Обеспечение непрерывности бизнес-процессов и управление кризисными ситуациями
В XXI веке информационные технологии играют огромную роль в бизнесе. Они стали мощным двигателем экономики, но в то же время и источником рисков. Для обеспечения непрерывности бизнес-процессов крайне важна бесперебойная работа ИТ-сервисов. Отказ этих сервисов может привести к простоям и финансовым потерям, а в худшем случае - катастрофическим последствиям. Наш материал расскажет о средствах, которые обеспечивают информационную безопасность и непрерывность бизнеса.
Современный бизнес, основанный на использовании информационных технологий, нуждается в надежной системе кризис-менеджмента, которая бы обеспечивала бесперебойность процессов. Это становится особенно актуально для кредитно-финансовых, телекоммуникационных и высокотехнологичных компаний, а также предприятий непрерывного производственного цикла, включая атомные электростанции. Однако, готовность к возможным кризисным ситуациям не менее важна и для ритейл-сетей, электронной коммерции и государственных учреждений.
В некоторых отраслях существуют специальные регуляторные акты, которые имеют отношение к обеспечению непрерывности бизнеса и должны соблюдаться для получения соответствующей лицензии. Высокая степень риска, связанная с сбоем в работе ИТ-сервисов, может привести к большим материальным потерям для банков, которые не могут позволить себе непродолжительный перерыв в работе. Авария на предприятии ТЭК или авиакомпании может повлечь за собой не только финансовые потери, но и потерю человеческих жизней.
Причины возникновения бизнес-рисков могут быть различными, например, природные бедствия, аварии в энергосистемах или киберпреступления. В связи с этим, важность обеспечения информационной безопасности общеизвестна.
Компания DEAC провела опрос в 2019 году, который продемонстрировал, что наиболее восприимчивыми к рискам непрерывности бизнеса являются финансовая и информационная сферы. Значительная часть опрошенных не может продолжать работу более одного часа в случае недоступности ИТ-систем, что подчеркивает важность обеспечения непрерывности бизнес-процессов.
Существуют инструменты кризис-менеджмента, которые обеспечивают безопасность бизнеса в целом. Это BCM (Business Continuity Management), BCP (Business Continuity Planning) и DRP (Disaster Recovery Planning). Они наследуют методологию ИБ и имеют основные принципы: анализ рисков, контроль и управление инцидентами, стратегическое и тактическое планирование непрерывности информационно-коммуникационных технологий.
BCM (BCP & DRP) являются неотъемлемой частью системы ИБ и обеспечивают не только непрерывность бизнеса, но и безопасность в целом. Управление ИБ является основой BCM, и их требования учитываются при выборе дата-центра для хранения информации, а также при внедрении стандартов, включая ISO/IEC 27001 и ISO 22301:2012.
Важно отметить, что BCM постепенно охватила практически все аспекты деловой активности и превратилась в целостную структуру взглядов на методы обеспечения непрерывности бизнеса. Она стала устойчивостью организации к всевозможным сбоям, разрушениям и потерям, в первую очередь финансовым.
Управление непрерывностью бизнеса (BCM) предполагает ряд целей и задач, зависящих от размера и направленности деятельности компании. Важнейшим аспектом является управление конкретным типом или классом инцидентов, которые могут возникнуть в процессе работы.
Управление инцидентами (IM) охватывает ряд происшествий, связанных с человеческим фактором, сбоем оборудования и другими подобными инцидентами. На этом уровне ущерб для бизнеса сравнительно невелик, но важно обеспечить сохранность, доступность и целостность информации, а также отказоустойчивость оборудования.
Управление непрерывностью бизнеса и аварийным восстановлением (BCDR) нацелено на предотвращение инцидентов, которые могут привести к остановке работы всей организации или ее ключевых бизнес-процессов. Хоть вероятность таких событий невелика, ущерб может быть внушительным и даже привести к банкротству. Согласно исследованию Veeam Software за 2019 год, глобальные потери от простоев приложений свыше 20 млн долларов ежегодно, в то время как по России эта цифра немного ниже и составляет 19,8 млн долларов.
Управление чрезвычайными ситуациями (C&EM) ставит своей задачей предупреждение катастрофических инцидентов, которые происходят очень редко, но могут иметь катастрофические последствия для бизнеса, включая экологические и гуманитарные катаклизмы, а также инфраструктурные разрушения в пределах целого региона. Большое значение имеет обеспечение непрерывности деятельности предприятий ТЭК (разведка, добыча, переработка углеводородов, производство электроэнергии), где высокий уровень обеспечения непрерывности деятельности играет важную роль.
BCM выявляет ключевое понятие «инцидент», любое незапланированное происшествие, которое может привести к остановке критических процессов и функций, полной потере контроля над оборудованием. Примером недооценки влияния инцидентов на непрерывность бизнеса была атака вируса-вымогателя WannaCry в 2017 году, которая затронула компьютеры по всему миру. WannaCry привел к полной блокировке работы больниц, аэропортов, заводов, банков и правительственных учреждений, что привело к экономическим потерям в размере около 4 млрд долларов.
