W poprzednim artykule („GU” nr 22) przybliżyłem tematykę ciągłości działania oraz, w mojej ocenie, praktyczne podejście do opracowywania planów zachowania ciągłości biznesowej. W ciągu ostatniego kwartału pojawiło się wiele pytań ze strony klientów oraz brokerów.
Jedno z pytań dotyczyło terminologii – plan ciągłości działania, (IT) disaster recovery, emergency response, zarządzanie kryzysowe, incident management, IT incident response plan itp. Co się kryje pod każdym z tych haseł?
Generalnie trudno jest odpowiedzieć jednoznacznie bez lektury chociażby struktury dokumentu, który podpowie, czy dany dokument obejmuje całość zagadnień ciągłości działania, czy może tylko wycinek. Dla ułatwienia, w swoich projektach traktuję dokument planu ciągłości działania (BCP) jako rodzaj menu w zakresie odbudowy działalności biznesowej.
Pięć dań w menu
W tymże menu mamy pięć dań:
- reagowanie na incydenty w celu ochrony życia i zdrowia ludzi czy zabezpieczenia majątku,
- zarządzanie kryzysowe, aby utrzymać klientów czy pozytywny wizerunek wśród innych interesariuszy,
- strategie, opcje, role w zakresie zapewnienia ciągłości działania i odbudowy działalności,
- informacje jako podstawa dla podejmowanych decyzji,
- szczegółowe procedury i instrukcje wspierające nasze działania z wymienionych wyżej obszarów.
W ostatnim czasie pojawiają się pytania na temat oddzielnego dokumentu dotyczącego obszaru IT, w szczególności w świetle ryzyk cybernetycznych. Zakres i częstotliwość incydentów, które mogą prowadzić do poważnych w skutkach zakłóceń, rośnie, co uzasadnia, aby tę część potraktować oddzielnie, jednak najlepiej jako podrozdział całego planu ciągłości działania.
Często jednak BCP oraz IT DRP są niezależnie opracowywane, a to generuje luki i niespójności. Są one widoczne, w szczególności w zakładach produkcyjnych, np. w wymiarze OT/IT czy poświęceniu odpowiedniej uwagi bardziej tradycyjnym ryzykom i ich konsekwencjom.
Jaki standard wybrać?
Co reprezentuje najlepsze praktyki? Jak to zwykle bywa, standardów, norm czy podręczników dobrych praktyk znajdziemy wiele – czy to wprost odnoszących się do ciągłości działania, czy jako ujęcie zagadnienia z innego obszaru (IT, bezpieczeństwa informacji itp.). Gdy tylko pojawia się nowe zagrożenie, od razu powstają wytyczne.
Zatem który standard wybrać? Wszystkie są dobre i nie warto się koncentrować na jednym. Każdy może być zastosowany do opracowania skutecznego programu ciągłości działania. Wszystkim bowiem przyświeca cel budowy oporności organizacji na zakłócenia i zapewnienia ciągłości biznesowej.
Najczęściej spotykane w naszej części świata to ISO22301, NFPA1600, Good Practice Guide BCI. Różnice skupiają się na strukturze dokumentu, użytej terminologii, liczbie stron poświęconych danemu zagadnieniu czy historii powstania.
Moje podejście siłą rzeczy wykorzystuje ISO i wytyczne BCI ze względu na ich popularność i rozpoznawalność, ale w wymiarze, który służy organizacji jako punkt odniesienia, a nie wymóg jakiejkolwiek certyfikacji, której jednak nie wykluczam.
Niezbędny czas
Ile czasu potrzebujemy na opracowanie i wdrożenie planu ciągłości działania? W tym przypadku nie uchronimy się od „to zależy”, ale ograniczę to do dwóch opcji i jednego zastrzeżenia. Projekty dla małych organizacji lub jednorodnych w zakresie działalności czy jednolokalizacyjne udaje się zrealizować od czterech do sześciu tygodni. Projekty dla większych organizacji, różnorodnych, kilkulokalizacyjnych zabiorą trochę więcej czasu – od 12 do 18 tygodni.
Różnice wynikają z większej liczby współzależności występujących w organizacji i tym samym czasu potrzebnego na ich udokumentowanie i przeanalizowanie, zanim podejmiemy decyzję i zrobimy kolejny krok. Obie opcje jednak należy okrasić zastrzeżeniem dotyczącym etapu wdrożenia, który we wspomnianych terminach może być trudno osiągalny.
