Upravljanje neprekinjenega poslovanja (angl. Business Continuity Management – BCM) ali kar »neprekinjeno poslovanje« je področje, ki je v nekaterih panogah že dolgo časa pomembno področje strateškega osredotočenja in na drugi strani rednih operativnih aktivnosti. Te imajo naravo preventivnih ukrepov, da ne bi prišlo do prekinitve ali drugih motenj procesov v organizaciji. S preventivnimi ukrepi preprečujemo uresničitev groženj oziroma verjetnost njihove uresničitve skušamo zmanjšati na še sprejemljivo raven. Če razumemo to področje dovolj celovito, potem lahko kaj hitro zatrdimo, da je informatika samo eno izmed področij zagotavljanja neprekinjenega poslovanja. Na izvajanje procesov vplivajo tudi dejavniki izven domene informatike, na primer stanje zalog za redno proizvodnjo, nemotena dobava električne energije ipd.
Enega izmed celovitejših pristopov k upravljanju neprekinjenega poslovanja ponuja mednarodni standard »SIST EN ISO 22301:2014 Družbena varnost – Sistem vodenja neprekinjenosti poslovanja – Zahteve«. Standard se dotakne vseh ključnih področij organizacije. Mi se bomo v našem priporočniku dotaknili samo področja informatike.
Strateški pomen upravljanja neprekinjenega poslovanja
Sodobne organizacije so, ne glede na njihovo velikost, pomembno ali popolnoma odvisne od delovanja informacijskih sistemov, razpoložljivosti aplikacij in podatkov. Predstavljajmo si samo banko, borzo ali povsem avtomatizirano proizvodnjo v katerikoli panogi. Vsaka zaustavitev procesa tako predstavlja stroške. Ti se kažejo kot stroški zaustavitve, čakanja in ponovnega zagona proizvodnje, stroški kasnitve dobav – penali, izguba posla in ugleda …
Na razpoložljivost in stabilnost delovanja informacijskih sistemov tako vplivajo:
- starost opreme,
- vzdrževanost,
- usposobljenost IT osebja,
- osveščenost in usposobljenost uporabnikov,
- postopki izdelovanja in preverjanja varnostnih kopij,
- postopki obnove sistemov po odpovedi in
- mnogi drugi dejavniki.
Predvsem je pomembno, da prepoznamo vse dejavnike – grožnje, ki in v kakšni meri lahko vplivajo na razpoložljivost informacijskega sistema, ter pristopimo k izvedbi ukrepov za zmanjševanje verjetnosti ali posledic uresničitve groženj – tveganj .
Naš pristop k upravljanju neprekinjenega poslovanja na področju informatike
Naš pristop k upravljanju neprekinjenega poslovanja na področju informatike je metodološko enak, kot to velja tudi na drugih področjih. Lotimo se ga v 4 korakih:
- Analiza stanja. V tem koraku pogledamo vsa IT sredstva, ki nastopajo v poslovnih procesih in prepoznamo vse grožnje, ocenimo verjetnost njihove uresničitve in posledice na poslovanje v primeru uresničitve grožnje. Torej ocenimo tveganje.
- Planiranje ukrepov. Če je tveganje za nas nesprejemljivo, zasnujemo ukrepe za zmanjšanje tveganja. Ukrepi so lahko usmerjeni v zmanjšanje verjetnosti uresničitve grožnje ali omilitev posledic. Nekatera tveganja pa lahko prenesemo tudi na druge subjekte, npr. zavarovalnice, zunanje izvajalce.
- Izvedba ukrepov. V tem koraku izvedemo planirane aktivnosti, ki lahko posegajo na najrazličnejša področja – od osveščanja in usposabljanja zaposlenih do nakupa redundančnih strežnikov in druge kritične opreme. Eden izmed pomembnih rezultatov tega koraka je načrt okrevanja po katastrofi (angl. Disaster Recovery Plan).
- Merjenje – testiranje. V tem koraku, preverimo, ali so izvedeni ukrepi učinkoviti in služijo namenu (angl. Fit for Purpose). To počnemo z obdobnimi pregledi ob vnaprej določenih časovnih intervalih ali mnogim bolj znanih kot »interne presoje«, ko na primer preverimo dejansko delovanje informacijskega sistema ob preklopu na rezervni strežnik ali po obnovitvi sistema iz varnostnih kopij. Če ukrepi niso učinkoviti, jih izboljšamo, prilagodimo.
Upravljanje neprekinjenega poslovanja je pomemben proces, ki se dejansko dogaja v vsaki organizaciji. Področje informatike je samo eno izmed strateških in v družbi Medic sistemi d.o.o. vam lahko na tem področju pomagamo.
Sorodne teme: Informacijska varnost