Реализация программ BCM могла бы значительно сократить размеры потерь, а возможно, и вовсе предотвратить катастрофические последствия. Управление непрерывностью бизнеса способствует сохранности средств вложенных владельцами и акционерами. Если возникает сбой на главной площадке дата-центра, работа может быть продолжена на резервной площадке.
По данным The Impact of Catastrophes on Shareholder Value (Rory J. Knight и Deborah J. Pretty), компании, успешно восстановившие деятельность после крупномасштабной аварии благодаря программам BCM, получают кумулятивный доход сверх нормы (разница между ожидаемой и реальной стоимостью акций) в среднем на 10% через год после аварии. В то же время, компании, которые не используют BCM, получают те же 10% и даже 15%, но со знаком минус.
Внедрение системы управления непрерывностью бизнеса (BCM) начинается со стратегических этапов, связанных с планированием и определением целей. При этом используются средства риск-менеджмента (Risk Management, RM), что позволяет оценить и управлять возможными рисками на предстоящих этапах.
Внедрение системы BCM - это комплексный подход, который включает в себя освоение технических и программных средств, регламентацию действий, распределение ответственности, а также обучение персонала. Однако, самостоятельное внедрение системы BCM может быть проблематично для компании. Поэтому, наиболее эффективным решением является обращение к ИТ-экспертам, которые грамотно разработают план мероприятий и помогут воплотить проект системы в жизнь.
В итоге, внедрение BCM позволяет компаниям минимизировать риски и сохранять непрерывность бизнеса в условиях кризиса или аварийных ситуациях. Кроме того, использование BCM способствует повышению эффективности работы компании в целом.
Риск-анализ и оценка важности бизнес-процессов являются неотъемлемой составляющей для любой организации, независимо от ее масштабов и сферы деятельности. Однако, точки критичности для каждой компании могут значительно отличаться. Например, для медицинских учреждений все учетные системы критичны, в то время как для телекоммуникационной компании может быть критичен только сбой в системе биллинга. Поэтому, анализ бизнес-процессов помогает выделить эти точки критичности.
Кроме того, риски можно разделить на зависимые и независимые от IT. Сначала необходимо определить IT-зависимые бизнес-процессы и затем выделить угрозы, которые могут оказать влияние на них. Затем проводится оценка воздействия на бизнес, чтобы понять, как изменение в IT-процессах влияет на ключевые бизнес-процессы. Оценить можно количественно и качественно, например деловую репутацию, рыночную стоимость, уровень операционных издержек и т.д. В результате получается карта ключевых бизнес-процессов с указанием нарушений, способных привести к убыткам. Эта информация помогает разработать меры по предотвращению возможных угроз, увеличивая непрерывность деловой активности компании.
Важной задачей аналитиков является получение достоверной информации о бизнесе организации, особенно в финансовой сфере, чтобы определить текущее состояние ИТ-комплекса и его планы на будущее.
Анализ информационных сервисов, связанных с бизнес-процессами и информационными потоками, также немаловажен. Оценка допотопного риска поможет составить полную картину бизнеса, показывая уровень критичности всех бизнес-процессов в целом, а также выявляя нарушения их функционирования и соотношение величины потерь.
Для решения всех описанных задач производится аудит, который проводятся аналитиками перед началом сотрудничества. В процессе такой всесторонней оценки выявляются слабые места в системе информационной безопасности клиента, а также становятся понятны способы укрепления уязвимых точек.
Расчет экономического эффекта, то есть стоимости простоя бизнес-процессов, предполагает наличие справедливых допущений о вероятности наступления различных инцидентов в рассматриваемый период. Это позволяет выбрать наиболее приемлемую стратегию для организации.
Для успешного функционирования в условиях чрезвычайных ситуаций важно определиться с несколькими параметрами, которые позволят быстро и эффективно восстановить работу компании. Эту задачу должны решить собственники и руководство компании совместно с аналитиками. Специалисты рекомендуют установить так называемые тайм-ауты и производительную мощность для отдельных бизнес-процессов.
Один из параметров, который необходимо установить - это допустимое время восстановления (Recovery Time Objective, RTO). RTO представляет собой интервал времени, в течение которого должна быть восстановлена работоспособность системы после возникновения чрезвычайной ситуации. Важно учитывать, что RTO может быть сведен практически к секундам, однако иногда его установка не является экономически оправданной из-за дороговизны системы восстановления.
Еще одним параметром, который нужно установить, является целевая точка восстановления (Recovery Point Objective, RPO). RPO определяет временной диапазон перед наступлением ЧС, за который все данные могут быть утрачены. На сегодняшний день RPO может быть сведен к нулю благодаря частоте и технологии резервного копирования информации.
Наконец, третий параметр - это уровень непрерывности бизнеса (Level of Business Continuity, LBC) или допустимый уровень производительности (доли нагрузки) в чрезвычайных ситуациях в процентах от режима штатной работы. Он позволяет оценить потери в случае возникновения аварийных ситуаций и понимать, какие меры необходимо предпринимать для быстрого восстановления бизнес-процессов.
