`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Непрерывность бизнеса: новый тренд или необходимость

+13
голоса

В последнее время все больше компаний обращаются к вопросу комплексной защиты своих ресурсов, обеспечения полноценного функционирования внутренней инфраструктуры и минимизации рисков утери важных данных, именно это и принято называть непрерывностью бизнеса.

Непрерывность бизнеса — это комплексный процесс, который помогает определить потенциальные угрозы и их влияние на обычный порядок ведения бизнеса. Указанный процесс предоставляет компании возможность заблаговременно подготовиться и определить порядок действий для обеспечения максимально эффективного управления компанией в случаях существенных инцидентов или катастроф.

Сегодня, практически все участники рынка стремятся к наибольшей автоматизации бизнес-процессов и уменьшению человеческого влияния на их внедрение. С одной стороны это положительное стремление. Тем не менее, с другой стороны — принимая во внимание увеличивающееся количество и сложность кибератак — автоматизация становится наиболее уязвимым элементом компании, который может на значительный период времени остановить или парализовать ее деятельность.

В своих исследованиях Gartner указывает, что менее 30% компаний, которые входят в рейтинг Fortune 2000, выделяют финансовые ресурсы на развитие и внедрение процессов управления непрерывностью бизнеса. Низкий уровень заинтересованности компаний в выделении отдельного процесса и инвестировании в его развитие может быть вызван сложностями в понимании технических процессов. Плюс к этому достаточно высокой стоимостью ИТ-продуктов, которые обеспечат внедрение автоматизированного процесса бизнес непрерывности компании.

Одним из базовых международных стандартов для управления непрерывностью бизнеса является ISO 22301, основной задачей которого является направление компании в поиске эффективного подхода к минимизации последствий, вызванных рисками и угрозами, которым она подвергается.

В соответствии с ISO 22301 непрерывность бизнеса это комплексный процесс управления, который определяет потенциальные угрозы для компании и их влияние на функционирование бизнес процессов, а также определяет основы для создания эффективной системы, способной сдерживать и противодействовать таким угрозам.

Непосредственно сам процесс управления непрерывностью бизнеса очень прост схематически. Тем не менее, он содержит множество элементов и ключевых вопросов, которые должны быть приняты во внимание при разработке системы непрерывности определенной компании.

 новый тренд или необходимость

Рис. 1. Жизненный цикл процесса управления непрерывностью бизнеса

Довольно много компаний считают, что непрерывность бизнеса это исключительно ИТ-процесс. Обычно, термины непрерывность бизнеса (business continuity) и аварийное восстановление (disaster recovery) используются как синонимы. Эти понятия являются взаимосвязанными, но выполняют разные функции внутри организации.

Все компании, кто раньше, кто позже, сталкиваются с вопросом определения ответственности за непрерывность бизнеса и аварийное восстановление. Федеральный Совет по вопросам надзора за финансовыми учреждениями США (FFIEC) определяет, что правление и топ-менеджмент компании обязаны обеспечить процесс определения, оценки, приоритезации, управления и контроля над рисками, как части процесса планирования непрерывности бизнеса.

Это означает, что правление и топ-менеджмент компании являются непосредственными собственниками программы непрерывности бизнеса и несут ответственность за разработку и наличие соответствующих регуляторных документов, а также осуществление контроля над их надлежащим исполнением. В то время, когда высшее руководство осуществляет контроль и надзор над исполнением документов (рис.2), менеджеры и персонал несут ответственность за внедрение и обновление соответствующих планов по обеспечению непрерывности бизнеса. Это значит, что к процессу непрерывности привлекается весь персонал — как бизнес-функция, так и технические специалисты. Именно поэтому непрерывность бизнеса не может рассматриваться исключительно как ИТ-функция. Без привлечения представителей бизнес-функции, эффективность планов непрерывности может быть значительно ослаблена, а время, отведенное на аварийное восстановление, может быть достаточно длительным или использовано не оптимально.

 новый тренд или необходимость

Рис. 2. Пример построения контроля в организационной структуре компании

Также, структура непрерывности бизнеса должна включать создание команды кризисного управления (рис. 3), которая состоит из первых лиц и представителей высшего руководства; т.е. лиц, которые обладают достаточными знаниями о работе и функционировании компании, и уполномочены принимать критические решения в кризисных ситуациях. Эта команда должна иметь документальный план, который определяет руководителя кризисного комитета, его координаторов и потенциальных заместителей, а также определяет порядок информирования, коммуникации и процесс функционирования во время кризисной ситуации и после ее ликвидации.

 новый тренд или необходимость

Рис. 3. Организационная структура управления непрерывностью бизнеса

Команда осуществляет надзор и координирует процесс взаимодействия с командами аварийного восстановления (техническими и бизнеса), определяет лиц, которые уполномочены взаимодействовать с внешними участниками до, во время и после инцидента/кризиса/катастрофы. Определенные дополнительные функции могут предусматривать контроль и управление вопросами охраны жизни и здоровья сотрудников и связанных лиц, своевременной и четкой оценки инцидента и его последствий, доступности персонала и ресурсов, необходимых для восстановления, минимизации имущественных и финансовых убытков, и др.

В Украине, в большинстве случаев, вопрос непрерывности бизнеса важен для компаний с иностранным капиталом, которые обязаны выполнять как национальные стандарты, так и следовать стандартам, установленным на групповом уровне. Для внедрения процесса управления непрерывностью бизнеса могут применяться разные модели, в частности:

  1. Внешние поставщики услуг — консалтинговые компании, которые разрабатывают и предоставляют решение под ключ для конкретной компании.

