Managementul continuității afacerii este cheia pentru a asigura viitorul digital al companiei dvs., în pofida oricăror incidente perturbatoare, de la întreruperi grave de alimentare cu curent sau incidente IT severe până la incendii, inundații, cutremure sau alte catastrofe naturale.
Continuitatea afacerii se referă la nevoia companiilor de a asigura procesele necesare pentru supraviețuire în cazul unor situații limită. Standardul internațional pentru planul de continuitate a afacerii, ISO 22301, definește continuitatea ca fiind „capacitatea unei organizații de a menține livrarea produselor și serviciilor la niveluri predefinite, considerate acceptabile, după ce au avut loc astfel de incidente perturbatoare”.
Pe parcursul acestui articol, veți descoperi elementele de bază ale BCM (Business Continuity Management) precum și o listă de resurse pe care dvs. și organizația dvs. le puteți folosi pentru a vă îmbunătăți capacitatea de a supraviețui oricăror evenimente neașteptate și nedorite.
Continuitatea afacerii nu vizează exclusiv partea IT
Majoritatea companiilor și a organizațiilor depind în mare măsură de infrastructura IT proprie – de la laptopuri la servere, de la desktop-uri la tablete și smartphone-uri – este clar că toată această tehnologie poate fi perturbată ușor de o gamă largă de incidente potențial dezastruoase. Acestea variază de la întreruperi de curent cauzate de furtuni, la pierderi de date cauzate de erori ale angajaților sau la atacuri distructive ale unor hackeri. Încă din primele zile ale IT-ului, a fost clar că organizațiile aveau nevoie de strategii pentru a se pregăti pentru astfel de incidente, pentru a putea răspunde și a se recupera după acestea. Din acest motiv, o mulțime de lucrări timpurii privind gestionarea incidentelor perturbatoare au fost puse cap la cap de către comunitatea IT.
Cu toate acestea, de-a lungul timpului, disciplina „recuperării în caz de dezastru” a evoluat într- un „proces de management complex, exhaustiv”, unul care, așa cum este precizat în ISO 22301, „identifică potențialele amenințări la adresa unei organizații și impactul asupra operațiunilor de afaceri pe care acele amenințări, dacă se materializează, le-ar putea provoca. Este un proces de management complet care oferă un cadru pentru construirea rezistenței organizaționale și capacitatea unui răspuns eficient, prin care se protejează interesele acționarilor, reputația companiei, identitatea de brand și activitățile care creează valoare”.
Rețineți că, deși compania dvs. nu trebuie să obțină efectiv certificarea ISO 22301 pentru a putea supraviețui unui dezastru potențial din cele enumerate, unele organizații ar putea să fie interesate de certificarea de acest tip pentru a-și îmbunătăți programul propriu de continuitate și, de asemenea, pentru a dezvolta și mai mult afacerea. De exemplu, este un fapt că afacerile care au un rol esențial în lanțul de aprovizionare din unele industrii primesc în negocierile contractuale multe solicitări de demonstrare a demersurilor proprii derulate intern pentru continuitatea afacerii, iar aderarea la ISO 22301 adresează exact tipul acesta de cerințe.
Un program de continuitate, de bază, în 4 pași
Din nefericire, unele companii ajung la faliment atunci când sunt lovite de un dezastru major pentru care nu s-au pregătit niciodată în mod adecvat. Acest lucru este regretabil, deoarece există documentație din abundență care exemplifică metode de prevenție care pot fi luate. Orice companie, indiferent de dimensiune, își poate îmbunătăți șansele de a trece cât mai bine printr- un eveniment perturbator major – cu brandul intact și veniturile nediminuate – urmând niște strategii testate, validate și de încredere, indiferent dacă alege sau nu să fie efectiv certificată la final cu standardul ISO 22301.
1. Identificați și clasificați amenințările
Alcătuiți o listă cu incidentele potențial perturbatoare care pot să vă amenințe afacerea. Realizați o listă personalizată, pentru că amenințările variază mult în funcție de amplasamentul business-ului. De exemplu, în anumite zone geografice, există un nivel relativ ridicat de conștientizare a cutremurelor sau a incendiilor de vegetație și multe organizații au derulat procese specifice de planificare și pregătire pentru astfel de dezastre, având în vedere aceste evenimente probabile. Câteva exemple de întrebări de luat în calcul ar putea fi:
- Ce pericole naturale distincte sunt specifice zonei în care se află compania dvs?
- Cum se poate interveni în cazul unei încălcări severe a securității datelor sau a unei întreruperi catastrofale a proceselor IT, care se poate întâmpla în teorie în orice moment?
- Cum să reacționați dacă o catastrofă naturală sau un accident de orice natură blochează accesul la sediu zile în șir?
- Cât de dependentă este afacerea dvs. de furnizori terți?
O tehnică bună de lucru în această etapă este cea prin care includeți oameni din toate departamentele într-o sesiune de brainstorming. Rezultatul va fi o listă de scenarii clasificate în funcție de probabilitatea de apariție și de potențialul impact negativ asociat fiecăruia. În finalul articolului veți găsi o mențiune legătură web către multe resurse care vă pot ajuta să întocmiți lista de potențiale amenințări.
