Zarządzanie ciągłością działania – jeden z filarów bezpieczeństwa organizacji

Szczegóły
Nadrzędna kategoria: Bezpieczeństwo publiczne
Kategoria: Bezpieczeństwo biznesu

Każdy podmiot działający na rynku, niezależnie od rodzaju, wielkości, przynależności do danego sektora lub gałęzi gospodarki, formy właścicielstwa czy pełnionej roli stale narażony jest na różnego typu „incydenty”, które mogą zakłócić lub nawet przerwać jego działalność operacyjną. Wachlarz tych zdarzeń jest szeroki – mogą to być sytuacje ekstremalne takie jak klęski żywiołowe, ale częściej jest to coś bardziej powszechnego i prawdopodobnego jak zanik zasilania czy pęknięta rura wodociągowa lub awaria serwera. Każda taka awaria to zakłócenie zdolności organizacji do wykonywania jej normalnych działań co w konsekwencji może wpłynąć na klientów i interesariuszy powodując dodatkowe koszty i tworząc potencjał strat finansowych i niefinansowych.

Na przestrzeni ostatnich kilkunastu lat Zarządzanie Ciągłością Działania (eng. business continuity management – BCM) rozwinęło się z ledwie tolerowanego dodatku do potężnego narzędzia pomagającego organizacjom nie tylko skutecznie reagować i zarządzać szkodliwym incydentem, ale także zabezpieczyć i aktywnie chronić je przed ich skutkami. Obecnie można obserwować dalszą ewolucję czyniącą z Zarządzania Ciągłością Działania zasadniczy fundament procesu kompleksowego i spójnego zarządzania ryzykiem i bezpieczeństwem – czyli tzw. budowanie odporności organizacji.

W przypadku większości organizacji proces zarządzania ciągłością działania obejmuje planowanie, nadzór i realizację działań w zakresie: zarządzania kryzysowego; odtwarzania procesów, infrastruktury i zasobów niezbędnych do wznowienia działalności operacyjnej; usunięcia skutków awarii; planowania awaryjnego i powrotu do normalnej działalności biznesowej.

Dzięki wdrożeniu zarządzania ciągłością działania organizacje są znacznie lepiej przygotowane do przewidywania, zapobiegania i reagowania na incydenty, które mogą zakłócić jej funkcjonowanie a tym samym skutecznie zmniejszyć lub niekiedy nawet wyeliminować koszty i potencjalne straty spowodowane incydentem.

Zarządzanie ciągłością działania to nie tylko propozycja dla dużych korporacji czy sektora publicznego (infrastruktury krytycznej, operatorów usług kluczowych). Zasady Zarządzania Ciągłością Działania mają zastosowanie do wszystkich organizacji, bez względu na wielkość czy profil prowadzonej działalności. W rzeczywistości sprawne Zarządzanie Ciągłością Działania może przynieść znaczące korzyści mniejszym firmom umożliwiając im budowanie przewagi nad konkurencją, poprawę (poprzez kompleksowe oddziaływanie na każdej płaszczyźnie) bezpieczeństwa i zarządzania ryzkiem czy ochronę interesów klientów i właścicieli.

Mimo, iż początki zarządzania ciągłością działania sięgają lat 60 i 70 XX.w, to gwałtowny rozwój nastąpił dopiero w drugiej połowie lat 90 poprzedniego stulecia. Pierwszą próbą zmierzenia się z tym zagadnieniem poprzez opracowanie standardu, który mógłby być wykorzystywany przez różne organizacje, było wydanie przez Disaster Recovery Institute International w 1997r. „Zasad Zawodowych dla Specjalistów w Zakresie Planowania Ciągłości Działania”. Następnie w roku 2000 Business Continuity Institute wydaje „Dobre Praktyki”, będące podstawą do opracowania nowego standardu dotyczącego ciągłości działania (PAS 56 „Guide To Business Continuity Management”) oraz ciągłości świadczenia usług informatycznych (PAS 77 „IT Service Continuity Management. Code of Practice”). Prawdziwa rewolucja zaszła w roku 2007 gdy PAS 56 został zastąpiony przez Brytyjski Standard BS 25999 (Business Continuity Management) – był to pierwszy, prawdziwie uniwersalny standard który można było wdrożyć i certyfikować w dowolnej organizacji.

