ciągłość działania biznesu - I

CYBER INFO - NR 2 STYCZEŃ 2017
CIĄGŁOŚĆ DZIAŁANIA BIZNESU
W drugim numerze naszego pisma chcielibyśmy przybliżyć
Czytelnikom zagadnienia związane z utrzymaniem ciągłości
działania. Z uwagi na obszerność tematu, który związany jest
z odpowiednią kulturą organizacyjną i zarządzaniem jakością
oczywistym jest, że na kilku stronach nie będziemy w stanie
poruszyć wszystkich aspektów tego zagadnienia. Dlatego
chcielibyśmy zwrócić uwagę jedynie na najważniejsze –
z naszego, związanego z bezpieczeństwem, punktu widzenia. Bo,
jak niektórzy - patrzący z innej strony - badacze twierdzą:
cyberbezpieczeństwo polega na zapewnieniu ciągłości działania
systemów informatycznych.
Zarządzanie ryzykiem
Zarządzanie
bezpieczeństwem
informacji
Zarządzanie
ciągłością
biznesu
Zarządzanie IT
Rys. 1
Początki
Podstawą zarządzania ciągłością działania jest zbiór dobrych praktyk z zakresu zarządzania
kryzysowego oraz planów awaryjnych. W 2006 r. pojawiła się norma British Standard 25999-1: 2006 –
Business Continuity Management, która zebrała dotychczasową wiedzę na temat ciągłości działania.
Jej międzynarodowym odpowiednikiem jest norma ISO
22301:2012 – Societal security, Business continuity management
Terminy:
Requirements. Według tej normy system zarządzania ciągłością
BIA - Business Impact Analysis działania (BCMS) jest udokumentowaną formą odpowiedzi
Analiza wpływu na biznes;
organizacji na zdarzenia krytyczne, takie jak pożar, powódź,
RA - Risk Analysis - Analiza
awaria techniczna, strajk, pandemia czy niekorzystna zmiana
ryzyka;
przepisów
prawnych. System BCMS ma chronić nie tylko przed
RTO - Recovery Time Objective zdarzeniami krytycznymi, ograniczając prawdopodobieństwo ich
Docelowy czas odtworzenia;
RPO - Recovery Point Objective wystąpienia, ale i przygotowując do szybkiego odzyskania
Docelowy Punkt Odzyskiwania;
sprawności w przypadku wystąpienia takiego zdarzenia. Zgodnie
CRA - Continuity Requirement
z normą system zarządzania ciągłością działania, powinien
Analysis - Analiza wymagań
opierać
się na modelu „Plan – Do – Check – Act” (PDCA). Wdrożone
ciągłości działania;
procedury zmieniają się i ewoluują wraz z organizacją.
SLA - Servis Level Agreement Porozumienie dotyczące poziomu
usług;
MTPD - Maximum Tolerable
Period of Disruption Maksymalny dopuszczalny okres
zakłócenia;
BCP - Business Continuity Plan Plan ciągłości działania;
DRP - Disaster Recovery Plan Plan awaryjny - tzw. plan
odtworzeniowy;
BCMS - Business Continuity
Management System.
I-BS.pl sp. z o. o.
ul. Solidarności 2A
37-450 Stalowa Wola
Klasyczne etapy zapewnienia ciągłości działania biznesu to:
1. zrozumienie biznesu (modelowanie procesów,
analiza BIA i RA),
2. określeniu strategii ciągłości działania,
3. opracowaniu środków przeciwdziałania oraz
planów awaryjnych, planów odtworzeniowych,
4. wdrożenie,
5. testowanie,
6. doskonalenie (rozwiązań, planów, ludzi), audyty.
www.i-bs.pl
ebo24.pl
www.ibsenergia.pl
CYBER INFO - NR 2 STYCZEŃ 2017
W tematyce zapewnienia ciągłości działania jest kilka ważnych zagadnień,
dlatego na nich szczególnie chcielibyśmy zwrócić uwagę.
01
Po pierwsze podejście procesowe. Stworzenie modelu procesów funkcjonujących
w organizacji (rys. nr 2), a potem wyodrębnienie z nich procesów kluczowych z punktu widzenia
prowadzonej działalności gospodarczej (BIA).
02 Po drugie komunikacja. Jakoś mało się mówi o tym, że w zarządzaniu kryzysem, jakim może być
możliwa utrata ciągłości działania, wcześniejsze przygotowanie kanałów komunikacyjnych,
scenariuszy zachowań może być kluczowe i musi być to zrobione wcześniej, zanim dojdzie do sytuacji
wykorzystywania tego typu komunikacji.
03 Po trzecie komunikacja musi być bezpieczna i przekazywane informacje nie mogą stwarzać
poczucia dodatkowego chaosu lub ujawniać faktów, które mogą odbić się negatywnie na
prowadzonym biznesie.
04 Po czwarte pracownicy powinni znać i rozumieć – w sposób zależny od stanowiska - strategię
działania organizacji. W sytuacji kryzysowej będą musieli działać według planów, procedur
i instrukcji, ale znacznie lepiej będą wykonywać te zadania, będąc w miarę potrzeb zaznajomionymi
z dziedzinami przedstawionymi na rysunku nr 1.
