Zarządzanie ciągłością działania. Plan ciągłości działania

Sytuacje kryzysowe a zarządzanie ciągłością działania

W sytuacjach kryzysowych firmy i instytucje muszą nadal mieć dostęp do informacji, aby móc przywrócić produkcję, proces biznesowy, system informatyczny lub specjalistyczne zadania. Aby móc utrzymać bezpieczeństwo informacji nawet w sytuacji kryzysowej, należy zaplanować, ustanowić i poddać przeglądowi odpowiednie procesy.

Optymalne przygotowanie i zarządzanie w sytuacjach kryzysowych jest możliwe tylko wtedy, gdy zastosuje się planowe i zorganizowane podejście. Profesjonalny proces zarządzania kryzysowego ogranicza skutki sytuacji kryzysowej, a tym samym zapewnia funkcjonowanie i ciągłość działania instytucji. Należy określić i wdrożyć odpowiednie środki, aby wzmocnić i zabezpieczyć przed awariami krytyczne czasowo procesy biznesowe i zadania specjalistyczne. Z drugiej strony środki te powinny umożliwiać szybkie i celowe reagowanie w sytuacjach kryzysowych.

Utrzymanie bezpieczeństwa informacji w sytuacjach kryzysowych musi być zintegrowane z nadrzędnym zarządzaniem kryzysowym, a najlepiej z Systemem Zarządzania Kryzysowego i Systemem Zarządzania Ciągłością Działania.

Audyt_RODO_wdrozenie_RODO_cybers-1-1024x540 Zarządzanie ciągłością działania. Plan ciągłości działania
RODO Security Polska

Planowanie ciągłości działania. Budowanie odporności

Aktualna sytuacja w Europie Wschodniej jeszcze bardziej i bezpośrednio determinuje przygotowanie i uaktualnienie Planów Ciągłości Działania i wdrożenie efektywnego zarządzania. Aby pomóc Państwa organizacji i lepiej przygotować się do zminimalizowania przerw w świadczeniu usług i utrzymania normalnych operacji biznesowych w sytuacjach awaryjnych lub kryzysowych, przygotowaliśmy pakiet usług „Zarządzania ciągłością działania”, który ma na celu stworzenie, aktualizowanie lub ulepszanie planu ciągłości biznesowej organizacji.

Nasze wsparcie i Plan Ciągłości Działania zapewnia skuteczne przygotowanie firmy i instytucji na sytuacje kryzysowe. Przygotujemy Państwa pracowników (użytkowników) do wdrożenia Planu Ciągłości Działania.

Bezpieczeństwo i odporność. Systemy zarządzania ciągłością działania

Przedsiębiorstwa prywatne i jednostki administracji publicznej stoją przed wyzwaniem, jakim jest konieczność ciągłego świadczenia usług w sposób coraz bardziej efektywny i bezpieczny. Przyczyniają się do tego różne zmiany i trendy w społeczeństwie i gospodarce, np. rosnące wymagania różnych grup interesu (np. klientów, organów nadzorczych), globalna konkurencja i postępująca cyfryzacja. W rezultacie instytucje stają się coraz bardziej zależne od technologii informatycznych (IT), funkcjonujących łańcuchów dostaw oraz usług osób trzecich, np. usługodawców, dostawców i przedsiębiorstw użyteczności publicznej. Dostępność procesów biznesowych lub specjalistycznych zadań staje się dla instytucji kwestią egzystencji.

Jednocześnie rośnie ryzyko, które może mieć istotny wpływ na działalność biznesową lub realizację zadań instytucji, a nawet prowadzić do szkód zagrażających samemu istnieniu instytucji. Należą do nich np. nieustanne ataki cybernetyczne, wojna na Ukrainie, przerwane łańcuchy dostaw, kryzys energetyczny lub inne ekstremalne zjawiska naturalne (zmiany klimatu), przed którymi instytucje nie mogą się w pełni zabezpieczyć.

Istotne są również nowe i liczne projekty legislacyjne, zmiany w przepisach pod rygorem wysokich kar w Unii Europejskiej, w Wielkiej Brytanii, w USA i wielu innych krajach, które wymuszają zwiększanie odporności organizacyjnej i sektorowej (w szczególności odporności cybernetycznej).

Przedsiębiorstwa i jednostki administracji publicznej starają się chronić za pomocą informatycznych zabezpieczeń, jednak liczne cyberataki w ostatnich latach wielokrotnie prowadziły do awarii krytycznych procesów biznesowych. Zwłaszcza ataki typu ransomware stały się wysokim zagrożeniem.