W roku 2012 w oparciu o BS25999 zostaje wydana międzynarodowa norma ISO 22301, która jest de facto lekko zmodyfikowanym standardem brytyjskim. Ostatnim „kamieniem milowym” zarządzania ciągłością działania ujętym w normę jest ISO 22316 z roku 2018, w której to Zarządzanie Ciągłością Działania z jednego z elementów zintegrowanego zarządzania organizacją staje się fundamentem strategicznego i operacyjnego procesu budowania odporności organizacji (synergia zarządzania ciągłością działania, zarządzania ryzykiem oraz zarządzania bezpieczeństwem i jakością).

W Polsce proces zarządzania ciągłością działania pojawił się dopiero na przełomie wieków, a pierwszym poważnym problemem z jakim musiały sobie poradzić organizacje i specjaliści od BCM był problem roku 2000 w systemach IT. Początkowo zarządzanie ciągłością działania koncentrowało się na problemach związanych z odtwarzaniem danych i infrastruktury IT, czyli działaniami z obszaru „disaster recovery”. Dopiero po ataku na WTC we wrześniu 2011 roku zaczęto rozszerzać Zarządzanie Ciągłością Działania także na obszary ogólnobiznesowe. Pierwsze regulacje w ramach Ustaw sektorowych pojawiają się w drugiej połowie lat 90 (Ustawa, Prawo bankowe; Ustawa, Prawo energetyczne; Ustawa o systemie ubezpieczeń społecznych).

Obecnie (oprócz norm ISO) w Polsce zarządzanie ciągłością działania jest także standardem wymaganym przez regulatora pośrednio lub bezpośrednio poprzez następujące akty prawne:

  • Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz. U. Nr 89, poz. 590, z późn. zm.)
  • Załącznik nr 1 do Narodowego Programu Ochrony Infrastruktury Krytycznej – „Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje” (Narodowy Program Ochrony Infrastruktury Krytycznej – Uchwała nr 121/2018 Rady Ministrów),
  • Ustawa o krajowym systemie cyberbezpieczeństwa – z dnia 5 lipca 2018 r. (Dz.U. 2018 poz. 1560)
  • Ustawa, Prawo bankowe – z dnia 29 sierpnia 1997 (Dz.U. z 2002 r. nr 72, poz. 665, z późn. zm.)
  • Urząd Komisji Nadzoru Finansowego – Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach (Rekomendacja 11)
  • Urząd Komisji Nadzoru Finansowego – Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (Rekomendacja 15)
  • Ustawa, Prawo komunikacyjne – z dnia 16 lipca 2004 r. (Dz.U. z 2004 r. nr 171, poz. 1800, z późn. zm.)
  • Ustawa, Prawo energetyczne – z dnia 10 kwietnia 1997 r. (Dz.U. z 2006 r. nr 89, poz. 625, z późn. zm.)
  • Ustawa, Prawo pocztowe – z dnia 12 czerwca 2003 r. (Dz.U. z 2008 r. nr 189, poz. 1159, z późn. zm.)
  • Ustawa o systemie ubezpieczeń społecznych – z dnia 13 października 1998 r. (Dz.U. z 2009 r. nr 205, poz. 1585, z późn. zm.)

Aby wdrożyć skuteczny proces zarządzania ciągłością działania nie wystarczy znajomość norm i dobrych praktyk, przede wszystkim ważne jest aby Zarządzanie Ciągłością Działania zostało włączone w kulturę organizacji jako jej stały i nieodzowny element. Tego nie da się zrobić bez pełnego i świadomego zaangażowania kierownictwa organizacji począwszy od zarządu a skończywszy na kierownikach jednostek realizujących krytyczne procesy biznesowe. Jeśli wielkość organizacji na to pozwala dobrym rozwiązaniem zapewniającym ciągłość inicjatywy i możliwość przezwyciężania trudności jakie zwykle towarzyszą wdrożeniu Zarządzaniu Ciągłością Działania jest powołanie dedykowanego Komitetu (w skład którego wejdzie min. jeden członek zarządu wyznaczony na gestora procesu). W mniejszych organizacjach rolę gestora powierza się osobie z najwyższego kierownictwa, zaś sam BCM umieszcza się tak aby podlegał bezpośrednio pod gestora.
Kluczową osobą dla procesu jest tzw. BCM Manager – powinna to być osoba raportująca bezpośrednio do najwyższego kierownictwa (zarząd, gestor). Idealnym
kandydatem jest osoba posiadająca szeroką wiedzę dotyczącą struktury biznesowej organizacji, procesów i ludzi. Pożądane jest aby posiadała umiejętności
komunikacyjne i interpersonalne oraz umiała dobrze zarządzać zespołem i/lub projektem.

