Obecnie organizacje w olbrzymim stopniu polegają na technologii cyfrowej. Oznacza to, że zagrożenia dla infrastruktury i powiązanych z nią procesów stanowią jednocześnie zagrożenia dla całej firmy. Mogą być nimi np. awarie infrastruktury, cyberataki czy katastrofy naturalne, wszystkie prowadząc do realnych strat. Sposobem na ich zminimalizowanie jest Plan Ciągłości Działania. 

Dlaczego powinno się stworzyć Plan Ciągłości Działania?

Plan Ciągłości Działania (Business Continuity Plan — BCP) pozwala sprawnie reagować na sytuacje kryzysowe. Na podstawie identyfikacji kluczowych dla organizacji procesów oraz przewidywań możliwych zagrożeń, określa działania mające prowadzić do zminimalizowania strat. Jednocześnie jest to szansa na ocenę jakości zabezpieczeń oraz istniejących w firmie procedur, przez co organizacja uzyskuje lepszy wgląd w siebie.  

Funkcjonowanie bez dobrze przemyślanego Planu Ciągłości Działania to stąpanie po cienkim lodzie, ponieważ sytuacje kryzysowe wcześniej czy później dotykają większość organizacji. Zaburzenie istotnych dla firmy procesów może prowadzić do realnych strat w postaci spadku wyceny giełdowej spółki [link do Cyberbezpieczeństwo…], utraty zaufania klientów czy nadszarpnięcia jej reputacji jako pracodawcy. Ponadto, gdy organizacja nie dysponuje Planem Ciągłości Działania, jest skazana na chaotyczne „gaszenie pożarów” wynikłych z kryzysu, co potrafi być bardzo kosztowne. 

Ważne jest jednak, aby nie tylko Planem dysponować, ale także jego przygotowanie przeprowadzić jak najrzetelniej i z dużą dozą umiejętności przewidywania. Oczywiście nie sprawi to, że organizacja wyjdzie z każdego kryzysu bez szwanku, ale powoli sprawić, aby ewentualne straty były mniej dolegliwe.

Wzorce Planów Ciągłości Działania

Istnieje wiele standardów, na podstawie których można tworzyć BCP. Należy do nich np. publicznie dostępny Contingency Planning Guide for Federal Information Systems stworzony przez amerykański instytut NIST dla agencji rządowych USA. Powszechnie uznanym dokumentem (rekomendowanym np. przez Komisję Nadzoru Finansowego dla działających w Polsce banków), w którym można znaleźć zalecane schematy działania w kwestii zarządzania ryzykiem, jest także COBIT. Wzorem dla BCP mogą być również normy PN-ISO/IEC-1779, PN-ISO/IEC 24762:2010 czy BS 25999-1.

Przygotowania do stworzenia Planu

Aby sformułować Plan Ciągłości Działania, należy przeprowadzić analizy przygotowawcze. Są to:

 

  • analiza ryzyka (RA — Risk Analysis)

 

Podczas analizy ryzyka identyfikuje się zagrożenia dla procesów organizacji oraz ocenia, które z nich mogą wywrzeć na nią najbardziej destrukcyjny wpływ i jakie jest prawdopodobieństwo ich wystąpienia. RA pozwala uzmysłowić sobie stopień podatności organizacji na zagrożenia oraz określić, które zasoby i elementy infrastruktury są kluczowe dla jej funkcjonowania. Dzięki temu łatwiej podjąć działania mające na celu zabezpieczenie się przed utratą ciągłości działania firmy.

Jednymi z możliwych zagrożeń są coraz częstsze ataki hakerskie czy ransomware. Dlatego też należy zwrócić szczególną uwagę na zagadnienie cyberbezpieczeństwa. Trzeba pamiętać jednak, że niemożliwe jest zidentyfikowanie wszystkich możliwych zagrożeń. Dlatego też w tworzeniu Planu Ciągłości Działania należy wykazać się daleko posuniętą elastycznością. 

  • Business Impact Analysys (BIA)

Stworzenie BCP powinno być również poprzedzone analizie służącej wskazaniu obszarów, dla których kluczowe jest zachowanie ciągłości działania. Wykorzystuje się do tego Business Impact Analysys (BIA), pozwalającą określić możliwe straty wynikające z zakłóceń funkcjonowania danych procesów. Zaliczyć należy do nich nie tylko straty finansowe, ale również wpływ braku ciągłości działania na wizerunek firmy czy satysfakcję klientów. 