Z drugiej strony, stopniowe zwiększanie wydajności procesów biznesowych zapewnia skrócenie do minimum czasu bezczynności i buforowania. Aby zaoszczędzić przestrzeń magazynową, do minimum ograniczono również zasoby wymagane w logistyce i produkcji. W praktyce jednak skraca to również czas, w którym można odpowiednio zareagować na awarie w procesach biznesowych i powstrzymać ich natychmiastowe skutki. W związku z tym wzrasta potrzeba podjęcia kompleksowych środków zapobiegawczych przeciwko niepowodzeniom w działalności gospodarczej.

Dzięki odpowiedniemu zarządzaniu ciągłością działania (BCM) instytucje mogą zabezpieczyć się przed szkodliwymi zdarzeniami, które mają niedopuszczalny wpływ na działalność biznesową.

Cel wdrożenia zarządzania ciągłością działania

Utracone przychody plus dodatkowe wydatki oznaczają zmniejszone zyski. Ubezpieczenie nie pokrywa wszystkich kosztów i nie może zastąpić klientów, którzy mogą przejść do konkurencji. Plan ciągłości działania w celu kontynuowania działalności jest niezbędny dla każdej dużej i średniej organizacji. Również mniejsze podmioty powinny proporcjonalnie do swojej działalności wdrożyć plany ciągłości działania.

Celem Business Continuity Management (BCM) jest zapewnienie, że działalność biznesowa nie zostanie przerwana nawet w przypadku wystąpienia poważnych szkód (zapobieganie) lub że będzie można ją kontynuować w rozsądnym czasie po wystąpieniu awarii (reagowanie). BCM obejmuje środki organizacyjne, techniczne, strukturalne i personalne.

BCM nie jest jednorazowym projektem, ale wymaga ukierunkowanego i stale doskonalonego systemu zarządzania ciągłością działania (BCMS), który dostosowuje się do stale zmieniających się warunków ramowych instytucji. W ten sposób powstaje stały proces budowania odporności organizacyjnej.

Odporność organizacyjna to zdolność instytucji do reagowania na zmiany i przystosowywania się do nich. Im bardziej “odporna” jest instytucja, tym lepiej potrafi ona rozpoznawać zagrożenia i szanse wynikające z nagłych i stopniowych zmian wewnętrznych i zewnętrznych, a także elastycznie na nie reagować.

Odporności organizacyjnej nie buduje się za pomocą samodzielnego systemu zarządzania, lecz jest ona wynikiem integracji różnych dyscyplin zarządzania. Na odporność organizacji składają się: 1) bezpieczeństwo informacji, 2) zarządzanie ciągłością działania, 3) zarządzanie kryzysowe i 4) ciągłość usług informatycznych stanowią fundamenty tworzenia odporności odpowiedzialnej organizacji.

W jaki sposób wdrażamy Plan Ciągłości Działania?

Opracujemy dedykowany Plan Ciągłości Działania (Business Continuity Plan – BCP) i wdrożenie systemu zarządzania ciągłością działania (BCMS). Przedstawiamy ramy usługi doradczej;

  1. Przeprowadzamy analizę wpływu biznesowego, aby zidentyfikować funkcje i procesy biznesowe, które mają krytyczne znaczenie, oraz zasoby, które je wspierają.
  2. Identyfikujemy luki, dokumentujemy ocenę ryzyka i zagrożenia, wdrażamy m.in. polityki, procedury w celu odzyskania krytycznych funkcji i procesów biznesowych.
  3. Organizujemy zespół ds. ciągłości działania i opracowujemy plan ciągłości działania, aby zarządzać zakłóceniami biznesowymi.
  4. Przeprowadzamy szkolenie dla pracowników i zespołu ciągłości działania oraz wykonujemy testy i ćwiczenia w celu oceny strategii i planu naprawy.
  5. Realizujemy ewaluację bieżącą i ewaluację ex post planów Ciągłości Działania.
  6. Zwiększamy odporność organizacyjną podmiotu gospodarczego.
  7. Rekomendujemy również przeprowadzenie audytów bezpieczeństwa informacji, testów penetracyjnych, audytów cyberbezpieczeństwa i audytów ochrony danych osobowych.
  8. Wdrażamy Plany Ciągłości Działania dla całej organizacji oraz Plan Ciągłości Działania IT.

Nasz kompleksowy Plan Ciągłości Działania określa strukturę i wymagania dotyczące wdrożenia i utrzymania systemu zarządzania ciągłością działania (BCMS), który zapewnia ciągłość działania odpowiednią do wielkości i rodzaju wpływu, jaki organizacja może zaakceptować lub nie w następstwie zakłócenia.

