Konec maja je podjetje eŠola prejelo certifikat za neprekinjeno poslovanje po standardu ISO 22301, zaradi česar se mu še dodatno odpirajo priložnosti na tujih trgih.
Posebnost eŠole je, da prihaja iz vrst malih podjetij, ki z lastno razvito celovito rešitvijo eAsistent vzgojno-izobraževalnim zavodom omogoča elektronsko vodenje dokumentacije in jih tako že trinajsto leto uspešno podpira na poti digitalne preobrazbe.
Ob uvedbi standarda za neprekinjeno poslovanje so uredili celotno poslovanje, ki podpira stalno razpoložljivost, od tehnologij programske in strojne opreme do razvoja ter poslovnih procesov. »Ko si obseden z varnostjo in 99,99-odstotno razpoložljivostjo, si lahko kot riba v vodi, ki zadnja opazi, da je nekaj narobe. Zunanja revizija ti da potrditev za tisto, kar je dobro, vendar hkrati odkrije tvoje vrzeli in s tem omogoči izboljšave. Ko si poslovno zrel in ko prideš do nekega obsega poslovanja, vidiš, kaj ti to prinaša,« je dejal Balukčić.
Certifikat nad certifikati
Kot je dodal, je bila uvedba standarda ISO 22301 velik zalogaj, ki je trajal leto in pol, s tem da ga brez predhodno uvedenega standarda ISO 27001 ne bi mogli prejeti. Balukčić ga predvsem zaradi kompleksnosti vidi kot certifikat nad certifikati. Standard gre res v podrobnosti, od preprostih – na primer, kdo ima ključe poštnega nabiralnika – do kompleksnih, kjer se preverja, kdo so dobavitelji, ali imaš dodatnega ponudnika internetnega dostopa, strežnikov, kakšno strojno opremo uporabljaš, koliko časa bo še razpoložljiva in aktualna.
Ob standardizaciji neprekinjenega poslovanja so v svojih procesih in delovnih postopkih odkrili tudi področja, kjer niso imeli določenih pooblastil in odgovornosti. »Greš od problema do problema in sestavljaš zgodbo. Pravzaprav odkriješ tistih 20 odstotkov, ki ti prinese 80 odstotkov izboljšav,« je dejal Balukčić. »Ne gledaš samo neprekinjenega poslovanja, ampak celoten proces dela, kje so podatki, koga potrebuješ, da bo jutri stvar delovala. Pri neprekinjenem poslovanju ni glavna oseba direktor, temveč so, podobno kot pri šahu, glavni zaposleni.«
V podjetju eŠola so z uvedbo standardiziranega neprekinjenega poslovanja vzpostavili imunski sistem, ki jim bo v prihodnje zagotavljal prihodek, poslovno in osebnostno rast organizacije ter razvoj. Hkrati so prav na osnovi ISO 22301 vzpostavili prve stike za razširitev poslovanja na nemški in avstrijski trg. Prihodnje leto zato načrtujejo še uvedbo standarda ISO 9001, saj želijo še pred odpiranjem poslovnih enot v tujini standardizirati poslovne procese.
Izhodišče so njegovi poslovni učinki
Standard ISO 22301 ima le malo podjetij v Sloveniji, vendar v SIQ ugotavljajo, da povpraševanje po certificiranju neprekinjenega poslovanja narašča.
Priprava oziroma izgradnja sistema za neprekinjeno poslovanje vključuje tako preprečevanje prekinitev kot tudi pravilen odziv nanje. Torej ne gre samo za zagotavljanje neprekinjenega delovanja informacijskih storitev. V nasprotju s standardom ISO/IEC 27001 je ISO 22301 v celoti in v vseh zahtevah namenjen sistematični ureditvi delovanja organizacije za primer prekinitve poslovanja oziroma je usmerjen k obvladovanju ukrepov v primeru prekinjenega poslovanja. To pomeni, da se standarda v določenem delu celo dopolnjujeta.
»Načrtovanje in upravljanje neprekinjenega poslovanja je razvito poslovno področje, ki ima svoje cilje, postopke, načrte, priporočila, standarde, presoje, testiranja in vzdrževanje. Vzpostavljen sistem je treba voditi in ga razvijati v skladu s potrebami in stroko,« je dodal Lemič, ki največjo prednost standarda vidi v zagotavljanju čim hitrejše povrnitve zmožnosti poslovanja ob neželenih dogodkih.
Kot pravi Lemič, sistem za neprekinjeno poslovanje praviloma uvedejo in certificirajo organizacije, katerih osrednja dejavnost temelji na zagotavljanju neprekinjenega delovanja oziroma čim hitrejše vnovične vzpostavitve delovanja ob nepričakovanih dogodkih, kot so naravne nesreče, hekerski vdori in podobno. Med takšnimi organizacijami so energetika in javne storitve, banke, prevozna podjetja, ponudniki informacijske tehnologije in telekomunikacij ter ponudniki zdravstvenih storitev. Takšen sistem je pomemben tudi za proizvodna podjetja, ki bi ob morebitni nesreči lahko ogrozila okolje. Prednosti in pomen urejenega sistema so že prepoznala tudi nekatera manjša podjetja.
