Любой, пусть даже небольшой перерыв в деятельности компании, как правило, оборачивается для нее потерей доходов, клиентов, наносит ущерб деловой репутации. Поэтому обеспечение непрерывной работы компании является важной задачей современного руководителя. О том, какие действия следует предпринять для решения этой задачи, читайте в данной статье.
Любой, пусть даже небольшой перерыв в деятельности компании, как правило, оборачивается для нее потерей доходов, клиентов, наносит ущерб деловой репутации. Поэтому обеспечение непрерывной работы компании является важной задачей современного руководителя. О том, какие действия следует предпринять для решения этой задачи, читайте в данной статье. Принципы обеспечения непрерывности бизнеса
- Разработка сценариев действий в случае наступления неблагоприятного события.
- Составление плана мероприятий по обеспечению непрерывности бизнеса.
Рассмотрим эти этапы более подробно.
Анализ бизнес-процессов и аудит рисков
Управление ресурсами и непрерывность бизнеса. Интервью Евгения Теленкова с Павлом Климовичем
В ходе анализа бизнес-процессов должны быть выявлены так называемые узкие места, то есть наиболее проблемные участки, от которых зависит выполнение всего бизнес-процесса. Например, при анализе процесса закупки сырья и материалов для промышленного предприятия может выясниться, что наибольшую угрозу бизнесу представляет зависимость не от поставщиков, а от работы железной дороги, по которой осуществляется большинство поставок.
При анализе процесса поставки сырья и материалов риск-менеджер выявил риски, которые представлены в таблице.
Анализируя узкие места бизнес-процессов, риск-менеджер должен не только выявить возможные риски, но и определить вероятность наступления рискового события и объем возможных потерь. Сделать это можно как на основе анализа истории кризисных событий компании, так и путем экспертной оценки.
Результатом анализа бизнес-процессов и аудита рисков должна стать карта рисков, в которой содержится информация о вероятности наступления рискового события и размере потерь.
Для процесса «Поступление денежных средств» на основе статистики за предыдущие периоды были определены следующие риски:
- Перебои с электроэнергией.
- Сбои в работе оборудования.
- Сбои в работе программного обеспечения.
- Сбои в работе сетевого оборудования.
- Недостаточная квалификация персонала.
- Ошибки в вычислениях.
На основе результатов анализа и аудита данных рисков была составлена карта рисков (см. рисунок).
Каждая компания самостоятельно определяет границу зон исходя из стратегии, которую она реализует.
Пример предоставлен старшим консультантом отдела моделирования и совершенствования бизнес-процессов компании «Логика Бизнеса» Ильей Машковым.
Анализ бизнес-процессов и аудит рисков позволяют руководству компании хорошо ориентироваться в условиях кризисной ситуации. Обладая детальным описанием бизнес-процессов, менеджер, управляющий кризисной ситуацией, способен быстро изменить порядок выполнения того или иного процесса путем перераспределения функций вышедшего из строя блока (подразделения, сотрудника, оборудования) между остальными или задействовать альтернативные ресурсы компании.
Непрерывность бизнеса в логистике и торговле с решениями от Bento Cloud
Разработка сценариев действий
Для наиболее серьезных рисков, требующих оперативных решений по их предотвращению, разрабатываются сценарии действий и назначаются ответственные за их выполнение. В сценарии описывается, что и в какой последовательности должен делать персонал в случае наступления неблагоприятного события.
Сценарии действий могут содержать как непосредственное решение проблемы, так и методы ликвидации неблагоприятных последствий кризиса.
Например, в пятницу, 14 февраля 2003 года, в результате пожара на одной из московских АТС Альфа-Банк лишился около 800 городских номеров. С двадцатью московскими отделениями банка, а также с его клиентами и контрагентами была полностью или частично нарушена связь, под угрозой оказалось осуществление трейдинга и брокерских операций.
В данной ситуации Альфа-Банк не мог самостоятельно решить проблему. Поэтому был разработан сценарий ликвидации последствий аварии, который подразумевал следующие действия: переговоры с альтернативными провайдерами о предоставлении новых телефонных номеров, прокладку кабеля и настройку АТС на новые номера, доставку и установку IP-телефонии в пострадавшие отделения банка. В результате за выходные дни телефонная связь банка была восстановлена практически полностью.