Wyniki utrzymywania BCMS są kształtowane przez wymagania prawne, regulacyjne, organizacyjne i branżowe organizacji, dostarczane produkty i usługi, stosowane procesy, wielkość i strukturę organizacji oraz wymagania zainteresowanych stron.

W BCMS podkreśla się znaczenie:

  • zrozumienie potrzeb organizacji oraz konieczności ustanowienia polityki i celów w zakresie ciągłości działania;
  • operowanie i utrzymywanie procesów, zdolności i struktur reagowania w celu zapewnienia przetrwania zakłóceń przez organizację;
  • monitorowanie i przegląd wyników i skuteczności BCMS;
  • ciągłe doskonalenie oparte na środkach jakościowych i ilościowych.

BCMS, jak każdy inny system zarządzania, obejmuje następujące elementy:

a) polityki, procedury, narzędzia;

b) kompetentne osoby z określonym zakresem obowiązków;

c) procesy zarządzania dotyczące następujących obszarów:

  – polityka;

  – planowania;

   – wdrożenia i obsługi;

   – ocena skuteczności działania;

   – przeglądów zarządzania;

   – ciągłe doskonalenie;

d) udokumentowane informacje wspierające kontrolę operacyjną i umożliwiające ocenę wyników.

Technologia informatyczna a Plan Ciągłości Działania

Technologia informatyczna (IT) obejmuje wiele elementów, takich jak sieci, serwery, komputery stacjonarne i przenośne oraz urządzenia bezprzewodowe. Możliwość obsługi zarówno biurowej, jak i oprogramowania dla przedsiębiorstw ma kluczowe znaczenie. Dlatego należy opracować strategie odzyskiwania technologii informatycznych, aby można było przywrócić technologię na czas, aby zaspokoić potrzeby firmy. Ręczne obejścia powinny być częścią planu IT, aby firma mogła kontynuować działalność podczas przywracania systemów komputerowych.

Analiza wpływu ciągłości biznesowej

Analiza wpływu ciągłości biznesowej identyfikuje skutki wynikające z zakłócenia funkcji i procesów biznesowych. Wykorzystuje również informacje do podejmowania decyzji dotyczących priorytetów i strategii odzyskiwania;

  • skutki operacyjne i finansowe wynikające z utraty poszczególnych funkcji i procesów biznesowych,
  • moment, w którym utrata funkcji lub procesu spowodowałaby zidentyfikowane skutki biznesowe.

Te funkcje lub procesy o największym potencjalnym wpływie operacyjnym i finansowym stają się priorytetami przy odbudowie. Kluczowy jest moment, w którym funkcja lub proces musi zostać przywrócony, zanim mogą wystąpić niedopuszczalne konsekwencje.

Strategie odzyskiwania a przywracanie operacji biznesowych

Jeśli obiekt ulegnie uszkodzeniu, zepsują się maszyny produkcyjne, dostawca nie dostarczy lub zakłóci działanie technologii informacyjnej, wpłynie to na biznes i straty finansowe mogą zacząć rosnąć. Strategie odzyskiwania są alternatywnymi sposobami przywracania operacji biznesowych do minimalnego akceptowalnego poziomu po zakłóceniu działalności i są ustalane według priorytetów zgodnie z celami czasu odzyskiwania opracowanymi podczas analizy wpływu na działalność.

Strategie odzyskiwania wymagają zasobów, w tym ludzi, obiektów, sprzętu, materiałów i technologii informacyjnej. W celu zidentyfikowania luk należy przeprowadzić analizę zasobów wymaganych do realizacji strategii naprawczych. Na przykład, jeśli maszyna ulegnie awarii, ale inne maszyny są łatwo dostępne, aby nadrobić utraconą produkcję, wówczas nie ma luki w zasobach. Jeśli jednak wszystkie maszyny zostaną utracone z powodu powodzi, a do czasu przywrócenia produkcji dostępne są niewystarczające, nieuszkodzone zapasy, aby zaspokoić zapotrzebowanie klientów, produkcja może zostać uzupełniona przez maszyny w innym zakładzie będącym własnością lub zakontraktowanym.

Strategie mogą obejmować zawieranie umów ze stronami trzecimi, zawieranie umów partnerskich lub wzajemnych lub zastępowanie innych działań w firmie. Pracownicy posiadający dogłębną wiedzę na temat funkcji i procesów biznesowych są w stanie najlepiej określić, co będzie działać. Możliwe alternatywy powinny zostać zbadane i przedstawione kierownictwu do zatwierdzenia i podjęcia decyzji, ile wydać. W zależności od wielkości firmy i dostępnych zasobów może istnieć wiele strategii naprawczych, które można zbadać.

