Managementul continuității afacerii este cheia pentru a asigura viitorul digital al companiei dvs., în pofida oricăror incidente perturbatoare, de la întreruperi grave de alimentare cu curent sau incidente IT severe până la incendii, inundații, cutremure sau alte catastrofe naturale.

Continuitatea afacerii se referă la nevoia companiilor de a asigura procesele necesare pentru supraviețuirea lor în cazul unor situații limită, de la o catastrofă cauzată de un virus informatic, la o epidemie cauzată de un virus biologic sau la orice alte dezastre naturale. Standardul internațional pentru planul de  continuitate a afacerii, ISO 22301, definește această continuitate ca fiind „capacitatea unei organizații de a menține livrarea produselor și serviciilor la niveluri predefinite, considerate acceptabile, după ce au avut loc astfel de incidente perturbatoare”.

Accesați și: Noțiuni de bază pentru planul de continuitate al afacerii - cercetătorul ESET Stephen Cobb

Managementul continuității afacerii, denumit adesea prescurtat BCM (din engleză, Business Continuity Management), este procesul de realizare și susținere a acestei capacități și este o parte vitală a managementului securității sistemelor informatice, cunoscută în prezent drept securitate cibernetică. Pe parcursul acestui articol, veți descoperi elementele de bază ale BCM precum și o listă de resurse pe care dvs. și organizația dvs. le puteți folosi pentru a vă îmbunătăți capacitatea de a supraviețui oricăror evenimente neașteptate și nedorite.

Continuitatea afacerii nu vizează exclusiv partea IT 

Majoritatea organizațiilor de astăzi depind în mare măsură de infrastructura IT proprie – de la laptopuri la servere, de la desktop-uri la tablete și smartphone-uri – este clar că toată această tehnologie poate fi perturbată ușor de o gamă largă de incidente potențial dezastruoase. Acestea variază de la întreruperi de curent cauzate de furtuni, la pierderi de date cauzate de erori ale angajaților sau la atacuri distructive ale unor hackeri. Încă din primele zile ale IT-ului, a fost clar că organizațiile aveau nevoie de strategii pentru a se pregăti pentru astfel de incidente, pentru a putea răspunde și a se recupera după acestea. Din acest motiv, o mulțime de lucrări timpurii privind gestionarea incidentelor perturbatoare au fost puse cap la cap de către comunitatea IT.  

Cu toate acestea, de-a lungul timpului, disciplina „recuperării în caz de dezastru” a evoluat într-un „proces de management holistic”, unul care, așa cum este precizat în ISO 22301, „identifică potențialele amenințări la adresa unei organizații și impactul asupra operațiunilor de afaceri pe care acele amenințări, dacă se materializează, le-ar putea provoca. Un proces de management holistic care oferă un cadru pentru construirea rezistenței organizaționale și capacitatea unui răspuns eficient, prin care se protejează interesele acționarilor, reputația companiei, identitatea de brand și activitățile care crează valoare”.

Rețineți că, deși compania dvs. nu trebuie să obțină efectiv certificarea ISO 22301 pentru a putea supraviețui unui dezastru potențial din cele enumerate, unele organizații ar putea să fie  interesate de certificarea de acest tip pentru a-și îmbunătăți programul propriu de continuitate și, de asemenea, pentru a dezvolta și mai mult afacerea. De exemplu, este un fapt că afacerile care au un rol esențial în lanțul de aprovizionare din unele industrii primesc multe solicitări de demonstrare a demersurilor proprii pentru continuitatea afacerii în negocierile contractuale, iar aderarea la ISO 22301 adresează exact tipul acesta de cerințe.

Un program de continuitate, de bază, în patru pași

Din nefericire, unele companii ajung la faliment atunci când sunt lovite de un dezastru major pentru care nu s-au pregătit niciodată în mod adecvat. Acest lucru este regretabil, deoarece există documentație din abundență care exemplifică metode de prevenție care pot fi luate. Orice companie, indiferent de dimensiune, își poate îmbunătăți șansele de a trece fără incidente printr-un eveniment perturbator – cu brandul intact și veniturile nediminuate – urmând niște strategii testate, validate și de încredere, indiferent dacă alege sau nu să fie efectiv certificată la final cu standardul ISO 22301. 

