ISO 27001 & BS 25999

Vjerojatno se pitate zašto nakon procjene rizika još morate provoditi i analizu utjecaja na poslovanje. Sve ste rizike identificirali, zar ne? Mnogo ste vremena potrošili na analizu svoje tvrtke, čemu dakle još jedna analiza?

Svrha analize utjecaja na poslovanje ipak je nešto drukčija. U kontinuitetu poslovanja sve se vrti oko vremena – nije važno možete li oporaviti poslovnu aktivnost ako to ne možete učiniti u razumnom roku. Upravo se analizom utjecaja na poslovanje želi utvrditi što je “razumno” pa je njezin glavni cilj utvrditi ciljano vrijeme oporavka za svaku kritičnu aktivnost unutar organizacije.

Takva se analiza često olako shvaća – kao prvo, tvrtka obično nije svjesna toga da bi krivi rezultati mogli dovesti do nepotrebnih troškova ili neprikladne strategije kontinuiteta poslovanja, a osim toga se i podcjenjuje trud koji je potrebno uložiti u provođenje analize utjecaja na poslovanje.

Zbog toga ovdje navodim nekoliko savjeta koji će vašu analizu utjecaja na poslovanje učiniti uspješnijom:

Shvatite analizu kao (mini) projekt. Odredite osobu odgovornu za provedbu analize i definirajte njezina ovlaštenja; definirajte opseg, ciljeve i vremenske rokove.

Napravite domaću zadaću, pripremite dobar upitnik. Dobro strukturiranim upitnikom možete uštedjeti mnogo vremena, a rezultati će biti točniji. U normama BS 25999-1 i BS 25999-2 možete naći dobre smjernice što takav upitnik mora sadržavati – između ostalog morate utvrditi posljedice prekida i kako one variraju s vremenom, identificirati resurse koji su potrebni za oporavak i sl. Dobro je postaviti pitanja kojima se mogu ocijeniti i kvalitativni i kvantitativni učinci.

Definirajte jasne kriterije. Ako osobe koje intervjuirate moraju na pitanja odgovarati tako da daju ocjene od 1 do 5, svakako objasnite što točno svaka od tih 5 ocjena znači. Nije rijetkost da posljedice istog događaja zaposlenici na nižim razinama ocijene kao katastrofalne, a najviši menadžment kao umjerene.

Sakupljajte podatke u interakciji s ljudima. Najbolji se rezultati postižu kada osoba koja ima iskustva s kontinuitetom poslovanja provodi intervju s osobom koja je odgovorna za kritičnu aktivnost. Na taj se način razjašnjavaju mnoge nejasnoće i postiže ujednačenost u odgovorima. Ako intervjui nisu izvedivi, organizirajte barem jednu radionicu za sve sudionike kako bi mogli pitati sve što ih muči. Drugim riječima, nemojte im samo slati upitnike i izgrditi ih ako ih ne ispune na vrijeme.

Ciljano vrijeme oporavka odredite tek nakon što utvrdite sve međuovisnosti. Primjerice, iz upitnika ćete možda zaključiti da je za kritičnu aktivnost “A” maksimalno tolerirano vrijeme prekida 2 dana, dok je maksimalno tolerirano vrijeme prekida za aktivnost “B” 1 dan i da se ne može oporaviti bez aktivnosti “A”. To znači da ciljano vrijeme oporavka aktivnosti “A” mora biti 1 dan, a ne 2 dana.

Iz iskustva znam da su rezultati analize utjecaja na poslovanje često iznenađujući – obično je ciljano vrijeme oporavka dulje nego što se u početku mislilo, a analiza utjecaja na poslovanje otkriva ovisnost o nekim resursima koji u stvari predstavljaju jedinstvenu točku prekida. Ali najbolje je to što je analiza utjecaja na poslovanje najučinkovitiji način na koji ljude možete potaknuti da razmišljaju o neočekivanom – stvarajući takvu svijest povećavate vjerojatnost za opstanak svoje tvrtke.

Pogledajte i naš webinar Osnove BS 25999-2 – 1. dio: Analiza utjecaja na poslovanje (seminar uz naplatu).

Ako ste započeli provoditi upravljanje kontinuitetom poslovanja, pisanje planova kontinuiteta poslovanja vjerojatno predstavlja najveći izazov.

Zašto je to toliko teško? Morate se, primjerice, sjetiti različitih scenarija u kojima može doći do havarije (ili drugih vrsta prekida poslovnih aktivnosti) i morate osmisliti način kako postupiti ako se ti iznimno rijetki, ali potencijalno katastrofalni incidenti dogode.

Osobe koje pišu takve planove obično ne znaju što planovi moraju sadržavati (koji su glavni elementi), koliko moraju biti dugi (koliko opsežni), koje korake moraju obuhvaćati, i sl.

Za rješavanje svih ovih dilema najbolje je koristiti normu BS 25999-2, koja zajedno s normom BS 25999-1 definira okvir za pisanje planova.

Prema tim normama, plan kontinuiteta poslovanja mora se sastojati od (1) plana odaziva na incident i (2) planova oporavka. Plan odaziva na incident obično je jedinstven plan koji se odnosi na cijelu organizaciju i opisuje radnje koje se moraju poduzeti odmah nakon pojave havarije – smanjenje posljedica incidenta, komunikacija sa službama za hitne slučajeve, evakuacija zgrade, okupljanje na zbornim mjestima, organizacija transporta na rezervnu lokaciju, i sl.

