Varnostni incidenti in tudi kritični dogodki, ki lahko ohromijo delovanje podjetja, kot so hekerski napad, požar, žledolom, potres, poplava in podobni, so tudi v Sloveniji vse pogostejši. Samo pomislite na primere, ki so prišli v javnost – Ljubljanske lekarne so »obstale« za teden dni in v Ljubljani skoraj ni bilo dostopa do zdravil, kibernetski napad na Revoz je za več dni ustavil proizvodnjo vozil, medijska hiša PRO Plus je tudi potrebovala več dni, da je svoje sisteme postavila nazaj.
Kaj bi za vaše podjetje pomenil tak dogodek? Bi preživeli ustavitev poslovanja za dan, teden ali celo mesec dni? Bi vam stranke še zaupale in ostale z vami? Brez ustreznega načrta odziva na te za poslovanje celo usodne dogodke marsikatero podjetje zapre svoja vrata. Kako se torej izogniti katastrofi? Z vpeljavo rešitve za neprekinjeno poslovanje.
Nič se ne zgodi brez dobrega načrta
Neprekinjeno poslovanje je rešitev, ki zagotavlja nadaljevanje poslovanja podjetja, navadno s tako imenovane rezervne lokacije, pri čemer je poudarek na izvajanju ključnih poslovnih procesov. Pomemben je že dober načrt. Načrti neprekinjenega poslovanja morajo biti kar se da konkretni, v njih ni prostora za izjave »treba je« ali »mora se«, temveč gre za jasna navodila »ta zaposleni naredi to«, »ta obvesti tega« ...
»V okviru načrtovanja neprekinjenega poslovanja je treba najprej opredeliti, kaj so glavne dejavnosti, katere so manj pomembne, katere so srednje pomembne in katere najpomembnejše za nadaljevanje poslovanja. Nato je treba določiti, s katerimi sredstvi in viri bodo zaposleni in poslovni procesi nadaljevali svoje delo, na katerih lokacijah in kdo bo vse to zagotovil,« pravi Alenka Glas, presojevalka informacijskih sistemov in varnostna strokovnjakinja iz podjetja PRO.Astec, in nadaljuje: »Iz kompleksnega poslovnega okolja izluščimo enostavne in preproste načrte, ki morajo v primeru krizne situacije delovati. Podjetje pripeljemo do tega, da ima učinkovite in enostavne načrte za odzive v stiski in za okrevanje. Naša prednost je v tem, da znamo pripraviti učinkovite enostavne načrte, ki so izvedljivi. Namreč, ko je načrt prezapleten, si ga izvajalci ne zapomnijo. Zato ga morajo razumeti in vedeti, na koga se obrniti za dodatne informacije. V primeru katastrofalnega fizičnega ali informacijskega dogodka so zapleteni načrti neprekinjenega poslovanja le slaba tolažba.«
Standard za neprekinjeno poslovanje ISO 22301
Mednarodne dobre prakse poznajo tudi standard za neprekinjeno poslovanje, in sicer ISO 22301. Po omenjenem standardu je svoje poslovanje ustrezno certificiralo le majhno število slovenskih podjetij. Celo v tako kritično panogi, kot so telekomunikacije, sta le dve – Stelkom in Telekom Slovenije. Sicer pa morajo po zakonu za sisteme neprekinjenega poslovanja poskrbeti ne le telekomunikacijska podjetja, temveč tudi banke, farmacevtska podjetja in ponudniki kritične infrastrukture.
»Za nas in naše stranke sta odločilnega pomena informacijska varnost in neprekinjeno poslovanje. Strankam želimo dokazati, da smo zaupanja vreden partner, zato smo po pridobitvi certifikata ISO/IEC 27001 s področja informacijske varnosti pridobili še certifikat po standardu ISO 22301, s katerim dokazujemo, da ustrezno zagotavljamo neprekinjeno poslovanje,« je povedala Janja Smolnikar, ki je v podjetju Stelkom odgovorna za sisteme vodenja in vodi tudi sistem informacijske varnosti.
Vključenost zaposlenih
Stelkom je srednje veliko podjetje s približno 30 zaposlenimi, pri pripravi rešitve za neprekinjeno poslovanje jih je sodelovala skoraj polovica. V primeru večjih podjetij je odstotek vpletenih zaposlenih precej manjši. Seveda so ob vpeljavi sistema neprekinjenega poslovanja vsi zaposleni deležni izobraževanja, v okviru katerega izvedo, kaj se od njih pričakuje. Stvari je treba pojasniti tudi tistim, od katerih se ne pričakuje, da delujejo v krizni situaciji. Njihova naloga je, da ostanejo doma in počakajo na sporočilo, kdaj se lahko vrnejo v službo. V dobre načrte neprekinjenega poslovanja morajo biti vključeni tudi podizvajalci in dobavitelji.
»Podjetjem pomagamo izpeljati vaje, na katerih sodeluje manjše število zaposlenih. Vsak zaposleni mora v primeru dogodka vedeti, kaj je njegova naloga, in imeti informacijo o tem. Pripravimo scenarije, jih vodimo skozi vajo ter skupaj z njimi ugotavljamo, ali so v skladu z zapisanimi načrti dosegli cilje. Če v načrtu piše, da mora poslovni proces začeti delovati v dveh urah, merimo, ali je zahteva dosežena. Po potrebi nato prilagodimo načrt in odpravimo morebitne zaznane napake,« pomemben praktični preizkus ukrepov opiše Glasova.
Koliko stane neprekinjeno poslovanje?
Še na vprašanje iz naslova moramo odgovoriti. A odgovor ni enoznačen. Odvisen je od obsega poslovanja, ki mora ostati neprekinjeno, in lastnih virov podjetja (IT-oprema, prostori, drugi viri). Nekatera podjetja že premorejo ključne gradnike rešitve, na primer izdelujejo rezervne kopije podatkov, imajo rezervno lokacijo, dežurstva, skrbijo za notranje komuniciranje. Ta podjetja potrebujejo le še temeljite in preverjene načrte odzivanja in komunikacije ter povezavo gradnikov.
»Pandemija koronavirusa je neprekinjeno poslovanje pravzaprav pocenila. Prej smo vzpostavljali rezervne lokacije za zaposlene, zdaj pa se je to spremenilo. Skoraj vsi imajo prenosnike, ki jih nosijo tudi domov in lahko delajo na daljavo,« sklene Alenka Glas.
