Как выстроить непрерывность бизнес-процессов в эпоху «черных лебедей» | РБК Тренды

План непрерывности бизнеса

Как показывает опыт, во многих организациях сегодня отсутствует план непрерывности бизнеса, либо в нем не учтены многие из вопросов, которые сегодня все чаще задает жизнь. Многие со мной не согласятся, но это факт!

Согласно аналитическому исследованию «Непрерывность бизнеса в России», проведенному в марте 2019 года компанией PWC, компании, развивая свои процессы, не планируют проводить сертификацию на соответствие требованиям международного стандарта ISO 22301 «Система управления непрерывностью бизнеса». Только 20% заявили о наличии соответствующих планов.

Что такое план непрерывности бизнеса?

План непрерывности бизнеса (Business Continuity Plan — BCP) – набор документов, позволяющих создать план непрерывности бизнеса вашей компании при возникновении различных происшествий и инцидентов. Результат – достижение такого состояния, при котором не происходит прерывания деятельности в случае наступления события «Ч» работоспособности информационных систем или их компонент в конечные временные рамки.

Выделяют основные составляющие данного процесса:

  1. Управление инцидентами (IncidentManagement). Это оперативный уровень. На данном уровне рассматривается комплекс управления внутренними и внешними происшествиями высокой и средней вероятности возникновения, например, мошенничество, человеческий фактор, сбой в работе оборудования. Задача управления инцидентами – восстановление минимального функционала в минимальный срок; а еще — своевременная идентификация и классификация инцидента.
  2. Управление непрерывностью бизнеса и аварийным восстановлением (Business continuity & disaster recovery management). Это тактический уровень. Фактически на данном уровне рассматриваем процессы, определяем приоритеты, оцениваем потенциальный ущерб и меры его предотвращения. Несмотря на небольшую вероятность, ущерб может оказаться значительным, вплоть до банкротства.
  3. Управление чрезвычайными (кризисными) ситуациями (Crisis & emergency management) – на данном уровне рассматривается как задействовать планы во время кризиса, и оперативно принимать решения до окончания критической ситуации.
  4. Восстановление бизнеса (Businessrecovery). Возвращение к нормальному функционированию, выполнение задач, отложенных во время кризиса. Компенсация потерь, анализ произошедшего, меры по предотвращению

Результат опроса показывает, что как минимум 40% компаний столкнулись в своей деятельности со значительным инцидентом. Среди причин длительного простоя респонденты в основном отметили сбой в информационной системе, прекращение подачи электроэнергии, обрыв канала связи.

% Причина
22% Сбой в информационной системе
14% Прекращение подачи электроэнергии
9% Обрыв канала связи
6% Сбой со стороны третьих сторон (подрядчики, поставщики и т. д.)
6% Хакерская атака
3% Аварийные ситуации с оборудованием
3% Аномальные погодные условия
1.5% Ложные сигналы о минировании офисов
1.5% Ошибки персонала
1.5% Пожар

Цели и задачи плана BCP

Основными целями BCP являются:

  1. поддержание способности компании выполнять принятые на себя обязательства перед клиентами и партнерами, предупреждение и предотвращение возможного нарушения режима повседневного функционирования компании;
  2. обеспечение соответствия всех механизмов BCP требованиям государственных органов, а также требованиям нормативно-правовых актов и принятым в компании политикам, процедурам и планам;
  3. снижение тяжести последствий нарушения режима повседневного функционирования компании (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
  4. сохранение уровня управления компании, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
  5. обеспечение благоприятных условий труда и безопасности работников, безопасности посетителей, находящихся в помещениях компании;
  6. определение перечня критичных процессов компании и перечня сценариев негативного развития событий, способных привести к остановке бизнес-процессов;
  7. обеспечение непрерывности деятельности критичных бизнес-процессов за счет определения, внедрения и документирования механизмов контроля.

Кроме того, в компании могут устанавливаться дополнительные требования, процедуры, регламенты BCP. Они могут быть более детализированы, предусматривать дополнительные ограничения.

