Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
Информационные технологии стали неотъемлемой частью бизнеса XXI века. Они являются мощным двигателем экономики, однако источником рисков. Без бесперебойной работы ИТ-сервисов прерываются бизнес-процессы, что может привести к финансовым потерям и катастрофическим последствиям. Как обеспечить информационную безопасность и непрерывность бизнеса? Об этом мы подробно расскажем в этой статье.
Когда дело касается использования информационных технологий в бизнесе, обеспечение бесперебойности процессов становится еще более важным. Предприятия, занятые в кредитно-финансовой, телекоммуникационной, высокотехнологичной и производственной отраслях, особенно нуждаются в продуманной системе кризис-менеджмента. Однако, это также актуально для ритейла, электронной коммерции, государственного сектора и любой другой отрасли, где поставлены задачи по обеспечению непрерывности деятельности компании.
Существуют специальные регламенты, которые соблюдаются для лицензирования деятельности в ряде отраслей и указывают на необходимость непрерывности бизнеса. Риск сбоя в работе информационно-технических сервисов может иметь колоссальные материальные потери для банков и жизнь людей - если инцидент произойдет, например, в авиакомпании или на предприятии топливно-энергетического комплекса.
Риски могут возникнуть из-за природных бедствий, аварий в энергосистемах или киберпреступлений. При этом, уровень риска определяется последствиями инцидента для деловых процессов и функций. В связи с многообразием рисков, обеспечение информационной безопасности (ИБ) является актуальной и несомненно необходимой задачей.
В 2019 году компания DEAC провела опрос и выяснила, что решения по обеспечению бесперебойности процессов наиболее востребованы в финансовой и информационной сферах. Риск непрерывности бизнеса связанных с ИБ и изменениями в законодательстве страны является наиболее серьезным согласно данному опросу. Почти половина респондентов считает, что в ближайшее время эти риски будут только расти.
BCM (Business Continuity Management), BCP (Business Continuity Planning) и DRP (Disaster Recovery Planning) являются инструментами кризис-менеджмента, которые обеспечивают безопасность бизнеса в целом. Они вытекают из системы ИБ и следуют основным принципам анализа рисков появления и влияния чрезвычайных ситуаций на деловые процессы, контроля и управления инцидентами, а также стратегического и тактического планирования непрерывности информационно-коммуникационных технологий (ИКТ). BCM (BCP & DRP) широко применяются и регулируются международными, национальными и отраслевыми стандартами, такими как ISO/IEC 27001 и ISO 22301:2012. Обеспечение соответствия требованиям данных стандартов при выборе дата-центра для хранения информации или при внедрении их на предприятии, гарантирует безопасность данных и непрерывность бизнес-процессов.
Тем не менее, BCM, BCP и DRP не являются тождественными управлению ИБ, которое является лишь основой для данных дисциплин. BCM начинался с резервного копирования информации, но постепенно охватил вопросы ИБ и стал целостной структурой, взглядов на методы обеспечения непрерывности бизнеса, устойчивости организации к различным сбоям, разрушениям и потерям.
Управление непрерывностью бизнеса (BCM) — важный инструмент, позволяющий организациям оставаться оперативными в условиях любых незапланированных инцидентов, таких как сбои оборудования, технологические аварии, кибератаки, экологические катастрофы и прочее. В рамках BCM можно выделить несколько основных видов управления, каждый из которых направлен на устранение конкретных последствий инцидентов.
Первый уровень — управление инцидентами (Incident management, IM). Оно ориентировано на работу с отдельными происшествиями, которые не приводят к большим потерям для компании. В рамках IM решаются задачи, связанные с сохранением, доступностью и целостностью информации, а также отказоустойчивостью оборудования.
Второй уровень — управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Этот уровень направлен на предотвращение инцидентов, которые могут серьезно нарушить работу организации и привести к приостановке важнейших процессов. Возможные последствия таких инцидентов могут быть крайне серьезными, вплоть до банкротства. Как показывают исследования, ежегодные потери от простоев приложений в мире превышают 20 млн долларов, а в России — 19,8 млн долларов.
