Ως Επιχειρησιακή Συνέχεια ορίζεται η στρατηγική και τακτική ικανότητα ενός Oργανισμού να σχεδιάζει και να ανταποκρίνεται σε περιστατικά και σε επιχειρησιακές διαταράξεις, προκειμένου να συνεχιστούν οι επιχειρησιακές λειτουργίες σε ένα αποδεκτό προκαθορισμένο επίπεδο.

Ο όρος Επιχειρησιακή Συνέχεια αναφέρεται σε όλα τα οργανωτικά και τεχνικά μέτρα, καθώς και στα μέτρα με τα οποία εξασφαλίζεται το αναγκαίο και κατάλληλο προσωπικό, έτσι ώστε αμέσως μετά την εκδήλωση μιας διαταραχής, να διασφαλίζεται η συνέχιση των κύριων επιχειρησιακών λειτουργιών και, προοδευτικά, όλων των λειτουργιών της επιχείρησης.

Η Διαχείριση Επιχειρησιακής Συνέχειας (Business Continuity Management) είναι μια ολιστική διεργασία, κατά την οποία προσδιορίζονται οι ενδεχόμενες απειλές για έναν Οργανισμό και η επίδρασή τους στη λειτουργία του, διαταράσσοντας την επιχειρησιακή συνέχεια. Ένα Σύστημα Διαχείρισης Επιχειρησιακής Συνέχειας (Business Continuity Management System) παρέχει μία υποδομή, πάνω στην οποία βασίζονται οι λειτουργίες του Οργανισμού ως προς την ανθεκτικότητά τους σε ενδεχόμενες απειλές, αναπτύσσοντας παράλληλα τη δυνατότητα άμεσης αντίδρασης και προστατεύοντας τα συμφέροντα των βασικών μετόχων του, τη φήμη του, του εμπορικού σήματος και των επικερδών δραστηριοτήτων του.

Η ανάπτυξη και εφαρμογή ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας απαρτίζεται από δύο μέρη:

  • Το πρότυπο BS 25999-1, το οποίο παρέχει οδηγίες για την κατανόηση των αναγκών επιχειρησιακής συνέχειας και την αναγκαιότητα της εισαγωγής πολιτικής και στόχων για την επιχειρησιακή συνέχεια, καθώς και για τη δημιουργία και εφαρμογή μηχανισμών και μετρητών για τη διαχείριση των κινδύνων προς την επιχειρησιακή συνέχεια για το σύνολο του Οργανισμού.
  • Το πρότυπο BS 25999-2, βάσει του οποίου οι επιχειρήσεις – Οργανισμοί μπορούν να πιστοποιηθούν από ανεξάρτητο φορέα πιστοποίησης.

Καθώς η Διαχείριση Επιχειρησιακής Συνέχειας είναι μια διεργασία της οποίας τα κίνητρα είναι επιχειρηματικού προσανατολισμού, στόχος της είναι να εδραιώσει μια στρατηγική, η οποία:

  • Βελτιώνει, προληπτικά, την ανθεκτικότητα ενός Οργανισμού ενάντια στη διακοπή της ικανότητάς του να επιτύχει τους αντικειμενικούς στόχους του.
  • Παρέχει μια δοκιμασμένη ως προς την αποτελεσματικότητά της, μεθοδολογία ανάκτησης της ικανότητας του Οργανισμού να παρέχει τα βασικά προϊόντα και τις υπηρεσίες του σε ένα αποδεκτό επίπεδο, εντός ενός προσυμφωνημένου χρονικού ορίου, μετά την αποδιοργάνωσή του εξαιτίας κάποιας διαταραχής.
  • Παραδίδει μια αποδεδειγμένη ικανότητα διαχείρισης μιας διαταραχής που επηρεάζει την επιχειρησιακή συνέχεια και έτσι προστατεύει τη φήμη και το εμπορικό όνομα του Οργανισμού.

