof Kolumb zadałby Wam proste pytanie: czy popłyniesz ze mną odkryć nowy świat? Kto z Was by z nim popłynął? Dzisiaj te nowe światy to startupy kuszące obietnicą olbrzymich zysków. Niestety 90% z nich upada przynosząc inwestorom tylko straty. Wiedząc to, kto z Was wciąż popłynąłby w taką podróż?

Przeczytasz w 13 min
0

Cyfrowy kontratak Grupy VAN

Przeczytasz w 13 min Odpowiedzią Grupy VAN na wielkie wyzwania przed jakimi stoi branża transportu, spedycji i logistyki (TSL) jest m.in. cyfryzacja. Nie zawaham się nazwać jej kontruderzeniem, uodparniającym nas na zmiany rynku, na którym działamy.

Dziś tam gdzie jest cyfrowe terra incognita są członkowie CXOHUB, którzy są pionierami cyfryzacji, transformacji do nowej gospodarki (new normal).

Zapraszam do udziału,
Szymon Augustyniak

Misja, wizja i wartości CXO HUB

  • CXO HUB powstało, aby zgromadzić najlepszych menedżerów i ekspertów w zakresie szeroko pojętej cyfrowej zmiany.
  • Misją społeczności CXO HUB jest promowanie wiedzy oraz sylwetek jej członków na arenie polskiej oraz międzynarodowej.
  • Społeczność CXO HUB stanie się widoczną, słyszalną siłą w dyskursie o przyszłości i standardach w zakresie zastosowań nowych technologii.

Zdobywaj kontakty, buduj relacje

CXO HUB:

  • wspiera budowę wizerunku merytorycznej i doświadczonej firmy
  • zapewnia oryginalne, inteligentne formaty budowania relacji
  • tworzy zaangażowaną i aktywną społeczność
  • buduje i dystrybuuje unikalny content dla publiczności
  • zapewnia przestrzeń do budowy kontaktu, relacji i wpływu

Dołącz do nas!

Formuła CXO HUB jest etyczna w wymiarze moralnym, obiektywna w wymiarze poznawczym oraz neutralna w wymiarze relacji z rynkiem.

Dołącz do naszej społeczności w serwisie LinkedIn

 

Dla kogo jest CXO HUB:

  • CIO polskich przedsiębiorstw
  • szefowie IT
  • liderzy największych firm w Polsce
  • decydenci zakupu rozwiązań informatycznych