Dzięki BIA można wyznaczyć krytyczne dla firmy procesy oraz zasoby IT, lokalizacje i zasoby ludzkie, które są konieczne dla ich utrzymania. Określa się również maksymalny czas, przez jaki dany proces może być niedostępny oraz produkty organizacji, które są powiązane z procesami.

Do każdego analizowanego w BIA procesu przypisuje się dwa parametry: RTO i RPO. RTO (Recovery Time Objective) oznacza czas potrzebny do przywrócenia procesów po wystąpieniu awarii. RPO (Recovery Point Objective) natomiast to akceptowalny poziom utraty danych wyrażony w czasie.

Wartościowanie analizowanych procesów oparte jest na podstawie strat, jakie może wywołać ich zakłócenie. Dla każdego z nich wyznaczany jest MTPD (Maximum Tolerable Period of Disruption), czyli maksymalny tolerowany okres trwania zakłócenia. Im ten czas jest krótszy, tym proces ma większe znaczenie dla ciągłości działania organizacji. 

Jak opracować Plan Ciągłości Działania

Tworząc BCP, należy opierać się na powyższych analizach, przeprowadzonych możliwie najrzetelniej. Ważne też, aby w tworzenie planu zaangażowani byli pracownicy wszystkich działów, które mają styczność z zagrożonymi procesami. Dzięki temu BCP będzie opierał się na doświadczeniu specjalistów danych dziedzin. Sprawi to, że nie stanie się oderwanym od rzeczywistości, odgórnie skonstruowanym dokumentem.

Zaplanować należy również testy, podczas których realizowane będą procedury w przypadku powstania przewidywanych zagrożeń. Przeprowadzenie testów pozwala przećwiczyć koordynację działań oraz sprawdzić poprawność i możliwość wprowadzenia w życie BCP.

Plan Ciągłości Działania nie powinien być zamkniętym dokumentem, obowiązującym latami. Należy go regularnie aktualizować w miarę pojawiania się nowych zagrożeń oraz zmian w infrastrukturze organizacji. Trzeba również pamiętać, aby każdy nowy pracownik firmy został należycie przeszkolony w zakresie zapewnienia ciągłości działania.

Wraz z BCP należy opracować także Disaster Recovery Plan (DRP), czyli plan odzyskiwania danych po wystąpieniu zakłócenia. Wymienione powinny w nim być konkretne kroki, które należy wykonać, aby przywrócić ciągłość działania organizacji oraz wskazany zespół reagowania kryzysowego (dzięki czemu wiadomo, kto w krytycznej sytuacji jest odpowiedzialny za zaplanowane akcje). 

PODSUMOWANIE

Rzetelnie opracowany Plan Ciągłości Działania jest niezbędny dla minimalizacji strat wywołanych ewentualną sytuacją krytyczną. Poprzedzić go musi przeprowadzenie analizy ryzyka, która pozwoli zidentyfikować możliwe zagrożenia oraz zdiagnozować odporność na nie organizacji. Wykonać należy także Business Impact Analysis, dzięki której można określić kluczowe dla firmy procesy oraz straty mogące wyniknąć z ich zakłócenia.

W redagowaniu Planu Ciągłości Działania powinna uczestniczyć możliwie jak największa ilość specjalistów zajmujących się danymi procesami. Należy także przeprowadzać testy ustalonych procedur oraz regularnie aktualizować plan. Dla infrastruktury informatycznej powinien być również przygotowany Disaster Recovery Plan, wskazujący działania mające na celu odzyskanie utraconych w wyniku sytuacji krytycznej danych.

Jeżeli Twoja firma jest zainteresowana przygotowaniem i wdrożeniem Planu Ciągłości Działania, skorzystaj z pomocy Eskom. Mamy wieloletnie doświadczenie w realizacji usług zarządzania kryzysowego, będąc przy tym ekspertami od cyfrowego aspektu funkcjonowania organizacji. Na podstawie rzetelnej analizy rynku i analizy wpływu zdarzeń na działania biznesowe, opracowujemy szczegółowe i realne do wdrożenia scenariusze działań w wypadku sytuacji kryzysowej. Dzięki temu Twoja firma może uniknąć strat związanych z zakłóceniem krytycznych procesów lub je zminimalizować.