Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
В настоящее время невозможно представить себе бизнес без использования информационных технологий в XXI веке. С их помощью компании становятся эффективнее и конкурентоспособнее. Однако, вместе с этим, информационные технологии могут представлять и значительные риски для компаний.
При оборудовании важнейших бизнес-процессов информационными технологиями, постоянная работа ИТ сервисов становится ключевым элементом. В случае, если сервисы перестают работать, то компания сталкивается с некоторыми негативными последствиями. Лучшим случаем является временное простое и возможные возмещения финансовых убытков, а худший сценарий - это катастрофические последствия делового провала.
Профилактика от подобных сценариев - это обеспечение безопасности и независимости в работе информационных технологий, и наша статья объяснит, как это достичь.
BCM, BCP и DRP – ключевые элементы системы кризис-менеджмента, которая сегодня необходима для гарантии бесперебойности бизнес-процессов в организации. В мире, где информационные технологии играют все более важную роль, безопасность данных и их доступность – критически важные факторы не только для кредитно-финансовых и телекоммуникационных компаний, но и для высокотехнологичных предприятий, работающих в непрерывном производственном цикле, а также для государственного сектора и ритейла.
Существуют специальные регламенты для определенных отраслей, которые требуют обеспечения непрерывности бизнеса для лицензирования деятельности. Риск сбоя в работе ИТ-систем перевешивает средние потери, например, в банковской сфере с даже кратковременным перерывом в работе ИТ-сервисов. Но в случае аварий в энергосистемах, киберпреступлений или других катастроф потерями могут стать жизни людей.
Природные бедствия, экономический ущерб, киберпреступления – в связи с многообразием рисков актуальность обеспечения информационной безопасности не вызывает сомнений. Опрос компании DEAC продемонстрировал, что угроза непрерывности бизнеса вызывает наибольшее беспокойство в финансовой и информационной сферах. Почти половина респондентов считает, что бизнес-риски только увеличатся в будущем.
BCM (Business Continuity Management) или управление непрерывностью бизнеса, BCP (Business Continuity Planning) или планирование непрерывности бизнеса, и DRP (Disaster Recovery Planning) или план восстановления после сбоев – это ключевые элементы кризис-менеджмента, обеспечивающие безопасность бизнеса в целом. Они основаны на методологии ИБ, охватывая все аспекты деловой активности. Регламенты и международные стандарты, такие как ISO/IEC 27001 и ISO 22301:2012, соответствие которым следует учитывать, выбирая дата-центр для хранения информации или задумываясь о внедрении на предприятии.
Источник: https://www.retail-loyalty.org/articles/sostavnye-elementy-krizis-menedzhmenta-bcm-bcp-drp/
Управление непрерывностью бизнеса (BCM) — важный инструмент, позволяющий организациям оставаться оперативными в условиях любых незапланированных инцидентов, таких как сбои оборудования, технологические аварии, кибератаки, экологические катастрофы и прочее. В рамках BCM можно выделить несколько основных видов управления, каждый из которых направлен на устранение конкретных последствий инцидентов.
Первый уровень — управление инцидентами (Incident management, IM). Оно ориентировано на работу с отдельными происшествиями, которые не приводят к большим потерям для компании. В рамках IM решаются задачи, связанные с сохранением, доступностью и целостностью информации, а также отказоустойчивостью оборудования.
Второй уровень — управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Этот уровень направлен на предотвращение инцидентов, которые могут серьезно нарушить работу организации и привести к приостановке важнейших процессов. Возможные последствия таких инцидентов могут быть крайне серьезными, вплоть до банкротства. Как показывают исследования, ежегодные потери от простоев приложений в мире превышают 20 млн долларов, а в России — 19,8 млн долларов.
Третий уровень — управление чрезвычайными ситуациями (Crisis & emergency management). Он направлен на предотвращение катастрофических последствий опасных ситуаций, связанных с экологическими катастрофами, гуманитарными кризисами, инфраструктурными разрушениями и другими крайне редкими, но крайне опасными инцидентами. Надежность управления непрерывностью деятельности важна для отраслей, таких как топливная и энергетическая промышленности.
Получение значительных убытков от инцидентов вполне возможно, как показывают реальные примеры. В том числе, 12 мая 2017 года весь мир был атакован вирусом-вымогателем WannaCry, который привел к множеству сбоев и нанес огромный экономический ущерб многим компаниям, включая больницы и правительственные учреждения. Статистика говорит о том, что корпорации, успешно восстановившие деятельность после инцидента, через год получают дополнительный доход, сверх нормы, в размере 10%, в то время как компании без внедренной BCM понимают убытки в подобном размере. Управление непрерывностью бизнеса — важный залог сохранности вложенных владельцами и акционерами средств.
