Αντιμέτωπες με μια πιθανή καταστροφή που μπορεί να προέρχεται από φυσικά αίτια, δολιοφθορά ή ακόμα και τρομοκρατικές ενέργειες, οι εταιρείες και οι οργανισμοί πρέπει να διασφαλίσουν όχι μόνον ότι διαθέτουν Σχέδιο Επιχειρηματικής Συνέχειας, αλλά και ότι η δημιουργία του στηρίχθηκε σε έγκριτη μεθοδολογία και βέλτιστες πρακτικές.

Η διαχείριση της Επιχειρηματικής Συνέχειας είναι μια ολιστική διαδικασία, η οποία εντοπίζει τους κινδύνους και τις επιπτώσεις τους για την επιχείρηση, αυξάνει την αντοχή της σ’ αυτές, ενώ παράλληλα ενισχύει την ικανότητα αποτελεσματικής αντίδρασης σε καταστροφικά γεγονότα.
Πρόκειται για ένα αμιγώς επιχειρηματικό ζήτημα, το οποίο ενοποιεί ένα ευρύ φάσμα επιχειρηματικών και διοικητικών τομέων. Συγκεκριμένα, παρέχει το στρατηγικό και λειτουργικό πλαίσιο για την ανασκόπηση και πιθανή βελτίωση των διαδικασιών παραγωγής και διάθεσης προϊόντων και υπηρεσιών, αυξάνοντας παράλληλα την αντοχή της επιχείρησης σε περίπτωση καταστροφής, διακοπής λειτουργίας ή απωλειών.

Το λάθος που γίνεται συχνά είναι η ταύτιση του Σχεδίου Επιχειρηματικής Συνέχειας- Business Continuity Plan (BCP) με το Σχέδιο Ανάκαμψης από Καταστροφή -Disaster Recovery Plan (DRP), το οποίο είναι μέρος του BCP και καλύπτει το σενάριο καταστροφής του Κέντρου Πληροφορικής.
Κινητήρια δύναμη για την επίτευξη του στόχου του BCP είναι η ευθύνη και η δέσμευση της διοίκησης απέναντι στους εργαζόμενους, στους πελάτες και στους μετόχους της επιχείρησης. Ωστόσο, ενώ μπορεί να είναι εύκολη η κάλυψη της οικονομικής ζημιάς, η πιο σημαντική επίπτωση μιας λανθασμένης διαχείρισης ενός περιστατικού είναι η απώλεια φήμης ή εμπιστοσύνης των πελατών. Αντιθέτως, η καλά οργανωμένη αντιμετώπιση μιας κρίσης μπορεί να αυξήσει τη φήμη της, καθώς και την εμπιστοσύνη των μετόχων και πελατών στη διοικητική ομάδα.

Είναι απαραίτητο το BCP;
‘Δεν θα συμβεί σ΄ εμάς’, ‘Θα τα καταφέρουμε όπως πάντα’, ‘Είμαστε πολύ ισχυροί για να κλείσουμε’ και ‘Εμείς δεν είμαστε στόχος τρομοκρατών’ είναι οι συνηθισμένες απαντήσεις των επιχειρήσεων στην ερώτηση ‘Πόσο προετοιμασμένοι είστε;’. Άλλοι είναι βέβαιοι ότι θα τους καλύψει η ασφαλιστική τους. Οι περισσότεροι νομίζουν ότι δεν χρειάζεται να αφιερώσουν χρόνο σε κάτι που δεν θα συμβεί ποτέ. Ο κατάλογος των επιχειρήσεων που έχουν κλείσει μετά από καταστροφικό περιστατικό, αναδεικνύει ότι οι απαντήσεις αυτές βασίστηκαν σε λανθασμένες εκτιμήσεις. Πρόσφατη έρευνα στη Μεγάλη Βρετανία διαχωρίζει τις επιχειρήσεις που επηρεάστηκαν από κάποιο γεγονός, σε 2 κατηγορίες – ‘ανέκαμψαν’ και ‘δεν ανέκαμψαν’. Ενώ η τιμή της μετοχής των πρώτων αυξήθηκε σε βάθος χρόνου, των δεύτερων έπεσε και μετά από ένα χρόνο δεν παρουσίαζε σημάδια βελτίωσης. Επίσης, η έρευνα έδειξε ότι οι επιχειρήσεις που έχουν επενδύσει στη διαχείριση κινδύνου και στο BCP είναι οι πιο κερδοφόρες στον τομέα τους, πράγμα που αποδεικνύει ότι η ύπαρξη του BCP είναι επένδυση και όχι δαπάνη.