Следует заметить, что разработанные сценарии необходимо тестировать — иногда то, что на бумаге выглядит логично, на практике может оказаться невыполнимым.
Составление плана мероприятий по обеспечению непрерывности бизнеса
Итогом создания системы управления рисками является план мероприятий по обеспечению непрерывности бизнеса. Он должен содержать следующие основные положения:
- перечень возможных проблем, которые необходимо отразить на карте рисков предприятия;
- способы страхования наиболее крупных рисков (привлечение страховых компаний, установка дублирующих информационных систем, альтернативных каналов связи и т. д.);
- сценарии действий в условиях кризисных ситуаций;
- список сотрудников, ответственных за выполнение сценариев.
Денис Камышев, риск-менеджер компании «РУСАЛ УК» (Москва)
План обеспечения непрерывности бизнеса (contingency plan) условно может быть разделен на две части. В первой содержится информация о вероятных рисках, с которыми компания может столкнуться в ходе своей деятельности (источником информации здесь может служить карта рисков компании), а во второй (основной) — различные варианты преодоления последствий тех или иных кризисных ситуаций (сценарии). Важно отметить необходимость регулярного обновления такого плана (планов) в соответствии с меняющейся внешней средой, изменением внутренних процедур работы компании, влияющих на механизмы взаимодействия в кризисной ситуации, а также появлением новых рисков, для которых необходимо разработать контрмеры по их устранению (или смягчению). По сути, план обеспечения непрерывности бизнеса является вершиной системы управления рисками и затрагивает интересы всех областей деятельности компании.
Игорь Беликов, директор Российского института директоров (Москва)
На мой взгляд, план обеспечения непрерывности бизнеса должен содержать следующие положения.
- Описание системы подчиненности, которая будет действовать в кризисных ситуациях и может отличаться от той, которая используется в нормальных условиях.
- Перечень рисков, с которыми сталкивается или может столкнуться компания, их приоритетность и регулярный анализ того, какие изменения в этом перечне и весе различных рисков произошли за период, прошедший с момента последней оценки.
- Допустимые лимиты по каждому виду рисков (соответственно до определенного лимита предприятие берет риск на себя, а свыше — страхуется от риска или уклоняется от него).
- Описание системы реагирования в ситуациях, когда потенциальные риски превратились в реальные.
Для того чтобы план по обеспечению бизнеса не превратился в некий абстрактный документ, карту рисков нужно периодически пересматривать. С течением времени появляются новые риски, а вероятность наступления уже существовавших меняется.
План как способ преодоления кризиса
Эффективная система обеспечения непрерывности бизнеса позволяет преодолеть самые экстремальные ситуации. Например, в здании одного из крупнейших английских банков — National Westminster Bank, где работали десятки тысяч человек, произошел взрыв. Однако в компании был заранее составлен полномасштабный план обеспечения непрерывности бизнеса: все бизнес-процессы были подробно описаны, назначены ответственные лица, продуманы альтернативные варианты размещения персонала, созданы резервные информационные системы. Это позволило банку продолжить работу уже через две недели, разместив сотрудников в новых офисах.
Как правило, подобного рода кризисные ситуации случаются довольно редко. Однако в современных условиях непредсказуемость становится неотъемлемой частью ведения бизнеса, поэтому даже без таких масштабных потрясений бизнес компании может оказаться под угрозой, если действия в критической ситуации не будут продуманы заранее.
Источник: delovoymir.biz
Риски для непрерывности бизнеса
В апреле 2015 года «Лаборатория Касперского» устраивала саммит по кибербезопасности в Сингапуре, посвященный корпоративным проблемам ИТ-безопасности и их решению. Мероприятие прошло под девизом: «Бизнес под атакой: адаптация к неизбежному». Предприятия
Vladimir Zapolyansky
В апреле 2015 года «Лаборатория Касперского» устраивала саммит по кибербезопасности в Сингапуре, посвященный корпоративным проблемам ИТ-безопасности и их решению.