1. Identificați și clasificați amenințările

Alcătuiți o listă cu incidentele potențial perturbatoare care sunt cel mai probabil să vă amenințe afacerea. Realizați o listă personalizată, pentru că amenințările variază mult în funcție de amplasamentul business-ului. De exemplu, în anumite zone geografice, există un nivel relativ ridicat de conștientizare a cutremurelor și incendiilor de vegetație și multe organizații au derulat procese specifice de planificare și pregătire pentru dezastre, având în vedere aceste evenimente probabile. Câteva exemple de întrebări de luat în calcul ar putea fi: 

• Ce pericole naturale distincte sunt specifice zonei în care se află compania dvs? 
• Cum se poate interveni în cazul unei încălcări severe a securității datelor sau a unei întreruperi catastrofale a proceselor IT, care se poate întâmpla în teorie în orice moment? 
• Cum să reacționați dacă o catastrofă naturală sau un accident de orice natură blochează accesul la sediu zile în șir? 
• Cât de dependentă este afacerea de furnizorii terți?

O tehnică bună de lucru în această etapă este cea prin care includeți oameni din toate departamentele într-o sesiune de brainstorming. Rezultatul va fi o listă de scenarii clasificate în funcție de probabilitatea de apariție și de potențialul impact negativ asociat fiecăruia. În exemplele oferite la finalul articolului puteți găsi o listă de bază de amenințări în OFB-EZ.

2. Efectuați o analiză de impact asupra afacerii

Trebuie să identificați care părți ale afacerii dvs. sunt cele mai importante pentru supraviețuirea acesteia. O modalitate de a stabili aceste elemente este să începeți prin a detalia funcțiile, procesele, personalul, locurile și sistemele care sunt esențiale pentru funcționarea organizației. Liderul proiectului de continuitate poate face acest lucru intervievând angajații din fiecare departament și compilând rezultatele într-un tabel care listează funcțiile, persoana sau persoanele cheie și persoana sau persoanele alternative.

Apoi determinați numărul de zile de supraviețuire pentru fiecare funcție business. Cât timp poate rezista afacerea dvs. fără această funcție, fără să apară un impact serios? În continuare, clasificați impactul fiecărei funcții, în scenariul în care nu este disponibilă. De exemplu, expertul în recuperare în caz de dezastru, Michael Miora, sugerează utilizarea unei scale de la 1 la 4, unde 1 = impact operațional critic sau pierdere fiscală și 4 = fără impact pe termen scurt. Dacă înmulțiți impactul (de la 1 la 4) cu numărul de zile de supraviețuire, puteți vedea care funcții de business sunt cele mai importante. În partea cea mai de sus a tabelului vor fi listate, de pildă, dacă ele există întocmai, acele funcții cu impact major, care sunt asociate cu o singură zi de supraviețuire a companiei (în cazul indisponibilității funcțiilor respective). 

3. Creați planul de răspuns și recuperare

În acest pas trebuie să catalogați toate datele cheie legate de activele implicate în îndeplinirea funcțiilor critice, inclusiv sisteme IT, personal, facilități, furnizori și clienți. Pentru acest pas, sunt necesare informații precum: numerele de serie ale echipamentelor, acorduri de licență, contracte de leasing, garanții, detalii de contact. Va trebui să indicați persoane de contact prestabilite (pe cine să apelați) pentru fiecare categorie de incident și să creați un arbore de contacte, astfel încât apelurile potrivite să fie efectuate, în ordinea corectă. De asemenea, aveți nevoie de o listă cu purtătorii de cuvânt desemnați (cine poate spune și ce) pentru a controla interacțiunea cu mass-media în timpul unui incident. Luați în considerare o strategie „CEO only”, dacă incidentul este unul delicat, în care informațiile și comunicatele sunt oferite doar de CEO.

Orice proceduri pe care le aveți în vigoare, pentru tranziția operațiunilor dvs. către locații temporare și facilități IT alternative, ar trebui de asemenea să fie documentate în această fază. Nu uitați să includeți  și un proces de notificare și o procedură de consiliere pentru clienți.

Pașii pentru recuperarea operațiunilor cheie ar trebui să fie prezentați într-o secvență care să țină cont de interdependențele funcționale. Când planul este gata, asigurați-vă că instruiți managerii cu privire la detaliile relevante pentru fiecare departament și la importanța planului general pentru supraviețuirea companiei în eventualitatea unui incident sever.

4. Testați planul și perfecționați analiza

Majoritatea experților BCM recomandă cel puțin o testare anuală a acestui plan de continuitate, cu exerciții, analize sau simulări. Aceste teste vă permit să profitați la maximum de investiția dvs. de timp în crearea planului, vă ajută să găsiți lacune în procese și să observați și să țineți cont de schimbările care au apărut la nivelul business-ului de-a lungul timpului. 