Ποια είναι τα οφέλη από το BCP;
Ο βασικός σκοπός του BCP είναι να διασφαλίσει ότι η επιχείρηση θα αντιδράσει σε μεγάλες καταστροφές που απειλούν την ύπαρξή της. Αυτό βέβαια είναι αρκετά σημαντικό από μόνο του, αλλά υπάρχουν και άλλα ‘ παράπλευρα’ οφέλη. Πολλές επιχειρήσεις οφείλουν να συμμορφώνονται με κανονιστικές και ρυθμιστικές διατάξεις, είτε ειδικά για το BCP είτε συνολικά για τη διαχείριση κινδύνων. Ένα σωστό BCP ικανοποιεί το νομοθέτη ενώ ταυτόχρονα εκπαιδεύει το προσωπικό να συνειδητοποιεί τους κινδύνους και να αντιδρά μεθοδικά και ψύχραιμα.
Για να δημιουργήσουμε το BCP πρέπει να ξεκαθαρίσουμε τι πρέπει να προστατεύσουμε και από τι. Εξετάζουμε λοιπόν όλες τις λειτουργικές και παραγωγικές διαδικασίες της επιχείρησης, ώστε να εντοπίσουμε τις κρισιμότερες και να υπολογίσουμε τις απαιτήσεις τους για συνεχή λειτουργία. Κατά τη διάρκεια αυτής της φάσης προκύπτουν αδυναμίες, παραλείψεις, λάθη, κενά στην ασφάλεια ή ακόμη υπερβολικά κόστη, τα οποία σε άλλη περίπτωση μπορεί να μην είχαν εντοπιστεί. Η ύπαρξη BCP χρησιμοποιείται ως ανταγωνιστικό πλεονέκτημα σε αγορές και συγχωνεύσεις εταιρειών, γιατί προσελκύει νέους πελάτες και δίνει εικόνα επιχείρησης που νοιάζεται για το προσωπικό και τους πελάτες της.
Οι εταιρείες παροχής υπηρεσιών ή αγαθών, αναγνωρίζουν ότι είναι φθηνότερο να κρατάνε τους πελάτες τους παρέχοντας αξιόπιστες υπηρεσίες, παρά να προσπαθούν να τους ξανακερδίσουν μετά από μια διακοπή λειτουργίας. Το ομαδικό πνεύμα που δημιουργείται κατά την αντιμετώπιση ενός γεγονότος, βελτιώνει συνολικά την αποδοτικότητα της επιχείρησης, ακόμη κι αρκετό καιρό μετά. Οπωσδήποτε όμως, ο κύριος λόγος δημιουργίας του BCP είναι η προστιθέμενη αξία σε μία επιχείρηση, στις υπηρεσίες και τα προϊόντα που αυτή παρέχει στους πελάτες της, παρά η συμμόρφωση με κανονισμούς ή η βελτίωση των διαδικασιών λειτουργίας της.

Δημιουργία του BCP

Το BCP συγκροτείται από τα από εξής ουσιώδη στοιχεία:

Α. Σχέδιο κάλυψης ενδεχόμενης αδυναμίας λειτουργίας του IT

  • Αντιμετώπιση καταστροφής του IT.
  • Διαδικασίες restart και recovery με τη χρήση backup κ.λπ.

Β. Διαχείριση καταστροφής κεντρικών κτιριακών εγκαταστάσεων

  • Αντιμετώπιση καταστροφής του κεντρικού κτηρίου.
  • Διαδικασίες επανέναρξης εργασιών στο εναλλακτικό κτήριο (υπολογιστές, τηλέφωνα, fax, δίκτυα, mail, υλικά, εφαρμογές, help desk, αλληλογραφία κ.λπ.).

C. Εναλλακτικές διαδικασίες λειτουργίας

  • Oι χρήστες επινοούν τρόπους αντικατάστασης της κανονικής διαδικασίας, με το ίδιο ή παρεμφερές αποτέλεσμα.
  • Καλύπτουν τις ανάγκες συνεχούς λειτουργίας της επιχείρησης κατά τη διάρκεια της κρίσης.
  • Δημιουργούνται και συμπληρωματικές διαδικασίες για την επαναφορά σε κανονική λειτουργία.

D. Μέτρα προστασίας

  • Στοχεύουν στην ελαχιστοποίηση των επιπτώσεων σε περίπτωση που συμβεί μία καταστροφή, π.χ. απομάκρυνση μη κατεστραμμένων εγγράφων και συσκευών, αποθήκευση e-mail κ.λπ.

Ε. Σύστημα διαχείρισης κρίσεων

  • Κλιμάκωση των διαδικασιών ανάκαμψης ανάλογα με τη σπουδαιότητά τους.
  • Τρόποι και μέσα παρέμβασης της Μονάδας Διαχείρισης Κρίσεων.
  • Διαδικασίες ενημέρωσης της Διοίκησης για την εξέλιξη του BCP.
  • Μέσα επικοινωνίας διαθέσιμα στο προσωπικό (laptops, portals, κινητά τηλέφωνα).

F. Επιστροφή σε κανονική λειτουργία

  • Διαδικασίες διακοπής εναλλακτικών λειτουργιών και επαναφοράς σε κανονική λειτουργία.

Για τη δημιουργία ενός ολοκληρωμένου και σωστά δομημένου BCP πρέπει να χρησιμοποιηθεί μια εγκεκριμένη μεθοδολογία. Διεθνώς υπάρχουν 2 αναγνωρισμένοι επαγγελματικοί οργανισμοί, οι οποίοι δραστηριοποιούνται αποκλειστικά στην Επιχειρησιακή Συνέχεια, εκδίδοντας BCP standards και μεθοδολογίες.

Αυτοί είναι:

  • Disaster Recovery International Institute (DRI), ΗΠΑ
  • Business Continuity Institute (BCI), Ενωμένο Βασίλειο

Οι μεθοδολογίες των 2 αυτών οργανισμών διαφέρουν κάπως, αλλά τα βήματα και οι διαδικασίες είναι πανομοιότυπες. Τα βασικά βήματα της μεθοδολογίας σχεδιασμού και υλοποίησης ενός BCP μπορούν να περιγραφούν σε 5 φάσεις, ως εξής:

  1. Οργάνωση και έναρξη του έργου BCP.
  2. Ανάλυση απαιτήσεων, σχεδιασμός λύσεων και εκτίμηση κόστους.
  3. Υλοποίηση προτεινόμενων λύσεων.
  4. Δοκιμές και επικύρωση του BCP.
  5. Ενημέρωση και έλεγχος σε τακτή βάση.

Στη συνέχεια θα περιγράψουμε συνοπτικά τις φάσεις δημιουργίας του BCP.

Φάση 1: Οργάνωση και έναρξη του έργου BCP
Η επιτυχής ολοκλήρωση κάθε μεγάλου έργου εξαρτάται απόλυτα από τη δέσμευση και την ενεργό συμμετοχή της Διοίκησης. Πολύ δε περισσότερο για το BCP, όπου το κόστος είναι υψηλό και τα αποτελέσματα όχι άμεσα ορατά. Γι’ αυτό, το πρώτο βήμα είναι η δημιουργία Οργανωτικής Επιτροπής BCP, η οποία θα αποτελείται από υψηλά ιστάμενα διοικητικά στελέχη με αρμοδιότητες την έγκριση των παραδοτέων της κάθε φάσης δημιουργίας του σχεδίου, καθώς και του προϋπολογισμού του.
Στη συνέχεια, ορίζεται ο υπεύθυνος για το BCP, στέλεχος με αυξημένες αρμοδιότητες και εμπειρία στη διαχείριση μεγάλων έργων. Αυτός θα συντονίζει τη δράση των επιμέρους ομάδων, θα παρουσιάζει την πρόοδο του έργου στην Οργανωτική Επιτροπή, θα καταγράψει συνολικά τις ανάγκες των χρηστών για τη συνέχιση των εργασιών τους, θα συντονίσει τις δοκιμές και θα ελέγξει τις διορθωτικές ενέργειες.
Ο υπεύθυνος BCP εισηγείται στην Οργανωτική Επιτροπή τη δημιουργία και στελέχωση της ομάδας έργου BCP. Στην ομάδα έργου πρέπει να εκπροσωπούνται τουλάχιστον τα τμήματα Πληροφορικής Οργάνωσης, Παραγωγής, Επικοινωνίας, Ανθρώπινου Δυναμικού και Διαχείρισης (Logistics). Οι αρμοδιότητες της ομάδας έργου περιλαμβάνουν τη συμμετοχή στη σύνθεση των απαιτήσεων επιχειρησιακής συνέχειας, συνδέοντας τις λειτουργικές, τεχνικές και τεχνολογικές υποδομές στην εκπόνηση εναλλακτικών τρόπων λειτουργίας, στην επιλογή του τελικού BCP, στη συμμετοχή στις δοκιμές και στην έγκριση των αποτελεσμάτων. Επίσης επεξεργάζεται σχέδιο επικοινωνίας του BCP εντός της επιχείρησης, καθώς και προς πελάτες και ΜΜΕ σε περίπτωση κρίσης.