Jeśli nie dysponujemy gotowymi rozwiązaniami, możemy raczej mówić o zaplanowaniu zadań w tym zakresie niż o faktycznym wdrożeniu rozwiązań zachowania ciągłości działania. Rozwiązania te wymagają czasu na weryfikację, analizę kosztów i korzyści, zapewnienia finansowania czy modyfikacji modelu biznesowego. Pamiętajmy, że po ich wdrożeniu następuje aktualizacja planu, szkolenia, symulacje.
Budowa odporności i skutecznego systemu potrwa zatem dłużej i perspektywa roku – dwóch lat na pewno nie jest niewłaściwa. Sugerowane terminy są powiązane z proponowanym podejściem, które uważam za praktyczne.
Czy nasz plan musi obejmować całą organizację?
Oczywiście nie musi, jednak trzeba ten zakres zdefiniować i tu pojawia się dylemat, jak to zrobić. Aby uniknąć długotrwałych analiz i rozważań, wystarczy zastanowić się na tym, które obszary firmysą krytyczne lub które produkty czy usługi powinny być zagwarantowane bez względu na wystąpienie istotnego zdarzenia.
Istnieje wiele sposobów na określenie tego zakresu, np. poprzez pryzmat produktów czy usług o największych generowanych przychodach; najbardziej zagrożoną lokalizację; wymagania stawiane przez regulatora, klienta czy innego istotnego interesariusza naszej organizacji.
Najważniejsze, aby zacząć ten proces, gdyż perspektywa ciągłości działania może wpłynąć na podejmowane decyzje biznesowe. Pamiętajmy, że ciągłość działania konkuruje ze zwiększeniem wydajności oraz redukcją kosztów, w tym też wpływa na skuteczność ochrony ubezpieczeniowej, np. outsourcing.
Czym jest tolerancja/akceptacja ryzyka?
Inaczej „poziom bólu”, jaki organizacja może i chce wytrzymać. Chyba najbardziej techniczne pytanie z tego zestawu. Ten parametr jest dosyć kluczowy, gdyż decyduje, jak szybko musimy czy chcemy zareagować. Jest to punkt odniesienia nawigujący naszymi działaniami w ramach planowania ciągłości działania i może być określony w różnych wymiarach – finansowym, bezpieczeństwa, zgodności, produkcyjnym czy reputacyjnym. Dosyć trudny parametr do określenia w sposób jednoznaczny dla wszystkich w organizacji czy poza nią.
Często ten parametr jest już gdzieś zdefiniowany i wymaga tylko prześledzenia polityk organizacji w różnych obszarach – jak „zero wypadków”, udział własny – pięć dni oczekiwania i 12-miesięczny okres odszkodowawczy, przyczyny i okres wypowiedzenia umowy przez klienta, inne. To są dobre punkty wyjścia do dyskusji, która często pokazuje, że ambitne deklaracje nie są osiągalne w wymiarze ciągłości działania.
Jednak najbardziej kluczowe jest pytanie, ile mamy czasu od momentu zaprzestania dostarczania produktów do klientów czy świadczenia usług do pojawienia się nieakceptowalnych konsekwencji (np. decyzja klienta o rezygnacji z dalszej współpracy).
To przekłada się na tajemnicze skróty MTPD, RTO, a inaczej, kiedy najpóźniej powinniśmy reaktywować określoną aktywność i w jakim terminie planujemy to zrobić. To zestawienie często weryfikuje nasze ambitne założenia i koszty, jakie się z tym wiążą.
Co dalej po opracowaniu planu?
Cóż, czas na budowę odporności poprzez działania prewencyjne, wdrażanie rozwiązań zapewniających ciągłość działania, ćwiczenia, szkolenia czy uaktualnianie planu. Ten etap jest kluczowy, aby nasz plan nie stał się typowym „półkownikiem”.
Tutaj pojawia się pytanie o symulację planu. Jest to element sprawdzający, czy wdrożone rozwiązania zadziałają zgodnie z oczekiwaniami. Często zaraz po opracowaniu planu chciałoby się go przetestować, ale warto stopniować napięcie.
Pierwszym wystarczającym działaniem jest przejście przez plan ze wszystkimi, którzy pełnią w nim przypisaną rolę, co pozwoli się z nią zapoznać oraz przedyskutować opcje i strategie dla poszczególnych scenariuszy. Już takie podstawowe ćwiczenie pozwoli na identyfikację obszarów wymagających dalszego doskonalenia.
To tylko nieliczne pytania czy zagadnienia, ale regularnie pojawiające się przy okazji pierwszych spotkań czy podczas realizacji projektów. Jest ich o wiele więcej, mniej lub bardziej szczegółowych, może uda mi się na nie odpowiedzieć w kolejnych tekstach. Tymczasem zapraszam na moją stronę www.
Janusz Słobosz
partner zarządzający riskChallenge