Третий уровень — управление чрезвычайными ситуациями (Crisis & emergency management). Он направлен на предотвращение катастрофических последствий опасных ситуаций, связанных с экологическими катастрофами, гуманитарными кризисами, инфраструктурными разрушениями и другими крайне редкими, но крайне опасными инцидентами. Надежность управления непрерывностью деятельности важна для отраслей, таких как топливная и энергетическая промышленности.
Получение значительных убытков от инцидентов вполне возможно, как показывают реальные примеры. В том числе, 12 мая 2017 года весь мир был атакован вирусом-вымогателем WannaCry, который привел к множеству сбоев и нанес огромный экономический ущерб многим компаниям, включая больницы и правительственные учреждения. Статистика говорит о том, что корпорации, успешно восстановившие деятельность после инцидента, через год получают дополнительный доход, сверх нормы, в размере 10%, в то время как компании без внедренной BCM понимают убытки в подобном размере. Управление непрерывностью бизнеса — важный залог сохранности вложенных владельцами и акционерами средств.
Внедрение BCM: какие этапы необходимо пройти
Планирование и стратегия - так начинается управление непрерывностью бизнеса (BCM). В этом процессе часто используются инструменты риск-менеджмента (RM). Чтобы реализовать BCM в организации, необходимо пройти целый ряд этапов. Они включают в себя овладение техническими и программными средствами, регламентацию действий, распределение ответственности и обучение персонала. Взять на себя эти задачи компании может быть проблематично. В таком случае стоит обратиться за помощью к ИТ-экспертам. Они не только разработают план мероприятий и найдут наилучшие решения для компании, но и помогут перевести проект в реальность.
Анализ бизнес-процессов (Business Environment Analysis, BEA) позволяет определить риски, которые могут возникнуть в зависимости от характера деятельности компании. Например, отказ в работе системы учета пациентов медицинского учреждения является менее критичным по сравнению со сбоем в работе высокотехнологичного реанимационного оборудования. При этом в телекоммуникационной компании отказ приложения для автоматизации совместной деятельности рабочих групп вероятно не остановит бизнес-процессы, однако сбой в системе биллинга приведет к затратам на финансовые потери. Таким образом, точки критичности могут быть различны для каждого типа бизнеса, и анализ бизнес-процессов позволяет выявить эти точки и определить степень их влияния на деловую активность компании.
Анализ рисков (Risk Analysis, RA) позволяет выделить зависимые и независимые от информационных технологий (ИТ) риски. После выделения и градации бизнес-процессов по важности для компании следует определить группу ИТ-зависимых бизнес-процессов. Затем необходимо проверить технические и организационные механизмы по предотвращению перебоев в работе бизнес-процессов, выделить уязвимые точки и оценить угрозы. В результате можно выделить группы рисков, которые влияют на ИТ, и классифицировать их по мере важности.
Оценка влияния на бизнес (Business Impact Analysis, BIA) основана на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. После этого строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть оценены как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и др. Такой подход позволяет провести детальную оценку влияния на бизнес и определить возможные потери.
Обеспечение точности информации о финансах представляет существенный интерес для аналитиков, особенно если была заполучена возможность оценить IT-бизнес компании и перспективы его расширения.
Рекомендуется тщательно изучить информационные сервисы, которые используются в бизнес-процессах и информационных потоках. Несомненным результатом анализа будет представлена полная картина бизнеса в целом, включая оценку критичных бизнес-процессов, которые были столкнуты с нарушениями в работе, полученными в результате их функционирования в соотношении с величиной потерь.
Перед началом сотрудничества важно провести аудит, который позволит аналитикам определить все уязвимые места в системе защиты информации клиента и подобрать наилучшие меры для их укрепления.
Для подсчета экономического эффекта (стоимости простоя бизнес-процессов) следует использовать объективные оценки вероятности возникновения разных инцидентов в рассматриваемый период времени и выбрать наиболее приемлемую стратегию на основе этих данных.
Совладельцы компании и ее руководство, совместно с аналитиками, должны определить установку так называемых тайм-аутов и производительной мощности для отдельных бизнес-процессов на случай чрезвычайных ситуаций. Эти тайм-ауты включают в себя:
- Допустимое время восстановления (Recovery Time Objective, RTO) - время простоя, которое технически может быть сведен к секундам, но из-за дороговизны не всегда оправдан экономически.
