Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
В настоящее время невозможно представить себе бизнес без использования информационных технологий в XXI веке. С их помощью компании становятся эффективнее и конкурентоспособнее. Однако, вместе с этим, информационные технологии могут представлять и значительные риски для компаний.
При оборудовании важнейших бизнес-процессов информационными технологиями, постоянная работа ИТ сервисов становится ключевым элементом. В случае, если сервисы перестают работать, то компания сталкивается с некоторыми негативными последствиями. Лучшим случаем является временное простое и возможные возмещения финансовых убытков, а худший сценарий - это катастрофические последствия делового провала.
Профилактика от подобных сценариев - это обеспечение безопасности и независимости в работе информационных технологий, и наша статья объяснит, как это достичь.
BCM, BCP и DRP – ключевые элементы системы кризис-менеджмента, которая сегодня необходима для гарантии бесперебойности бизнес-процессов в организации. В мире, где информационные технологии играют все более важную роль, безопасность данных и их доступность – критически важные факторы не только для кредитно-финансовых и телекоммуникационных компаний, но и для высокотехнологичных предприятий, работающих в непрерывном производственном цикле, а также для государственного сектора и ритейла.
Существуют специальные регламенты для определенных отраслей, которые требуют обеспечения непрерывности бизнеса для лицензирования деятельности. Риск сбоя в работе ИТ-систем перевешивает средние потери, например, в банковской сфере с даже кратковременным перерывом в работе ИТ-сервисов. Но в случае аварий в энергосистемах, киберпреступлений или других катастроф потерями могут стать жизни людей.
Природные бедствия, экономический ущерб, киберпреступления – в связи с многообразием рисков актуальность обеспечения информационной безопасности не вызывает сомнений. Опрос компании DEAC продемонстрировал, что угроза непрерывности бизнеса вызывает наибольшее беспокойство в финансовой и информационной сферах. Почти половина респондентов считает, что бизнес-риски только увеличатся в будущем.
BCM (Business Continuity Management) или управление непрерывностью бизнеса, BCP (Business Continuity Planning) или планирование непрерывности бизнеса, и DRP (Disaster Recovery Planning) или план восстановления после сбоев – это ключевые элементы кризис-менеджмента, обеспечивающие безопасность бизнеса в целом. Они основаны на методологии ИБ, охватывая все аспекты деловой активности. Регламенты и международные стандарты, такие как ISO/IEC 27001 и ISO 22301:2012, соответствие которым следует учитывать, выбирая дата-центр для хранения информации или задумываясь о внедрении на предприятии.
Источник: https://www.retail-loyalty.org/articles/sostavnye-elementy-krizis-menedzhmenta-bcm-bcp-drp/
Управление непрерывностью бизнеса (BCM) — важный инструмент, позволяющий организациям оставаться оперативными в условиях любых незапланированных инцидентов, таких как сбои оборудования, технологические аварии, кибератаки, экологические катастрофы и прочее. В рамках BCM можно выделить несколько основных видов управления, каждый из которых направлен на устранение конкретных последствий инцидентов.
Первый уровень — управление инцидентами (Incident management, IM). Оно ориентировано на работу с отдельными происшествиями, которые не приводят к большим потерям для компании. В рамках IM решаются задачи, связанные с сохранением, доступностью и целостностью информации, а также отказоустойчивостью оборудования.
Второй уровень — управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Этот уровень направлен на предотвращение инцидентов, которые могут серьезно нарушить работу организации и привести к приостановке важнейших процессов. Возможные последствия таких инцидентов могут быть крайне серьезными, вплоть до банкротства. Как показывают исследования, ежегодные потери от простоев приложений в мире превышают 20 млн долларов, а в России — 19,8 млн долларов.
Третий уровень — управление чрезвычайными ситуациями (Crisis & emergency management). Он направлен на предотвращение катастрофических последствий опасных ситуаций, связанных с экологическими катастрофами, гуманитарными кризисами, инфраструктурными разрушениями и другими крайне редкими, но крайне опасными инцидентами. Надежность управления непрерывностью деятельности важна для отраслей, таких как топливная и энергетическая промышленности.
Получение значительных убытков от инцидентов вполне возможно, как показывают реальные примеры. В том числе, 12 мая 2017 года весь мир был атакован вирусом-вымогателем WannaCry, который привел к множеству сбоев и нанес огромный экономический ущерб многим компаниям, включая больницы и правительственные учреждения. Статистика говорит о том, что корпорации, успешно восстановившие деятельность после инцидента, через год получают дополнительный доход, сверх нормы, в размере 10%, в то время как компании без внедренной BCM понимают убытки в подобном размере. Управление непрерывностью бизнеса — важный залог сохранности вложенных владельцами и акционерами средств.