План непрерывности бизнеса включает в себя:

  1. определение областей, в рамках которых организация может быть подвержена рискам непрерывности;
  2. определение рисков, которые могут повлиять на функционирование организации;
  3. рассмотрение и анализ риска возникновения природных, техногенных катастроф, равно, как и других непредвиденных обстоятельств, применимых к офисам местонахождения компании;
  4. рассмотрение рисков, реализация которых наносит существенный ущерб материальным и нематериальным активам компании;
  5. анализ факторов, влияющих на вероятность наступления чрезвычайной ситуации (ЧС);
  6. анализ степени влияния ЧС на:
    1. работников;
    1. инфраструктуру;
    1. информационные активы.

    С целью обеспечения полноценного анализа факторов влияния, анализ должен проводиться для каждого бизнес-процесса во всех структурных подразделениях.

    К задачам обеспечения нормальной деятельности в условиях ЧС относятся:

    1. определение перечня процессов и операций, подлежащих дополнительной защите;
    2. обеспечение создания на ежедневной основе резервных копий информации;
    3. разработка и доведение до сведения работников компании плана мероприятий на случай возникновения ЧС, а также проведение периодического обучения работников по вопросам их действий в условиях ЧС;
    4. доведение до сведения всех партнеров информацию о порядке действий в случае возникновения ЧС.

    Вместе с тем я ни разу не видел включение в такие планы таких событий как массовые беспорядки, эпидемии с возможностью заключения в карантин целых городов, а, возможно, и областей.

    Если еще 10 лет назад такие события считались маловероятными, то сегодня нет. Стоит вспомнить события 2014 года в Донбассе или эпидемию COVID 19 2019-2020 года, распространившуюся по всему миру.

    Эпидемия (коронавирус) и ИБ.
    1. влияние на доступность ресурса «ЧЕЛОВЕК»;
    2. деградация (вплоть до краха) инфраструктуры и СЗИ в связи с попытками их трансформации для удаленного доступа и других мероприятий в режиме паники;
    3. запрет массовых мероприятий (для компаний-организаторов мероприятий это может означать банкротство);
    4. Командировки (сотрудники не могут вернуться из зон карантина либо, наоборот, не могут не могут въехать в страну, которая закрыла свои границы в связи с режимом чрезвычайной ситуации. Это может нести дополнительные расходы.
    5. Угрозы туристическим и транспортным компаниям в данной статье не рассматриваются.

    Основным решением в данном случае является работа с помощью удаленного доступа и здесь возникает сразу несколько вопросов:

    1. Есть ли у вас инструменты удаленной работы, настроены ли и отлажены ли они?
    2. Знаете ли вы, есть ли компьютерное оборудование у ваших сотрудников дома?
    3. Какое это оборудование?
    4. Разрешат ли ваши сотрудники установку дополнительного программного обеспечения для работы из дома?
    5. Удовлетворяют ли их компьютеры требованиям информационной безопасности и лицензионной чистоты?
    6. Как быть с тем, что на персональном компьютере сотрудника есть и его домашняя информация и корпоративная? Как отследить утечки?

    Как видите, вопросов масса. Но подготовиться заранее вы просто обязаны. Что посоветовать?

    1. Заранее провести опрос и определить готовность сотрудников к работе из дома.
    2. Определить готовность аппаратных средств к работе.
    3. Там, где компьютеры поддерживают Windows 10, заранее подготовить флешки (внешние SSD) с Windows To Go и возможностью подключения по USB 3.0. Подробнее этот процесс описан в журнале CIS (Выпуск #4 (10) 2019) https://cismag.ru/ . Статья «Работаем из дома?».
    4. Для других ОС решение будет, безусловно, иным. Основная задача, подготовить ОС на сменном носителе таким образом, чтобы фактически домашний компьютер не имел доступа к своему жесткому диску, а работал как удаленный терминал.
    5. Возможно и другое решение на базе Citrix. Достаточно подключиться к терминальным сервисам и с помощью политик заблокировать доступ к локальным устройствам и проброс их в сессию. В частности, дополнительное решение App Protections это анти-кейлоггер и анти-скринграббер для клиентского рабочего места при установке на него клиентского ПО Citrix. Правда для такого решения необходимо чтобы сотрудник согласился на установку на его домашнем ПК дополнительного ПО. А соглашаются, увы, далеко не все.

    Правда стоит отметить, что сделать это нужно заранее, тем более что введение карантина может быть внезапным.