Таким образом, совместное определение этих параметров поможет компании успешно справиться с любыми возникшими трудностями и обеспечить бесперебойную работу в условиях чрезвычайных ситуаций.
Планирование непрерывности бизнеса является процессом, который предусматривает тщательное определение стратегии для обеспечения безопасности сотрудников, доступности критически важной информации, свободного общения с партнерами, клиентами, поставщиками и подрядчиками. Для каждого направления в рамках стратегии вырабатывается подстратегия, которая должна указать на путь к быстрому восстановлению бизнес-процессов в соответствии с предварительно определенными параметрами рисков.
Этот процесс включает следующие стадии: реагирование на событие, продолжение выполнения критичных для бизнеса процессов в условиях ЧС и восстановление штатной работы. В каждом из направлений стратегии BCM определяются организационные и технические решения: разрабатываются политики для поддержания непрерывности бизнеса, формализуются приоритетные цели и задачи, процедуры реагирования и области распространения системы BCM, определяются кадровые потребности и степень вовлеченности персонала в реализацию программы внедрения (проекта) BCM.
Для создания технической и организационной систем BCM все чаще используются облачные услуги. Одно из решений, называемое DRaaS (Disaster-Recovery-as-a-Service), предоставляет возможность аварийного восстановления данных в облачных средах корпоративного уровня, благодаря чему удается снизить расходы на обеспечение безопасности и поддерживать ее на уровне принятых в индустрии стандартов.
Существует несколько вариантов резервного копирования ИТ-инфраструктуры или ее элементов. Например, в малом бизнесе, где непрерывность не критична, могут использоваться резервные копии, создаваемые по расписанию. Однако такая схема не обеспечивает комплексной защиты.
В более крупных организациях используются более серьезные технологии. Например, можно полностью скопировать инфраструктуру в облако с последующим переносом изменений в непрерывном режиме. Информация извлекается и восстанавливается за несколько минут. Для крупных финансовых и ИТ-компаний, госсектора и любых других организаций, где каждая минута простоя критична, предусмотрено запуск резервной облачной инфраструктуры, полностью идентичной основной. Обновления в них происходят одновременно, и восстановление возможно за несколько секунд.
Построение отказоустойчивых ЦОДов является важным аспектом для различных бизнесов. В случае необходимости, можно провести оптимизацию существующих центров обработки данных или построить новые, более энергоэффективные и отказоустойчивые. Реализация данной задачи включает в себя комплекс мероприятий, таких как: строительство специализированных зданий, организация инженерной, телекоммуникационной и ИТ-инфраструктуры, их автоматизация, сервисное сопровождение подсистем ЦОДов или создание мобильного ЦОДа. Также, есть более простой путь - доверить организацию ИТ-инфраструктуры надежному провайдеру.
При росте бизнеса и усложнении ИТ-систем компании, вычислительные центры могут стать фактором угрозы непрерывности деловой активности. Поэтому необходимо разработать план восстановления системы после инцидента (DRP), который является составной частью более крупного плана обеспечения непрерывности бизнеса (BCP). DRP помогает быстро восстановить работоспособность критичных ИТ-систем и обычных операций, в то время как BCP обеспечивает восстановление бизнес-процессов в целом.
Для обеспечения нормального функционирования системы BCM необходимо формировать программу сопровождения и эксплуатации, определять периодичность проверок и разрабатывать меры реагирования обслуживающего персонала на возникновение инцидентов. Также важным аспектом является интеграция процессов в корпоративную культуру, которая включает разработку мер и осведомление персонала о мерах, предпринимаемых в случае возникновения угроз, а также о мерах по устранению последствий внештатной ситуации. Компетентный персонал является важным фактором для успешного планирования восстановления после происшествия.
Система ВСМ (вычислительная система мониторинга) станет настоящей отправной точкой для уверенной работы предприятия в экстренных ситуациях и поможет избежать убытков. Об этом свидетельствует ряд факторов, включающих:
- Готовность организации продолжать работу в случае возникновения аварий в ИТ-системах. Благодаря ВСМ, компания будет способна быстро реагировать на непредвиденные ситуации и минимизировать их воздействие на процессы бизнеса.
- Расчет вероятности простоя информационных систем в случае внештатной ситуации и возможных убытков. Система ВСМ помогает наиболее точно оценить риски и внести в необходимые изменения, предотвращающие потери при аварийных ситуациях.
- Прохождение аудита и соответствие требованиям регулирующих органов. Введение ВСМ поможет компании выполнять стандарты и требования по безопасности данных и информационных систем.
Хотя само внедрение вычислительной системы мониторинга может оказаться непростой задачей для компании, эффективность использования ВСМ не вызывает сомнений. Финансовые, кадровые и временные ресурсы для этого необходимы, однако, применение ВСМ может помочь компании значительно экономить ресурсы в будущем.
Фото: freepik.com