Мероприятие прошло под девизом: «Бизнес под атакой: адаптация к неизбежному». Предприятия атакуют, конечно, но в некоторых случаях — с учетом количества и сложности угроз — компаниям необязательно быть мишенями, чтобы стать жертвами. Мы теперь живем в мире «когда», а не «как», и как раз этому, помимо всего прочего, был посвящен саммит по безопасности «Лаборатории Касперского».
Риски для непрерывности бизнеса #enterprisesec
Tweet
Наиболее передовые и сложные угрозы, как правило, возникают на уровне предприятия, где преступники охотятся за «главными призами», такими как секретная и очень чувствительная информация, которая стоит миллионы, или за доступом к корпоративным банковским счетам, где миллионы хранятся. После успешной отработки этих передовых методов взлома на уровне предприятия, преступники начинают использовать их против целей меньшего порядка. Среди последних примеров — Carbanak APT. Конечным нападениям на банкоматы предшествовали массовые «разведывательные операции» по сбору и анализу данныз.
Борясь с киберугрозами на уровне предприятия, мы почти наверняка способны противостоять им и на любом другом уровне.
Одним из ключевых направлений работы и сфер ответственности корпоративных ИТ-директоров является, конечно, непрерывность бизнеса. Конечно, не одна она важна, но для крупного бизнеса непрерывность операций особенно критична. Процессы не должны останавливаться; каждый сбой приводит к драматическим и долгоиграющим последствиям.
Особенно это касается крупных предприятий: на перезапуск и приведение всего в норму уходит масса усилий. Только представьте себе остановку и возобновление работы всех производственных линий или прекращение, а затем восстановление всех логистических процессов. Крупное предприятие с отлаженными процессами — заказами, производством, поставками — вдруг испытывает серьезный сбой в работе из-за определенного киберинцидента. Выпадает один из отделов системы, и вся компания сталкивается с сильными помехами в работе, терпит прямые и косвенные убытки, которые несут и его партнеры.
И всё из-за какого-то одного гнусного куска кода.
Еще одним хорошим, если не крайним, примером здесь может служить успешная кибератака на промышленные системы, на SCADA или даже PLC, которая эффективно останавливает производство. Из-за большей изоляции от публичных сетей промышленные сети считались более безопасными. Но 35% всех киберинцидентов в них происходит вследствие вредоносных атак, а вредоносные программы проникают через USB-драйвы или внедряются посредством программного обеспечения или прошивок третьей стороны. Более того, современные промышленные системы зачастую проектировались без учёта ИТ-безопасности, то есть с конструкционным изъяном, ещё не существовавшим во времена создания этих систем.
В качестве более простого примера можно привести мощную DDoS-атаку, которая повреждает или выводит из строя целые центры обработки данных: даже если мишенью является всего одна организация, пользующаяся услугами ЦОД, зона поражения становится чудовищной. Наиболее тревожным является то, что время простоя может оказаться слишком долгим для всех заинтересованных сторон: последствия почти каждого пятого киберинцидента требуют более суток на ликвидацию, что абсолютно неприемлемо для всех, особенно для крупных предприятий.
Один из графиков в моем докладе сегодня (см. ниже) показывает основные факторы риска для непрерывности бизнеса:
Первая группа факторов риска включает такие внешние причины, как эпидемии вредоносных программ, которые могут разразиться в настольных, мобильных или в виртуальных средах, если те должным образом не защищены, а также DDoS-атаки, направленные на отключение потребительских сервисов, таких как онлайновая регистрация, заказ билетов и т.п. Но объективная реальность наших дней ещё мрачнее: существуют сложные DDoS-атаки, которые можно направить против любого интернет-сервиса, в том числе непубличного.
#Кибератаки на любую на выбор организацию являются лишь вопросом времени
Tweet
Внутренние факторы также не следует сбрасывать со счетов: если сотрудники не имеют понятия об информационной гигиене, кибератаках и вредоносных программах, инциденты, способные остановить непрерывность бизнеса, весьма вероятны. Попытки кибератак неизбежны. Их успех, в свою очередь, зависит от степени готовности предприятий к противодействию и уровня обеспечения ИТ-безопасности.
Наша позиция состоит в том, что для подготовки к неизбежному необходимо пересмотреть свою ИТ-безопасность. Так как ИТ-безопасность стала проблемой большого размаха, пора инвестировать в комплексный набор защитных средств, который поставляется надёжным партнером с глубоким пониманием вопросов безопасности, таким как «Лаборатория Касперского«.