    Однако кроме карантина у нас есть масса других вопросов.

    Электропитание

    Итак, на вашем предприятии предусмотрены действия при отключении электропитания. Попробуйте ответить себе на следующие вопросы:

    1. Как давно вы проверяли свои источники питания (имеются в виду не только ваши ИБП, а и дизель-генераторы, вводы электропитания, возможность автоматического переключения между источниками)?
    2. Существует ли у вас график их проверки?
    3. Ваша компания имеет два входа по электропитанию? С двух питающих ТП?
    4. Есть ли у вас дизель-генератор?

    Итак, у вас все есть. И формально все хорошо. А фактически? В моей практике было несколько очень неприятных случаев.

    1. На заводе было заведено две линии электроэнергии. Однако при попытке автоматического переключения переключение не удалось. При более тщательной проверке выяснилось, что две линии подачи электроэнергии подавали электричество в противофазе, в результате автоматическое переключение не срабатывало. Если спросить, является ли это проблемой ИТ? Нет, конечно. Но заодно выяснилось, что за все время такого подключения, а это более 10 лет, никто ни разу этого не проверял.
    2. Второй случай был куда хуже. Если в первом через месяц все же удалось «победить», то во втором победить не удалось, пришлось искать другую подстанцию. Проблема была в том, что подаваемое электричество было различным по частоте. Как и почему? Ответить я не смогу. Одна линия была с частотой 49.5 Гц, а вторая 49.8 Гц. Естественно переключение невозможно. Однако самым страшным был случай третий.
    3. Внезапное отключение электричества сразу на двух входящих линиях потребовало включения резервного дизель-генератора. К несчастью, оказалось, что это невозможно, так как уже два года как уволен дизелист по сокращению штатов, в генераторе нет дизтоплива и вообще, его два года никто не включал.

    Ну и как это назвать? Естественно, никакого графика проверки источников питания не было. Более того, никто и никогда не поднимал этот вопрос.

    Восстановление после аварии

    В компании произошло ЧП, атака шифровальщика. В ночное время. Ситуация типичная? Вполне.

    НО! В компании один системный администратор и тот болеет. Как быть? Не знаю.

    Хорошо, администратор не один. И тут возникают вопросы:

    1. Знает ли охранник кого вызывать?
    2. Есть ли у него номера телефонов кого вызывать?
    3. Есть ли журнал, в который он должен записать:
      1. Время аварии
      1. Кто заявил про аварию?
      1. Кто принял заявку?
      1. Кого вызвали?
      Каналы связи

      Я надеюсь, в вашей компании минимум два канала связи от двух провайдеров? Как давно проводились учения по переключению? А то не было бы как в одной компании из моей практики. Компания относится к агропромышленному сектору и находится в сельской местности. Однажды у них пропадает интернет по вполне банальной причине. Сельский тракторист копает яму и банально рвет кабель. Тут же идет команда – переключаемся. Однако все хорошо только на бумаге. В сво время с целью экономии оба кабеля от обоих провайдеров уложили под землю … в одной трубе! Вывод? Порвали оба!

      Другая история была куда интереснее. Было два кабеля, к двум провайдерам, как положено. Но проблемой оказалось, что они оба были подключены к одному и тому же провайдеру более верхнего уровня и в результате разорвали именно связь между ними и верхним провайдером! При подключении компании этого никто не проверял!

      И последнее.

      Как давно у вас в компании проводились «действия по тревоге»? А ведь эти операции должны проводиться регулярно, в разное время суток. Безусловно, мы не в армии и не стоит уподобляться нашему командиру полка, проводившему подобные тревоги на следующее утро после зарплаты. Но люди должны понимать, что вызвать их могут в любое время. Естественно, и платить такой тревожной группе нужно дополнительно.

      А как давно вы поводили у себя в компании подобные учения и проводили ли вообще?

      Другими причинами аварийных ситуаций могут быть:

      1. действия правоохранительных органов (маски-шоу);
      2. действия Роскомнадзора и администраций облачных сервисов;
      3. борьба между собственниками организации (собственниками сервис-провайдера).