Aby móc w pełni korzystać z profitów zrządzania ciągłością działania poniższe warunki muszą zostać spełnione:

  • Zarządzanie Ciągłością Działania jest integralną częścią ładu korporacyjnego
  • Działania w ramach Zarządzania Ciągłością Działania muszą być zgodne, koncentrować się i bezpośrednio wspierać strategię i cele biznesowe organizacji
  • Zarządzanie Ciągłością Działania musi zapewniać odporność biznesową w celu optymalizacji dostępności produktów i usług organizacji
  • Zarządzanie Ciągłością Działania musi być optymalizowane pod kątem efektywności kosztowej
  • Zarządzanie Ciągłością Działania musi być wdrożony w organizacji świadomie jako wartość dodana podnosząca bezpieczeństwo, elastyczność i efektywność biznesową a nie tylko ze względu na wymagania prawne i regulacyjne.

Wdrażając proces zarządzania ciągłością działania należy wykonać pięć kroków (które należy powtarzać po każdym pełnym przejściu cyklu):

  1. Przeanalizuj swoją firmę
  2. Oceń ryzyko
  3. Opracuj strategię
  4. Opracuj swój plan ciągłości działania
  5. Przećwicz plan ciągłości działania Przeanalizuj swoją firmę – innymi słowy dowiedz się co jest dla niej kluczowe (produkty, usługi, procesy, obszary, dostawcy, etc…) i na jakie zagrożenia i ryzyka jest narażona. Na tym etapie zazwyczaj umiejscawia się proces i strukturę Zarządzania Ciągłością Działania w szkielecie organizacji.

Przeanalizuj swoją firmę – innymi słowy dowiedz się co jest dla niej kluczowe (produkty, usługi, procesy, obszary, dostawcy, etc…) i na jakie zagrożenia i ryzyka jest narażona. Na tym etapie zazwyczaj umiejscawia się proces i strukturę Zarządzania Ciągłością Działania w szkielecie organizacji.

Oceń ryzyko – czyli sprawdź co może zakłócić lub przerwać działalność organizacji, ustal jakie jest prawdopodobieństwo wystąpienia takiego zdarzenia, oszacuj jakie to może mieć skutki (zarówno finansowe jak i niefinansowe) oraz zweryfikuj jak bardzo na dane ryzyko jest podatna organizacja i czy dysponuje już jakimiś mechanizmami mitygującymi lub kompensującymi dane ryzyko.

Opracuj strategię – w oparciu o ocenę ryzyka, podatności i istniejące działania mitygujące określ pryncypia i sposób postępowania w przypadku materializacji ryzyka.

Opracuj swój plan – czyli sformalizuj i opisz co, jak, kiedy i kto będzie robić aby przyjęta stratega postępowania mogła zostać rzeczywiście zrealizowana zgodnie z przyjętymi założeniami.

Przećwicz plan – czyli sprawdź empirycznie, czy opracowany plan można zrealizować, czy efekty jego realizacji spełnią oczekiwania organizacji oraz czy występują elementy wymagające poprawy/korekty.

Ze względu na szybko zmieniający się charakter warunków biznesowych proces Zarządzania Ciągłością Działania nie jest procesem statycznym ale cyklicznym. Podobnie jak inne systemy jakościowozarządcze Zarządzanie Ciągłością Działania jest procesem samodoskonalącym się, funkcjonującym w oparciu o cykl (koło) Deminga – > zaplanuj, zrób, sprawdź, realizuj/popraw. 

Hubert Łabęcki

 

fShare
Pin It

Wyszukiwarka

pfr 350px

Facebook

Polecamy

 

prenumerata polowa 

Biuletyn Informacyjny 350x165
 

Najnowsze wydanie

Wydanie 02-2024 16-04-2024

Wydanie specjalne

Wydanie specjalne - securitech c4 20230924

Najczęściej czytane

Prenumerata

Patronaty

NODEX logo rozwiniecie

Forum Więziennictwa winieta

baner polsecure pl

 

polsecure 470x120

SECUREX grafika przewodnia 1920x1080 px

                                                                           SECURITECH konf szkol

 

pi