Εκτός από την ομάδα έργου ορίζονται και εκπρόσωποι BCP σε κάθε μία Διεύθυνση της επιχείρησης. Πρόκειται για έμπειρα στελέχη, με ικανότητες λήψης αποφάσεων, τα οποία θα κληθούν να συμπληρώσουν ερωτηματολόγια, να προτείνουν εναλλακτικές διαδικασίες, να συμμετέχουν σε δοκιμές και μετά το πέρας του BCP να συμμετέχουν στην τακτική ενημέρωσή του.

Φάση 2: Ανάλυση απαιτήσεων, σχεδιασμός λύσεων και εκτίμηση κόστους
Η δεύτερη φάση του έργου στοχεύει στην ανάλυση και σύσταση των απαιτήσεων σε ανθρώπινο δυναμικό, συστήματα πληροφορικής, θέσεις εργασίας, συσκευές επικοινωνίας, αναλώσιμα κ.λπ., ώστε το BCP να λειτουργήσει αποτελεσματικά, καθώς και προσδιορισμό πιθανών εναλλακτικών λύσεων σε περίπτωση όπου η κύρια διαδικασία δεν είναι εφικτή.
Το παραδοτέο της φάσης 2 είναι η ανάλυση Επιχειρηματικών Επιπτώσεων -Business Impact Analysis (BIA), η οποία απαντάει στις εξής ερωτήσεις:

  • Ποιες είναι οι κρίσιμες επιχειρηματικές λειτουργίες;
  • Ποιοι είναι οι κρίσιμοι πόροι που τις υποστηρίζουν;
  • Ποιο είναι το αποδεκτό χρονικό διάστημα ανάκαμψης των κρίσιμων επιχειρηματικών λειτουργιών, έτσι ώστε να μην καταγραφούν ζημιές πέρα από τα όρια αντοχής της επιχείρησης;

H BIA πρέπει να δίνει απαντήσεις στα ερωτήματα αυτά και να περιλαμβάνει:

  • Kατάλογο με τις κρίσιμες λειτουργίες που θα καλυφθούν από το BCP.
  • Υπολογισμό για κάθε κρίσιμη διαδικασία των απαιτήσεων συνεχούς λειτουργίας.
  • Ενέργειες που πρέπει να γίνουν σε περίπτωση καταστροφικού γεγονότος.
  • Απαραίτητους πόρους (προσωπικό, συστήματα IT, υλικά, αναλώσιμα κ.λπ.).
  • Αρχικό κόστος υλοποίησης του BCP.

Φάση 3: Υλοποίηση προτεινόμενων λύσεων
Κατά τη διάρκεια της 3ης φάσης, επιλέγεται και υλοποιείται η βέλτιστη λύση για τη διασφάλιση της επιχειρηματικής συνέχειας:

  • Προσδιορίζεται το εναλλακτικό κτήριο για το προσωπικό. Αυτό μπορεί να είναι ένα άλλο κτήριο της εταιρείας σε άλλη περιοχή ή να νοικιαστεί ειδικά για την περίπτωση.
  • Δημιουργείται Εναλλακτικό Κέντρο Πληροφορικής – Disaster Recovery Site.
  • Συγκροτείται Μονάδα Διαχείρισης Κρίσεων και τεκμηριώνονται οι διαδικασίες λειτουργίας της.
  • Τυποποιούνται οι εναλλακτικοί τρόποι λειτουργίας για τις κρίσιμες διαδικασίες, καθώς και τα μέτρα προστασίας.

Φάση 4: Δοκιμές και επικύρωση του BCP
Είναι η ώρα της αλήθειας, που θα καταδείξει αν το BCP λειτουργεί όπως σχεδιάστηκε και σύμφωνα με τα αναμενόμενα. Οι δοκιμές του BCP γίνονται βάσει συγκεκριμένων σεναρίων, που καλύπτουν τις πιο συχνές ή αναμενόμενες καταστροφές, όπως π.χ. σεισμός, πυρκαγιά, πλημμύρα, πανδημία. Τα αποτελέσματα, αφού ελεγχθούν από τους χρήστες και την ομάδα έργου, παρουσιάζονται προς έγκριση στην Οργανωτική Επιτροπή.