În mod clar, acești patru pași presupun un demers de amploare semnificativă, dar companiile ignoră pe propriul risc beneficiile enorme pe care o astfel de strategie defensivă le poate aduce. Dacă sarcina poate să pară descurajantă pentru a fi întreprinsă la nivelul întregii companii, luați în considerare să începeți cu câteva departamente sau cu una dintre sucursale, dacă dețineți mai multe. Tot ceea ce învățați în acest proces poate fi apoi aplicat ulterior pe scară extinsă. Este foarte importantă abordarea inițială referitoare la incidentele perturbatoare posibile: dacă ignorați probabilitatea ca acestea să se întâmple vreodată, nu înseamnă că nu pot apărea accidente severe și dacă subestimați consecințele lor potențiale asupra afacerii dvs, pe premiza optimistă a răului tolerabil, nu înseamnă că așa se vor petrece lucrurile întotdeauna. 

Așa cum am menționat și mai devreme, iată câteva resurse suplimentare, inclusiv un set gratuit de șabloane pentru elaborarea unui program de management al continuității afacerii.

Resurse pentru programul BCM

OFB-EZ - Stay open for business toolkit: Acesta este un set de instrumente simplificat pentru protecția în caz de dezastre și planificarea recuperării pentru întreprinderile mici și mijlocii, ce oferă liste, formulare și șabloane. Un prim pas pentru ca organizația dvs. să înceapă procesul BCM. 

• https://www.disastersafety.org/disastersafety/open-for-business-ez

BCI Horizon Scan 2014: raportul anual definitoriu privind starea actuală a BCM, oferit gratuit de Institutul de Continuitate a Afacerii (este necesară o înregistrare simplă, prealabilă) 

• http://www.thebci.org/index.php/the-2014-bci-horizon-scan

„Planificarea pregătirii pentru dezastre: menținerea continuității afacerii în timpul crizei, cum tratăm incidentul și metode de redresare”: este o bună introducere în temă. 

• https://www.chase.com/online/commercial-bank/document/Perspective_DisasterPreparedness.pdf

Ghid de bună practică pentru BCI: Considerat de mulți a fi piatra de temelie a BCM, este oferit gratuit în cazul subscripției anuale la BCI.

• http://www.thebci.org

Standardul NFPA 1600 privind Managementul dezastrelor/urgențelor și Programe de continuitate a activității: distribuit gratuit de Asociația Națională pentru Protecția împotriva incendiilor (este necesară înregistrarea prealabilă), acest document listează toate lucrurile pe care trebuie să le cuprindeți într-un program complet BCM.

• https://www.nfpa.org

Jurnalul de recuperare în caz de dezastru: unul dintre cele mai bune site-uri web pentru elaborarea planului de continuitate BCM 

• http://www.drj.com

Șablon TechTarget Business Impact Analysis: unul dintre cele câteva șabloane gratuite pentru a vă ajuta să abordați problema crucială a BIA (Business Impact Analysis)

• http://searchdisasterrecovery.techtarget.com/feature/Using-a-business-impact-analysis-BIA-template-A-free-BIA-template-and-guide

Șablon ISACA Business Impact Analysis: vă ajută să abordați problema crucială a BIA (Business Impact Analysis)

• http://www.isaca.org/Groups/Professional-English/business-continuity-disaster-recovery-planning/GroupDocuments/Business_Impact_Analysis_blank.doc

Continuity Central US: un bun site web cu îndrumări pentru planul BCM (Business Continuity Management)

• http://www.continuitycentral.com/namerica.htm

Continuity Central UK: un bun site web cu îndrumări pentru planul BCM (Business Continuity Management)

• http://www.continuitycentral.com

Șablon de analiză a impactului asupra afacerii NIST

• http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_bia_template.docx

Ghid de planificare pentru situații de urgență pentru sistemele informaționale federale: acest plan este necesar și în cazul instituțiilor guvernamentale

• http://csrc.nist.gov/publications/nistpubs/800-34-rev1/sp800-34-rev1_errata-Nov11-2010.pdf

Planul de continuitate a afacerii MIT: acest plan este necesar și în cazul instituțiilor de învățământ 

• http://web.mit.edu/security/www/pubplan.htm

Broșura de planificare a continuității activității, concepută de Consiliul de examinare a instituțiilor financiare federale (FFIEC)

• http://ithandbook.ffiec.gov/it-booklets/business-continuity-planning.aspx

Cele mai recente teste de continuitate a afacerii și titluri de știri privind simulările, oferite de Continuity Central

• http://www.continuitycentral.com/bctenews.htm

Jim Burtles - Principii și practici ale continuității afacerii, instrumente și tehnici 

• http://www.amazon.com/gp/product/1931332398