      Снизить расходы на собственную инфраструктуру, на мой взгляд, позволяет:

      1. размещение оборудования в публичных дата центрах (colocation);
      2. использование облачных сервисов.

      Необходимо признать, правда, что в таком случае узким местом является наличие устойчивых каналов Интернет. Вполне возможно, что их потребуется не два, а больше. И тестировать придется их всех и регулярно!

      Увы, даже наличие резервных копий с восстановлением в течение рабочего дня может привести к краху финансовой организации.

      Сегодня не редкость ситуация когда в банк с численностью персонала (и компьютеров) 60 человек приходят 30 аудиторов (реальная ситуация) с требованием разместить их, выдать компьютеры, подключить их к инф. системам в течение 24 часов. Это ли не аварийная ситуация?

      Вместе с тем хотелось бы, чтобы вы понимали, что далеко не все события, описываемые в Плане непрерывности бизнеса будут относиться к информационной безопасности. Но тем не менее, служба ИБ должна подключаться к составлению плана наравне с другими.

      Безусловно, это не единственный вопрос. Но начинать с чего-то надо!

      Заключение

      Как видите, планы восстановления вашего бизнеса нуждаются не просто в создании, а и в постоянном пересмотре. Ведь угрозы в окружающем мире меняются на глазах. Более того, созданные вами планы нуждаются в регулярной проверке. Ведь план, написанный на бумаге, но не проверенный – это абсолютно бесполезное мероприятие.

      Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

      Как выстроить непрерывность бизнес-процессов в эпоху «черных лебедей»

      Фото: Shutterstock

      Планирование непрерывности бизнеса (BCP, business continuity planning) подразумевает, что критические риски операционной деятельности становятся предсказуемой частью бизнес-процессов. Но как ее обеспечить?

      Об эксперте: Илья Пантелеев, генеральный директор «Сиссофт»

      В условиях высокой неопределенности, разрушения деловых контактов и ограничения доступа к финансовым ресурсам BCP помогает буквально спасти бизнес компании — ведь этот подход подразумевает, что все возможные инциденты, кризисные ситуации и меры по аварийному восстановлению включаются в плановую работу.

      Стая «черных лебедей»

      Пандемию COVID-19 часто сравнивали с «черным лебедем» из теории Нассима Талеба. Новая реальность, в которой сегодня оказалась каждая российская компания, — это одновременное прибытие целой группы «черных лебедей». Перед бизнесом возникли вопросы, которые никто не мог представить себе еще полтора месяца назад, и все одновременно:

      • нарушились логистические связи, сроки поставок стали непредсказуемыми;
      • стало недоступно большое количество товаров, комплектующих, компонентов;
      • разорвались сервисные цепочки;
      • стоимость денег выросла почти вдвое, ограничился доступ к кредитным ресурсам,
      • утвержденные финансовые планы моментально теряют актуальность.

      В этих условиях горизонты планирования сузились до нескольких недель или даже дней.

      Неопределенность влияет не только на бизнес, но и на настроения людей. Если многие привыкли жить как минимум среднесрочными планами, сейчас горизонты и личного, и делового планирования сократились. Стратегические планы (пять лет и более) остались, но, очевидно, будут существенно меняться в ближайшие месяцы. Большинство долгосрочных инвестиций заморожены.

      Кто озаботился непрерывностью заранее

      Сформулированные программы непрерывности бизнеса в России есть у небольшого количества компаний. Чаще всего они охватывают основные производственные процессы и поддерживающие функции, без которых компания останавливается.

      Однако элементы поддержки непрерывности критических функций есть у большинства компаний. Например, в области информационных технологий никого не удивишь программами резервирования каналов связи или инфраструктуры, распределения вычислительных мощностей или защитой от кибератак. В зависимости от сферы деятельности, резервируются или отдельно защищаются основные процессы, критически влияющие на бизнес и безопасность.

      Однако все подобные программы рассчитаны на случай негативных событий, вероятность которых невысока и по которым есть опыт «противодействия» подобным инцидентам в прошлом. В таких случаях все системы работают и эффективно защищают бизнес. Если мы сталкиваемся с оценочно маловероятными событиями, на которые не принято обращать много внимания, и которые неожиданно приходят массово, подобные меры защиты могут не сработать. Какие шаги можно предпринять, чтобы стать ближе к непрерывности?

