Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
Информационные технологии стали неотъемлемой частью бизнеса XXI века. Они являются мощным двигателем экономики, однако источником рисков. Без бесперебойной работы ИТ-сервисов прерываются бизнес-процессы, что может привести к финансовым потерям и катастрофическим последствиям. Как обеспечить информационную безопасность и непрерывность бизнеса? Об этом мы подробно расскажем в этой статье.
Современный бизнес, основанный на использовании информационных технологий, нуждается в надежной системе кризис-менеджмента, которая бы обеспечивала бесперебойность процессов. Это становится особенно актуально для кредитно-финансовых, телекоммуникационных и высокотехнологичных компаний, а также предприятий непрерывного производственного цикла, включая атомные электростанции. Однако, готовность к возможным кризисным ситуациям не менее важна и для ритейл-сетей, электронной коммерции и государственных учреждений.
В некоторых отраслях существуют специальные регуляторные акты, которые имеют отношение к обеспечению непрерывности бизнеса и должны соблюдаться для получения соответствующей лицензии. Высокая степень риска, связанная с сбоем в работе ИТ-сервисов, может привести к большим материальным потерям для банков, которые не могут позволить себе непродолжительный перерыв в работе. Авария на предприятии ТЭК или авиакомпании может повлечь за собой не только финансовые потери, но и потерю человеческих жизней.
Причины возникновения бизнес-рисков могут быть различными, например, природные бедствия, аварии в энергосистемах или киберпреступления. В связи с этим, важность обеспечения информационной безопасности общеизвестна.
Компания DEAC провела опрос в 2019 году, который продемонстрировал, что наиболее восприимчивыми к рискам непрерывности бизнеса являются финансовая и информационная сферы. Значительная часть опрошенных не может продолжать работу более одного часа в случае недоступности ИТ-систем, что подчеркивает важность обеспечения непрерывности бизнес-процессов.
Существуют инструменты кризис-менеджмента, которые обеспечивают безопасность бизнеса в целом. Это BCM (Business Continuity Management), BCP (Business Continuity Planning) и DRP (Disaster Recovery Planning). Они наследуют методологию ИБ и имеют основные принципы: анализ рисков, контроль и управление инцидентами, стратегическое и тактическое планирование непрерывности информационно-коммуникационных технологий.
BCM (BCP & DRP) являются неотъемлемой частью системы ИБ и обеспечивают не только непрерывность бизнеса, но и безопасность в целом. Управление ИБ является основой BCM, и их требования учитываются при выборе дата-центра для хранения информации, а также при внедрении стандартов, включая ISO/IEC 27001 и ISO 22301:2012.
Важно отметить, что BCM постепенно охватила практически все аспекты деловой активности и превратилась в целостную структуру взглядов на методы обеспечения непрерывности бизнеса. Она стала устойчивостью организации к всевозможным сбоям, разрушениям и потерям, в первую очередь финансовым.
Управление непрерывностью бизнеса (BCM) — важный инструмент, позволяющий организациям оставаться оперативными в условиях любых незапланированных инцидентов, таких как сбои оборудования, технологические аварии, кибератаки, экологические катастрофы и прочее. В рамках BCM можно выделить несколько основных видов управления, каждый из которых направлен на устранение конкретных последствий инцидентов.
Первый уровень — управление инцидентами (Incident management, IM). Оно ориентировано на работу с отдельными происшествиями, которые не приводят к большим потерям для компании. В рамках IM решаются задачи, связанные с сохранением, доступностью и целостностью информации, а также отказоустойчивостью оборудования.
Второй уровень — управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Этот уровень направлен на предотвращение инцидентов, которые могут серьезно нарушить работу организации и привести к приостановке важнейших процессов. Возможные последствия таких инцидентов могут быть крайне серьезными, вплоть до банкротства. Как показывают исследования, ежегодные потери от простоев приложений в мире превышают 20 млн долларов, а в России — 19,8 млн долларов.
Третий уровень — управление чрезвычайными ситуациями (Crisis & emergency management). Он направлен на предотвращение катастрофических последствий опасных ситуаций, связанных с экологическими катастрофами, гуманитарными кризисами, инфраструктурными разрушениями и другими крайне редкими, но крайне опасными инцидентами. Надежность управления непрерывностью деятельности важна для отраслей, таких как топливная и энергетическая промышленности.
