Содержание:
- Кто такой BCM?
- Какими качествами должен обладать BCM?
- Откуда берутся BCM?
- Где обучить сотрудников?
- Будущее ВСМ
Существует множество определений непрерывности бизнеса. Но если обобщить, то под этим подразумевается способность организации функционировать с минимальными перебоями, в том числе и после инцидентов, нарушающих ее деятельность.
Перечень угроз, которые влияют на непрерывность и могут привести к вынужденным простоям, расширяется. К ним относятся: сбои в работе информационных систем, перебои с электроэнергией, обрывы каналов связи, ошибки поставщиков, подрядчиков и собственного персонала, аномальные погодные условия и даже пожары.
В последние два года к этому списку добавились:
- пандемия и спровоцированная ей экономическая неопределенность;
- переход на удаленный режим работы и, вызванное им размытие корпоративного ИТ-периметра;
- увеличение количества хакерских атак, в том числе с использованием программ-вымогателей;
- увеличение количества и усложнение используемых на предприятиях ИТ-систем;
- курс на автоматизацию как можно большего количества процессов.
Ответом на эти вызовы становится разработка стратегий, процессов и систем предотвращения ИТ-простоев и восстановления деловой активности для борьбы с потенциальными угрозами (часть антикризисного менеджмента), а также появление в штате компании такого специалиста, как менеджер по непрерывности бизнеса (Business Continuity Manager, BCM).
Обеcпечение непрерывности бизнеса. Часть 1
Кто такой BCM?
Согласно «Атласу новых профессий», менеджер по непрерывности бизнеса — это «специалист, который обеспечивает бесперебойность бизнес-процессов при возникновении проблем или отключении ИТ-систем предприятия вследствие кибератак, программных ошибок, техногенных катастроф, влияющих на работу сети и других форс-мажорных ситуаций».
Однако правильнее говорить о том, что BCM организует обеспечение бесперебойной работы всех подразделений компании, привлекая для этого как своих подчиненных, так и сотрудников других отделов.
По данным исследования PwC, по состоянию на 2019 год, лишь в 1,5% российских организаций был выделенный BCM. В остальных случаях ответственность за непрерывность бизнеса распределяется между различными подразделениями и центрами компетенций.
Иногда она тяжелым грузом ложится на плечи рядовых менеджеров, руководителей подразделений, их заместителей, руководителей компаний и даже советников правления.
Но чаще всего за нее отвечают сотрудники отделов ИТ и информационной безопасности, а также представители подразделений внутреннего аудита и контроля, иногда юридический департамент.
Однако функции BCM гораздо шире, и для их выполнения специалисту необходим определенный набор профессиональных и личных качеств.
Какими качествами должен обладать BCM?
BCM — высокоуровневый специалист широкого профиля. Он должен обладать такими качествами современного менеджера, как: социальные навыки, лидерские способности, умение содействовать и координировать вовлеченные стороны, нестандартное мышление.
1 2 Что такое непрерывность бизнеса
BCM интегрирован в бизнес, понимает его специфику. Такой профессионал мыслит не техническими терминами, а бизнес-процессами.
Для него в равной степени важны следующие три качества:
- ИТ-экспертиза: общее понимание ИТ и методологий обеспечения непрерывности бизнеса плюс знания в области информационной безопасности. В том числе: какие модели угроз и рисков существуют, что такое катастрофоустойчивость и доступность ИТ-инфраструктуры, как защищать и восстанавливать данные.
- Стратегическое мышление: понимание бизнес-процессов, позволяющее участвовать в разработке кратко- и долгосрочных стратегий. Умение заниматься планированием и создавать карты бизнес-процессов с их приоритизацией, реестры рисков, «дорожные карты» развития ИТ-ландшафта. И самое главное — способность грамотно соотносить бизнес-стратегии с текущими техническими возможностями компании, а также умение предвидеть будущие потребности, чтобы поддерживать стратегии в актуальном состоянии, а технические возможности — в полном функциональном соответствии.
- Мышление консультанта или сервисное мышление: отношение к компании как к клиенту. Такой подход характерен для западной модели бизнеса, где сервисный подход получил широкое распространение и подразумевает наличие в штате специалиста или целого подразделения, которое относится к различным бизнес-функциям как консультант к клиентам, которым он предоставляет услугу.
Откуда берутся BCM?
Менеджеров по непрерывности бизнеса можно вырастить из собственных сотрудников, нанять специалиста с соответствующими компетенциями и опытом либо привлекать внешних экспертов по мере необходимости.
Какой вариант выбрать — каждая компания решает в соответствии со своими требованиями, возможностями и стоящими перед бизнесом задачами. Но важно учитывать несколько моментов.
- Во-первых, профессия относительно молодая и готовых специалистов на рынке не так много.
- Во-вторых, привлекая внешних специалистов в качестве консультантов для разработки документов и рекомендаций по обеспечению непрерывности бизнеса, нужно помнить о возможных ограничениях.
