Kontinuitet poslovanja i sistem informacione bezbednosti

Uvod

U savremenom poslovnom okruženju, kompanije se suočavaju sa sve većim pretnjama koje mogu ugroziti njihove operacije. Od sajber napada i prirodnih katastrofa do ljudskih grešaka i prekida u lancu snabdevanja, kontinuitet poslovanja postaje ključni faktor za dugoročni opstanak i uspeh.

U svetu u kojem sajber napadi, zloupotrebe podataka i prirodne katastrofe mogu prekinuti kontinuitet poslovanja i brzo naneti štetu ugledu kompanije, mora se biti spreman na pravovremenu reakciju. Zato kompanije moraju da primene, održavaju i unapređuju svoj sistem upravljanja kontinuitetom poslovanja.

Neke kompanije već imaju plan kontinuiteta poslovanja koji ne prati zahteve standarda ili neki drugi plan za nepredviđene situacije, kao što je prirodna katastrofa. Ovi planovi nisu nužno zasnovani na pravilnoj analizi rizika, brzo zastarevaju, što kompaniju čini ranjivom u slučaju pojave katastrofe.

Sistem upravljanja kontinuitetom poslovanja

Primenom efikasnog sistema upravljanja kontinuitetom poslovanja – BCMS (Business Continuity Management System) stvara se otporan sistem i kompanija koja ume da prepozna gde je ranjiva i ima planove za ublažavanje rizika, kao i reagovanje ako to treba učiniti.

Nepredviđeni incidenti se često dešavaju – statistika kaže da je 54% kompanija imalo prekide u poslovanju u trajanju od najmanje osam sati.

Uprkos tome – kada je u pitanju zaštita informaciono komunikacionog sistema (IKS), u mnogim kompanijama i dalje vlada uverenje da sve dok sistemi ne prestanu da rade, i dok se ne osete ozbiljne posledice, ne preduzimaju se mere.

Međunarodni standard za bezbednost i otpornost – Sistemi upravljanja kontinuitetom poslovanja EN ISO 22301:2019 pruža smernice za uspostavljanje, implementaciju, održavanje i poboljšavanje sistema upravljanja kontinuitetom poslovanja (BCMS). Ovaj standard pomaže kompanijama da identifikuju potencijalne pretnje i razviju strategije za brzo reagovanje i oporavak u slučaju incidenta.

Ključni aspekti standarda ISO 22301:2019 su:

Analiza rizika i uticaja na poslovanje (BIA – Business Impact Analysis) podrazumeva:
- Identifikaciju kritičnih procesa i resursa
- Procenu potencijalnih posledica prekida poslovanja
Razvoj strategija kontinuiteta poslovanja:
- Definisanje planova za hitne slučajeve
- Uspostavljanje alternativnih metoda rada
Implementacija i testiranje plana
- Obuka zaposlenih
- Redovno testiranje i simulacije
Održavanje i stalno unapređenje
- Praćenje novih pretnji i ranjivosti
- Revizija i ažuriranje strategija

Sistem upravljanja kontinuitetom poslovanja (BCMS) nam obezbeđuje da razvijemo kompaniju koja je stalno otporna na spoljne pretnje, a ako se i dogodi incident tada ima već razvijene planove za prevazilaženje problema i vraćanje u radni režim u najkraćem roku.

Kada se dogode incidenti i katastrofe, malo je vremena za pripremu odgovora, posebno ako su pogođeni ključni ljudi, procesi, mreže, infrastruktura i druge ključne usluge.

Katastrofa nema granica. To može uticati na kontinuitet poslovanja interno i eksterno, utičući i na klijente i lanac snabdjevanja. Bez obzira da li je mala ili velika kompanija, može se suočiti sa ovim uticajem.

Primarna svrha upravljanja kontinuitetom poslovanja je smanjenje verovatnoće pretnji i garancija da kompanija reaguje na značajne poremećaje koji bi mogli ugroziti njenu budućnost. Dakle zahteva se sistemski pristup koji pre svega podrazumeva planiranje. U tom slučaju analiziraju se rizici i planiraju aktivnosti da se preduprede nepoželjni događaji i brzo prevaziđu posledici ukoliko se ipak desi neki eksterni napad na sistem. Oporavljanjem operacija, brzo nakon prekida rada, moguće je smanjiti troškove štetnih incidenata, zaštititi reputaciju kompanije, pa čak i spasiti živote, ako se pojave opasni događaji, poput požara ili poplava.

Na primer, ako ste dobavljač internet usluga ili telekom kompanija, svaki minut nedostupnosti usluge košta mnogo novca vašeg klijenta. Ali ako ste korisnik ovih istih usluga, spremni ste da platite skuplju tarifu, ako Vam dobavljač garantuje neprekidno snabdevanje. U osnovi primena kontinuiteta poslovanja je neka vrsta polise osiguranja koja će vam omogućiti da sprečite većinu incidenata, a posle ostalih da se brže oporavite.

Kontinuitet poslovanja predstavlja sposobnost kompanije da nastavi isporuku proizvoda ili usluga na prihvatljivom, prethodno definisanom nivou, nakon incidenta koji izaziva poremećaj.

Upravljanje kontinuitetom poslovanja je proces upravljanja kojim se identifikuju potencijalne pretnje po kompaniju i uticaji koje te pretnje, ukoliko se ostvare, mogu imati na poslovne procese. Takođe pruža okvir za izgradnju otpornosti i sposobnosti kompanije da na efikasan način odgovori na nastale poremećaje, kojim se štite interesi njenih ključnih zainteresovanih strana, ugled, brend i aktivnosti kojima se stvaraju vrednosti.