Получение значительных убытков от инцидентов вполне возможно, как показывают реальные примеры. В том числе, 12 мая 2017 года весь мир был атакован вирусом-вымогателем WannaCry, который привел к множеству сбоев и нанес огромный экономический ущерб многим компаниям, включая больницы и правительственные учреждения. Статистика говорит о том, что корпорации, успешно восстановившие деятельность после инцидента, через год получают дополнительный доход, сверх нормы, в размере 10%, в то время как компании без внедренной BCM понимают убытки в подобном размере. Управление непрерывностью бизнеса — важный залог сохранности вложенных владельцами и акционерами средств.
Внедрение BCM: какие этапы необходимо пройти
Планирование и стратегия - так начинается управление непрерывностью бизнеса (BCM). В этом процессе часто используются инструменты риск-менеджмента (RM). Чтобы реализовать BCM в организации, необходимо пройти целый ряд этапов. Они включают в себя овладение техническими и программными средствами, регламентацию действий, распределение ответственности и обучение персонала. Взять на себя эти задачи компании может быть проблематично. В таком случае стоит обратиться за помощью к ИТ-экспертам. Они не только разработают план мероприятий и найдут наилучшие решения для компании, но и помогут перевести проект в реальность.
Анализ бизнес-процессов (Business Environment Analysis, BEA) позволяет определить риски, которые могут возникнуть в зависимости от характера деятельности компании. Например, отказ в работе системы учета пациентов медицинского учреждения является менее критичным по сравнению со сбоем в работе высокотехнологичного реанимационного оборудования. При этом в телекоммуникационной компании отказ приложения для автоматизации совместной деятельности рабочих групп вероятно не остановит бизнес-процессы, однако сбой в системе биллинга приведет к затратам на финансовые потери. Таким образом, точки критичности могут быть различны для каждого типа бизнеса, и анализ бизнес-процессов позволяет выявить эти точки и определить степень их влияния на деловую активность компании.
Анализ рисков (Risk Analysis, RA) позволяет выделить зависимые и независимые от информационных технологий (ИТ) риски. После выделения и градации бизнес-процессов по важности для компании следует определить группу ИТ-зависимых бизнес-процессов. Затем необходимо проверить технические и организационные механизмы по предотвращению перебоев в работе бизнес-процессов, выделить уязвимые точки и оценить угрозы. В результате можно выделить группы рисков, которые влияют на ИТ, и классифицировать их по мере важности.
Оценка влияния на бизнес (Business Impact Analysis, BIA) основана на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. После этого строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть оценены как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и др. Такой подход позволяет провести детальную оценку влияния на бизнес и определить возможные потери.
Для аналитиков имеет большое значение получение достоверной информации о финансах бизнеса и текущей ситуации в ИТ-комплексе, а также о планах его расширения.
Также необходимо провести детальный анализ информационных сервисов, связанных с бизнес-процессами и информационными потоками. Оценка возможного ущерба позволит получить полную картину бизнеса, отразив уровень критичности всех бизнес-процессов и нарушений их функционирования в соответствии с потерями.
Аудит, проводимый аналитиками перед началом сотрудничества, поможет решить все вышеперечисленные задачи. В процессе такой всесторонней оценки будут выявлены слабые места в системе информационной безопасности клиента, которые затем можно будет укрепить.
Расчет экономического эффекта (стоимости простоя бизнес-процессов) предполагает определенные допущения о вероятности возможных инцидентов в ближайшее время, что позволяет определить наиболее подходящую стратегию.
Согласно экспертам, наличие ясного плана действий в экстренных ситуациях является фундаментальным для успешной защиты бизнеса и его операционной деятельности. В этом контексте, компании необходимо определиться с так называемыми тайм-аутами и производительной мощностью для отдельных бизнес-процессов в случае ЧС в сотрудничестве с аналитиками.
Первоначально, необходимо установить допустимое время восстановления (RTO), то есть интревал вынужденного простоя, который может быть технически сведен к секундам, однако не всегда оправдывает экономические затраты. Кроме того, также нужно определить целевую точку восстановления (RPO) - временной диапазон перед наступлением ЧС, за который все данные могут быть утрачены. В настоящее время, данный интервал может быть практически равен нулю, благодаря частоте и доступности технологий резервного копирования информации.
Наконец, последним этапом является определение уровня непрерывности бизнеса (LBC) - допустимого уровня производительности в случае ЧС в процентах от режима штатной работы. Этот параметр позволяет оценить, насколько быстро и эффективно компания может восстановить свою работоспособность после возникновения нежелательной ситуации.
Таким образом, правильно определенные тайм-ауты и производительная мощность являются важными компонентами бизнес-защиты и могут значительно уменьшить риски потенциального ущерба компании в экстренных ситуациях.