Узнать больше о новом портфеле решений «Лаборатории Касперского» можно по ссылке https://www.kaspersky.ru/corporate-security
Ознакомьтесь с нашим видением корпоративной безопасности:
Источник: www.kaspersky.ru
Непрерывность бизнеса: тонкий расчет или надежда на авось
В данном контексте речь идет о форс-мажоре такой силы, когда возникает существенный риск прерывания деятельности организации. Примерами таких реализовавшихся рисков могут стать атака террористов (например, авиатараны на башни-близнецы в США), блэкаут (авария в энергосистеме в 2005 году и ледяной дождь в 2010 году в Москве), землетрясение или цунами (так называемое Великое землетрясение Восточной Японии в 2011 году, ураган «Катрина» в США в 2005 году и т.д.). Понятно, что масштабы бедствий бывают разными, для относительно небольших компаний критичными могут стать и проблемы гораздо меньших масштабов: пожары в офисе или ЦОДе, экскаватор строителей, повредивший кабель связи, или, к примеру, митинги валютных ипотечников у входа в офис банка, парализовавшие работу всей кредитной организации.
Что делать с IT-инфраструктурой во время инцидента?
С одной стороны, понятно, что надо иметь планы на случай нештатных ситуаций. И они, действительно, у многих есть: на случай пожара, например, проводятся учения и тренировки персонала. Но вот беда: если сейф из бухгалтерии по плану с трудом, но вынести можно, то что делать с IT-инфраструктурой?
Проблема заключается в том, что современный бизнес — это во многом и есть IT: например, банковские платежные системы или сервисы ДБО. И даже если эта инфраструктура территориально распределена, нет гарантии, что резервные узлы выдержат резко увеличившуюся нагрузку и не выйдут из строя.
Наверное, важность вопроса, до какой степени IT-инфраструктура стала критичной для непрерывности банковского бизнеса, впервые стал понятен после атаки на башни-близнецы в Нью-Йорке, в которых было довольно много офисов финансовых организаций. Часть из них сумели восстановить свои сервисы довольно оперативно благодаря резервным площадкам, налаженным технологиям управления непрерывностью бизнеса (Business Continuity Management, BCM) и грамотным планам восстановления IT-систем (Disaster Recovery Plan, DRP). Как следствие события 11 сентября 2001 года дали мощный импульс к обязательному наличию BCM в финансовой сфере США. Страны Азии, где природные катаклизмы — не редкость, также активно включились в эти процессы.
Надеетесь на авось — получите стандарты
Но вот прошло 15 лет. Появились совершенно новые риски, например атаки киберкриминала. Что же изменилось? Насколько нам интересны чужие ошибки? Согласно совместному исследованию IBM и журнала Economist, посвященному проблемам рисков и устойчивости бизнеса, в мире только 37% большого бизнеса имеет налаженные BCM и DRP.
А что касается России, то показателен в этом плане пример блэкаута в Санкт-Петербурге в 2010 году. Казалось бы, наученные горьким московским опытом банкиры и многие другие службы, тем не менее показали себя плохо подготовленными: банкоматы не работали, многие отделения банков не были открыты и т.д. Почему? Все хотят сэкономить и надеются на авось.
Так каким образом банк может противостоять такого рода воздействиям или, по крайней мере, минимизировать возможный ущерб для бизнеса? При этом в условиях текущей финансовой турбулентности критично важно найти бюджетные пути. Где их искать?
Для начала необходимо обратиться к нормативным актам и лучшим мировым практикам в этой сфере, собранным, например, международной организацией Business Continuity Institute (BCI), которая определяет BCM и значительно расширяет список привычных угроз, вплоть до действий внутренних инсайдеров и взломов информационных систем хакерами. Кроме того, часть методологий содержится в CobiT (Control Objectives for Information and Related Technologies, «Задачи управления для информационных и смежных технологий»), ITIL (IT Infrastructure Library — библиотека инфраструктуры информационных технологий). Довольно много можно почерпнуть в ISO 27001 — международном стандарте по информационной безопасности. Самого пристального внимания заслуживает стандарт ISO 22301, посвященный практикам BCM. Что касается России, то ЦБ довольно плотно регулирует описываемые практики в Положении 242-П, стандартах безопасности СТО БР ИББС-1.0-2006, ГОСТ Р ИСО/МЭК 27001-2006 и некоторых других.
