Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями

В XXI веке информационные технологии играют огромную роль в бизнесе. Они стали мощным двигателем экономики, но в то же время и источником рисков. Для обеспечения непрерывности бизнес-процессов крайне важна бесперебойная работа ИТ-сервисов. Отказ этих сервисов может привести к простоям и финансовым потерям, а в худшем случае - катастрофическим последствиям. Наш материал расскажет о средствах, которые обеспечивают информационную безопасность и непрерывность бизнеса.

BCM, BCP и DRP – ключевые элементы системы кризис-менеджмента, которая сегодня необходима для гарантии бесперебойности бизнес-процессов в организации. В мире, где информационные технологии играют все более важную роль, безопасность данных и их доступность – критически важные факторы не только для кредитно-финансовых и телекоммуникационных компаний, но и для высокотехнологичных предприятий, работающих в непрерывном производственном цикле, а также для государственного сектора и ритейла.

Существуют специальные регламенты для определенных отраслей, которые требуют обеспечения непрерывности бизнеса для лицензирования деятельности. Риск сбоя в работе ИТ-систем перевешивает средние потери, например, в банковской сфере с даже кратковременным перерывом в работе ИТ-сервисов. Но в случае аварий в энергосистемах, киберпреступлений или других катастроф потерями могут стать жизни людей.

Природные бедствия, экономический ущерб, киберпреступления – в связи с многообразием рисков актуальность обеспечения информационной безопасности не вызывает сомнений. Опрос компании DEAC продемонстрировал, что угроза непрерывности бизнеса вызывает наибольшее беспокойство в финансовой и информационной сферах. Почти половина респондентов считает, что бизнес-риски только увеличатся в будущем.

BCM (Business Continuity Management) или управление непрерывностью бизнеса, BCP (Business Continuity Planning) или планирование непрерывности бизнеса, и DRP (Disaster Recovery Planning) или план восстановления после сбоев – это ключевые элементы кризис-менеджмента, обеспечивающие безопасность бизнеса в целом. Они основаны на методологии ИБ, охватывая все аспекты деловой активности. Регламенты и международные стандарты, такие как ISO/IEC 27001 и ISO 22301:2012, соответствие которым следует учитывать, выбирая дата-центр для хранения информации или задумываясь о внедрении на предприятии.

Источник: https://www.retail-loyalty.org/articles/sostavnye-elementy-krizis-menedzhmenta-bcm-bcp-drp/

Управление непрерывностью бизнеса (BCM) предполагает ряд целей и задач, зависящих от размера и направленности деятельности компании. Важнейшим аспектом является управление конкретным типом или классом инцидентов, которые могут возникнуть в процессе работы.

Управление инцидентами (IM) охватывает ряд происшествий, связанных с человеческим фактором, сбоем оборудования и другими подобными инцидентами. На этом уровне ущерб для бизнеса сравнительно невелик, но важно обеспечить сохранность, доступность и целостность информации, а также отказоустойчивость оборудования.

Управление непрерывностью бизнеса и аварийным восстановлением (BCDR) нацелено на предотвращение инцидентов, которые могут привести к остановке работы всей организации или ее ключевых бизнес-процессов. Хоть вероятность таких событий невелика, ущерб может быть внушительным и даже привести к банкротству. Согласно исследованию Veeam Software за 2019 год, глобальные потери от простоев приложений свыше 20 млн долларов ежегодно, в то время как по России эта цифра немного ниже и составляет 19,8 млн долларов.

Управление чрезвычайными ситуациями (C&EM) ставит своей задачей предупреждение катастрофических инцидентов, которые происходят очень редко, но могут иметь катастрофические последствия для бизнеса, включая экологические и гуманитарные катаклизмы, а также инфраструктурные разрушения в пределах целого региона. Большое значение имеет обеспечение непрерывности деятельности предприятий ТЭК (разведка, добыча, переработка углеводородов, производство электроэнергии), где высокий уровень обеспечения непрерывности деятельности играет важную роль.

BCM выявляет ключевое понятие «инцидент», любое незапланированное происшествие, которое может привести к остановке критических процессов и функций, полной потере контроля над оборудованием. Примером недооценки влияния инцидентов на непрерывность бизнеса была атака вируса-вымогателя WannaCry в 2017 году, которая затронула компьютеры по всему миру. WannaCry привел к полной блокировке работы больниц, аэропортов, заводов, банков и правительственных учреждений, что привело к экономическим потерям в размере около 4 млрд долларов.