Внедрение BCM: какие этапы необходимо пройти
Планирование и стратегия - так начинается управление непрерывностью бизнеса (BCM). В этом процессе часто используются инструменты риск-менеджмента (RM). Чтобы реализовать BCM в организации, необходимо пройти целый ряд этапов. Они включают в себя овладение техническими и программными средствами, регламентацию действий, распределение ответственности и обучение персонала. Взять на себя эти задачи компании может быть проблематично. В таком случае стоит обратиться за помощью к ИТ-экспертам. Они не только разработают план мероприятий и найдут наилучшие решения для компании, но и помогут перевести проект в реальность.
Анализ бизнес-процессов (Business Environment Analysis, BEA) позволяет определить риски, которые могут возникнуть в зависимости от характера деятельности компании. Например, отказ в работе системы учета пациентов медицинского учреждения является менее критичным по сравнению со сбоем в работе высокотехнологичного реанимационного оборудования. При этом в телекоммуникационной компании отказ приложения для автоматизации совместной деятельности рабочих групп вероятно не остановит бизнес-процессы, однако сбой в системе биллинга приведет к затратам на финансовые потери. Таким образом, точки критичности могут быть различны для каждого типа бизнеса, и анализ бизнес-процессов позволяет выявить эти точки и определить степень их влияния на деловую активность компании.
Анализ рисков (Risk Analysis, RA) позволяет выделить зависимые и независимые от информационных технологий (ИТ) риски. После выделения и градации бизнес-процессов по важности для компании следует определить группу ИТ-зависимых бизнес-процессов. Затем необходимо проверить технические и организационные механизмы по предотвращению перебоев в работе бизнес-процессов, выделить уязвимые точки и оценить угрозы. В результате можно выделить группы рисков, которые влияют на ИТ, и классифицировать их по мере важности.
Оценка влияния на бизнес (Business Impact Analysis, BIA) основана на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. После этого строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть оценены как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и др. Такой подход позволяет провести детальную оценку влияния на бизнес и определить возможные потери.
Для аналитиков имеет большое значение получение достоверной информации о финансах бизнеса и текущей ситуации в ИТ-комплексе, а также о планах его расширения.
Также необходимо провести детальный анализ информационных сервисов, связанных с бизнес-процессами и информационными потоками. Оценка возможного ущерба позволит получить полную картину бизнеса, отразив уровень критичности всех бизнес-процессов и нарушений их функционирования в соответствии с потерями.
Аудит, проводимый аналитиками перед началом сотрудничества, поможет решить все вышеперечисленные задачи. В процессе такой всесторонней оценки будут выявлены слабые места в системе информационной безопасности клиента, которые затем можно будет укрепить.
Расчет экономического эффекта (стоимости простоя бизнес-процессов) предполагает определенные допущения о вероятности возможных инцидентов в ближайшее время, что позволяет определить наиболее подходящую стратегию.
Для успешного функционирования в условиях чрезвычайных ситуаций важно определиться с несколькими параметрами, которые позволят быстро и эффективно восстановить работу компании. Эту задачу должны решить собственники и руководство компании совместно с аналитиками. Специалисты рекомендуют установить так называемые тайм-ауты и производительную мощность для отдельных бизнес-процессов.
Один из параметров, который необходимо установить - это допустимое время восстановления (Recovery Time Objective, RTO). RTO представляет собой интервал времени, в течение которого должна быть восстановлена работоспособность системы после возникновения чрезвычайной ситуации. Важно учитывать, что RTO может быть сведен практически к секундам, однако иногда его установка не является экономически оправданной из-за дороговизны системы восстановления.
Еще одним параметром, который нужно установить, является целевая точка восстановления (Recovery Point Objective, RPO). RPO определяет временной диапазон перед наступлением ЧС, за который все данные могут быть утрачены. На сегодняшний день RPO может быть сведен к нулю благодаря частоте и технологии резервного копирования информации.
Наконец, третий параметр - это уровень непрерывности бизнеса (Level of Business Continuity, LBC) или допустимый уровень производительности (доли нагрузки) в чрезвычайных ситуациях в процентах от режима штатной работы. Он позволяет оценить потери в случае возникновения аварийных ситуаций и понимать, какие меры необходимо предпринимать для быстрого восстановления бизнес-процессов.