- Целевая точка восстановления (Recovery Point Objective, RPO) - это временной диапазон перед наступлением чрезвычайной ситуации, за который все данные могут быть утрачены. Сегодня он может быть сведен к нулю, так как все зависит от частоты и технологии резервного копирования информации.
- Уровень непрерывности бизнеса (Level of Business Continuity, LBC) - это допустимый уровень производительности в чрезвычайных ситуациях в процентах от режима штатной работы.
Планирование непрерывности бизнеса является процессом, который предусматривает тщательное определение стратегии для обеспечения безопасности сотрудников, доступности критически важной информации, свободного общения с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления в рамках стратегии вырабатывается подстратегия, которая должна указать на путь к быстрому восстановлению бизнес-процессов в соответствии с предварительно определенными параметрами рисков.
Этот процесс включает следующие стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС и восстановление штатной работы. В каждом из направлений стратегии BCM определяются организационные и технические решения: разрабатываются политики для поддержания непрерывности бизнеса, формализуются приоритетные цели и задачи, процедуры реагирования и области распространения системы BCM, определяются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
Для создания технической и организационной систем BCM все чаще используются облачные услуги. Одно из решений, называемое DRaaS (Disaster-Recovery-as-a-Service), предоставляет возможность аварийного восстановления данных в облачных средах корпоративного уровня, благодаря чему удается снизить расходы на обеспечение безопасности и поддерживать ее на уровне принятых в индустрии стандартов.
Существует несколько вариантов резервного копирования ИТ-инфраструктуры или ее элементов. Например, в малом бизнесе, где непрерывность не критична, могут использоваться резервные копии, создаваемые по расписанию. Однако такая схема не обеспечивает комплексной защиты.
В более крупных организациях используются более серьезные технологии. Например, можно полностью скопировать инфраструктуру в облако с последующим переносом изменений в непрерывном режиме. Информация извлекается и восстанавливается за несколько минут. Для крупных финансовых и ИТ-компаний, госсектора и любых других организаций, где каждая минута простоя критична, предусмотрено запуск резервной облачной инфраструктуры, полностью идентичной основной. Обновления в них происходят одновременно, и восстановление возможно за несколько секунд.
Строительство отказоустойчивых ЦОДов является неотъемлемой частью многих бизнес-процессов. Компании могут постоянно работать над оптимизацией и энергоэффективностью своих ЦОДов, а также создавать мобильные ЦОДы. Однако, стоит заметить, что проще всего доверить эту работу надежному провайдеру.
Кроме того, компании должны разрабатывать планы восстановления после инцидентов и планы обеспечения непрерывности бизнеса. При наращивании вычислительных мощностей и усложнения ИТ-систем компании сталкиваются с риском нарушения непрерывности работоспособности ИТ-систем. План восстановления после инцидента (DRP) и план обеспечения непрерывности бизнеса (BCP) помогут решить эту проблему. DRP позволит быстро восстановить работоспособность ИТ-систем, а BCP — восстановить бизнес-процессы в целом.
Кроме того, необходимо определить меры по обеспечению нормального функционирования системы и периодичность ее проверки. Процессы должны быть встроены в корпоративную культуру компании. Необходимо разработать меры и обучить персонал действовать в случае возникновения угроз и последствий внештатной ситуации. Кадры играют ключевую роль в успехе всех процессов.
Как известно, внедрение системы ВСМ на предприятии может значительно повлиять на его дальнейшую работу. Однако, какие именно параметры могут свидетельствовать об эффективности такого внедрения?
В первую очередь, важно отметить готовность организации к дальнейшей работе в случае возникновения аварий в ИТ-системах. Если в систему была внедрена ВСМ, это достаточно показательный момент, ведь организация приняла меры для сохранения своих данных и возможности продолжения работы в случае сбоев.
Кроме того, стоит оценить вероятность простоя (недоступности) информационных систем в случае возникновения внештатной ситуации и потенциальные убытки, которые могут быть связаны с такой ситуацией.
Также важным показателем является соответствие требованиям регулирующих органов и прохождение аудита.
Однако, само по себе создание и внедрение системы ВСМ может стать непростой задачей для предприятия, требующей значительных финансовых, кадровых и временных ресурсов. Не каждая компания готова на это пойти и поэтому речь идет об эффективности внедрения системы с учетом возможностей организации.
Фото: freepik.com