Οι στόχοι της φάσης αυτής είναι:

  • Οι κρίσιμες λειτουργίες της επιχείρησης ανακάμπτουν στον προκαθορισμένο χρόνο.
  • Το προσωπικό είναι επαρκώς εκπαιδευμένο και ανταποκρίνεται στα καθήκοντά του.
  • Οι απαιτούμενοι πόροι είναι διαθέσιμοι και επαρκούν.
  • Η επιχείρηση είναι ικανή να επιστρέψει σε κανονικό ρυθμό λειτουργίας – και
  • Η επιχείρηση είναι ικανή να διαχειριστεί την κρίση.

Οι δοκιμές διακρίνονται σε:

1. Τεχνικές (π.χ. στήσιμο γραφείων, υπολογιστών, servers, τηλεφώνων, πρόσβαση σε εφαρμογές IT κ.λπ.).
2. Τμηματικές, όπου δοκιμάζεται το BCP σε τμήμα της επιχείρησης και για ορισμένες λειτουργίες.
3. Συνολικές, όπου εκτιμάται η συνολική λειτουργικότητα και αποτελεσματικότητα του BCP. Η επιτυχία μιας συνολικής δοκιμής εκτιμάται στις post-test αναφορές των χρηστών και στη συνολική αναφορά των αποτελεσμάτων.
4. Πολλαπλές, όπου η καταστροφή επηρεάζει πολλές αυτοτελείς μονάδες της επιχείρησης (π.χ. θυγατρικές), με αποτέλεσμα την ταυτόχρονη ενεργοποίηση διαφορετικών BCP.

Το BCP είναι επιτέλους έτοιμο! Αλλά η χαρά μας δεν κρατάει πολύ. Οι συχνές αλλαγές στη δομή, λειτουργία, ακόμα και στον προσανατολισμό μιας επιχείρησης, επιβάλλουν την τακτική ενημέρωση του BCP με τα νέα δεδομένα.

Φάση 5: Ενημέρωση και έλεγχος σε τακτή βάση
Ο σκοπός της 5ης φάσης είναι η δημιουργία διαδικασιών που θα διατηρήσουν το BCP σε κατάσταση ετοιμότητας, καθώς και ο έλεγχός τους από ανεξάρτητη οντότητα.

Τα βήματα της φάσης αυτής είναι:

  • Προσδιορισμός του ownership και των αρμοδιοτήτων για την ενημέρωση του BCP.
  • Διαδικασία ενημέρωσης των αρμοδίων για τις αλλαγές στο επιχειρησιακό περιβάλλον, που επηρεάζουν το BCP.
  • Ορισμός των υπεύθυνων για τη συντήρηση του BCP.
  • Διαδικασία version control που επιβεβαιώνει την τακτική συντήρηση του BCP.

Συμπέρασμα
Η διασφάλιση της Επιχειρηματικής Συνέχειας είναι θέμα ζωτικής σημασίας για κάθε επιχείρηση. Οι Διοικήσεις που αποτυγχάνουν να προστατέψουν τις επιχειρήσεις τους, είναι υπόλογες στους εργαζόμενους, στους μετόχους, στους εταίρους, στις κανονιστικές αρχές και στους πελάτες τους. Η Επιχειρηματική Συνέχεια αποτελεί αναπόσπαστο τμήμα της καθημερινής επιχειρηματικής λειτουργίας. Χωρίς ένα αποτελεσματικό BCP, ο βαθμός κινδύνου που απορρέει από μια καταστροφή, αυξάνεται σημαντικά καθώς η επιχείρηση αδυνατεί να ανταποκριθεί στις σημερινές προκλήσεις του επιχειρηματικού περιβάλλοντος.

‘Θέλετε μια συμβουλή για την επιτυχία της επιχείρησής σας; Ένα απλό αλλά αποτελεσματικό Business Continuity Plan, που αναθεωρείται και δοκιμάζεται τακτικά’.
Eliza Manninham-Buller, πρώην Γενική Διευθύντρια της MI5. Νοέμβριος 2004.

Πηγές: Information Systems Audit & Control Association, Credit Agricole S.A., Business Continuity Institute, Federal Financial Institution Examination Council.

Της Ελένης Σωτηρίου
CISA, CISM