Ποιες παράμετροι οδηγούν στην ανάγκη για την υιοθέτηση ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας
Τα τελευταία χρόνια, ορισμένα σοβαρά περιστατικά σε διεθνές επίπεδο (π.χ. φυσικές καταστροφές, τρομοκρατικές επιθέσεις), έχουν αναδείξει τη σπουδαιότητα της λειτουργικής αξιοπιστίας των υποδομών για τη σταθερότητα της επιχειρησιακής συνέχειας των Οργανισμών. Σε αρκετούς τομείς της παγκόσμιας αγοράς, η ανάγκη για την ύπαρξη ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας, αποτελεί θεσμική υποχρέωση. Στην ελληνική αγορά, οι οδηγίες της Τράπεζας της Ελλάδος επιβάλλουν τη δημιουργία Σχεδίων Συνέχειας Εργασιών (ΣΣΕ) και Ανάκαμψης από Καταστροφή (ΠΔ 2577, Παρ.2, Γ.4.) σε όλα τα Πιστωτικά Ιδρύματα. Ακόμα, η Αρχή Διατήρησης Απορρήτου Επικοινωνιών (Α.Δ.Α.Ε.) επιβάλλει σε κάθε Πάροχο Διαδικτύου την ανάπτυξη και συντήρηση ενός Σχεδίου Ανταπόκρισης, σε περιπτώσεις εκτάκτου ανάγκης του συστήματος μετά από κακόβουλες επιθέσεις (Κανονισμός Α.Δ.Α.Ε., Αριθμ.633 α., Άρθρο 11). Το υποχρεωτικό πρότυπο PCI DSS, επιβάλλει τη δημιουργία ενός Σχεδίου Απόκρισης Περιστατικών, μέσα από διαδικασίες Επιχειρησιακής Συνέχειας και Ανάκαμψης (Requirement 12.9 Implement an incident response plan. Be prepared to respond immediately to a system breach.), σε όλες τις Τράπεζες, Παρόχους Υπηρεσιών και Έμπορους.
Εκτός από θεσμικές υποχρεώσεις, η υιοθέτηση ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας αποτελεί ανταγωνιστικό πλεονέκτημα στην αγορά, καθώς αποτελεί διαβεβαίωση ποιότητας υπηρεσιών για τον πελάτη – για παράδειγμα, ένας Οργανισμός παρέχει μία υπηρεσία στους πελάτες του, η οποία βασίζεται αμιγώς στην υποδομή πληροφοριακών συστημάτων του Οργανισμού.

Σχεδιασμός και Υιοθέτηση ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας
Στα πλαίσια του Σχεδιασμού ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας, ο Οργανισμός πρέπει να καθορίσει το πεδίο εφαρμογής του συστήματος, να θέσει στόχους επιχειρησιακής συνέχειας και να αναπτύξει ένα Σχέδιο Επιχειρησιακής Συνέχειας, λαμβάνοντας υπόψη:

  • Τις απαιτήσεις για επιχειρησιακή συνέχεια
  • Τους σκοπούς και στόχους του Οργανισμού
  • Το αποδεκτό επίπεδο κινδύνου
  • Τα νομικά, κανονιστικά και συμβατικά καθήκοντά του
  • Το συμφέρον των μετόχων

Το Σχέδιο Επιχειρησιακής Συνέχειας είναι μία συλλογή εγγεγραμμένων διαδικασιών και πληροφοριών, οι οποίες αναπτύσσονται, συντάσσονται και διατηρούνται σε ετοιμότητα, με σκοπό τη χρήση τους σε οποιοδήποτε περιστατικό συμβεί, ώστε να καθιστά ικανό τον Οργανισμό να συνεχίσει να πραγματοποιεί τις κρίσιμες για την ομαλή λειτουργία του, δραστηριότητες, σε ένα αποδεκτά προκαθορισμένο επίπεδο.
Η ανάπτυξη ενός Σχεδίου Επιχειρησιακής Συνέχειας θα πρέπει να είναι δυναμική και να αναπροσαρμόζεται στις εκάστοτε ανάγκες του Οργανισμού. Η εκτίμηση των κινδύνων, όσον αφορά τον τομέα της ανάλυσης επικινδυνότητας και τον προσδιορισμό του ανεκτού επιπέδου κινδύνου, μπορεί να είναι ποιοτική ή ποσοτική – εφόσον αυτό είναι εφικτό. Παράλληλα με την εκτίμηση των κινδύνων πραγματοποιείται και ο οικονομικός προϋπολογισμός του σχεδίου, έπειτα από μία ανάλυση κόστους – κέρδους (cost-benefit analysis).
Σύμφωνα με το πρότυπο BS25999, η υιοθέτηση ενός Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας ολοκληρώνεται με τη διενέργεια πέντε διαφορετικών φάσεων, οι οποίες επαναλαμβάνονται υποστηρίζοντας τον κύκλο βελτίωσης, όπως αυτό φαίνεται στο σχήμα 1:

  1. Κατανόηση της λειτουργίας του Οργανισμού
  2. Καθορισμός Στρατηγικής Επιχειρησιακής Συνέχειας
  3. Ανάπτυξη Σχεδίου Επιχειρησιακής Συνέχειας
  4. Εξάσκηση, Διατήρηση και Αναθεώρηση του Σχεδίου Επιχειρησιακής Συνέχειας
  5. Διαχείριση Προγράμματος Εφαρμογής Σχεδίου Επιχειρησιακής Συνέχειας

Η προσέγγιση της BESECURE στην ανάπτυξη Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας
Για την ανάπτυξη ενός συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας σε έναν Οργανισμό, η BESECURE ακολουθεί την προσέγγιση ολοκλήρωσης σε 7 φάσεις:

  1. Ανάπτυξη Πολιτικής Διαχείρισης Επιχειρησιακής Συνέχειας: Ανάπτυξη πολιτικής, που περιλαμβάνει τους στόχους τους οποίους εξυπηρετεί η επιχειρησιακή συνέχεια για τον Οργανισμό, τις απαραίτητες οδηγίες για την ανάπτυξη του Σχεδίου Επιχειρησιακής Συνέχειας (Business Continuity Plan) καθώς και τους ρόλους και τις αρμοδιότητες για την επίτευξη των στόχων.
  2. Διενέργεια Ανάλυσης Επιχειρησιακών Επιπτώσεων (Business Impact Analysis): Προσδιορισμός των λειτουργιών και συστημάτων, ανάλογα με την κρισιμότητά τους. Προσδιορισμός απειλών και αδυναμιών και αποτίμηση επικινδυνότητας. Προσδιορισμός Μέγιστου αποδεκτού διαστήματος διαταραχής για κάθε λειτουργία και σύστημα του Οργανισμού.
  3. Προσδιορισμός Προληπτικών Μηχανισμών Ελέγχου: Καθώς έχει αποτιμηθεί το επίπεδο κινδύνου, η BESECURE προτείνει μηχανισμούς ελέγχου, οι οποίοι προστατεύουν τις κρίσιμες λειτουργίες και συστήματα από τις προσδιοριζόμενες απειλές.
  4. Ανάπτυξη Σχεδίων Ανάκτησης Συστημάτων και Λειτουργιών: Διατύπωση σχεδίων για την εξασφάλιση της άμεσης ανάκτησης των κρίσιμων λειτουργιών και συστημάτων.
  5. Ανάπτυξη Σχεδίου Επιχειρησιακής Συνέχειας: Ανάπτυξη διαδικασιών και οδηγιών που πρέπει να ακολουθηθούν, ώστε ο Οργανισμός να παραμείνει σε λειτουργία μετά από περιστατικό διαταραχής.
  6. Εξάσκηση και ενσωμάτωση του Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας στην εταιρική κουλτούρα: Εξασφάλιση ότι οι ενέργειες που αφορούν στη ρύθμιση της επιχειρησιακής συνέχειας του Οργανισμού, θέτονται σε εξάσκηση για την εκτίμηση της αποτελεσματικότητάς τους, ώστε να διατηρούνται σε συνεχή ενημέρωση. Η BESECURE συντάσσει πρόγραμμα εξάσκησης του Σχεδίου.
  7. Διατήρηση του Σχεδίου Διαχείρισης Επιχειρησιακής Συνέχειας: Προσδιορισμός διαδικασιών σε ισχύ, ώστε να εξασφαλίζεται η τακτική αναθεώρηση του Σχεδίου Διαχείρισης Επιχειρησιακής Συνέχειας.

Η προσέγγιση της BESECURE υποστηρίζει τον κύκλο βελτίωσης του Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας. Ο Οργανισμός θα πρέπει να βελτιώνει συνεχώς την αποτελεσματικότητα του συστήματος διαχείρισης επιχειρησιακής συνέχειας, μέσω της ανασκόπησης της πολιτικής και των στόχων επιχειρησιακής συνέχειας, των αποτελεσμάτων των επιθεωρήσεων, της ανάλυσης των παρακολουθούμενων γεγονότων, των διορθωτικών και προληπτικών ενεργειών και της ανασκόπησης από τη διοίκηση. Κατά συνέπεια, η προσέγγιση της BESECURE περιλαμβάνει τα ανωτέρω 7 επαναλαμβανόμενα βήματα.

