Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
Информационные технологии стали неотъемлемой частью бизнеса XXI века. Они являются мощным двигателем экономики, однако источником рисков. Без бесперебойной работы ИТ-сервисов прерываются бизнес-процессы, что может привести к финансовым потерям и катастрофическим последствиям. Как обеспечить информационную безопасность и непрерывность бизнеса? Об этом мы подробно расскажем в этой статье.
Современный бизнес, основанный на использовании информационных технологий, нуждается в надежной системе кризис-менеджмента, которая бы обеспечивала бесперебойность процессов. Это становится особенно актуально для кредитно-финансовых, телекоммуникационных и высокотехнологичных компаний, а также предприятий непрерывного производственного цикла, включая атомные электростанции. Однако, готовность к возможным кризисным ситуациям не менее важна и для ритейл-сетей, электронной коммерции и государственных учреждений.
В некоторых отраслях существуют специальные регуляторные акты, которые имеют отношение к обеспечению непрерывности бизнеса и должны соблюдаться для получения соответствующей лицензии. Высокая степень риска, связанная с сбоем в работе ИТ-сервисов, может привести к большим материальным потерям для банков, которые не могут позволить себе непродолжительный перерыв в работе. Авария на предприятии ТЭК или авиакомпании может повлечь за собой не только финансовые потери, но и потерю человеческих жизней.
Причины возникновения бизнес-рисков могут быть различными, например, природные бедствия, аварии в энергосистемах или киберпреступления. В связи с этим, важность обеспечения информационной безопасности общеизвестна.
Компания DEAC провела опрос в 2019 году, который продемонстрировал, что наиболее восприимчивыми к рискам непрерывности бизнеса являются финансовая и информационная сферы. Значительная часть опрошенных не может продолжать работу более одного часа в случае недоступности ИТ-систем, что подчеркивает важность обеспечения непрерывности бизнес-процессов.
Существуют инструменты кризис-менеджмента, которые обеспечивают безопасность бизнеса в целом. Это BCM (Business Continuity Management), BCP (Business Continuity Planning) и DRP (Disaster Recovery Planning). Они наследуют методологию ИБ и имеют основные принципы: анализ рисков, контроль и управление инцидентами, стратегическое и тактическое планирование непрерывности информационно-коммуникационных технологий.
BCM (BCP & DRP) являются неотъемлемой частью системы ИБ и обеспечивают не только непрерывность бизнеса, но и безопасность в целом. Управление ИБ является основой BCM, и их требования учитываются при выборе дата-центра для хранения информации, а также при внедрении стандартов, включая ISO/IEC 27001 и ISO 22301:2012.
Важно отметить, что BCM постепенно охватила практически все аспекты деловой активности и превратилась в целостную структуру взглядов на методы обеспечения непрерывности бизнеса. Она стала устойчивостью организации к всевозможным сбоям, разрушениям и потерям, в первую очередь финансовым.
Управление непрерывностью бизнеса (BCM) — важный инструмент, позволяющий организациям оставаться оперативными в условиях любых незапланированных инцидентов, таких как сбои оборудования, технологические аварии, кибератаки, экологические катастрофы и прочее. В рамках BCM можно выделить несколько основных видов управления, каждый из которых направлен на устранение конкретных последствий инцидентов.
Первый уровень — управление инцидентами (Incident management, IM). Оно ориентировано на работу с отдельными происшествиями, которые не приводят к большим потерям для компании. В рамках IM решаются задачи, связанные с сохранением, доступностью и целостностью информации, а также отказоустойчивостью оборудования.
Второй уровень — управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Этот уровень направлен на предотвращение инцидентов, которые могут серьезно нарушить работу организации и привести к приостановке важнейших процессов. Возможные последствия таких инцидентов могут быть крайне серьезными, вплоть до банкротства. Как показывают исследования, ежегодные потери от простоев приложений в мире превышают 20 млн долларов, а в России — 19,8 млн долларов.
Третий уровень — управление чрезвычайными ситуациями (Crisis & emergency management). Он направлен на предотвращение катастрофических последствий опасных ситуаций, связанных с экологическими катастрофами, гуманитарными кризисами, инфраструктурными разрушениями и другими крайне редкими, но крайне опасными инцидентами. Надежность управления непрерывностью деятельности важна для отраслей, таких как топливная и энергетическая промышленности.