2. Efectuați o analiză de impact asupra afacerii
Trebuie să identificați care părți ale afacerii dvs. sunt cele mai importante pentru supraviețuirea acesteia. O modalitate de a stabili aceste elemente este să începeți prin a detalia funcțiile, procesele, personalul și sistemele care sunt esențiale pentru funcționarea organizației. Liderul proiectului de continuitate poate face acest lucru intervievând angajații din fiecare departament și compilând rezultatele într-un tabel care listează funcțiile, persoana sau persoanele cheie și persoana sau persoanele alternative.
Apoi determinați numărul de zile de supraviețuire pentru fiecare funcție business. Cât timp poate rezista afacerea dvs. fără această funcție, fără să apară un impact serios? În continuare, clasificați impactul fiecărei funcții, în scenariul în care nu este disponibilă. De exemplu, expertul în recuperare în caz de dezastru, Michael Miora, sugerează utilizarea unei scale de la 1 la 4, unde 1 = impact operațional critic sau pierdere fiscală majoră și 4 = fără impact pe termen scurt. Dacă înmulțiți impactul (de la 1 la 4) cu numărul de zile de supraviețuire, puteți vedea care funcții de business sunt cele mai importante. În partea cea mai de sus a tabelului vor fi listate, de pildă, dacă ele există întocmai, acele funcții cu impact major, care sunt asociate cu o singură zi de supraviețuire a companiei (în cazul indisponibilității funcțiilor respective).
3. Creați planul de răspuns și recuperare
În acest pas trebuie să catalogați toate datele cheie legate de activele implicate în îndeplinirea funcțiilor critice, inclusiv sisteme IT, personal, facilități, furnizori și clienți. Va trebui să indicați persoane de contact prestabilite (pe cine să apelați) pentru fiecare categorie de incident și să creați un arbore de contacte, astfel încât apelurile potrivite să fie efectuate, în ordinea corectă. De asemenea, aveți nevoie de o listă cu purtătorii de cuvânt desemnați (cine poate spune și ce) pentru a controla interacțiunea cu mass-media în timpul unui incident. Luați în considerare o strategie „CEO only”, dacă incidentul este unul delicat, în care informațiile și comunicatele sunt oferite doar de CEO.
Orice proceduri pe care le aveți în vigoare, pentru tranziția operațiunilor dvs. către locații temporare și facilități IT alternative, ar trebui de asemenea să fie documentate în această fază. Nu uitați să includeți și un proces de notificare și o procedură de consiliere pentru clienți.
Pașii pentru recuperarea operațiunilor cheie ar trebui să fie prezentați într-o secvență care să țină cont de interdependențele funcționale. Când planul este gata, asigurați-vă că instruiți managerii cu privire la detaliile relevante pentru fiecare departament și la importanța planului general pentru supraviețuirea companiei în eventualitatea unui incident sever.
4. Testați planul și perfecționați analiza
Majoritatea experților BCM recomandă cel puțin o testare anuală a acestui plan de continuitate, cu exerciții, analize sau simulări. Aceste teste vă permit să profitați la maximum de investiția dvs. de timp în crearea planului, vă ajută să găsiți lacune în procese și să observați și să țineți cont de schimbările care au apărut la nivelul business-ului de-a lungul timpului.
În mod clar, acești patru pași presupun un demers de amploare semnificativă, dar companiile ignoră pe propriul risc beneficiile enorme pe care o astfel de strategie defensivă le poate aduce. Dacă sarcina poate să pară descurajantă pentru a fi întreprinsă la nivelul întregii companii, luați în considerare să începeți cu câteva departamente sau sucursale. Tot ceea ce învățați în acest proces poate fi apoi aplicat ulterior pe scară extinsă. Este foarte importantă abordarea inițială referitoare la incidentele perturbatoare posibile: dacă ignorați probabilitatea ca acestea să se întâmple vreodată, nu înseamnă că nu pot apărea accidente severe și dacă subestimați consecințele lor potențiale asupra afacerii dvs, pe premiza optimistă a răului tolerabil, nu înseamnă că așa se vor petrece lucrurile întotdeauna.
Așa cum am menționat și mai devreme, în finalul articolului de aici, din blogul de securitate ESET, puteți regăsi un set gratuit de șabloane și alte resurse utile pentru elaborarea unui program de management al continuității afacerii.
ESET, un lider global pe piața de soluții de securitate cibernetică, cu peste 30 de ani de experiență și inovație, include în portofoliu soluții antivirus și antimalware, potrivite pentru companii de toate dimensiunile.
Pachetele sale oferă o protecție multistratificată integrată, ce poate depista atacurile, inclusiv de tip ransomware, în timp util, pentru a evita daune în rândul resurselor și a reputației companiei dvs.
ESET PROTECT Advanced este o soluție antivirus si anti-malware destinată nevoilor IMM-urilor și oferă, prin layer-ul ESET Dynamic Threat Defense protecție de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului și amenințărilor de tip zero-day) dar și protecție dedicată a datelor la acces neautorizat în caz de furt sau pierdere echipamente, prin criptarea completă a hard disk-urilor (pentru datele stocate pe laptopuri). Produsul răspunde, așadar, provocării de a gestiona și proteja rețelele IT business în fața amenințărilor informatice tot mai dinamice.
Soluția poate fi testată gratuit de către orice companie, fără nicio obligație ulterioară. Pentru mai multe detalii sau pentru descărcarea unei variante de test puteți accesa aici pagina soluției.