В том числе о том, что такая документация должна постоянно поддерживаться в актуальном состоянии, так как непрерывность бизнеса это не конечный проект, а процесс. Стоит помнить и об ограничениях, которые российское законодательство накладывает на компании с госучастием, в части сотрудничества с международными консалтинговыми агентствами.
Хорошие BCM могут получиться из штатных специалистов, которые готовы развивать навыки и компетенции гораздо шире, чем того требует их должность. Такие кадры готовы взять в свои руки более серьезные и ответственные задачи, например, кросс-департаментное обеспечение.
Скажем, BCM может стать инженер доступности сервисов (Site Reliability Engineer, SRE). Но важно понимать, что SRE — это в первую очередь специалист, который отвечает за надежность, масштабируемость и бесперебойную работу ИТ-систем. В то время как зона ответственности BCM значительно шире и требует определенных знаний, пробелы в которых можно восполнить несколькими способами.
Где обучить сотрудников?
В случае, если вы решили выращивать BCM внутри компании, базовые знания в области обеспечения непрерывности бизнеса претендент может получить на семинарах, а также в процессе имитационных бизнес-игр, которые проводят и компании, специализирующиеся на консалтинге и аудите.
Кстати, если все сотрудники будут иметь представление о непрерывности бизнеса и основополагающих требованиях для ее обеспечения, бизнесу это пойдет только на пользу.
Чтобы сотрудник обрел более фундаментальные знания, ему необходимо изучать международные практики и методики построения систем управления непрерывностью бизнеса, которые выпускают и обновляют Институт непрерывности бизнеса (Business Continuity Institute) и Международный институт восстановления после катастроф (Disaster Recovery Institute International).
RB.RU готовит большое обновление — и мы хотим учесть пожелания и интересы вас, наших читателей. Если вы готовы поделиться своим мнением об RB.RU, переходите по ссылке, чтобы заполнить короткую анкету.
Тут не обойтись без английского языка. Можно также отправить сотрудника на специализированные курсы и тренинги. Например, курс «Управление непрерывностью бизнеса: BCM» Сетевой академии ЛАНИТ, практический курс «Непрерывность бизнеса» Академии PwC или тренинг «Обеспечение непрерывности бизнеса» Deloitte.
Если вы ищите готовых специалистов, стоит присмотреться к выпускникам высших учебных заведений, или же рекомендовать своим сотрудникам получить дополнительное образование. Сегодня почти 200 российских вузов предлагают более 100 программ обучения, которые могут пригодиться менеджеру по непрерывности бизнеса.
Это такие университеты как НИУ «Высшая школа экономики», МГТУ им. Н.Э. Баумана, Санкт-Петербургский политехнический университет Петра Великого, РАНХиГС, РУДН. Однако нужно учитывать, что пока российские вузы предлагают получать необходимые для BCM знания по частям.
Это объясняется тем, что специальность находится на стыке многих дисциплин. Компании могут подойти те, кто прошел обучение по программам в диапазоне от безопасности автоматизированных систем и ИТ-предпринимательства до бизнес-технологий цифровой экономики и стратегического управления компанией.
Будущее BCM
Менеджеры по непрерывности бизнеса уже работают в штате некоторых российских компаний. Соответствующие вакансии все чаще возникают на сайтах по подбору персонала. Так, штатного BCM искали Национальная система платежных карт и Международный аэропорт «Шереметьево».
Исследование PwC выявило, что вопросами устойчивости деятельности и бесперебойного функционирования обеспокоены в основном крупные организации (от 1000 человек) из таких отраслей как: финансы, нефтегаз, ИТ, телекоммуникации, ритейл, промышленность, а также здравоохранение.
Можно предположить, что спрос на BCM будет расти.
Во-первых, для предприятий ряда отраслей действуют нормативные требования, предписывающие поддержание бесперебойности функционирования процессов. Это характерно для международных компаний и финансовых организаций.
Во-вторых, все больше компаний заинтересованы в защите репутации, исполнение требований акционеров, клиентов и поставщиков.
Можно утверждать, что в современных реалиях BCM выполняет одну из ключевых для бизнеса функций. Такой специалист может прийти извне или быть выращен внутри компании. Он может подчиняться ИТ-директору, главе производства, бизнес-руководителю или даже маркетинг-директору.
Но главное, чтобы его усилия приводили к результату. BCM — это «осьминог», который стягивает вокруг себя необходимые ресурсы и людей, действующих заодно.
Источник: rb.ru
BCM — Business continuity management
Управление непрерывностью бизнеса
Рано или поздно перед каждой организацией встают вопросы: в какой степени критичен для нее тот или иной риск прерывания деятельности, как избежать этого риска или минимизировать его воздействие, что предстоит сделать заранее, как определить «золотую середину» между разумными инвестициями в превентивные меры и возможными потерями. Для решения многих поставленных вопросов предназначена технологическая дисциплина Business continuity management – BCM – управление непрерывностью бизнеса.