Planovi oporavka se obično pišu zasebno za svaku kritičnu aktivnost i moraju obuhvaćati sljedeće korake: kada i kako se komunicira s raznim zainteresiranim stranama (zaposlenicima i njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima, i dr.), kako se sastavlja tim, kako se provodi oporavak infrastrukture, kako se provjerava funkcioniraju li aplikacije i jesu li prava pristupa odgovarajuća, kako se provjerava koji podaci nedostaju ili što je oštećeno u havariji, kako se provodi oporavak podataka i kako se donosi odluka da je oporavak završen kako bi se mogle uspostaviti normalne aktivnosti.

Disaster recovery planove (planovi oporavka ICT infrastrukture) potrebno je pisati pažljivo jer bi oni trebali opisati kako se pokreće svaki pojedini sustav unutar ciljanog vremena oporavka za pojedinu kritičnu aktivnost. Obično se to radi pisanjem detaljnog plana oporavka za svaki sustav koji treba oporaviti.

Općenito pravilo glasi da svi planovi trebaju sadržavati takvu količinu detalja koja omogućuje da i drugi zaposlenici (ili vanjsko osoblje) koriste plan u slučaju da ljudi koji rade u pojedinoj kritičnoj aktivnosti nisu dostupni. Stoga, koristite zdrav razum u pisanju planova – oni moraju biti razumljivi svima, a ne samo vama.

Iz iskustva znam da je najveći izazov u pisanju ovih planova taj što se zaposlenici po prvi put moraju baviti nečim potpuno drugačijim, nečim o čemu nikada prije nisu morali razmišljati. Taj ćete problem najbolje riješiti radionicom na kojoj će zaposlenici, sa ili bez moderatora, moći razmijeniti svoja razmišljanja o tome što bi se dogodilo kad bi…, kako reagirati ako…, i sl.

Sama činjenica da su vaši zaposlenici počeli razmišljati o kontinuitetu poslovanja već je 50% obavljenog posla – takvim pristupom rezultati planiranja kontinuiteta poslovanja bit će mnogo bolji.

Pogledajte i naš webinar Osnove BS 25999-2 – 3. dio: Planiranje kontinuiteta poslovanja (seminar uz naplatu).

Razmišljate o uvođenju norme za upravljanje kontinuitetom poslovanja/norme BS 25999-2? No onda saznate da će vas to puno koštati? Koštati vas vjerojatno hoće, ali ne nužno onoliko koliko ste mislili – to možete riješiti dobrom strategijom kontinuiteta poslovanja.

Norma BS 25999-2 strategiju kontinuiteta poslovanja definira kao “pristup organizacije koji osigurava njezin oporavak i kontinuitet u slučaju havarije ili drugih većih incidenata ili prekida u poslovanju”. Poanta je, dakle, da se na najbolji mogući način pripremite na djelovanje u slučaju havarije. Priprema može uključivati organizacijske mjere (pisanje planova, sklapanje ugovora s dobavljačima/partnerima, vježbanje, pregled, osvješćivanje itd.) i ulaganje u opremu, infrastrukturu itd.

Vrijeme je vrlo važan faktor u oporavku – ako svoje poslovanje ne oporavite u razumnom roku, vjerojatno ćete izgubiti klijente, a time i posao. Zato se u strategiji kontinuiteta poslovanja mora postaviti ciljano vrijeme oporavka za svaku kritičnu aktivnost, s tim da to vrijeme može biti različito za pojedine aktivnosti.

Ima još jedna stvar koju treba uzeti u obzir: što je ciljano vrijeme oporavka kraće, potrebna je veća investicija  – na primjer, ako podatkovni centar želite oporaviti za manje od sat vremena, morat ćete investirati u rezervnu lokaciju koja će biti opremljena gotovo isto kao i primarna lokacija; s druge strane, ako podatkovni centar želite oporaviti unutar dva tjedna, investicija će biti puno manja jer će biti dovoljno na rezervnoj lokaciji pohraniti samo sigurnosne kopije, što vam ostavlja dva tjedna za nabavku potrebne opreme. To znači da ciljano vrijeme oporavka ne biste trebali postavljati ni na jako dugi, ali ni jako kratki rok.

Nešto ćete ipak morati investirati nakon što odredite ciljano vrijeme oporavka. Dobra strategija kontinuiteta poslovanja pomoći će vam doduše da tu investiciju umanjite i da svejedno budete u stanju oporaviti svoje kritične aktivnosti unutar ciljanog vremena oporavka. Evo nekoliko primjera:

• možda vam na rezervnoj lokaciji ne treba vlastiti podatkovni centar – u većini zemalja moguće je takvu lokaciju unajmiti od specijalizirane tvrtke, što znači da ne morate investirati u infrastrukturu, možda čak ni u opremu ili softver,
• možda vam na rezervnoj lokaciji ne trebaju uredi– zaposlenici koji ne posluju direktno s klijentima mogu raditi od kuće,
• možda vam uopće ne treba rezervna lokacija ako ostale poslovne jedinice imate na raznim lokacijama koje mogu preuzeti kritične aktivnosti pogođene havarijom,
• opremu možda ne morate kupovati unaprijed ako pronađete dobavljača koji može jamčiti isporuku opreme unutar vašeg ciljanog vremena oporavka,
• itd.

Svi ovi primjeri zahtijevaju povećanje vaših organizacijskih mogućnosti, ali ako želite uštedjeti nešto novca, vrijedi o tome razmisliti.

Pogledajte i naš webinar Osnove BS 25999-2 – 2. dio: Strategija kontinuiteta poslovanja (seminar uz naplatu).