Upravljanje poslovnim kontinuitetom

Proces upravljanja kontinuitetom poslovanja

Ključni elementi upravljanja kontinuitetom poslovanja:

  • razumijevanje rizika s kojima je suočena organizacija (svjesnost vjerojatnosti),
  • razumijevanje posljedica ukoliko se dogodi incidenta situacija,
  • ugovaranje neke od vrsti osiguranja koje bi pokrilo gubitke nastalo incidentnom situacijom,
  • definiranje strategije poslovnih procesa,
  • izrada planova za kontinuirano poslovanje prema dogovorenoj strategiji,
  • redovito testiranje i nadogradnja planova i procesa,
  • upravljanje kontinuitetom potrebno je ugraditi u organizacijske strukture i procese.

Kontinuitet poslovanja i analiza učinka

Prvi korak u planiranju kontinuiteta poslovanja jest identificirati događaje koji mogu prekinuti poslovni proces. Takve događaje nazivamo incidentne situacije.

Nakon identificiranja incidentnih situacija potrebno je za svaku od njih provesti analizu kojom se utvrđuje koje posljedice incidenta situacija ima po organizaciju, znači definiranje potencijalne štete i potrebno vrijeme oporavka.

Postupak analize treba obuhvatiti sve poslovne procese, ne samo jedinice za obradu podataka.

Treći korak je definiranje plana za kontinuirano poslovanje. Ono uključuje: jasnu identifikaciju odgovornosti,

  • definiranje procedura za postupanje u hitnim slučajevima kako bi se omogućio oporavak i povrat u minimalnom vremenskom periodu,
  • definirane odgovornosti i procedure za oporavak potrebno je dokumentirati,
  • eventualne promjene odgovornosti ili promjene u procedurama za oporavak također treba dokumentirati; postojeće procedure odnosno odgovornosti treba označiti kao nevažeće,
  • testiranje i nadogradnja planova.

Testiranje i održavanja

Zbog pogrešnih pretpostavki, dijelova koji su se previdjeli ili zbog promjena u osoblju i opremi moguće je da definirane procedure za kontinuirano poslovanje ne podžavaju željenu strategiju i planove. Stoga je redovito potrebno raditi testiranja kako bi se pravovremeno otkrili potencijalni propusti.

Testiranje obuhvaća:

  • raspored testiranja – kako i kada testirati svaki pojedini element plana,
  • hipotetsko testiranje različitih scenarija – raspravljanje o definiranim procedurama kroz primjere prekida,
  • simulacija – s ciljem osposobljavanja osoblja,
  • testiranje oporavka s tehničke strane – osiguravanje da informacijski sustavi mogu biti vraćeni u funkciju,
  • testiranje usluga treće strane – osiguranje da će ugovoreni servisi s trećom stranom zadovoljiti dogovoreno,
  • potpuni pokusi – testiranje da organizacija, osoblje, oprema i procesi mogu podnijeti prekide.

Održavanje:

  • održavati planove kroz redovite preglede i nadogradnje,
  • dodijeliti odgovornosti za redovito pregledavanje svakog plana za kontinuirano poslovanje – identifikacija promjena,
  • situacije koje mogu dovesti do nadopuna planova uključujući nabavu nove opreme, nadogradnju operativnih sustava ili promjene u poslovnom sustavu (osoblje, poslovna strategija, lokacija, resursi, zakonodavstvo, partneri, procesi, rizik...).

Primjena norme u sigurnosnoj politici

Stabilnost i kontinuitet rada željena je karakteristika svakog informacijskog sustava, pa tako i informacijskog sustava ZEMRIS. No cijena kontinuiteta poslovanja ponekad može biti puno veća od one koju je moguće platiti, stoga je potrebno uskladiti želje i mogućnosti.<

Kontinuitet poslovanja za neke informacijske sustave (npr. informacijski sustavi banaka) neophodan je element pružanja kvalitetne usluge te se pri implementaciji kontrola za takvo poslovanje ne pita za cijenu. S druge strane postoje sustavi kojima relativno kratak prekid poslovanja ne znači mnogo. Za takve sustave ulaganje u implementaciju kontrola za kontinuirano poslovanje nepotrebna je investicija.

Informacijski sustav ZEMRIS po potrebi za kontinuiranim poslovanjem nalazi se između prethodno opisanih sustava. Prekid u kontinuitetu neće prouzročiti takvu štetu kakvu bi izazvalo u prekidu poslovanja sustava banaka, a s druge strane o sustavu ZEMRIS ovise brojni studenti, zaposlenici i ostali korisnici. Zbog njih je, u slučaju prekida kontinuiteta, sustav potrebno u što kraćem vremenu osposobiti i vratiti u „normalno“ stanje.