      Идентифицируем критические процессы

      Любая компания представляет собой сложный организм со множеством взаимосвязанных подсистем. Чтобы поддерживать непрерывность бизнес-процессов, сначала нужно понять, какие из них являются критичными для бизнеса. Их можно условно разделить на два вида: общие и специфические для отрасли или конкретной компании.

      В «стандартном списке» — поддержка инфраструктуры в широком смысле: от безопасности труда и окружающей среды до ИТ и кибербезопасности. Сюда относятся любые процессы, остановка которых приведет к остановке бизнеса, и все узкие места на пути следования основного бизнес-процесса, приносящего деньги. Например, недоступность сайта и приложения интернет-магазина полностью останавливает все заказы, а значит, лишает компанию выручки, но что еще важнее — репутации у клиентов.

      Отдельно стоит обратить внимание на узкие места основного процесса производства, и здесь уже начинает играть роль отраслевая специфика. Компании нужно ответить на ряд вопросов, например:

      • Остановка какого оборудования может остановить весь цикл производства?
      • Как быстро можно вывести резервные ресурсы на производственную мощность?
      • Сколько времени необходимо на осуществление ремонта?
      • Есть ли необходимый склад запасных частей для «узкого места», насколько оперативно он может быть доступен?

      Так, для капиталоемких отраслей основной задачей поддержки непрерывности может стать отказоустойчивость оборудования. Для отраслей потребительской экономики — например, ретейла или доставки — критичны доступность человеческого ресурса в условиях высокой текучки кадров и бесперебойная работа ИТ-приложений.

      Далее нужно проанализировать, в каких именно элементах необходимо искать узкие места, которые могут привести к сбою. Если смотреть на функции в «крупную клетку», их можно найти:

      • в инфраструктуре;
      • в логистике, закупках, цепочках поставок;
      • в ИТ-приложениях, поддерживающих основной бизнес;
      • в информационной безопасности;
      • в процессах найма и мотивации сотрудников (особенно для индустрий с высокой текучкой или с потребностями в «уникальных знаниях»);
      • в финансах и финансовом планировании;
      • в доступности ресурсов в широком смысле (основных средств, товарного запаса или запчастей для критического оборудования).

      Несколько полезных советов по обеспечению непрерывности

      • В момент прилета множества «черных лебедей» нужно комбинировать обычные и ранее не рассматриваемые стресс-сценарии. Безусловно, необходимо постоянно «освежать» анализ рисков по основному бизнес-процессу, продумывать новые риски, оценивать необходимость и стоимость бэкапов и «обходных путей».

      Например, производственным компаниям имеет смысл пересмотреть процедуру управления неснижаемыми остатками, особенно если их уровень определялся автоматически с помощью ERP-систем. Проанализируйте сырье и материалы на предмет рисков непоставок, создайте дополнительные резервы. По наиболее рискованным позициям целесообразно расширить список возможных поставщиков и альтернатив, начать пересматривать технологический процесс под доступные замены, которые раньше не рассматривались.

      • План по поддержке непрерывности бизнеса нужно «обогащать» сценариями, ранее практически невозможными.

      Например, пересмотрите оценку рисков с поставщиками в зависимости от их географического происхождения. Риск может коснуться не только ИТ-инфраструктуры и действующего ПО, производитель которого ушел с рынка. Это касается всех поставщиков как поддерживающих функций, так и сырья, товаров для основного процесса.

      • Отдельно переоцените риски, связанные с привлечением сотрудников.

      Сейчас мобильность у специалистов многих специальностей (в первую очередь, связанных с ИТ) очень высока, и изменение экономической ситуации, изменение оценки уровня личной безопасности могут существенно влиять на возможность привлечения людей.

      • Пересмотрите подход к финансовому планированию. В «обычные времена» для компании важно понимать, как она выполнит планы текущего года.

      Под эти планы выстраивается текущая деятельность, мотивация менеджеров, планируются ресурсы. Однако сейчас суть и временная глубина задач финансового планирования кардинально меняются. Нужно задавать вопросы о том, как компания пройдет текущую неделю и месяц, и только после думать о прогнозах на квартал. Скорректированные годовые планы отходят на второй план и могут рассматриваться только как ориентир. В условиях высокой цены финансовых ресурсов, краткосрочно (неделя, месяц, квартал) стоит уделять внимание денежному потоку, а только потом прибылям и убыткам.