Внедрение BCM: какие этапы необходимо пройти
Планирование и стратегия - так начинается управление непрерывностью бизнеса (BCM). В этом процессе часто используются инструменты риск-менеджмента (RM). Чтобы реализовать BCM в организации, необходимо пройти целый ряд этапов. Они включают в себя овладение техническими и программными средствами, регламентацию действий, распределение ответственности и обучение персонала. Взять на себя эти задачи компании может быть проблематично. В таком случае стоит обратиться за помощью к ИТ-экспертам. Они не только разработают план мероприятий и найдут наилучшие решения для компании, но и помогут перевести проект в реальность.
Анализ и управление рисками
Каждая компания сталкивается со своими уникальными рисками, в зависимости от сферы деятельности и масштабов бизнес-процессов. Например, сбой в системе учета пациентов в медицинском учреждении не критичен, в то время как неполадки в работе высокотехнологичного реанимационного оборудования могут стать серьезной проблемой. Авария в приложении для автоматизации совместной деятельности рабочих групп телекоммуникационной компании, скорее всего, не приведет к кризису, но сбой в системе биллинга наверняка вызовет серьезные финансовые потери. В связи с этим, важно проводить анализ бизнес-процессов, чтобы выявить точки критичности и ранжировать их по степени влияния на непрерывность деловой активности компании.
Анализ рисков позволяет выделить две группы: зависимые от ИТ (ИКТ) и независимые. После выделения и градации бизнес-процессов по важности, необходимо выделить группу ИТ-зависимых процессов и провести оценку их влияния на бизнес. Для этого следует проверить работу технических и организационных механизмов, направленных на предотвращение прерываний процессов, выделить и оценить уязвимые места и угрозы. В результате можно сформировать группы рисков, связанных с ИТ, и разделить их по степени важности.
Оценка воздействия на бизнес базируется на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. Затем строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть количественно и качественно оценены. К группам потерь могут относиться общественное мнение, рыночная стоимость, уровень операционных расходов, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и т.д.
Важной задачей аналитиков является получение достоверной информации о бизнесе организации, особенно в финансовой сфере, чтобы определить текущее состояние ИТ-комплекса и его планы на будущее.
Анализ информационных сервисов, связанных с бизнес-процессами и информационными потоками, также немаловажен. Оценка допотопного риска поможет составить полную картину бизнеса, показывая уровень критичности всех бизнес-процессов в целом, а также выявляя нарушения их функционирования и соотношение величины потерь.
Для решения всех описанных задач производится аудит, который проводятся аналитиками перед началом сотрудничества. В процессе такой всесторонней оценки выявляются слабые места в системе информационной безопасности клиента, а также становятся понятны способы укрепления уязвимых точек.
Расчет экономического эффекта, то есть стоимости простоя бизнес-процессов, предполагает наличие справедливых допущений о вероятности наступления различных инцидентов в рассматриваемый период. Это позволяет выбрать наиболее приемлемую стратегию для организации.
Для успешного функционирования в условиях чрезвычайных ситуаций важно определиться с несколькими параметрами, которые позволят быстро и эффективно восстановить работу компании. Эту задачу должны решить собственники и руководство компании совместно с аналитиками. Специалисты рекомендуют установить так называемые тайм-ауты и производительную мощность для отдельных бизнес-процессов.
Один из параметров, который необходимо установить - это допустимое время восстановления (Recovery Time Objective, RTO). RTO представляет собой интервал времени, в течение которого должна быть восстановлена работоспособность системы после возникновения чрезвычайной ситуации. Важно учитывать, что RTO может быть сведен практически к секундам, однако иногда его установка не является экономически оправданной из-за дороговизны системы восстановления.
Еще одним параметром, который нужно установить, является целевая точка восстановления (Recovery Point Objective, RPO). RPO определяет временной диапазон перед наступлением ЧС, за который все данные могут быть утрачены. На сегодняшний день RPO может быть сведен к нулю благодаря частоте и технологии резервного копирования информации.
Наконец, третий параметр - это уровень непрерывности бизнеса (Level of Business Continuity, LBC) или допустимый уровень производительности (доли нагрузки) в чрезвычайных ситуациях в процентах от режима штатной работы. Он позволяет оценить потери в случае возникновения аварийных ситуаций и понимать, какие меры необходимо предпринимать для быстрого восстановления бизнес-процессов.
Таким образом, совместное определение этих параметров поможет компании успешно справиться с любыми возникшими трудностями и обеспечить бесперебойную работу в условиях чрезвычайных ситуаций.
