Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
В настоящее время невозможно представить себе бизнес без использования информационных технологий в XXI веке. С их помощью компании становятся эффективнее и конкурентоспособнее. Однако, вместе с этим, информационные технологии могут представлять и значительные риски для компаний.
При оборудовании важнейших бизнес-процессов информационными технологиями, постоянная работа ИТ сервисов становится ключевым элементом. В случае, если сервисы перестают работать, то компания сталкивается с некоторыми негативными последствиями. Лучшим случаем является временное простое и возможные возмещения финансовых убытков, а худший сценарий - это катастрофические последствия делового провала.
Профилактика от подобных сценариев - это обеспечение безопасности и независимости в работе информационных технологий, и наша статья объяснит, как это достичь.
Когда дело касается использования информационных технологий в бизнесе, обеспечение бесперебойности процессов становится еще более важным. Предприятия, занятые в кредитно-финансовой, телекоммуникационной, высокотехнологичной и производственной отраслях, особенно нуждаются в продуманной системе кризис-менеджмента. Однако, это также актуально для ритейла, электронной коммерции, государственного сектора и любой другой отрасли, где поставлены задачи по обеспечению непрерывности деятельности компании.
Существуют специальные регламенты, которые соблюдаются для лицензирования деятельности в ряде отраслей и указывают на необходимость непрерывности бизнеса. Риск сбоя в работе информационно-технических сервисов может иметь колоссальные материальные потери для банков и жизнь людей - если инцидент произойдет, например, в авиакомпании или на предприятии топливно-энергетического комплекса.
Риски могут возникнуть из-за природных бедствий, аварий в энергосистемах или киберпреступлений. При этом, уровень риска определяется последствиями инцидента для деловых процессов и функций. В связи с многообразием рисков, обеспечение информационной безопасности (ИБ) является актуальной и несомненно необходимой задачей.
В 2019 году компания DEAC провела опрос и выяснила, что решения по обеспечению бесперебойности процессов наиболее востребованы в финансовой и информационной сферах. Риск непрерывности бизнеса связанных с ИБ и изменениями в законодательстве страны является наиболее серьезным согласно данному опросу. Почти половина респондентов считает, что в ближайшее время эти риски будут только расти.
BCM (Business Continuity Management), BCP (Business Continuity Planning) и DRP (Disaster Recovery Planning) являются инструментами кризис-менеджмента, которые обеспечивают безопасность бизнеса в целом. Они вытекают из системы ИБ и следуют основным принципам анализа рисков появления и влияния чрезвычайных ситуаций на деловые процессы, контроля и управления инцидентами, а также стратегического и тактического планирования непрерывности информационно-коммуникационных технологий (ИКТ). BCM (BCP & DRP) широко применяются и регулируются международными, национальными и отраслевыми стандартами, такими как ISO/IEC 27001 и ISO 22301:2012. Обеспечение соответствия требованиям данных стандартов при выборе дата-центра для хранения информации или при внедрении их на предприятии, гарантирует безопасность данных и непрерывность бизнес-процессов.
Тем не менее, BCM, BCP и DRP не являются тождественными управлению ИБ, которое является лишь основой для данных дисциплин. BCM начинался с резервного копирования информации, но постепенно охватил вопросы ИБ и стал целостной структурой, взглядов на методы обеспечения непрерывности бизнеса, устойчивости организации к различным сбоям, разрушениям и потерям.
Управление непрерывностью бизнеса (BCM) — важный инструмент, позволяющий организациям оставаться оперативными в условиях любых незапланированных инцидентов, таких как сбои оборудования, технологические аварии, кибератаки, экологические катастрофы и прочее. В рамках BCM можно выделить несколько основных видов управления, каждый из которых направлен на устранение конкретных последствий инцидентов.
Первый уровень — управление инцидентами (Incident management, IM). Оно ориентировано на работу с отдельными происшествиями, которые не приводят к большим потерям для компании. В рамках IM решаются задачи, связанные с сохранением, доступностью и целостностью информации, а также отказоустойчивостью оборудования.
Второй уровень — управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Этот уровень направлен на предотвращение инцидентов, которые могут серьезно нарушить работу организации и привести к приостановке важнейших процессов. Возможные последствия таких инцидентов могут быть крайне серьезными, вплоть до банкротства. Как показывают исследования, ежегодные потери от простоев приложений в мире превышают 20 млн долларов, а в России — 19,8 млн долларов.
Третий уровень — управление чрезвычайными ситуациями (Crisis & emergency management). Он направлен на предотвращение катастрофических последствий опасных ситуаций, связанных с экологическими катастрофами, гуманитарными кризисами, инфраструктурными разрушениями и другими крайне редкими, но крайне опасными инцидентами. Надежность управления непрерывностью деятельности важна для отраслей, таких как топливная и энергетическая промышленности.