  2. Внутренние ресурсы — определение специалиста или отдельной службы, которые обеспечат анализ и внедрение решения на месте.

  3. Смешанный вариант — первичный анализ проводится внешней компанией, а непосредственно внедрение проекта обеспечивается силами самой компании.

Этапы внедрения процесса непрерывности бизнеса:

І. Разработка базовых нормативных документов, регулирующих соответствующий вопрос.

ІІ. Проведение анализа влияния кризисных ситуаций/инцидентов на деятельность и процессы компании.

Составляется полная картина деятельности компании, формируется перечень процессов/функций, а также определяется тип влияния на бизнес (материальный, экономический, репутационный), зависимость от информационных ресурсов и максимальное время простоя.

ІІІ. Анализ и оценка рисков.

Такая деятельность обеспечивает понимание и принятие потенциальных угроз, а также их последствий и источников, определяет уязвимые места компании и позволяет найти возможные варианты действий, чтобы избежать или устранить такие угрозы или последствия.

Оценка рисков является основой для дальнейшей разработки стратегии непрерывности бизнеса и оптимальных сценариев ее реализации.

ІV. Разработка стратегии компании.

Стратегии включат модельные сценарии, последствия которых негативно влияют на компанию, блокируют или ограничивают ее деятельность. Обычно, такие сценарии охватывают вопросы недоступности помещения, персонала, ограниченное использование или утрату ИТ-ресурса, и др. Сценарии дают возможность объективно рассмотреть работу компании, определить приоритетные направления/процессы, минимально необходимые ресурсы для восстановления, а также меры для минимизации рисков возникновения таких сценариев.

V. Разработка и внедрение планов непрерывности бизнеса.

Планы это четко определенный перечень действий и ответственных лиц, которые обеспечивают экстренное восстановление и, по возможности, нормальное функционирование компании после инцидентов/кризиса/катастрофы. Лучшая международная практика определяет три элемента для создания эффективного и действенного плана — реагирование, управление инцидентами/кризисом и восстановление деятельности.

 

Национальный институт стандартизации и технологий США (NIST) разработал методологию, которая определяет и описывает типовые планы обеспечения непрерывности бизнеса, уделяя особое внимание тому, что планы должны предусматривать не только предоставление технических решений, а содержать четкую организационную модель поведения в кризисных ситуациях.

VІ. Тестирование планов и обучение персонала.

Тестирование и обучение являются неотъемлемыми элементами процесса непрерывности, поскольку информированность, осведомленность и практика применения планов помогают избежать определенных ошибок во время кризиса и, определенным образом, минимизировать время восстановления деятельности компании.

VІІ. Обновление планов.

Обновление осуществляется на регулярной основе, также в случаях изменения структуры, технических условий или требований, законодательства, выявления уязвимых мест во время тестирования.

Принимая во внимание изложенное, непрерывность бизнеса быстро становится важным и неотъемлемым элементом работы любой компании. Поэтому, стоит подчеркнуть несколько основных моментов, которые определяют направления развития этой деятельности, а также ее важные элементы.

Непрерывность бизнеса это совокупность заранее определенных действий, которые применяет компания для предотвращения и реагирования на угрозы. Указанный процесс обеспечивает способность компании непрерывно предоставлять услуги, минимизировать влияние кризисных ситуаций на свою деятельность и уменьшить возможные убытки от таких ситуаций.

Непрерывность бизнеса это комплексный механизм, работа которого требует применения не только организационных, но и технических мер. В любом случае, вопрос непрерывности является глобальным. Т.е., защита требуется компании в целом, а не отдельно выделенному элементу. Современные подходы и решения способны не только обеспечить непрерывность функционирования ИТ-ресурсов, но и обеспечить возможность, хотя иногда и ограниченную, для функционирования компании, защиты персонала и доступа к необходимым ресурсам.

Бесспорно, что при формировании процесса непрерывности одним из ключевых элементов является вопрос информационной безопасности, в частности ресурсов, используемых бизнесом (данные, аппаратные и программные комплексы, соответствующий персонал).

Определение только технических средств не обеспечит надлежащего функционирования процесса непрерывности бизнеса. Кроме того, требуется определение критических процессов бизнеса, которые и будут восстанавливаться при помощи технических средств, влияние на бизнес, проведение анализа рисков и, непосредственно, формирование самого процесса обеспечения непрерывности бизнеса.

Практически каждый этап непрерывности реализуется благодаря персоналу и сотрудникам компании. Т.е., наличие квалифицированных, подготовленных сотрудников является залогом эффективного внедрения планов непрерывности бизнеса. А обучение и информирование персонала по поводу мер и действий по восстановлению функционирования должно стать неотъемлемым элементом ежедневной работы компании.

Таким образом, обеспечение непрерывности бизнеса это важный фактор эффективного функционирования компании. Непрерывность бизнеса невозможно четко определить в системе работы компании и привязать к какой-либо определенной функции. Это комплексные меры, исполнение которых зависит от всех привлеченных сотрудников — службы безопасности, информационных технологий, информационной безопасности, логистики, персонала и др.

Необходимо помнить, что без прямого привлечения собственников процессов, планы непрерывности бизнеса будут иметь исключительно теоретический характер, и, в случае возникновения кризисной ситуации, могут только помешать, а не исполнять свою основную функцию — обеспечивать и реализовывать непрерывность бизнеса компании.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+13
голоса

Напечатать Отправить другу

Читайте также

Да, вот и подросло поколение, которое в тексте про Бизнес позволяет себе в первом же абзаце ДВЕ орфографические ошибки. А про корректора в редакции я тихонечко молчу...

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT