Podjęcie wysiłku na rzecz ograniczenia wpływu wystąpienia negatywnych zdarzeń na kluczowe procesy biznesowe w organizacji (zarówno małej, jak i dużej) to niezbędny krok w celu zbudowania skutecznego systemu zarządzania bezpieczeństwem informacji. Wysiłek ten będzie skuteczny, jeśli działania będą zaplanowane, usystematyzowane oraz będą one odpowiadały celom biznesowym organizacji. Aby spełnić wspomniane warunki, należy nie tylko opracować plan ciągłości działania, ale również nieustannie go testować oraz udoskonalać.
Posiadanie aktualnego oraz cyklicznie sprawdzanego planu ciągłości działania zwiększa szansę na poradzenie sobie w sytuacji kryzysowej. Jak w praktyce przekłada się to na utrzymanie lub sprawne przywrócenie ciągłości działania organizacji? Przede wszystkim dzięki przetestowaniu różnych awaryjnych scenariuszy działania, zapewnieniu niezbędnych zasobów oraz określeniu zasad komunikacji, można wyjść z kryzysu „obronną ręką”. Brak planu może powodować trudny do opanowania chaos, który uniemożliwi prawidłowe funkcjonowanie organizacji i utrudni realizację działań ukierunkowanych na przywrócenie stanu sprzed wystąpienia sytuacji kryzysowej. Brak określonego planu działania z całą pewnością skutkować będzie wydłużeniem czasu potrzebnego do przywrócenia podstawowych procesów po wystąpieniu niepożądanego zdarzenia.
Niniejszy artykuł dostarczy podstawowych informacji wskazujących co powinien zawierać plan ciągłości działania opracowany zgodnie z normą ISO 22301. Osoby odpowiedzialne za przygotowanie planu uzyskają wskazówki w jaki sposób podejść do jego opracowania i planowania dalszych działań.
Dobre praktyki w zakresie planowania ciągłości działania
1. Analiza kontekstu organizacji i analiza ryzyka jako faza zapobiegania
Pierwszym krokiem, który stanowi fundament pod stworzenie planu ciągłości działania jest analiza kontekstu organizacji. Oznacza to działania podejmowane na rzecz poznania otoczenia i uwarunkowań organizacji, w tym ustalenia interesariuszy, zinwentaryzowanie kluczowych procesów biznesowych (od których zależą zyski firmy) oraz aktywów informacyjnych (w szczególności analiza: gdzie przechowujemy informacje, w jaki sposób je przetwarzamy, kto ma do nich dostęp). Brak znajomości pełnego kontekstu organizacyjnego może stanowczo utrudnić przygotowanie skutecznego planu ciągłości działania. Analiza kontekstu stanowi podwaliny dla fazy zapobiegania.
W celu identyfikacji działań zapobiegających przed występowaniem zdarzeń mających niekorzystny wpływ na działalność organizacji, należy wcześniej dokonać czynności składających się na analizę ryzyka. Ma to na celu zbudowanie wiedzy o kluczowych procesach i uzyskanie odpowiedzi na następujące pytania:
- jaką wartość ma informacja, która jest przetwarzana w ramach procesów;
- jakie skutki dla firmy będzie miała utrata jednego z atrybutów bezpieczeństwa informacji, np. powodowana nieautoryzowanym dostępem do informacji czy utratą nad nią kontroli.
W ramach analizowania ryzyka, należy zweryfikować różne scenariusze zagrożeń i finalnie ocenić ryzyko ich materializacji (jakie jest prawdopodobieństwo wystąpienia zdarzenia i jakie może wywołać skutki oraz jak bardzo organizacja podatna jest na wystąpienie danego zdarzenia). Dalszym krokiem jest ocena czy dotychczas stosowane zabezpieczenia są skuteczne i wystarczające, a ryzyko akceptowalne. Jeśli nie, konieczna jest weryfikacja możliwości zastosowania dodatkowych środków w celu dalszego ograniczenia ryzyka, w tym redukcji prawdopodobieństwa wystąpienia zdarzenia.
2. Analiza wpływu na biznes jako faza przygotowania
Fazę przygotowania stanowi kolejny element prac, czyli przeprowadzenie analizy wpływu na biznes (analizy BIA, z ang. Business Impact Analysis). Oznacza to działania mające na celu ustalenie krytycznych procesów biznesowych, a w dalszej kolejności, określenie jaki wpływ na działalność organizacji miałoby ich poważne zakłócenie lub przerwanie. W skrócie, oznacza to zbudowanie hierarchii procesów oraz listy zasobów, które wpływają na ciągłość każdego z procesów.
Analiza wpływu na biznes powinna zawierać informację o konkretnych serwerach, oprogramowaniu, ludziach czy kanałach komunikacyjnych z poziomami ich dostępności. W tym celu niezbędne jest określenie akceptowalnych czasów przywrócenia działania poszczególnych zasobów (RTO, z ang. Recovery Time Objective) oraz dopuszczalnego okresu, z jakiego można pogodzić się z utratą danych w związku z niedostępnością zasobów (RPO, z ang. Recovery Point Objective). W wyniku przeprowadzenia procesu analizy wpływu na biznes powinny powstać wskazówki umożliwiające:
- ograniczenie wpływu zdarzenia na kluczowe procesy biznesowe;
- skrócenie czasu zakłócenia.