Планирование является процессом, который не является единоразовым и должен постоянно поддерживаться в актуальном и соответствующем состоянии. Для этого планы регулярно тестируются и обновляются новыми данными.
Ключевым аспектом по определению стратегии непрерывности бизнеса являются безопасность сотрудников, обеспечение рабочих помещений, технических средств и необходимых материалов, доступ к критически важной информации, беспрепятственные коммуникации с партнерами, клиентами, поставщиками и подрядчиками. Каждое направление требует отдельной подстратегии с определенными параметрами анализа рисков. Обеспечение непрерывности включает три стадии: реагирование, продолжение критичных процессов при условиях ЧС и восстановление штатной работы.
Выбор организационных и технических решений определяется стратегией BCM. Определяются приоритетные цели и задачи для поддержания непрерывности бизнеса, процедуры реагирования, области распространения системы BCM, кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения.
Технические и организационные системы BCM включают использование «облачных» услуг. DRaaS (Disaster-Recovery-as-a-Service) используется для защиты информации, предоставляя услугу аварийного восстановления данных в облачных корпоративных средах. Это позволяет снизить расходы при сохранении уровня безопасности на уровне стандартов индустрии. Существуют различные варианты, но все они основаны на резервном копировании ИТ-инфраструктуры или критических ее элементов.
Резервные копии ИТ-инфраструктуры создаются по расписанию, заданному в соответствии с нужными RTO и RPO, и помещаются в хранилище. Такая схема подходит для малых организаций, где непрерывность не является критичной, но важны экономия и сохранность данных.
Инфраструктура копируется полностью, изменения в непрерывном режиме переносятся в облако, извлечение и восстановление информации происходит за минуты.
Резервная облачная инфраструктура полностью идентична основной и обновления в них происходят синхронно. Восстановление возможно за несколько секунд, что делает это решение актуальным для крупных финансовых и ИТ-компаний, госсектора, а также любых организаций, где нельзя терять ни минуты на простой.
Строительство отказоустойчивых ЦОДов становится все более актуальным для бизнеса, и это может быть необходимо как для создания новых, так и для оптимизации уже существующих центров обработки данных. Этого можно достичь путем проведения комплекса мероприятий, включающих в себя строительство специализированных зданий, а также инженерных, телекоммуникационных и ИТ-инфраструктур, их автоматизацию и сервисное обслуживание.
Существует также возможность создания мобильного ЦОДа. Однако, для более простого решения данной задачи, компании могут доверить организацию ИТ-инфраструктуры опытному провайдеру.
Развитие бизнеса обычно сопровождается увеличением вычислительных мощностей и усложнением ИТ-систем, что может привести к риску нарушения непрерывности деловой активности. Именно поэтому компаниям необходим план восстановления системы после инцидента (DRP), который является частью большего плана обеспечения непрерывности бизнеса (BCP). Данный план призван обеспечить максимально быстрое восстановление работоспособности ИТ-систем, поддерживающих как критичные бизнес-процессы, так и обычные операции. BCP, в свою очередь, должен предусматривать восстановление бизнес-процессов в целом.
Для обеспечения нормального функционирования системы необходима формирование программы сопровождения и эксплуатации систем BCM, включающую меры по периодической проверке системы, а также реагированию обслуживающего персонала на возникновение инцидентов.
Наконец, встраивание процессов в корпоративную культуру играет важную роль на пути к успешному планированию восстановления после происшествий. Для этого необходимо разработать меры и осведомить персонал о мерах, принимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. Компетентный персонал является ключевым фактором успеха на этом этапе.
Как известно, внедрение системы ВСМ на предприятии может значительно повлиять на его дальнейшую работу. Однако, какие именно параметры могут свидетельствовать об эффективности такого внедрения?
В первую очередь, важно отметить готовность организации к дальнейшей работе в случае возникновения аварий в ИТ-системах. Если в систему была внедрена ВСМ, это достаточно показательный момент, ведь организация приняла меры для сохранения своих данных и возможности продолжения работы в случае сбоев.
Кроме того, стоит оценить вероятность простоя (недоступности) информационных систем в случае возникновения внештатной ситуации и потенциальные убытки, которые могут быть связаны с такой ситуацией.
Также важным показателем является соответствие требованиям регулирующих органов и прохождение аудита.
Однако, само по себе создание и внедрение системы ВСМ может стать непростой задачей для предприятия, требующей значительных финансовых, кадровых и временных ресурсов. Не каждая компания готова на это пойти и поэтому речь идет об эффективности внедрения системы с учетом возможностей организации.
Фото: freepik.com