Получение значительных убытков от инцидентов вполне возможно, как показывают реальные примеры. В том числе, 12 мая 2017 года весь мир был атакован вирусом-вымогателем WannaCry, который привел к множеству сбоев и нанес огромный экономический ущерб многим компаниям, включая больницы и правительственные учреждения. Статистика говорит о том, что корпорации, успешно восстановившие деятельность после инцидента, через год получают дополнительный доход, сверх нормы, в размере 10%, в то время как компании без внедренной BCM понимают убытки в подобном размере. Управление непрерывностью бизнеса — важный залог сохранности вложенных владельцами и акционерами средств.
Внедрение системы управления непрерывностью бизнеса (BCM) начинается со стратегических этапов, связанных с планированием и определением целей. При этом используются средства риск-менеджмента (Risk Management, RM), что позволяет оценить и управлять возможными рисками на предстоящих этапах.
Внедрение системы BCM - это комплексный подход, который включает в себя освоение технических и программных средств, регламентацию действий, распределение ответственности, а также обучение персонала. Однако, самостоятельное внедрение системы BCM может быть проблематично для компании. Поэтому, наиболее эффективным решением является обращение к ИТ-экспертам, которые грамотно разработают план мероприятий и помогут воплотить проект системы в жизнь.
В итоге, внедрение BCM позволяет компаниям минимизировать риски и сохранять непрерывность бизнеса в условиях кризиса или аварийных ситуациях. Кроме того, использование BCM способствует повышению эффективности работы компании в целом.
Анализ и управление рисками
Каждая компания сталкивается со своими уникальными рисками, в зависимости от сферы деятельности и масштабов бизнес-процессов. Например, сбой в системе учета пациентов в медицинском учреждении не критичен, в то время как неполадки в работе высокотехнологичного реанимационного оборудования могут стать серьезной проблемой. Авария в приложении для автоматизации совместной деятельности рабочих групп телекоммуникационной компании, скорее всего, не приведет к кризису, но сбой в системе биллинга наверняка вызовет серьезные финансовые потери. В связи с этим, важно проводить анализ бизнес-процессов, чтобы выявить точки критичности и ранжировать их по степени влияния на непрерывность деловой активности компании.
Анализ рисков позволяет выделить две группы: зависимые от ИТ (ИКТ) и независимые. После выделения и градации бизнес-процессов по важности, необходимо выделить группу ИТ-зависимых процессов и провести оценку их влияния на бизнес. Для этого следует проверить работу технических и организационных механизмов, направленных на предотвращение прерываний процессов, выделить и оценить уязвимые места и угрозы. В результате можно сформировать группы рисков, связанных с ИТ, и разделить их по степени важности.
Оценка воздействия на бизнес базируется на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. Затем строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть количественно и качественно оценены. К группам потерь могут относиться общественное мнение, рыночная стоимость, уровень операционных расходов, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и т.д.
Обеспечение точности информации о финансах представляет существенный интерес для аналитиков, особенно если была заполучена возможность оценить IT-бизнес компании и перспективы его расширения.
Рекомендуется тщательно изучить информационные сервисы, которые используются в бизнес-процессах и информационных потоках. Несомненным результатом анализа будет представлена полная картина бизнеса в целом, включая оценку критичных бизнес-процессов, которые были столкнуты с нарушениями в работе, полученными в результате их функционирования в соотношении с величиной потерь.
Перед началом сотрудничества важно провести аудит, который позволит аналитикам определить все уязвимые места в системе защиты информации клиента и подобрать наилучшие меры для их укрепления.
Для подсчета экономического эффекта (стоимости простоя бизнес-процессов) следует использовать объективные оценки вероятности возникновения разных инцидентов в рассматриваемый период времени и выбрать наиболее приемлемую стратегию на основе этих данных.
Совладельцы компании и ее руководство, совместно с аналитиками, должны определить установку так называемых тайм-аутов и производительной мощности для отдельных бизнес-процессов на случай чрезвычайных ситуаций. Эти тайм-ауты включают в себя:
- Допустимое время восстановления (Recovery Time Objective, RTO) - время простоя, которое технически может быть сведен к секундам, но из-за дороговизны не всегда оправдан экономически.
- Целевая точка восстановления (Recovery Point Objective, RPO) - это временной диапазон перед наступлением чрезвычайной ситуации, за который все данные могут быть утрачены. Сегодня он может быть сведен к нулю, так как все зависит от частоты и технологии резервного копирования информации.
- Уровень непрерывности бизнеса (Level of Business Continuity, LBC) - это допустимый уровень производительности в чрезвычайных ситуациях в процентах от режима штатной работы.
Планирование – это процесс, который должен быть постоянным и динамическим, а не отдельной процедурой, и важно поддерживать его в актуальном и "синхронизированном" состоянии. Для этого необходимо регулярно проверять планы и дополнять их свежими данными по мере необходимости.