В условиях сложной взаимозависимой деятельности подразделений в рамках организации, зависимости организаций от контрагентов, доступности систем поддержки деятельности, обеспечение бесперебойной работы является одной из важных задач, стоящих перед руководством многих предприятий. Каждая из организаций сталкивалась, так или иначе, с различными причинами прерывания рабочей деятельности – в результате сбоев в подаче электричества, поставок, функционирования информационных и коммуникационных систем, недоступности офиса, ухода ключевых сотрудников, преднамеренных действий или ошибок персонала, а также пожаров, техногенных катастроф и т. п.
BCM — подход комплексный
BCM — это комплексный подход в управлении, направленный на определение потенциальных угроз для организации, проведение анализа их влияния на бизнес в случае реализации. Он обеспечивает основу для удержания организации в стабильном состоянии и возможности для эффективного реагирования на кризисные ситуации с целью защиты интересов собственников и заинтересованных сторон, репутации и наиболее существенных сфер бизнеса компании. BCM регулирует процессы восстановления после сбоев, программы обучения, тестирования, процедуры аудита и пересмотра мероприятий, процедур и планов непрерывности бизнеса (Business Continuity Plan — BCP) с целью подтверждения их соответствия текущим условиям и потребностям организации. В настоящее время основные стандарты в области ИТ и информационной безопасности (ИБ), включая CobiT, ITIL, ISO-27001, содержат разделы, связанные с обеспечением непрерывности бизнеса: первые два предназначены для ИТ, третий — ИБ. Имеется также стандарт BS ISO 25999, касающийся управления непрерывностью бизнеса. Среди множества известных в мире стандартов, в том числе NFPA1600 (США), HB221 и HB252 (Австралия), SPRING TR19 (Сингапур) и т. п.
Правильный проект
Примерно так выглядит «правильный» проект BCM одного из бизнес-процессов в ИТ.
Анализируются возможные чрезвычайные ситуации (ЧС) в разделе ИТ, их последствия. Определяется допустимый таймаут. После этого разрабатываются возможные сценарии ЧС, описываются классы важности ИТ-сервисов и стратегия их восстановления. Создается эскиз проекта.
Главный постулат – непрерывность бизнеса, обеспечивается в обязательном порядке.
Составляется план-график реализации проекта, рассчитываются стоимость и время исполнения проекта. Согласно планам производится модернизация служб ИТ, составляются планы аварийного восстановления и тестирования для нескольких систем.
Потом фаза тестирования. Выявлены недочеты – необходимо исправлять и вносить коррективы.
Следом приходит время бизнеса: составляется иерархия реагирования из трех составляющих — штатный, управления инцидентами и уровень восстановления деятельности. По мнению экспертов, в этих планах должны быть прописаны лишь минимально необходимые действия, которые нужно совершить после катастрофы. После создания резервных рабочих мест проводится комплексное тестирование с участием бизнес- и ИТ-подразделений.
Здесь приведен пример реального проекта, осуществленного в России. Он продолжался в течение двух лет. Эксперты считают, риски нужно оценивать, анализировать их влияние на бизнес, определять возможные финансовые потери. Это не простые процессы, но только так можно в дальнейшем оптимизировать затраты на организацию BCM.
Суть стратегии управления не только в определении общих требований — необходим разумный баланс: сколько тратить и от чего защищаться.
Источник: www.tadviser.ru
Управление непрерывностью бизнеса
Разработать один раз идеальный процесс, подходящий для любого инцидента, невозможно. Ландшафт угроз постоянно меняется, поэтому ваши меры и инструменты будут требовать регулярных обновлений, а люди — развития киберграмотности.
Чтобы повысить киберустойчивость компании и таким образом конкурентоспособность, внедрите инструменты управления непрерывностью бизнеса — business continuity management (BCM)
Почему BCM — это важно
Компания вкладывалась в системы защиты от кибератак, но не учла риск отключения электричества. Авария на подстанции — и процессы встали на полдня. Но этого можно было бы избежать, предусмотрев варианты на случай сбоя: например, организовав мобильные рабочие места
компаний не смогла обеспечить непрерывность процессов при переходе на удаленку
компаний имеют низкий уровень защищенности внутренней инфраструктуры
Библиотека BCM
Апрель 2023 г.
Business impact analysis в управлении непрерывностью бизнеса
Практическое руководство по анализу воздействия на бизнес и контролю над негативными сценариями. Все, что нужно знать, чтобы защитить компанию от неожиданных угроз: как спрогнозировать риски, взять под наблюдение критические участки и застраховаться от убытков
Май 2022 г.
Основы управления непрерывностью бизнеса
Гайд, который поможет быстро разобраться в управлении непрерывностью бизнеса и объяснит, какую роль в этом играет кибербезопасность
Сентябрь 2021 г.
Как построить процесс управления инцидентами
Руководство с рекомендациями по построению зрелой системы реагирования на киберинциденты и обеспечению непрерывности процессов
Источник: bi.zone