Neprekinjeno poslovanje ni IT-projekt
V vse bolj digitaliziranem poslovanju je vsakodnevno delo organizacij najbolj odvisno od delovanja informacijskih storitev, kar obsega tako zanesljivost in razpoložljivost kot tudi zmožnost hitre povrnitve delovanja informacijskih storitev v primeru prekinitev. Vendar to še ne pomeni, da je uvedba neprekinjenega poslovanja samo projekt oddelka za informatiko.
»Odgovornost za proces in vzpostavitev neprekinjenega poslovanja je na ravni vodstva. Vodstvo ali poslovni lastniki procesov so tisti, ki navadno odigrajo vlogo naročnika analiz, oziroma tisti, ki morajo prepoznavati tveganja ter jih opredeliti s poslovnega vidika,« je opozoril Nikolaj Zorn iz podjetja S & T Iskratel.
Oddelek informatike nastopa torej predvsem kot izvajalec nalog pri neprekinjenem poslovanju. Dodatno lahko zagotavlja učinkovito podporo vodstvu pri pripravi finančnega obsega projekta, izvedbi analize okolja in določanju prioritet glede informacijskih rešitev, pri izvajanju požarnih vaj ter pripravi in izvedbi načrta okrevanja.
Kako do delujočega informacijskega okolja za neprekinjeno poslovanje
Osnova za vzpostavitev informacijskega okolja, ki podpira neprekinjeno poslovanje, se začne z dobrim načrtovanjem. »Najprej pripravimo analizo poslovnih učinkov, s katero odkrijemo, kakšne posledice lahko organizacija občuti ob prekinitvi poslovanja, temu sledi podrobna priprava analize tveganj in na podlagi rezultatov obeh analiz se pripravi akcijski načrt ukrepov. Šele nato se začne uvedba rešitve, in sicer najprej z zapisom krovne politike neprekinjenega poslovanja, tej pa sledi opredelitev procesa neprekinjenega poslovanja s podrejenimi dokumenti oziroma zapisi standardnih operativnih postopkov,« je razložil Zorn.
Sledi priprava dizajna stranki prilagojene infrastrukture oziroma arhitekture sistemov, pri čemer je po Zornovem mnenju zelo pomembno, da stranka predhodno sprejme odločitev, ali se tako okolje postavi na lokaciji – torej v lastnem podatkovnem centru naročnika – ali v javni oziroma zasebni oblak. Na podlagi politike, procesa, arhitekture sistemov in akcijskega načrta se izvedejo ukrepi, implementirajo rešitve ter vzpostavi vzdrževanje, pri čemer je zelo pomembno redno izvajanje in opravljanje stresnih testov.
Kot pravi Zorn, danes vse rešitve na trgu že podpirajo neprekinjeno poslovanje, saj so bile načrtovane in izvedene tako, da so upoštevale osnovna načela visoke razpoložljivosti in kibernetske varnosti. Izjema so lokalno razvite rešitve na nestandardni opremi, za katere pa je mogoče z dobro analizo in vzpostavitvijo politik zmanjšati izpade na minimum in vzpostaviti ustrezne okrevalne načrte.
Kibernetska varnost vse bolj pomemben dejavnik neprekinjenega poslovanja
Prvo slovensko podjetje, ki je uvedlo standard ISO 22301, je bil Telekom Slovenije. »Že pred časom smo se odločili, da bomo v okviru celovite prenove in poenotenja sistema upravljanja neprekinjenega poslovanja sledili standardom na tem področju. Eden od ciljev prenove je tako bil tudi, da sistem certificiramo z ISO 22301,« je povedal Marjan Štrakl iz Korporativne varnosti Telekoma Slovenije. S tem so zagotovili, da sistem neprekinjenega poslovanja ustreza visokim mednarodnim standardom na tem področju, kar lahko z gotovostjo izkažejo tudi najzahtevnejšim poslovnim uporabnikom. Tako imajo urejen sistem upravljanja neprekinjenega poslovanja za lastne potrebe, kar je hkrati pomembna konkurenčna prednost na trgu.
V sklopu celovitega obravnavanja vseh tveganj upoštevajo tudi vse bolj aktualne kibernetske grožnje ter vzpostavljajo ustrezne procese kibernetske odpornosti.
»Glede na to, da je današnje poslovno okolje neločljivo vpeto in odvisno od kibernetskega prostora, je upravljanje kibernetskih tveganj neločljiv segment upravljanja tveganj. Zaradi velike rasti tveganj v tem segmentu so tudi ukrepi usmerjeni predvsem v njihovo obvladovanje, in sicer že v samem sklopu sistema upravljanja neprekinjenega poslovanja,« je poudaril Štrakl.
Proces upravljanja kibernetske varnosti, ki ga tržijo tudi kot storitev Operativnega centra kibernetske varnosti, je tako sestavni del njihovega sistema upravljanja neprekinjenega poslovanja ter izvajanja operativnih aktivnosti za vzpostavitev poslovne odpornosti.