С больной головы на IT
Анализируя требования к BCМ и DRP, приходим к тому, что BCМ направлен на поддержку бизнес-активности и бизнес-функций, в то время как DRP — на поддержание бесперебойной работы информационных систем и сохранности данных. В то же время BCМ ориентирован на предупреждение проблем, а DRP — на их решение; BCМ охватывает вопросы восстановления бизнеса, а DRP направлен на восстановление IT-инфраструктуры после сбоев.
Кроме того, становится понятно, почему соответствие нормативным актам обходится банкам все дороже: это усиление зависимости бизнеса от информационных технологий, а также усложнение собственных корпоративных IT-инфраструктур. Неудивительно, что в упомянутом исследовании IBM говорится о том, что сегодня уже в 40% случаев обеспечение непрерывности бизнеса «сваливают» на IT-службы банков, забывая при этом о лучших практиках, которые говорят о том, что BCM — комплексный подход, затрагивающий буквально все процессы, происходящие в современном банке.
Таким образом, все чаще можно наблюдать тенденцию, когда инициатива внедрения процессов непрерывности бизнеса от топ-менеджмента переходит к IT. К сожалению, в России всего несколько банков с практически неограниченным IT-бюджетом, остальным же приходится серьезно экономить. Понятно, что люди из IT имеют гораздо более объемное представление о том, какие существуют зависимости между теми или иными бизнес-процессами и приложениями, их обслуживающими, нежели высшие руководители. Обладая этими весьма ценными знаниями, можно попытаться добиться соответствия (как на бумаге, так и реального), сэкономив при этом и так небольшой бюджет. Так какие есть варианты действий?
Экономить за счет оптимизации
Как показывает практика, на текущее время процесс обеспечения непрерывности в банках колеблется от «лишь написанных планов BCM и DRP для ЦБ» до «практически все есть, но нет ресурсов регулярно обновлять перечень угроз и рисков. Часто забываем включить процесс в культуру организации (управление изменениями)».
Это показывает, что полный процесс включает в себя несколько шагов, на каждом из них можно сэкономить вплоть до игнорирования работ по какому-то пункту. Но чем ближе к высшему уровню максимального соответствия, тем бесполезнее окажутся инвестиции в предыдущие. «Какие мероприятия действительно нужны, зависит от того, как сам банк оценивает свою стратегию поведения в чрезвычайных ситуациях (в рамках нормативов регулятора), — рассказывает Роман Лукин, руководитель группы IT-аудита и консалтинга компании “Инфосистемы Джет”. — Причем нужно знать, как эта стратегия будет эволюционировать, что в ней должно появиться (или не появиться) в будущем.
Имея этот документ на руках, можно на уровне руководства банка строить всеобъемлющую концепцию управления конкретными рисками, а не вкладывать деньги в то, в чем нет необходимости. Кроме того, здесь самое время заняться командой, которая будет решать текущие задачи».
Понятно, что параллельно или чуть раньше необходимо озаботиться аудитом ресурсов, поддерживающих бизнес-процессы организации. Требуется определиться с угрозами, от которых BCM будет защищать на данном шаге внедрения. Например, учитываем только IT-приложения, но не трогаем персонал, работающий с ними.
После этой работы начинается «творческий процесс», а именно выбор того, как именно будут обеспечены BCM и DRP с точки зрения технических решений. Будет ли построен для этого резервный ЦОД или операционный центр для персонала? А может, идти в ногу со временем и использовать виртуальные ЦОДы или облака, а также арендовать в подходящем технопарке временный офис, пока центральная площадка непригодна для работы? «Не углубляясь в технические подробности, можно сконцентрироваться только на аспекте DRP, что позволит не строить дорогостоящие решения по синхронному резервному копированию, — отмечает Роман Лукин. — Кто-то допускает некоторый уровень потерь информации и(или) уменьшение скорости восстановления. Все зависит от стратегии и уже имеющихся решений. На этом этапе есть масса возможностей для оптимизации — нужно найти свою золотую середину».