Планирование является процессом, который не является единоразовым и должен постоянно поддерживаться в актуальном и соответствующем состоянии. Для этого планы регулярно тестируются и обновляются новыми данными.
Ключевым аспектом по определению стратегии непрерывности бизнеса являются безопасность сотрудников, обеспечение рабочих помещений, технических средств и необходимых материалов, доступ к критически важной информации, беспрепятственные коммуникации с партнерами, клиентами, поставщиками и подрядчиками. Каждое направление требует отдельной подстратегии с определенными параметрами анализа рисков. Обеспечение непрерывности включает три стадии: реагирование, продолжение критичных процессов при условиях ЧС и восстановление штатной работы.
Выбор организационных и технических решений определяется стратегией BCM. Определяются приоритетные цели и задачи для поддержания непрерывности бизнеса, процедуры реагирования, области распространения системы BCM, кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения.
Технические и организационные системы BCM включают использование «облачных» услуг. DRaaS (Disaster-Recovery-as-a-Service) используется для защиты информации, предоставляя услугу аварийного восстановления данных в облачных корпоративных средах. Это позволяет снизить расходы при сохранении уровня безопасности на уровне стандартов индустрии. Существуют различные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или критических ее элементов.
Резервные копии ИТ-инфраструктуры создаются по расписанию, заданному в соответствии с нужными RTO и RPO, и помещаются в хранилище. Такая схема подходит для малых организаций, где непрерывность не является критичной, но важны экономия и сохранность данных.
Инфраструктура копируется полностью, изменения в непрерывном режиме переносятся в облако, извлечение и восстановление информации происходит за минуты.
Резервная облачная инфраструктура полностью идентична основной и обновления в них происходят синхронно. Восстановление возможно за несколько секунд, что делает это решение актуальным для крупных финансовых и ИТ-компаний, госсектора, а также любых организаций, где нельзя терять ни минуты на простой.
Строительство отказоустойчивых ЦОДов становится все более актуальным для бизнеса, и это может быть необходимо как для создания новых, так и для оптимизации уже существующих центров обработки данных. Этого можно достичь путем проведения комплекса мероприятий, включающих в себя строительство специализированных зданий, а также инженерных, телекоммуникационных и ИТ-инфраструктур, их автоматизацию и сервисное обслуживание.
Существует также возможность создания мобильного ЦОДа. Однако, для более простого решения данной задачи, компании могут доверить организацию ИТ-инфраструктуры опытному провайдеру.
Развитие бизнеса обычно сопровождается увеличением вычислительных мощностей и усложнением ИТ-систем, что может привести к риску нарушения непрерывности деловой активности. Именно поэтому компаниям необходим план восстановления системы после инцидента (DRP), который является частью большего плана обеспечения непрерывности бизнеса (BCP). Данный план призван обеспечить максимально быстрое восстановление работоспособности ИТ-систем, поддерживающих как критичные бизнес-процессы, так и обычные операции. BCP, в свою очередь, должен предусматривать восстановление бизнес-процессов в целом.
Для обеспечения нормального функционирования системы необходима формирование программы сопровождения и эксплуатации систем BCM, включающую меры по периодической проверке системы, а также реагированию обслуживающего персонала на возникновение инцидентов.
Наконец, встраивание процессов в корпоративную культуру играет важную роль на пути к успешному планированию восстановления после происшествий. Для этого необходимо разработать меры и осведомить персонал о мерах, принимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. Компетентный персонал является ключевым фактором успеха на этом этапе.
Как известно, внедрение системы ВСМ на предприятии может значительно повлиять на его дальнейшую работу. Однако, какие именно параметры могут свидетельствовать об эффективности такого внедрения?
В первую очередь, важно отметить готовность организации к дальнейшей работе в случае возникновения аварий в ИТ-системах. Если в систему была внедрена ВСМ, это достаточно показательный момент, ведь организация приняла меры для сохранения своих данных и возможности продолжения работы в случае сбоев.
Кроме того, стоит оценить вероятность простоя (недоступности) информационных систем в случае возникновения внештатной ситуации и потенциальные убытки, которые могут быть связаны с такой ситуацией.
Также важным показателем является соответствие требованиям регулирующих органов и прохождение аудита.
Однако, само по себе создание и внедрение системы ВСМ может стать непростой задачей для предприятия, требующей значительных финансовых, кадровых и временных ресурсов. Не каждая компания готова на это пойти и поэтому речь идет об эффективности внедрения системы с учетом возможностей организации.
Фото: freepik.com