Получение значительных убытков от инцидентов вполне возможно, как показывают реальные примеры. В том числе, 12 мая 2017 года весь мир был атакован вирусом-вымогателем WannaCry, который привел к множеству сбоев и нанес огромный экономический ущерб многим компаниям, включая больницы и правительственные учреждения. Статистика говорит о том, что корпорации, успешно восстановившие деятельность после инцидента, через год получают дополнительный доход, сверх нормы, в размере 10%, в то время как компании без внедренной BCM понимают убытки в подобном размере. Управление непрерывностью бизнеса — важный залог сохранности вложенных владельцами и акционерами средств.
Внедрение BCM: этапы и сложности
Ведение бизнеса без прерываний требует стратегического планирования и использования инструментов риск-менеджмента (RM). В свою очередь, эффективное внедрение системы управления непрерывностью бизнеса (BCM) в организации крайне сложно и многоэтапно. Включает в себя изучение технических и программных аспектов, установление регламента действий, а также обучение персонала и распределение ответственности.
Однако, даже при наличии необходимых знаний и ресурсов у компании, реализация всего этого может стать серьезной проблемой. Таким образом, компаниям рекомендуется обращаться за помощью к профессионалам в области ИТ, которые не только помогут разработать оптимальный план действий, но и предложат наиболее эффективные решения для конкретной организации.
Проведение этапов внедрения BCM является ключевым фактором для успешного функционирования компании в меняющихся условиях рынка. Проектный подход, применяемый опытными ИТ-экспертами, поможет быстро и качественно выполнить все задачи, связанные с внедрением BCM.
Анализ бизнес-процессов (Business Environment Analysis, BEA) позволяет определить риски, которые могут возникнуть в зависимости от характера деятельности компании. Например, отказ в работе системы учета пациентов медицинского учреждения является менее критичным по сравнению со сбоем в работе высокотехнологичного реанимационного оборудования. При этом в телекоммуникационной компании отказ приложения для автоматизации совместной деятельности рабочих групп вероятно не остановит бизнес-процессы, однако сбой в системе биллинга приведет к затратам на финансовые потери. Таким образом, точки критичности могут быть различны для каждого типа бизнеса, и анализ бизнес-процессов позволяет выявить эти точки и определить степень их влияния на деловую активность компании.
Анализ рисков (Risk Analysis, RA) позволяет выделить зависимые и независимые от информационных технологий (ИТ) риски. После выделения и градации бизнес-процессов по важности для компании следует определить группу ИТ-зависимых бизнес-процессов. Затем необходимо проверить технические и организационные механизмы по предотвращению перебоев в работе бизнес-процессов, выделить уязвимые точки и оценить угрозы. В результате можно выделить группы рисков, которые влияют на ИТ, и классифицировать их по мере важности.
Оценка влияния на бизнес (Business Impact Analysis, BIA) основана на карте ключевых бизнес-процессов с указанием нарушений, которые могут привести к убыткам. После этого строится модель, отображающая связь между нарушениями и категориями возможных потерь, которые могут быть оценены как количественно, так и качественно. К группам потерь могут относиться: деловая репутация, рыночная стоимость, уровень операционных издержек, возврат на инвестиции, штрафные санкции из-за нарушения контрактных обязательств и др. Такой подход позволяет провести детальную оценку влияния на бизнес и определить возможные потери.
Для аналитиков имеет большое значение получение достоверной информации о финансах бизнеса и текущей ситуации в ИТ-комплексе, а также о планах его расширения.
Также необходимо провести детальный анализ информационных сервисов, связанных с бизнес-процессами и информационными потоками. Оценка возможного ущерба позволит получить полную картину бизнеса, отразив уровень критичности всех бизнес-процессов и нарушений их функционирования в соответствии с потерями.
Аудит, проводимый аналитиками перед началом сотрудничества, поможет решить все вышеперечисленные задачи. В процессе такой всесторонней оценки будут выявлены слабые места в системе информационной безопасности клиента, которые затем можно будет укрепить.
Расчет экономического эффекта (стоимости простоя бизнес-процессов) предполагает определенные допущения о вероятности возможных инцидентов в ближайшее время, что позволяет определить наиболее подходящую стратегию.
Согласно экспертам, наличие ясного плана действий в экстренных ситуациях является фундаментальным для успешной защиты бизнеса и его операционной деятельности. В этом контексте, компании необходимо определиться с так называемыми тайм-аутами и производительной мощностью для отдельных бизнес-процессов в случае ЧС в сотрудничестве с аналитиками.
Первоначально, необходимо установить допустимое время восстановления (RTO), то есть интревал вынужденного простоя, который может быть технически сведен к секундам, однако не всегда оправдывает экономические затраты. Кроме того, также нужно определить целевую точку восстановления (RPO) - временной диапазон перед наступлением ЧС, за который все данные могут быть утрачены. В настоящее время, данный интервал может быть практически равен нулю, благодаря частоте и доступности технологий резервного копирования информации.
