Według badań firmy konsultingowej Mercer aż 51% firm nie posiada planów na wypadek zdarzenia losowego takiego jak pandemia, pożar, atak hakerski czy powódź, w wyniku którego firmie grozi utrata ciągłości działania. W badaniu wykazano, że aż 27,2% z ankietowanych podmiotów nie opracowało Planów Ciągłości Działania (lub po angielsku Business Continuity Plan – BCP). Taki plan to zbiór procedur pozwalających na zachowanie ciągłości działania systemów IT w sytuacji kryzysowej. Jeżeli Twoja organizacja jeszcze nie posiada takiego planu, chodzisz po cienkim lodzie, a każda sytuacja awaryjna naraża firmę na wysokie straty i widmo bankructwa.
Czym jest Plan Ciągłości działania?
Plan Ciągłości Działania (z ang. Business Continuity Planning, dalej zwany BCP) to zbiór procedur i informacji, które należy opracować na wypadek sytuacji kryzysowej, zdarzenia losowego np: pandemii, ataku terrorystycznego, pożaru, awarii czy powodzi. Uruchomienie planu w sytuacji kryzysowej pozwala na zminimalizowanie negatywnych skutków kryzysu i uchronienie firmy przed milionowymi stratami wywołanymi zastopowaniem pracy.
W obecnych czasach BCP szczególnie koncentruje się na ochronie systemu informatycznego każdej firmy, jako serca biznesu, bez którego działanie organizacji jest po prostu niemożliwe. Plan definiuje procedury mające na celu przywrócenie funkcjonowania systemów, aplikacji i infrastruktury. BCP definiuje także obowiązki poszczególnych osób oraz zespołów związane z procesem przywracania firmy do działania po awarii.
7 zasad wdrożenia skutecznego Planu Ciągłości Działania w Twojej firmie
1. Powołanie zespołu ds. ciągłości działania
Pierwszym działaniem, jakie należy podjąć w ramach definiowania Planu Ciągłości Działania jest stworzenie interdyscyplinarnego zespołu składającego się z pracowników każdego działu firmy. Zespół oczywiście powinien posiadać osobę odpowiedzialną za koordynację wszystkich działań – kierownika, warto również by taka osoba posiadała swojego zastępcę – by w razie nieobecności tego pierwszego – zastępca mógł przejąć odpowiedzialność. Wskazane jest, by każdy dział organizacji był reprezentowany przynajmniej przez jednego pracownika – dzięki temu minimalizujemy ryzyko, że jakiś kluczowy obszar zostanie pominięty i w razie awarii pozostanie wyłączony z działania. Pracownicy dodatkowo będa pełnić rolę ambasadorów projektu w swoich działach i zajmą się szkoleniem pozostałych członków załogi, identyfikacją procesów i definiowaniem standardów Twojego Planu Ciągłości Działania.
2. Analiza Ryzyka
Opracowywanie planu powinno się rozpocząć od analizy ryzyka (RA – Risk Analysis). To zadanie polega na wszechstronnej identyfikacji zagrożeń, określeniu skali oraz prawdopodobieństwa ich wystąpienia. RA pomaga ustalić, jakie działania mogą nieść ze sobą najbardziej katastrofalne skutki dla organizacji oraz pozwala przygotować się na nie. Dobrym, a czasem pomijanym elementem analizy ryzyka jest oszacowanie i sprawdzenie podatności organizacji na ataki hakerskie czy ransomware.
3. Analiza BIA
BIA, czyli (z ang. Business Impact Analysis) to analiza dotycząca finansowych, operacyjnych i fizycznych skutków wynikających z przerwania procesów lub usług. Analiza przyczynia się do poznania rodzaju ryzyka i zagrożenia w odniesieniu do działalności operacyjnej, wyników finansowych, reputacji firmy, pracowników i łańcuchów dostaw. Przeprowadzanie analizy BIA rozpoczyna się często od burzy mózgów, której przedmiotem jest omówienie listy ryzyk i zagrożeń oraz ocena ich wpływu na działalność przedsiębiorstwa. BIA może koncentrować się na zależnościach w łańcuchu dostaw, minimalnym czasie niezbędnym do przywrócenia działalności operacyjnej czy minimalnej liczbie personelu wymaganej do utrzymania ciągłości w firmie. Dzięki rzetelnej analizie BIA firma może poznać kluczowe obszary do utrzymania ciągłości funkcjonowania systemów IT. Do badanych obszarów zalicza się nie tylko procesy, ale i lokalizacje, pracowników oraz usługi etc. W analizie wykorzystuje się dwa podstawowe wskaźniki – RTO (z ang. Recovery Time Objective) oraz RPO (z ang. Recovery Point Objective). RTO określa czas, jaki potrzebny jest na odtworzenie procesów po awarii, a drugi odnosi się do akceptowalnego poziomu utraty danych sprzed awarii.
Po analizie RA i BIA firma będzie w stanie wytypować najważniejsze obszary z punktu widzenia zapewnienia ciągłości biznesowej i na nich powinniśmy się skupić podczas opracowywania planu.
4. Stworzenie planu
Przygotowanie planu powinno się odbywać z udziałem pracowników wszystkich działów. To szczegółowa instrukcja, która opisuje kto, co, kiedy powinien robić w chwili wystąpienia sytuacji kryzysowej.
5. Disaster Recovery Plan
Podczas przygotowywania BCP nie można zapomnieć o DRP, czyli Disaster Recovery Plan. Jest to plan odzyskiwania po awarii, zawierający zbiór procedur niezbędnych do przywrócenia systemu podczas awarii. DRP uwzględnia różne scenariusze awarii – incydenty we własnym centrum danych, awarie u dostawcy usług, czy powstanie krytycznego błędu systemowego. DRP przygotowuje się z myślą o jak najszybszym „postawieniu systemu do życia” po awarii, czego skutkiem jest przywrócenie dostępu do danych. DRP jest ważną składową BCP i zawiera kroki, które należy wdrożyć w celu opanowania kryzysu, dlatego w jego przygotowanie także powinny być zaangażowane osoby odpowiedzialne za istotne elementy funkcjonowania firmy. Dzięki dobrze przygotowanemu DRP można ograniczyć do minimum niedostępność systemu i zminimalizować straty. W ramach planu uwzględnia się m.in. odzyskiwanie danych z backupu.
6. Testowanie BCP
Plan stworzony w teorii w formie dokumentu to dopiero wierzchołek góry lodowej – nie można oszczędzać na testowaniu, ponieważ może to spowodować fałszywe poczucie bezpieczeństwa. Każda firma powinna go mieć, ale nie powinien być za długo chowany w szufladzie. Ważnym aspektem BCP jest regularne sprawdzanie zaproponowanych rozwiązań, co sprawia, że można zweryfikować czy Plan Ciągłości Działania naprawdę działa i czy pracownicy potrafią stosować się do procedur. Testowanie BCP pozwala na sprawdzenie skuteczności koordynacji zespołu, dopracowanie poszczególnych punktów planu.
7. Aktualizacja planów
Procedury zawarte w planie powinny być stale aktualizowane i dostosowane do dynamicznie zmieniającej się rzeczywistości – np. rozwiązań technologicznych, należy także pamiętać o szkoleniu nowych menedżerów i pracowników. Regularnie aktualizuj swój plan, by mógł on skutecznie ochronić firmę przed awariami i innymi zagrożeniami.
Nie masz kompetencji czy czasu na samodzielne opracowanie skutecznego Planu Ciągłości Działania? Powierz to zadanie ekspertom ESKOM! Umów się na bezpłatną konsultację teraz!