Kako bi se zadovoljile osnovne potrebne za kontinuitetom poslovanja, potrebno je učiniti sljedeće:

  • identificirati rizik,
  • analizirati rizika,
  • definirati procedure u slučaju incidentne situacije.

Identifikacija rizika

Kao što definira standard, prvi korak planiranja kontinuiteta poslovanja je identificirati potencijalne prijetnje koje mogu ugroziti kontinuitet. Kontinuitet poslovanja mogu ugroziti:

  • korisnici svojim slučajnim ili namjernim postupcima,
  • kvar opreme,
  • i prirodne katastrofe.

Analiza rizika

Kvar opreme može nastati zbog:

  • nepravilnog rukovanja opremom,
  • držanje opreme u neadekvatnim uvjetima (uvjetima koji nisu prema preporukama proizvođača); prvenstveno se odnosi na temperaturu i vlagu,
  • neodržavanja opreme,
  • starosti opreme,
  • prenaponskog oštećenja i sl.

Kvar opreme kao uzrok prekida poslovanja poznat je od samog začetka informatizacije, te su se godinama razvijala i smišljala rješenja kako bi se rizik prestanka poslovanja zbog kvara opreme minimalizirao. Za svaki od uzroka kvara opreme (od rukovanja, održavanja pa sve do oštećenja nastalih „višom silom“) postoje procedure i kontrole koje umanjuju mogućnosti njihova štetnog djelovanja po opremu. Tako npr. kako bi se spriječila oštećenja nastala nepravilnim rukovanjem oprema se smješta u „sigurne prostorije“ kojima pristup imaju isključivo korisnici koji imaju potrebu za pristupom i znaju opremom rukovati. „Sigurne prostorije“, osim što su fizički odvojene od korisnika, imaju mogućnost automatske kontrole i reguliranja temperature i vlage u prostoriji. Na taj način sprječava se kvar opreme nastao držanjem opreme u neprikladnim uvjetima.

Prirodne katastrofe

Prirodne katastrofe (potresi, požari, poplave) potencijalna je prijetnja koju je nemoguće predvidjeti i na koju je nemoguće utjecati. Ono na što se može utjecati je implementacija kontrola za minimiziranje štete nastale ukoliko se neki od oblika katastrofe dogodi.

U svrhu minimiziranja štete nastale prirodnom katastrofom potrebno je:

  • ulaze u područje zavoda zaštititi vratima otporna na požar i poplavu,
  • osjetljivu opremu smjestiti unutar „sigurnih prostorija“; zaštićene vodonepropusnim i vatrostalnim vratima,
  • u prostorije s opremom implementirati kontrole za alarmiranje u slučaju požara ili poplave,
  • u prostorije s opremom implementirati uređaje za automatskog gašenja u slučaju požara,
  • osjetljivu opremu smjestiti u posebne ormariće, konstruirane tako da izdrže što veći pritisak (u slučaju potresa),
  • ukoliko implementirane kontrole zaštite nisu zadovoljavajuće, razmotriti osiguranje opreme kao dodatni mehanizam zaštite.

Korisnici

Korisnici svojim radnjama mogu ugroziti kontinuitet poslovanja te prouzročiti prestanak rada sustava. Kako bi se smanjila mogućnost obavljanja ovakvih radnji, potrebno je osigurati sljedeće:

  • korisnici ne smiju imati pristup opremi ukoliko nemaju realnu potrebu za tim,
  • pravo pristupa opremi svakog korisnika mora biti jasno dokumentirano,
  • korisnici koji imaju pravo pristupa opremi moraju poštivati pravila ponašanja i rukovanja osjetljivom opremom.

Pravila ponašanja i rukovanja osjetljivom opremom:

  • u prostorije koje sadrže osjetljivu opremu smiju ulaziti isključivo osobe koje imaju pravo pristupa,
  • osobe koje nemaju pravo pristupa ne smiju ulaziti u prostorije s osjetljivom opremom niti uz pratnju osobe koja ima to pravo,
  • u prostorije s osjetljivom opremom nije dopušteno unositi hranu i piće,
  • unutar prostorija s osjetljivom opremom nije dopušteno pušiti,
  • osjetljivom opremom mora se postupati prema pravilima proizvođača.