05 Po piąte wykonywanie testów. Istotą tworzenia planów ciągłości działania jest założenie, że
plany są testowane, a zdobyta wiedza wpływa na doskonalenie scenariuszy testowych
i modyfikowanie planów. Nie jest tajemnicą, że wykonywanie testów w środowiskach produkcyjnych
jest dużym problemem i bardzo często jest ograniczane do minimum. Praktycznie wygląda to tak, że
testuje się jakiś fragment planu na ograniczonej infrastrukturze, a wyniki przenosi się potem na
docelowy obszar. W efekcie mamy wykonane testy, dokumentację z testów, i … złudne poczucie, że
praca została wykonana. Mało tego, w zasadzie nikt nie przejmuje się tym, że odbyte testy to fikcja,
albo że raporty z testów nie odzwierciedlają rzeczywistości. Każdy kto kiedykolwiek próbował
zajmować się skutecznością testów, może podać usłyszane od decydentów argumenty za
nierobieniem testów: są kosztowne, utrudniają pracę i odrywają od bieżącej pracy. Łatwo można
odpowiedzieć, podając przykłady firm, które doznały dużych strat lub zbankrutowały. Ich właściciele
lub menedżerowie obecnie mają zdecydowanie odmienne niż wcześniej zdanie na temat testów.
Tylko, że teraz już jest za późno.
06
Po szóste realna efektywność wprowadzonych czasów i miar: RTO, RPO, MTPD. Przyjęte
wielkości nie powinny wynikać wyłącznie z papierowych analiz, nawet opartych o wiedzę
i doświadczenie, czy symulacji, ale być oparte na rzeczywistych testach, które pokazują jak to
rzeczywiście się odbywa, gdzie są wąskie gardła, gdzie mogą wystąpić ewentualne problemy.
Pomóc mogą rozwiązania informatyczne, które nie są tylko narzędziem do tworzenia backupu,
zabezpieczeniem danych przed utratą, ale dają gwarancję odtworzenia po incydencie lub zakłóceniu
ciągłości działania. Bo najważniejsze nie jest samo posiadanie kopii danych, najważniejsza jest
możliwość szybkiego przywrócenia działania biznesu.
I-BS.pl sp. z o. o.
ul. Solidarności 2A
37-450 Stalowa Wola
www.i-bs.pl
ebo24.pl
www.ibsenergia.pl
CYBER INFO - NR 2 STYCZEŃ 2017
Właściwa komunikacja w procesie zapewnienia ciągłości działania jest kluczowa.
Organizacja w sytuacji kryzysowej staje się obiektem szczególnej uwagi i jest wnikliwie
obserwowana przez otoczenie. Klienci, partnerzy, media oczekują informacji. Z drugie strony pojawia
się uczucie osaczenia. Pracownicy zaczynają odczuwać niepewność i starają się filtrować informacje
przekazywane na zewnątrz. W takiej sytuacji, kiedy wszystko przestaje działać, pojawiają się dziwne
przecieki i zaczyna dominować panika. Aby uniknąć takiej sytuacji potrzebne jest stworzenie planu
komunikacji kryzysowej.
Model klasyfikacji procesów APQC
Plan komunikacji kryzysowej może się
składać z następujących etapów:
1. Budowa zespołu kryzysowego, na czele
którego powinien stanąć (przeważnie) prezes;
2. Ustalenie źródła informacji dla mediów.
Powinien to być ktoś wysoko postawiony
w hierarchii firmy. Informacje powinny być
przekazywane językiem powszechnie
zrozumiałym, bez żargonu, technikaliów;
3. Wybranie środków przekazu. Lepiej samemu
wybrać takie media i dziennikarzy, którzy
przekażą właściwe informacje bez uproszczeń
i sensacji;
4. Określenie środków komunikacji
z pracownikami. Powinni oni być informowani
wcześniej niż inni oraz otrzymać wszelkie
informacje o sytuacji i jak jest rozwiązywana.
5. Przygotowanie tzw. argumentów: specyfikacji
technicznych, analiz, opracowań, broszur
reklamowych, biografii osób zarządzających.
Można przygotować wstępne notatki prasowe;
6. Przygotowanie listy użytecznych stwierdzeń
i sformułowań. Pozwoli to uniknąć wrażenia
powtarzania się, wyuczenia na pamięć itp.;
7. Opracowanie scenariuszy zdarzeń
kryzysowych i związanych z tym komunikatów.
Można skorzystać z analiz ryzyka. Scenariusze
powinny opisywać etapy takich zdarzeń oraz
działań, które doprowadzą do likwidacji
kryzysu.
8. Opracowanie awaryjnych zasad komunikacji
wewnątrz i na zewnątrz firmy.