Slika 1. Grafički prikaz upravljanja rizikom i planiranje kontinuiteta poslovanja

Menadžment kontinuiteta poslovanja (eng. Business Continuity Management – BCM)

Planiranje kontinuiteta poslovanja (eng. Business Continuity Planing – BCP)

Sistemski prikaz podrazumeva i uspostavu politike i ciljeva BCMS, jasno definisanje uloga na realizaciji, te obezbeđenje potrebnih resursa za realizaciju plana kontinuiteta poslovanja i upravljanje tim resursima.

Rukovodstvo može dodeliti odgovornosti i ovlašćenja za izveštavanje o funkcionisanju BCMS, pa formira Tim za krizne situacije – ili imenuje odgovorno lice za BCMS koje je odgovorno:

za izradu plana kontinuiteta poslovanja za sve identifikovane ranjivosti od posebnog značaja;
da se vrši provera BCM sistema, odnosno provera usklađenosti primenjenih mera zaštite sa BCP, merama zaštite propisanim zakonima,
za izradu izveštaja o proveri BCM sistema i preduzetim aktivnostima u okviru funkcionisanja.
za dostavljanje obaveštenja o incidentima u BCM sistemu koji mogu da imaju značajan uticaj na narušavanje bezbednosti i nemogućnost kontinuiteta poslovanja.

Za realizaciju aktivnosti iz plana kontinuiteta poslovanja rukovodstvo planira i upravlja aktivnostima provere svih elemenata. To je prilično apstraktan pristup jer se u ovom slučaju radi na održavanju sistema za aktivnosti koje se nikada nisu desile, a koje bi imale katastrofalne posledice po poslovni sistem kompanije ako se dese. Stoga se upravlja sistemom da on uvek bude spreman da odgovori na pretnje, da se smanji ranjivost, a poveća otpornost poslovnog sistema na spoljne i unutrašnje uticaje.

Radi obezbeđenja efektivnog sistema upravljanja kontinuitetom poslovanja, kompanija primenjuje i održava sistematski proces za analizu uticaja na poslovanje i procenu rizika od poremećaja u eksternom kontekstu u kome posluje. Za kontinitet poslovanja je ovaj proces neobično zanačajan kako bi rukovodstvo kompanije u svakom trenutku odredilo prioritete i zahteve kontinuiteta poslovanja i garantovalo nesmetanu isporuku proizvoda i usluga svojim kupcima.

Primer koji oslikava aktivnosti koje se realizuju u ovom procesu u jednoj tipičnoj telekomunikacionoj kompaniji koja pruža usluge obezbeđenja internet konekcije:

ažuriranje liste svih uticaja u okruženju koji mogu uticati na prekid internet konekcije ka svojim korisnicima; npr. Prekid snabdevanja električnom energijom, globalni problemi nedostupnosti internet komunikacije, otkaz uređaja u kompaniji i sl., ponašanje konkurencije i njihov položaj na tržištu;
Procena tipa uticaja na rad kompanije i kriterijume prihvatljivosti, vodeći računa o zahtevima i preuzetim obavezama prema korisnicima usluga, odgovor na pitanje koliko bi koštalo namirivanje štete korisnicima prema ugovoru i posledica tih troškova na dalji rad i razvoj ove kompanije;
Procena uticaja u prekidu isporuke internet konekcije i šta bi to značilo za naše korisnike, da li bi oni kao posledicu imali prekid rada, veliku štetu, gubitak svojih klijenata…;
Određivanje vremena trajanja prekida u snabdevanju internet uslugama, nakon koga bi naša kompanija bila u nemogućnosti da nastavi sa radom.

Kako vidimo iz gore navedenog primera, problematika može da izazove dramatičan obrt.

Slični problemi su i kod proizvodnih kompanija koje imaju ugovore za isporuku proizvoda sa jasnim klauzulama o rokovima i uslovima isporuke, te u procesu ugovaranja zahtevaju da se analiziraju rizici i da se postave mere za obezbeđenje kontinuiteta poslovanja. Najčešće je to plan kontinuiteta poslovanja.

Informaciona bezbednost je ključni deo kontinuiteta poslovanja pa je povezanost zahteva za kontinuitet poslovanja sa zahtevima za saiber security i informacionom bezbednošću kompanije velika.

Standard ISO 27001, koji se odnosi na upravljanje informacionom bezbednošću, često se implementira zajedno sa ISO 22301 kako bi se obezbedila sveobuhvatna zaštita podataka i operacija.

Zaključak

Uvođenje sistema upravljanja kontinuitetom poslovanja (BPMS) predstavlja investiciju u sigurnost i održivost kompanije bez obzira da li se radi o plasmanu proizvoda ili pružanju usluga. Kombinacija ovog sistema sa praksama informacionih bezbednosti osigurava otpornost na pretnje i omogućava efikasno poslovanje čak i u kriznim situacijama. Takođe, dosledna primena sistema upravljanja kontinuitetom poslovanja razvija poverenje kupaca i korisnika usluga i dobra je podloga za definisanje zahteva ugovora sa klijentima.

Pripremila: Mara Bokić Savić, Senior konsultant BPM

M	T	W	T	F	S	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Uvod

Sistem upravljanja kontinuitetom poslovanja

Zaključak

You Might Also Like

Šta je Business Process Management?

CBAM – Dileme i pitanja izvoznika u EU

KAIZEN U PRAKSI – PROCESNI PRISTUP I ORGANIZACIONA STRUKTURA