Posiadanie planu ciągłości działania to nie tylko kwestia bezpieczeństwa dla danej firmy lub przedsiębiorstwa, ale również strategiczne narzędzie zarządzania ryzykiem, które pomaga zachować konkurencyjność i stabilność w obliczu niespodziewanych zdarzeń.
24.07.2024
PLAN BCP JEST KLUCZOWY Z KILKU POWODÓW:
Minimalizacja przerw działania: w wyniku nieprzewidzianych zdarzeń, np.: awarie systemów, katastrofy naturalne, cyberataki czy inne incydenty. Dzięki temu firma może szybko wrócić do normalnego funkcjonowania.
Ochrona kluczowych zasobów: zawiera procedury mające na celu ochronę kluczowych zasobów firmy (dane, sprzęt, infrastruktura i pracownicy).
Zapewnienie ciągłości operacyjnej: umożliwia kontynuowanie kluczowych operacji nawet w obliczu poważnych zakłóceń. Dzięki temu firma może utrzymać swoje zobowiązania wobec klientów, partnerów biznesowych.
Ochrona reputacji firmy: sposób, w jaki firma radzi sobie z kryzysami, ma duży wpływ na jej reputację. Pamiętajmy, o ile uda się odbudować systemy, odzyskać utracone dane, czy też odrobić straty finansowe – to o tyle trudniej jest odbudować zaufanie klientów/partnerów biznesowych.
Redukcja ryzyka finansowego: brak planu ciągłości działania może prowadzić do strat finansowych. Przestoje w działalności, utrata danych czy reputacji mogą mieć poważne konsekwencje. Poza tym środki przeznaczone na prawidłowo opracowany plan BCP wraz z jego wdrożeniem są relatywnie niższe niż środki przeznaczone na odbudowę po awarii czy ataku.
Regularna ocena bezpieczeństwa jest kluczowa dla każdej firmy, która chce minimalizować ryzyko ataku cybernetycznego lub awarii uniemożliwiającej pracę. Dzięki regularnej ocenie można zidentyfikować potencjalne luki w systemie oraz podnieść świadomość pracowników na temat zagrożeń cybernetycznych.
JAKIE KLUCZOWE ZAGADNIENIA POWINIEN POSIADAĆ PLAN CIĄGŁOŚCI DZIAŁANIA?
CEL I PRZEDMIOT – powinien w sposób czytelny określać cel (kiedy procedury w BCP mają zastosowanie) – czyli w przypadku zaistnienia zdarzeń mających wpływ (również potencjalny) na bezpieczeństwo oraz ciągłość działania.
ZAKRES STOSOWANIA – zdefiniowanie działań koniecznych do podjęcia w przypadku wystąpienia zdarzenia.
ODPOWIEDZIALNOŚĆ I UPRAWNIENIA – wyznaczenie osób odpowiedzialnych za opracowanie i utrzymanie niniejszego planu ciągłości działania. Wyznaczenie osób odpowiedzialnych za nadzór nad realizacją działań. Powinien również zawierać kontakty do kluczowych osób wewnętrznych i zewnętrznych.
OPRACOWANIE ANALIZY RYZYKA – zidentyfikowanie potencjalnych zagrożeń oraz wpływu zagrożeń na kluczowe procesy biznesowe. Należy również określić priorytet dla systemów / zasobów umożliwiających dalsze działanie firmy. Jakie systemy w przypadku awarii traktowane są priorytetowo.
OPRACOWANIE PLANU AWARYJNEGO – dla kluczowych procesów, zasobów i systemów. Należy też się zastanowić czy w przypadku zniszczenia danej lokalizacji – jest możliwość przeniesienia zasobów i pracy – korzystania z nich w innej lokalizacji.
OKREŚLENIE DZIAŁAŃ ZAPEWNIAJĄCYCH PRZYWRÓCENIE ZDOLNOŚCI DO REALIZACJI DZIAŁALNOŚCI – należy określić różne rodzaje incydentów mających wpływ na działanie firmy, opis działań w konkretnym przypadku oraz zasoby i osoby odpowiedzialne – w celu wyeliminowania zagrożenia.
ZDEFINIOWANIE SPOSOBU KOMUNIKACJI W SYTUACJI ZAGROŻENIA – określenie sposobu komunikacji wewnętrznej i zewnętrznej w czasie kryzysu. Warto przewidzieć tutaj różne kanały komunikacji (czyli w zależności od możliwości kontakt telefoniczny, mailowy, bezpośrednie powiadomienie osób odpowiedzialnych).
ZARZĄDZANIE ZASOBAMI I DOSTĘPNOŚCIĄ – plan powinien zawierać informację o możliwości zapewnienia dostępności kluczowych zasobów (sprzęt, systemy IT itp.)
PROCEDURY DOTYCZĄCE OCHRONY I PRZYWRACANIA DANYCH – określenie sposobu tworzenie kopii zapasowych i miejsc ich składowania. Zaplanowanie cyklicznych testów odtworzeniowych backupu. Plany dotyczące przywracania systemów informatycznych i infrastruktury po awarii.
TESTY I SZKOLENIA – dla pracowników i osób wyznaczonych do procedur w BCP. Testowanie planów ciągłości działania poprzez symulacje awarii (np. awaria łącza, awaria zasilania) i podejmowanie od razu kroków w celu zminimalizowania zaistniałego ryzyka (zakup agregaty, zakup UPS, zakup łącza).
REGULARNE SPRAWDZANIE DOKUMENTACJI – analiza zawartych zagrożeń i dopisywanie nowych jeśli takie wystąpią w celu uwzględnienia zmian w firmie, technologii i środowisku zewnętrznym.
WSPÓŁPRACA Z PODMIOTAMI ZEWNĘTRZNYMI – uzgodnienie z dostawcami sprzętu, technologii, partnerami biznesowymi wspólnych działań w przypadku wystąpienia kryzysu.
PODSUMOWANIE
Reasumując posiadanie planu ciągłości działania pozwala firmom skutecznie reagować na awarie, kryzysy czy zagrożenia – minimalizując jednocześnie zakłócenia w działalności – chroniąc zasoby, finanse i reputację.
Na koniec poza ostatnim incydentem w Microsoft, chciałbym przytoczyć przypadek firmy hostingowej CloudNordic w Danii, która straciła „większość” danych swoich klientów po ataku ransomware. Po przywróceniu pustych systemów dyrektor firmy powiedział: „Nie spodziewam się, że będą z nami klienci, gdy to się skończy”.
Źródła i przydatne linki
Artur Wróblewski
Inżynier Systemowy w Advatech, oddział Poznań. Związany z branżą IT od ponad 20 lat. Jego codzienną pracą jest wsparcie klientów.
Wcześniejsze doświadczenie jako Administrator Systemów Informatycznych oraz Administrator Informacji Niejawnych wymagało od niego dużego nacisku na cyberbezpieczeństwo. To z kolei przerodziło się w jego pasję i chęć zdobywania wiedzy w tym zakresie.