Наконец, последним этапом является определение уровня непрерывности бизнеса (LBC) - допустимого уровня производительности в случае ЧС в процентах от режима штатной работы. Этот параметр позволяет оценить, насколько быстро и эффективно компания может восстановить свою работоспособность после возникновения нежелательной ситуации.
Таким образом, правильно определенные тайм-ауты и производительная мощность являются важными компонентами бизнес-защиты и могут значительно уменьшить риски потенциального ущерба компании в экстренных ситуациях.
Планирование непрерывности бизнеса является процессом, который предусматривает тщательное определение стратегии для обеспечения безопасности сотрудников, доступности критически важной информации, свободного общения с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления в рамках стратегии вырабатывается подстратегия, которая должна указать на путь к быстрому восстановлению бизнес-процессов в соответствии с предварительно определенными параметрами рисков.
Этот процесс включает следующие стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС и восстановление штатной работы. В каждом из направлений стратегии BCM определяются организационные и технические решения: разрабатываются политики для поддержания непрерывности бизнеса, формализуются приоритетные цели и задачи, процедуры реагирования и области распространения системы BCM, определяются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
Для создания технической и организационной систем BCM все чаще используются облачные услуги. Одно из решений, называемое DRaaS (Disaster-Recovery-as-a-Service), предоставляет возможность аварийного восстановления данных в облачных средах корпоративного уровня, благодаря чему удается снизить расходы на обеспечение безопасности и поддерживать ее на уровне принятых в индустрии стандартов.
Существует несколько вариантов резервного копирования ИТ-инфраструктуры или ее элементов. Например, в малом бизнесе, где непрерывность не критична, могут использоваться резервные копии, создаваемые по расписанию. Однако такая схема не обеспечивает комплексной защиты.
В более крупных организациях используются более серьезные технологии. Например, можно полностью скопировать инфраструктуру в облако с последующим переносом изменений в непрерывном режиме. Информация извлекается и восстанавливается за несколько минут. Для крупных финансовых и ИТ-компаний, госсектора и любых других организаций, где каждая минута простоя критична, предусмотрено запуск резервной облачной инфраструктуры, полностью идентичной основной. Обновления в них происходят одновременно, и восстановление возможно за несколько секунд.
Строительство отказоустойчивых ЦОДов является неотъемлемой частью многих бизнес-процессов. Компании могут постоянно работать над оптимизацией и энергоэффективностью своих ЦОДов, а также создавать мобильные ЦОДы. Однако, стоит заметить, что проще всего доверить эту работу надежному провайдеру.
Кроме того, компании должны разрабатывать планы восстановления после инцидентов и планы обеспечения непрерывности бизнеса. При наращивании вычислительных мощностей и усложнения ИТ-систем компании сталкиваются с риском нарушения непрерывности работоспособности ИТ-систем. План восстановления после инцидента (DRP) и план обеспечения непрерывности бизнеса (BCP) помогут решить эту проблему. DRP позволит быстро восстановить работоспособность ИТ-систем, а BCP — восстановить бизнес-процессы в целом.
Кроме того, необходимо определить меры по обеспечению нормального функционирования системы и периодичность ее проверки. Процессы должны быть встроены в корпоративную культуру компании. Необходимо разработать меры и обучить персонал действовать в случае возникновения угроз и последствий внештатной ситуации. Кадры играют ключевую роль в успехе всех процессов.
Система ВСМ (вычислительная система мониторинга) станет настоящей отправной точкой для уверенной работы предприятия в экстренных ситуациях и поможет избежать убытков. Об этом свидетельствует ряд факторов, включающих:
- Готовность организации продолжать работу в случае возникновения аварий в ИТ-системах. Благодаря ВСМ, компания будет способна быстро реагировать на непредвиденные ситуации и минимизировать их воздействие на процессы бизнеса.
- Расчет вероятности простоя информационных систем в случае внештатной ситуации и возможных убытков. Система ВСМ помогает наиболее точно оценить риски и внести в необходимые изменения, предотвращающие потери при аварийных ситуациях.
- Прохождение аудита и соответствие требованиям регулирующих органов. Введение ВСМ поможет компании выполнять стандарты и требования по безопасности данных и информационных систем.
Хотя само внедрение вычислительной системы мониторинга может оказаться непростой задачей для компании, эффективность использования ВСМ не вызывает сомнений. Финансовые, кадровые и временные ресурсы для этого необходимы, однако, применение ВСМ может помочь компании значительно экономить ресурсы в будущем.
Фото: freepik.com