Определение стратегии непрерывности бизнеса является ключевым этапом планирования. Эта стратегия должна включать меры по обеспечению безопасности сотрудников, обеспечению рабочих помещений, технических средств и необходимых материалов, доступ к критической информации, а также обеспечивать беспрепятственные коммуникации с партнерами, клиентами, поставщиками и другими заинтересованными сторонами. Каждое направление должно иметь отдельную подстратегию, которая поможет "навигировать" к скорейшему восстановлению в соответствии с параметрами, определенными на этапах анализа рисков. Обеспечение непрерывности ссылается на три стадии: реагирование на ЧС, продолжение выполнения критически важных процессов для бизнеса в условиях ЧС и восстановление штатной работы.
Выбор организационных и технических решений зависит от стратегии BCM (Business Continuity Management). Необходимо разработать политики, которые определят приоритетные цели и задачи поддержания непрерывности бизнеса, процедуры реагирования и области распространения системы BCM, а также установить кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения BCM (проекта).
Создание технической и организационной системы BCM очень важно для непрерывности бизнеса. В настоящее время все большую популярность приобретают "облачные" услуги. Одним из решений для защиты информации при помощи облака является DRaaS (Disaster-Recovery-as-a-Service). Суть этого решения заключается в том, чтобы предоставить услугу аварийного восстановления данных в облачных средах корпоративного уровня. Это позволяет снизить расходы на обеспечение безопасности и одновременно поддерживать ее на уровне принятых в индустрии стандартов. Существуют разные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или ее наиболее критичных элементов.
Согласно первому варианту резервные копии ИТ-инфраструктуры создаются по расписанию, который задается в соответствии с требуемым временем восстановления (RTO) и точкой восстановления (RPO), а затем помещаются в хранилище. Восстановление занимает до нескольких часов. Такая схема подходит для малого бизнеса, где непрерывность не является критичной, но важна экономия и надежность сохранения данных. Однако, такое резервное копирование не обеспечивает комплексную защиту.
Второй вариант заключается в том, чтобы копировать все инфраструктуру, а изменения проводить в непрерывном режиме, чтобы они переносились в облако. Информацию можно извлечь и восстановить за несколько минут.
Третий вариант заключается в том, чтобы запустить резервную облачную инфраструктуру, которая будет полностью идентичной основной. Обновления в обоих инфраструктурах происходят синхронно, что позволяет восстанавливать работу за несколько секунд. Такое решение актуально для крупных финансовых и ИТ-компаний, государственных организаций и любых других компаний, где нельзя терять ни минуты на простой.
Строительство отказоустойчивых ЦОДов является неотъемлемой частью многих бизнес-процессов. Компании могут постоянно работать над оптимизацией и энергоэффективностью своих ЦОДов, а также создавать мобильные ЦОДы. Однако, стоит заметить, что проще всего доверить эту работу надежному провайдеру.
Кроме того, компании должны разрабатывать планы восстановления после инцидентов и планы обеспечения непрерывности бизнеса. При наращивании вычислительных мощностей и усложнения ИТ-систем компании сталкиваются с риском нарушения непрерывности работоспособности ИТ-систем. План восстановления после инцидента (DRP) и план обеспечения непрерывности бизнеса (BCP) помогут решить эту проблему. DRP позволит быстро восстановить работоспособность ИТ-систем, а BCP — восстановить бизнес-процессы в целом.
Кроме того, необходимо определить меры по обеспечению нормального функционирования системы и периодичность ее проверки. Процессы должны быть встроены в корпоративную культуру компании. Необходимо разработать меры и обучить персонал действовать в случае возникновения угроз и последствий внештатной ситуации. Кадры играют ключевую роль в успехе всех процессов.
Одним из ключевых аспектов успешной работы предприятия является внедрение высокоэффективной системы управления. Однако, необходимо учитывать, что внедрение информационных технологий требует значительных ресурсов, которых не всегда хватает у компаний.
Одним из показателей успешности внедрения в систему управления является готовность организации к продолжению работы даже в случае сбоя в ИТ-системах. Координированный противопожарный механизм и подготовленный персонал являются главными условиями для быстрого реагирования в экстренной ситуации и, в свою очередь, позволяют сохранять работоспособность компании.
Кроме того, необходимо также учитывать вероятность простоя или недоступности информационных систем в случае возникновения внештатной ситуации, что может привести к значительным материальным потерям. Правильно оцененная рискованность и защитные меры помогут свести к минимуму возможные негативные последствия.
Другим показателем эффективности внедрения системы является соответствие требованиям регулирующих органов. Пройдя процедуру аудита и полностью соответствуя требованиям, компания приобретает надежность и доверие со стороны заказчиков и партнеров.
Однако, стоит учитывать, что создание и внедрение высокоэффективной системы управления – непростая задача, требующая значительных затрат и временных ресурсов. Такие ресурсы далеко не всегда доступны для каждой компании, поэтому часто необходимо прибегать к внешней помощи.
Фото: freepik.com