      • Сейчас время для рассмотрения самых маловероятных рисков. Практика показывает, что именно они случаются с пугающей частотой.

      Стоит оценивать все варианты, «верить в лучшее и готовиться к худшему». Например, многим компаниям я бы рекомендовал пересмотреть плановые сроки поставок в полтора–два раза и в дальнейшем корректировать их по фактическим данным. Тогда управление рисками и поддержка непрерывности срабатывают даже в самых сложных ситуациях.

      Принципы бизнес-планирования

      Современные экономические условия диктуют компаниям новый подход к планированию внутри фирмы. Процессы вхождения экономической системы в рыночные взаимоотношения, деятельность хозяйствующих субъектов в конкурентных, постоянно изменяющихся условиях требуют от каждого менеджера, предпринимателя, бизнесмена совершенствования своей предпринимательской деятельности. Им приходится находить модели и формы планирования, обеспечивающие максимальную эффективность управленческих решений. Самым оптимальным вариантом реализации таких решений является бизнес-планирование.

      С помощью бизнес-плана предприниматели могут продумать свою стратегию, соизмерить энтузиазм с реальностью, а также выявить существующие ограничения. Бизнес-план помогает избежать потенциальных ошибок, таких как: недостаточность капитала для реализации проекта, отрицательный баланс, неверный подбор кадрового состава, неправильное определение месторасположения компании и др.

      Результаты мировой практики показывают, что многие предприятия терпят убытки только лишь из-за того, что неправильно были спрогнозированы внешние изменения и недостаточно оценены возможности фирмы.

      Овладение техникой составления бизнес-планов на сегодняшний день является актуальной задачей большинства предпринимателей.

      Под бизнес-планированием понимается специфический вид деятельности, входящий в состав единой функции планирования, который удовлетворяет потребности любой компании в выражении ясных целей развития и программы их достижения.

      Бизнес-планирование применяется для:

      • Снижения отрицательного эффекта неопределенности и внешнего воздействия;
      • Сосредоточения внимания на ключевых задачах;
      • Достижения экономического функционирования;
      • Способствования интеграции деятельности подразделений фирмы в достижении общей цели;
      • Облегчения контроля за достижением планов.

      Разработка бизнес-плана может вестись как по заданию на его составление, так и по собственной инициативе.

      Готовые работы на аналогичную тему

      Принципы бизнес-планирования

      Бизнес-планирование осуществляется согласно следующим принципам:

      1. Принцип единства – заключается в том, что организация является целостной системой, а ее составные элементы должны развиваться в одном направлении. Все планы каждого из подразделений должны согласовываться с планами всего предприятия.
      2. Принцип участия – каждый сотрудник компании при бизнес-планировании участвует в плановой деятельности, что не зависит от занимаемой должности. Другими словами, процесс планирования привлекает всех, кого затрагивает.
      3. Принцип непрерывности – процесс планирования в организации должен характеризоваться постоянством. Это необходимо из-за того, что условия внешней среды отличаются неопределенностью и изменчивостью, поэтому компания должна вносить коррективы и уточнять планы, учитывая все изменения.
      4. Принцип гибкости – наличие возможности изменения направленности планов из-за появления непредвиденных обстоятельств.
      5. Принцип точности – каждый бизнес-план должен составляться с наиболее возможной степенью точности.
      6. Принцип обязательности выполнения – принятый к исполнению план является обязательным для выполнения всеми сотрудниками компании.

      Система бюджетирования в бизнес-планировании

      Главным инструментом бизнес-планирования является сметное планирование. В рыночных условиях хозяйствования данный вид планирования рассматривается в качестве системы бюджетирования, т.е. организационно-экономического комплекса системы управления организацией, который заключается в разработке бюджетов.

      Источник https://www.securitylab.ru/blog/personal/bezmaly/350170.php

      Источник https://trends.rbc.ru/trends/innovation/624fe5269a79471ee5d733d3

      Источник https://spravochnick.ru/biznes-planirovanie/principy_biznes-planirovaniya/