Немного бумажной работы, тестов и изменений в корпоративной культуре
Обычно на этом, четвертом, этапе эксперты рекомендуют определиться с политикой непрерывности бизнеса, созданием реестра ролей и должностных обязанностей, концепцией управления процессом непрерывности, реестром рисков, матрицей зависимостей бизнеса от IT, таблицей потерь, планами управления инцидентами, стратегией непрерывности деятельности бизнес-подразделений, планами аварийного восстановления и тестирования. Правда, мало кто в состоянии осилить этот неполный список, но люди сидят и пишут… Лучшие практики заключаются в том, что все эти бумаги не обязаны появляться одновременно!
Первой должна быть разработана небольшая по объему, но «краеугольная» по значению политика непрерывности бизнеса. А вот реестр ролей и должностных обязанностей, служащий для собственного понимания организацией, какие специалисты требуется и что им предстоит делать, может постепенно дополняться по мере необходимости.
Концепция управления процессом непрерывности, отвечающая за порядок расширения и сужения рамок BCM, разрабатывается банком с учетом того, что организация может ответить на вопросы самостоятельно, не затрачивая большого количества времени и сил. Что касается реестра рисков, специалисты советуют выбирать какой-то конкретный риск, а не брать сразу весь их спектр.
Построив процесс управления непрерывностью для защиты от него, будет гораздо проще расширить процесс и на другие риски. Аналогичный подход применим и для построении матрицы зависимости бизнеса от IT. На первых порах достаточно разработать только часть матрицы, описывающую один бизнес-процесс.
Не будем углубляться во всю эту бумажную бюрократию, а отметим, что не надо идти «на ура, до победного конца», а стоит использовать народную мудрость «умный в гору не пойдет»: так вот, умный обратится к экспертам-консультантам и «обойдет гору». Иными словами, можно и нужно подготовку документов распределить по этапам и изменять их полноту, минимизируя затраты на их подготовку.
Для того чтобы убедиться в том, что все сделано правильно, существует этап тестирования. Наиболее ресурсоемким видом тестов является «настольный». Он очень полезен для проверки полноты существующих документов, вовлечения сотрудников и руководителей в тематику BCM и DRP, для приобретения драгоценного опыта и выработки практических навыков в нештатных ситуациях.
На «настольных» тестах экономить, как правило, — себе дороже. Но вот совместить проведение тестирования процедур DRP с регулярными регламентными работами, например с установкой обновлений ПО или со сменой версий, можно. Такой вариант выгоден с экономической точки зрения, а навредить бизнесу тестами в это время трудно.
Завершается цикл создания BCM внедрением процессов управления изменениями и непрерывностью в культуру организации. Это не ресурсоемкий этап, но его сложность заключается в том, что данный шаг не может быть единовременным. Усилия по внедрению должны предприниматься на регулярной основе.
В рамках процесса должны возникнуть новые должностные обязанности, возложить которые резонно на людей, управляющих рисками, или CIO. Последнее выгодно с той точки зрения, что информационные процессы обычно наиболее полно описаны, кроме того, как ни крути, они являются составной частью бизнес-процессов и их придется включать в процесс управления непрерывностью.
Так почему с них не начать? Делая выводы, необходимо отметить, что внедрение BCM и DRP, безусловно, вещь полезная. К сожалению, автоматизация бизнеса вызывает зависимость от IT, но никому не хочется при любом сбое систем вне зависимости от причины останавливать бизнес-процессы на определенное время с непредсказуемыми эксцессами и потерями данных после восстановления.
Стимулируют внедрение и регуляторы рынка. Да, необходим бюджет. Однако, как показывают лучшие мировые и отечественные практики в виде международных стандартов и положений, есть разные варианты оптимизации расходов при получении достойного результата. Но получить экономию можно только в том случае, когда есть знание, что и как делать, а также при непрерывном, как того и требуют стандарты, цикле работ. Отдельный вопрос: делать ли все самим на свой страх и риск или объединить усилия с независимыми консультантами.
- IT-инфраструктура
- банковская деятельность
Источник: www.klerk.ru