Реализация программ BCM могла бы значительно сократить размеры потерь, а возможно, и вовсе предотвратить катастрофические последствия. Управление непрерывностью бизнеса способствует сохранности средств вложенных владельцами и акционерами. Если возникает сбой на главной площадке дата-центра, работа может быть продолжена на резервной площадке.

По данным The Impact of Catastrophes on Shareholder Value (Rory J. Knight и Deborah J. Pretty), компании, успешно восстановившие деятельность после крупномасштабной аварии благодаря программам BCM, получают кумулятивный доход сверх нормы (разница между ожидаемой и реальной стоимостью акций) в среднем на 10% через год после аварии. В то же время, компании, которые не используют BCM, получают те же 10% и даже 15%, но со знаком минус.

Внедрение BCM: какие этапы необходимо пройти

Планирование и стратегия - так начинается управление непрерывностью бизнеса (BCM). В этом процессе часто используются инструменты риск-менеджмента (RM). Чтобы реализовать BCM в организации, необходимо пройти целый ряд этапов. Они включают в себя овладение техническими и программными средствами, регламентацию действий, распределение ответственности и обучение персонала. Взять на себя эти задачи компании может быть проблематично. В таком случае стоит обратиться за помощью к ИТ-экспертам. Они не только разработают план мероприятий и найдут наилучшие решения для компании, но и помогут перевести проект в реальность.

Анализ бизнес-процессов (Business Environment Analysis, BEA) позволяет определить риски, которые могут возникнуть в зависимости от характера деятельности компании. Например, отказ в работе системы учета пациентов медицинского учреждения является менее критичным по сравнению со сбоем в работе высокотехнологичного реанимационного оборудования. При этом в телекоммуникационной компании отказ приложения для автоматизации совместной деятельности рабочих групп вероятно не остановит бизнес-процессы, однако сбой в системе биллинга приведет к затратам на финансовые потери. Таким образом, точки критичности могут быть различны для каждого типа бизнеса, и анализ бизнес-процессов позволяет выявить эти точки и определить степень их влияния на деловую активность компании.

Анализ рисков (Risk Analysis, RA) позволяет выделить зависимые и независимые от информационных технологий (ИТ) риски. После выделения и градации бизнес-процессов по важности для компании следует определить группу ИТ-зависимых бизнес-процессов. Затем необходимо проверить технические и организационные механизмы по предотвращению перебоев в работе бизнес-процессов, выделить уязвимые точки и оценить угрозы. В результате можно выделить группы рисков, которые влияют на ИТ, и классифицировать их по мере важности.

Оценка влияния на бизнес (Business Impact Analysis, BIA) основана на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. После этого строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть оценены как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и др. Такой подход позволяет провести детальную оценку влияния на бизнес и определить возможные потери.

Обеспечение точности информации о финансах представляет существенный интерес для аналитиков, особенно если была заполучена возможность оценить IT-бизнес компании и перспективы его расширения.

Рекомендуется тщательно изучить информационные сервисы, которые используются в бизнес-процессах и информационных потоках. Несомненным результатом анализа будет представлена полная картина бизнеса в целом, включая оценку критичных бизнес-процессов, которые были столкнуты с нарушениями в работе, полученными в результате их функционирования в соотношении с величиной потерь.

Перед началом сотрудничества важно провести аудит, который позволит аналитикам определить все уязвимые места в системе защиты информации клиента и подобрать наилучшие меры для их укрепления.

Для подсчета экономического эффекта (стоимости простоя бизнес-процессов) следует использовать объективные оценки вероятности возникновения разных инцидентов в рассматриваемый период времени и выбрать наиболее приемлемую стратегию на основе этих данных.

Совладельцы компании и ее руководство, совместно с аналитиками, должны определить установку так называемых тайм-аутов и производительной мощности для отдельных бизнес-процессов на случай чрезвычайных ситуаций. Эти тайм-ауты включают в себя:

• Допустимое время восстановления (Recovery Time Objective, RTO) - время простоя, которое технически может быть сведен к секундам, но из-за дороговизны не всегда оправдан экономически.
• Целевая точка восстановления (Recovery Point Objective, RPO) - это временной диапазон перед наступлением чрезвычайной ситуации, за который все данные могут быть утрачены. Сегодня он может быть сведен к нулю, так как все зависит от частоты и технологии резервного копирования информации.
• Уровень непрерывности бизнеса (Level of Business Continuity, LBC) - это допустимый уровень производительности в чрезвычайных ситуациях в процентах от режима штатной работы.

Планирование является процессом, который не является единоразовым и должен постоянно поддерживаться в актуальном и соответствующем состоянии. Для этого планы регулярно тестируются и обновляются новыми данными.