Таким образом, совместное определение этих параметров поможет компании успешно справиться с любыми возникшими трудностями и обеспечить бесперебойную работу в условиях чрезвычайных ситуаций.
Планирование непрерывности бизнеса является процессом, который предусматривает тщательное определение стратегии для обеспечения безопасности сотрудников, доступности критически важной информации, свободного общения с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления в рамках стратегии вырабатывается подстратегия, которая должна указать на путь к быстрому восстановлению бизнес-процессов в соответствии с предварительно определенными параметрами рисков.
Этот процесс включает следующие стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС и восстановление штатной работы. В каждом из направлений стратегии BCM определяются организационные и технические решения: разрабатываются политики для поддержания непрерывности бизнеса, формализуются приоритетные цели и задачи, процедуры реагирования и области распространения системы BCM, определяются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
Для создания технической и организационной систем BCM все чаще используются облачные услуги. Одно из решений, называемое DRaaS (Disaster-Recovery-as-a-Service), предоставляет возможность аварийного восстановления данных в облачных средах корпоративного уровня, благодаря чему удается снизить расходы на обеспечение безопасности и поддерживать ее на уровне принятых в индустрии стандартов.
Существует несколько вариантов резервного копирования ИТ-инфраструктуры или ее элементов. Например, в малом бизнесе, где непрерывность не критична, могут использоваться резервные копии, создаваемые по расписанию. Однако такая схема не обеспечивает комплексной защиты.
В более крупных организациях используются более серьезные технологии. Например, можно полностью скопировать инфраструктуру в облако с последующим переносом изменений в непрерывном режиме. Информация извлекается и восстанавливается за несколько минут. Для крупных финансовых и ИТ-компаний, госсектора и любых других организаций, где каждая минута простоя критична, предусмотрено запуск резервной облачной инфраструктуры, полностью идентичной основной. Обновления в них происходят одновременно, и восстановление возможно за несколько секунд.
Строительство отказоустойчивых ЦОДов является неотъемлемой частью многих бизнес-процессов. Компании могут постоянно работать над оптимизацией и энергоэффективностью своих ЦОДов, а также создавать мобильные ЦОДы. Однако, стоит заметить, что проще всего доверить эту работу надежному провайдеру.
Кроме того, компании должны разрабатывать планы восстановления после инцидентов и планы обеспечения непрерывности бизнеса. При наращивании вычислительных мощностей и усложнения ИТ-систем компании сталкиваются с риском нарушения непрерывности работоспособности ИТ-систем. План восстановления после инцидента (DRP) и план обеспечения непрерывности бизнеса (BCP) помогут решить эту проблему. DRP позволит быстро восстановить работоспособность ИТ-систем, а BCP — восстановить бизнес-процессы в целом.
Кроме того, необходимо определить меры по обеспечению нормального функционирования системы и периодичность ее проверки. Процессы должны быть встроены в корпоративную культуру компании. Необходимо разработать меры и обучить персонал действовать в случае возникновения угроз и последствий внештатной ситуации. Кадры играют ключевую роль в успехе всех процессов.
Одним из ключевых аспектов успешной работы предприятия является внедрение высокоэффективной системы управления. Однако, необходимо учитывать, что внедрение информационных технологий требует значительных ресурсов, которых не всегда хватает у компаний.
Одним из показателей успешности внедрения в систему управления является готовность организации к продолжению работы даже в случае сбоя в ИТ-системах. Координированный противопожарный механизм и подготовленный персонал являются главными условиями для быстрого реагирования в экстренной ситуации и, в свою очередь, позволяют сохранять работоспособность компании.
Кроме того, необходимо также учитывать вероятность простоя или недоступности информационных систем в случае возникновения внештатной ситуации, что может привести к значительным материальным потерям. Правильно оцененная рискованность и защитные меры помогут свести к минимуму возможные негативные последствия.
Другим показателем эффективности внедрения системы является соответствие требованиям регулирующих органов. Пройдя процедуру аудита и полностью соответствуя требованиям, компания приобретает надежность и доверие со стороны заказчиков и партнеров.
Однако, стоит учитывать, что создание и внедрение высокоэффективной системы управления – непростая задача, требующая значительных затрат и временных ресурсов. Такие ресурсы далеко не всегда доступны для каждой компании, поэтому часто необходимо прибегать к внешней помощи.
Фото: freepik.com