Nasi eksperci przygotują dla Państwa strategię odzyskiwania.

Plan odzyskiwania po awarii IT

Serwery przetwarzają informacje i przechowują duże ilości danych. Komputery stacjonarne, laptopy i urządzenia bezprzewodowe są wykorzystywane przez pracowników do tworzenia, przetwarzania, zarządzania i przekazywania informacji. Co robisz, gdy Twoja technologia informacyjna przestaje działać?

Plan odtwarzania po awarii technologii informatycznych powinien być opracowany w połączeniu z planem ciągłości działania. Priorytety i docelowe czasy odzyskiwania dla technologii informatycznych powinny zostać opracowane podczas analizy wpływu biznesowego. Należy opracować strategie odzyskiwania technologii, aby przywrócić sprzęt, aplikacje i dane na czas, aby zaspokoić potrzeby odzyskiwania firmy.

Strategie odzyskiwania IT

Duże i małe firmy tworzą i zarządzają dużymi ilościami informacji lub danych elektronicznych. Wiele z tych danych jest ważnych. Niektóre dane są niezbędne do przetrwania i dalszego funkcjonowania firmy. Wpływ utraty lub uszkodzenia danych spowodowanych awarią sprzętu, błędem ludzkim, włamaniem lub złośliwym oprogramowaniem może być znaczący. Niezbędny jest plan tworzenia kopii zapasowych danych i przywracania informacji elektronicznych.

Należy opracować strategie odzyskiwania dla systemów, aplikacji i danych technologii informacyjnej (IT). Obejmuje to sieci, serwery, komputery stacjonarne, laptopy, urządzenia bezprzewodowe, dane i łączność. Priorytety odzyskiwania IT powinny być zgodne z priorytetami odzyskiwania funkcji biznesowych i procesów, które zostały opracowane podczas analizy wpływu biznesowego. Należy również zidentyfikować zasoby informatyczne wymagane do obsługi funkcji i procesów biznesowych, w których liczy się czas. Czas odzyskiwania zasobu IT powinien być zgodny z docelowym czasem odzyskiwania dla funkcji biznesowej lub procesu zależnego od zasobu IT.

Systemy informatyczne wymagają sprzętu, oprogramowania, danych i łączności. Bez jednego składnika „systemu” system może nie działać. Dlatego należy opracować strategie odzyskiwania, aby przewidzieć utratę jednego lub więcej z następujących elementów systemu:

  • wszelkie krytyczne dane, tajemnica przedsiębiorstwa, dane osobowe i pozostałe dane i zasoby elektroniczne,
  • środowisko komputerowe (bezpieczna sala komputerowa z klimatyzacją, klimatyzacją i zasilaniem awaryjnym itp.),
  • sprzęt (sieci, serwery, komputery stacjonarne i laptopy, urządzenia bezprzewodowe i urządzenia peryferyjne),
  • łączność z dostawcą usług (światłowodowe, kablowe, bezprzewodowe itp.),
  • aplikacje programowe (elektroniczna wymiana danych, poczta elektroniczna, zarządzanie zasobami przedsiębiorstwa, wydajność biurowa itp.).

Niektóre aplikacje biznesowe nie tolerują żadnych przestojów. Wykorzystują podwójne centra danych zdolne do obsługi wszystkich potrzeb związanych z przetwarzaniem danych, które działają równolegle z danymi dublowanymi lub synchronizowanymi między dwoma centrami. To bardzo drogie rozwiązanie, na które stać tylko większe firmy. Istnieją jednak inne rozwiązania dla małych i średnich firm, które wymagają ochrony aplikacji biznesowych i danych o znaczeniu krytycznym.

Zapraszamy Państwa do kontaktu w celu przygotowania dedykowanej oferty na wdrożenie Planu Ciągłości Działania i zwiększenia odporności Państwa organizacji. Zapraszamy do rozmowy z naszymi ekspertami, tel. +48 608 880 819

Plan Ciągłości Działania to także wzmocnienie modelu biznesu Twojej firmy. Dzięki rzetelnej analizie luk wskażemy na obszary, które mogą wymagać istotnej naprawy. Wierzymy, że skuteczny Business Continuity Plan – BCP przyczynia się do wzmocnienia modelu biznesu.

© ℗ Wszystkie prawa zastrzeżone

0
0