Ключевым аспектом по определению стратегии непрерывности бизнеса являются безопасность сотрудников, обеспечение рабочих помещений, технических средств и необходимых материалов, доступ к критически важной информации, беспрепятственные коммуникации с партнерами, клиентами, поставщиками и подрядчиками. Каждое направление требует отдельной подстратегии с определенными параметрами анализа рисков. Обеспечение непрерывности включает три стадии: реагирование, продолжение критичных процессов при условиях ЧС и восстановление штатной работы.

Выбор организационных и технических решений определяется стратегией BCM. Определяются приоритетные цели и задачи для поддержания непрерывности бизнеса, процедуры реагирования, области распространения системы BCM, кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения.

Технические и организационные системы BCM включают использование «облачных» услуг. DRaaS (Disaster-Recovery-as-a-Service) используется для защиты информации, предоставляя услугу аварийного восстановления данных в облачных корпоративных средах. Это позволяет снизить расходы при сохранении уровня безопасности на уровне стандартов индустрии. Существуют различные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или критических ее элементов.

Резервные копии ИТ-инфраструктуры создаются по расписанию, заданному в соответствии с нужными RTO и RPO, и помещаются в хранилище. Такая схема подходит для малых организаций, где непрерывность не является критичной, но важны экономия и сохранность данных.

Инфраструктура копируется полностью, изменения в непрерывном режиме переносятся в облако, извлечение и восстановление информации происходит за минуты.

Резервная облачная инфраструктура полностью идентична основной и обновления в них происходят синхронно. Восстановление возможно за несколько секунд, что делает это решение актуальным для крупных финансовых и ИТ-компаний, госсектора, а также любых организаций, где нельзя терять ни минуты на простой.

Строительство отказоустойчивых ЦОДов становится все более актуальным для бизнеса, и это может быть необходимо как для создания новых, так и для оптимизации уже существующих центров обработки данных. Этого можно достичь путем проведения комплекса мероприятий, включающих в себя строительство специализированных зданий, а также инженерных, телекоммуникационных и ИТ-инфраструктур, их автоматизацию и сервисное обслуживание.

Существует также возможность создания мобильного ЦОДа. Однако, для более простого решения данной задачи, компании могут доверить организацию ИТ-инфраструктуры опытному провайдеру.

Развитие бизнеса обычно сопровождается увеличением вычислительных мощностей и усложнением ИТ-систем, что может привести к риску нарушения непрерывности деловой активности. Именно поэтому компаниям необходим план восстановления системы после инцидента (DRP), который является частью большего плана обеспечения непрерывности бизнеса (BCP). Данный план призван обеспечить максимально быстрое восстановление работоспособности ИТ-систем, поддерживающих как критичные бизнес-процессы, так и обычные операции. BCP, в свою очередь, должен предусматривать восстановление бизнес-процессов в целом.

Для обеспечения нормального функционирования системы необходима формирование программы сопровождения и эксплуатации систем BCM, включающую меры по периодической проверке системы, а также реагированию обслуживающего персонала на возникновение инцидентов.

Наконец, встраивание процессов в корпоративную культуру играет важную роль на пути к успешному планированию восстановления после происшествий. Для этого необходимо разработать меры и осведомить персонал о мерах, принимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. Компетентный персонал является ключевым фактором успеха на этом этапе.

Система ВСМ (вычислительная система мониторинга) станет настоящей отправной точкой для уверенной работы предприятия в экстренных ситуациях и поможет избежать убытков. Об этом свидетельствует ряд факторов, включающих:

1. Готовность организации продолжать работу в случае возникновения аварий в ИТ-системах. Благодаря ВСМ, компания будет способна быстро реагировать на непредвиденные ситуации и минимизировать их воздействие на процессы бизнеса.
2. Расчет вероятности простоя информационных систем в случае внештатной ситуации и возможных убытков. Система ВСМ помогает наиболее точно оценить риски и внести в необходимые изменения, предотвращающие потери при аварийных ситуациях.
3. Прохождение аудита и соответствие требованиям регулирующих органов. Введение ВСМ поможет компании выполнять стандарты и требования по безопасности данных и информационных систем.

Хотя само внедрение вычислительной системы мониторинга может оказаться непростой задачей для компании, эффективность использования ВСМ не вызывает сомнений. Финансовые, кадровые и временные ресурсы для этого необходимы, однако, применение ВСМ может помочь компании значительно экономить ресурсы в будущем.

Фото: freepik.com