3. Opracowanie planu i procedur – jako podejście do reagowania na zdarzenie
Zgodnie z definicją wynikającą z normy ISO 22301, plan ciągłości działania można traktować jako udokumentowane procedury, które określają sposób:
- reagowania w sytuacjach kryzysowych;
- odzyskiwania utraconej ciągłości działania lub zasobów;
- wznawiania przerwanych procesów biznesowych;
- przywracania oczekiwanego poziomu działania.
Faza reakcji jest bardzo istotna w sytuacji kryzysowej. To, jak szybko zareagujemy, ma znaczenie dla ograniczenia potencjalnych negatywnych konsekwencji zaistniałego zdarzenia.
Jednakże, sprawne reagowanie wymaga wcześniejszego zaplanowania i przygotowania. Personel organizacji powinien być zaznajomiony z poszczególnymi wariantami działania, z zasadami komunikacji oraz przede wszystkim powinien dysponować niezbędnymi zasobami tak, aby możliwa była realizacja zakładanego planu. Elementami niezbędnymi w przygotowaniu planu odpowiadającego rzeczywistym potrzebom organizacji są wyniki analizy ryzyka oraz analizy wpływu z na biznes.
Plan ciągłości działania powinien określać role i odpowiedzialność poszczególnych osób. Dostarcza wskazówek kto i w jaki sposób powinien uczestniczyć w komunikacji (z personelem, z mediami, dostawcami, służbami państwowymi). Istotne jest, aby zrozumieć, że każdy plan ma charakter indywidualny, dopasowany konkretnie do organizacji.
Plan powinien definiować listę priorytetowych działań w przypadku wystąpienia różnych zdarzeń. Do przykładowych należą:
- zakomunikowanie o wystąpieniu zdarzenia zagrażającego ciągłości działania;
- uruchomienie zaplanowanych działań oraz ich koordynacja;
- wewnętrzne raportowanie o statusie realizacji działań;
- współpraca z właściwymi organami władzy lub innymi podmiotami zewnętrznymi;
- uruchomienie zapasowego centrum przetwarzania;
- rejestrowanie i monitorowanie działań podejmowanych w ramach planu;
- ewentualne reagowanie na pojawiające się zmiany.
Zaplanowanie właściwych działań oraz sposobów i kolejności ich realizacji wymaga przemyślenia i udokumentowania.
4. Wdrożenie planu ciągłości działania oraz jego testowanie
Każdy plan wymaga formalnego wdrożenia oraz skutecznego poinformowania wszystkich odbiorców planu, tj. kierownictwa, personelu, działu bezpieczeństwa, rzecznika prasowego etc. Skuteczność planu powinna podlegać cyklicznym testom. W tym celu niezbędne jest opracowanie scenariuszy testowych, które będą symulowały określone zdarzenia. Podczas testu rejestrowaniu powinny podlegać realizowane działania oraz wszelkie stwierdzone niedoskonałości planu.
5. Doskonalenie
Nieodłącznym aspektem związanym z opracowaniem planów ciągłości działania jest ich doskonalenie. Każdy system zarządzania tego wymaga. Wcześniejsze czynności mające na celu wdrożenie i testowanie planów ciągłości działania mają charakter przygotowania się na wystąpienie niepożądanego zdarzenia, a także uświadomienie i wypracowanie rutynowych zachowań wśród personelu. Ciągle zmieniające się środowisko (zarówno wewnętrzne jak i zewnętrzne) sprawia, że nie można przewidzieć wszystkiego. Testowanie planów, wyciąganie wniosków z ich realizacji oraz modyfikowanie uzgodnień w celu dalszego doskonalenia są działaniami pożądanymi w skutecznym funkcjonowaniu planów ciągłości działania.
Podsumowanie
Reasumując, odpowiedź na pytanie postawione w tytule artykułu: Dlaczego warto posiadać plan ciągłości działania? można streścić do poniższej listy.
Odpowiednio opracowany plan ciągłości działania zapewni:
- posiadanie aktualnego planu komunikacyjnego, który określa osoby odpowiedzialne oraz sposoby i warunki przekazywania informacji;
- identyfikację krytycznych procesów biznesowych;
- szacunkową wartość skutków utraty ciągłości działania w czasie;
- potencjał dla realizacji działań proaktywnych np. szkolenia oraz działania zapobiegające wystąpieniu awarii (zastosowanie zabezpieczeń techniczno-organizacyjnych);
- możliwość przygotowania się do odtworzenia kluczowych procesów na wypadek kryzysu lub awarii.
sot 29 września, 2020
I really cannot add more to what was said because you have disclosed all important information. I must say that this site is quite nice.
In this website there is also a lot of interesting and useful information.
Marcin Soczko 2 października, 2020
Thank you for your opinion.