I-BS.pl sp. z o. o.
ul. Solidarności 2A
37-450 Stalowa Wola
PROCESY OPERACYJNE
1.0
Opracowanie
wizji
i strategii
> > >
2.0
Rozwój
i zarządzanie
produktami
i usługami
3.0
> > >
Marketing
i sprzedaż
produktów
i usług
> > >
4.0
5.0
> > >
Zaopatrzenie,
realizacja
i dostawa
produktów/usług
Zarządzanie
obsługą
klienta
PROCESY WSPOMAGAJĄCE
6.0
Organizacja i zarządzanie kapitałem ludzkim (Human Resources Management - HRM)
7.0
Zarządzanie technologią informacyjną (IT)
8.0
Zarządzanie zasobami finansowymi
9.0
Nabywanie, budowa i zarządzanie mieniem
10.0
Zarządzanie ochroną środowiska oraz bezpieczeństwem i higieną pracy (EHS)
11.0
Zarządzanie relacjami zewnętrznymi
12.0
Zarządzanie wiedzą, doskonaleniem i zmianą (Knowledge Management - KM)
Rys. 2
Plany awaryjne mogą zakładać wszystko.
Eran Feigenbaum – były szef bezpieczeństwa
w Google – zdradził kiedyś w wywiadzie, że
w jego byłej firmie testowano bardzo różne
scenariusze zdarzeń, często zakładające
najgorsze z możliwych sytuacji. Niektóre
wydawały się szokujące – zwłaszcza dla laika –
atak kosmitów, czy zniknięcie Kalifornii z mapy.
Według Feigenbauma incydenty zdarzają się
i będą zdarzać się zawsze.
www.i-bs.pl
ebo24.pl
www.ibsenergia.pl
CYBER INFO - NR 2 STYCZEŃ 2017
Od prewencji do postepowania ze skutkami
KONTEKST SPOŁECZNO-EKONOMICZNO-PRAWNY
Niepewności związane z prowadzeniem działalności gospodarczej
Organizacja
Działania prewencyjne: modelowanie procesów,
BIA, RA, wyznaczenie RTO, RPO, opracowanie BCP i DRP
ZDARZENIE
Postępowanie ze skutkami
Odtwarzanie stanu
przed wystąpieniem
zdarzenia DRP
Modyfikacja,
aktualizacja,
szkolenia
Modyfikacja,
aktualizacja,
szkolenia
Testy planów awaryjnych:
Mówi się o trzech rodzajach testów:
1. test notyfikacyjny – weryfikacja kompletności
planu;
2. test papierowy – sprawdzenie roli uczestników
planu, może mieć formę gry;
3.test operacyjny – pełny test, polega na
sprawdzeniu działania procesu, przeniesieniu
procesu lub wielu procesów do lokalizacji
zastępczych.
Rozwiązaniem minimalnym jest realizacja
punktu 2, idealnym jest zrealizowanie punktu 1
i 2, i jak najwięcej procesów z punktu 3.
Życie pokazuje, że najczęściej pozostaje się na
poziomie 1.
Zapewnienie funkcjonowania
w warunkach występowania
zdarzenia lub jego skutku BCP
Rys. 3
Zastanawiając się nad wdrożeniem mechanizmów związanych z zapewnieniem
ciągłości działania, warto przemyśleć kilka spraw:
1. Ciągłość działania może być różnie rozumiana i warto przeprowadzić gradację ważności funkcji
i procesów, a przede wszystkim zwrócić uwagę na na czynnik kosztów i granice ustępstw co do
sprawności i jakości działania, może nie wszystkie aspekty działania organizacji wymagają
utrzymywania i w sytuacji kryzysowej przez pewien czas można z nich zrezygnować albo je
ograniczyć;
2. Często zamiast rozwiązań typowo technicznych, które z reguły są najdroższe, najbardziej
skomplikowane, warto skorzystać z rozwiązań organizacyjnych czy prawnych;
3. Możliwości organizacji są ograniczone i przeważnie w warunkach normalnych pracuje ona na
maksimum swoich możliwości. W obliczu sytuacji awaryjnych, kryzysowych warto upraszczać
problemy i rozsądnie ograniczać działalność;
4. Proste rozwiązania są bardzo pożądane w sytuacjach kryzysowych, bo każde nowe rozwiązanie
związane jest z nowymi zagrożeniami i każde zwłaszcza techniczne, informatyczne rozwiązanie
może spowodować nowe, często jeszcze większe problemy, zwłaszcza wdrażane na szybko i bez
testów;
5. Sytuacje kryzysowe są też szansą na sprawdzenie kwalifikacji i umiejętności posiadanego
zespołu, pewne umiejętności wymagają doświadczeń i szans na ich zdobycie.
FeniX Disaster Recovery jest kompleksowym zabezpieczeniem
danych przed ich utratą oraz gwarancją ich odtworzenia po
incydencie lub kryzysie. Dzięki niemu firma może zbudować
swoją politykę ciągłości działania. FeniX zbudowany jest
w oparciu o silnik ASIGRA spełniający wymogi FIPS 140-2. Klient
otrzymuje kompleksowe rozwiązanie backupu i odtwarzania po
kryzysie i dostęp do wielu scenariuszy odtworzeniowych.
I-BS.pl sp. z o. o.
ul. Solidarności 2A
37-450 Stalowa Wola
www.i-bs.pl
ebo24.pl
www.ibsenergia.pl