IT@Bank 2015: BCM sposobem na kryzys

Artur Król

Nawet najbardziej wyrafinowane metody zabezpieczeń nie są w stanie w pełni uchronić firmy przed skutkami awarii, przestoju i w konsekwencji strat finansowych, a nierzadko utraty dobrego wizerunku w oczach klientów. W opublikowanym w lipcu br. raporcie Cisco 2015 Midyear Security Report, jako najważniejsze zagrożenia wskazano m.in. obserwowane w pierwszej połowie 2015 r. kampanie spamerskie, rozwój ransomware’u (programów wymuszających cyfrowy okup) oraz najbardziej zaawansowany i najskuteczniejszy w br. zestaw eksploitów – Angler, dwukrotnie częściej infekujący urządzenia użytkowników niż inne tego typu zagrożenia, odnotowane w roku 2014. Raport podkreśla także potrzebę wdrażania przez firmy zintegrowanych rozwiązań bezpieczeństwa i odchodzenie od rozwiązań punktowych oraz konieczność współpracy z zaufanymi dostawcami rozwiązań i usług bezpieczeństwa.

Na tym tle szczególnie istotnym wydają się systemy zarządzania ciągłością tzw. Business Continuity Management. Wprowadzenie tego typu rozwiązań jest wskazane choćby dla zachowania dobrego wizerunku wśród klientów w sytuacji kryzysowej. Każdy kryzys to olbrzymie wyzwanie dla przedsiębiorstwa, a najgorszym scenariuszem jest ten, w którym w wyniku zaistnienia nagłych i zaskakujących okoliczności firma przestaje normalnie funkcjonować, zawiesza świadczenie usług lub nie może dotrzymać swoich zobowiązań wobec rynku (klientów i partnerów biznesowych). BCM pozwala uniknąć tego czarnego scenariusza.

– Business Continuity Management to pojęcie bardzo szerokie i interdyscyplinarne. W dużym skrócie chodzi o zagwarantowanie, że przedsiębiorstwo będzie w stanie funkcjonować na przyjętym poziomie oraz minimalizować straty finansowe i reputacyjne w sytuacji materializacji określonych typów ryzyka – podkreśla Krzysztof Pulkiewicz, prezes zarząd BCMLogic Solutions i ekspert BCM. – Obejmuje elementy analityczne – chodzi m.in. o określenie jakiego typu zdarzenia wpłyną na przerwanie działania, w jaki sposób mogą się zmaterializować, jakie ryzyka generują oraz które aktywności przedsiębiorstwa traktujemy jako podlegające utrzymaniu ciągłości. Na podstawie wyników analizy ryzyka i jego wpływu na działalność firmy określane są mechanizmy techniczne i organizacyjne, jakie powinny zostać uruchomione w danym scenariuszu. Obejmują one procedury awaryjne IT (przełączanie systemów, rekonfiguracja, zapewnienie lokalizacji dla pracowników, zdalny dostęp oraz dostępność alternatywnych dostawców i usług – dodaje.

Nie bać się zagrożeń Nie ulega wątpliwości, że najlepszym dopingiem do wdrożenia procedur BCM jest strach przed nieprzewidywalnym, nagłym i potężnym zagrożeniem. Najlepszym sposobem na przygotowanie się na kryzys, jest zaplanowanie działań i sposobów radzenia sobie z nim. W praktyce jednak bywa z tym różnie. – Niestety dość często BCM był do tej pory postrzegany głównie w kontekście przeprowadzenia analizy wpływu kryzysu na biznes, opracowania szeregu dokumentów i weryfikacji zgodności ze standardem i wymogami audytowymi. Jednak z punktu widzenia celu, jakim jest zapewnienie odpowiedniego funkcjonowania biznesu i minimalizacja strat finansowych i reputacyjnych to są tylko produkty pośrednie – wyjaśnia Krzysztof Pulkiewicz. – W konsekwencji w niektórych przypadkach poważne incydenty i awarie (zwłaszcza technologiczne) dzieją się niejako obok, a BCM zostaje zmarginalizowany do poziomu corocznej analizy BIA, raportu dla zarządu oraz polityk, procedur i audytu.

Aby BCM funkcjonował poprawnie, osoby za niego odpowiedzialne w przedsiębiorstwie muszą aktywnie uczestniczyć w procesie zarządzania incydentami, wykorzystywać wiedzę zdobytą z analizy wpływu i analizy ryzyka do wparcia służb IT i jednostek biznesowych w rozwiązywaniu codziennych problemów. Oczywiście nie każdy incydent jest zdarzeniem BCM, ale tylko taki model jest w stanie zapewnić odpowiedni poziom odporności biznesu. – Instytucje finansowe są w większości dobrze przygotowane na awarie infrastruktury technologicznej (poprzez redundancję infrastruktury oraz wysoko dostępną architekturę usług 24/7). Niestety sytuacja wygląda gorzej w przypadku problemów logicznych i aplikacyjnych związanych z IT (błędy regresji, naruszenie bezpieczeństwa), gdzie odporność budują odpowiednie procesy zarządzania zmianą i zapewnienie jakości kodu – zauważa ekspert BCM.

Siła w ciągłości dział...