Γιατί είναι σημαντική η ύπαρξη Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας
Πέρα από τα προφανή οφέλη, υπάρχουν και τα εγγενή, τα οποία αναγνωρίζονται μέσα από τις διαδικασίες που πραγματοποιούνται για την ανάπτυξη του Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας.

  • Κατά την αποτύπωση της υποδομής του Οργανισμού, διαφαίνονται προβλήματα στην αρχιτεκτονική της υποδομής, είτε αυτά αφορούν τη ροή μιας διεργασίας είτε την οργάνωση της ροής εργασιών. Τα προβλήματα αυτά κατανοούνται και διορθώνονται.
  • Κατά την Ανάλυση Επιχειρησιακών Επιπτώσεων, γίνεται βαθύτερη κατανόηση των διεργασιών του Οργανισμού. Αυτό μπορεί να βοηθήσει στο πρόγραμμα βελτιστοποίησης των διαδικασιών και κατά συνέπεια στη μείωση δαπανών για τον Οργανισμό.
  • Το ποσοστό επιτυχούς ανάκαμψης της λειτουργικής συνέχειας από ένα περιστατικό ασφάλειας, σχετίζεται άμεσα με την απλότητα των διαδικασιών που την υποστηρίζουν. Ένα Σύστημα Διαχείρισης Επιχειρησιακής Συνέχειας θα βοηθήσει στην απλούστευση των διαδικασιών και κατά συνέπεια θα εξασφαλίσει την ευκολότερη ανάκαμψή τους σε περίπτωση κρίσης.
  • Κατά τη διάρκεια σημαντικών περιστατικών που μπορούν να προκαλέσουν διαταραχή στην επιχειρησιακή συνέχεια, ενδέχεται να επηρεαστούν όλα τα επίπεδα στην ιεραρχία ενός Οργανισμού. Με την υιοθέτηση ενός επιτυχημένου Συστήματος Διαχείρισης Επιχειρησιακής Συνέχειας δημιουργείται ένα εύκολο και άμεσο σύστημα επικοινωνίας και ενημέρωσης του προσωπικού, για τη διαχείριση κάθε περιστατικού.
  • Με την κατανόηση του χρόνου αλλά και του επιπέδου αποκατάστασης των κρίσιμων δραστηριοτήτων του Οργανισμού, προσδιορίζεται η αναγκαιότητα για την ύπαρξη συγκεκριμένης υποδομής πληροφοριακών συστημάτων. Ο προσδιορισμός της υποδομής βοηθά τους Οργανισμούς, ώστε κατά τη σύνταξη του προϋπολογισμού τους να αναθέτουν το απαιτούμενο ποσό, προκειμένου να υποστηρίζεται η μέγιστη ανθεκτικότητα της υποδομής.

Σχετικά με την BESECURE
Η BESECURE δραστηριοποιείται στην παροχή εξειδικευμένων λύσεων και υπηρεσιών ασφάλειας και διαχείρισης κινδύνου πληροφοριών. Παρέχει υπηρεσίες συμμόρφωσης με νομοθετικές και κανονιστικές απαιτήσεις, σχεδιάζει και υλοποιεί προηγμένες λύσεις ασφάλειας συστημάτων πληροφορικής, διεξάγει εκπαιδευτικά σεμινάρια σε θέματα ασφάλειας πληροφοριών, παρέχει υπηρεσίες Managed Security Services και διενεργεί Τεχνικούς Ελέγχους Ασφάλειας και Δοκιμές Διείσδυσης σε πληροφοριακά συστήματα και δίκτυα δεδομένων και επικοινωνιών. Η BESECURE υιοθετεί τη μεθοδολογία του HISP Institute για την εφαρμογή ενός Ολιστικού Πλαισίου Ασφάλειας Πληροφοριών και αριθμεί το μεγαλύτερο αριθμό πιστοποιημένων HISP συμβούλων στην Ελλάδα και την ευρύτερη περιοχή των Βαλκανίων. Περισσότερες πληροφορίες για την BESECURE είναι διαθέσιμες στην ιστοσελίδα http://www.besecure.eu

Ανδρέας Λάλος
CISSP, GCFW, CCSA, MCP, HISP
Director of Professional Services
BESECURE