Πιστοποίηση Διαχείρισης Επιχειρησιακής Συνέχειας

Τι είναι το Business Continuity και πώς επιτυγχάνεται;
Επιχειρησιακή συνέχεια είναι η δυνατότητα συνέχισης των επιχειρησιακών δραστηριοτήτων ενός Οργανισμού σε προδιαγεγραμμένο χρόνο και επίπεδο, ακόμα και αν υπάρχει περιστατικό διαταραχής. Με απλά λόγια, ακόμα και στην περίπτωση όπου ένας Οργανισμός που παρέχει πανελλαδικά υπηρεσίες από τα κεντρικά του γραφεία στην Αθήνα, χάσει τη δυνατότητα πρόσβασης στο κεντρικό του κτήριο, να συνεχίσει να δίνει τις υπηρεσίες αυτές μέσα σε αποδεκτό χρόνο και επίπεδο (π.χ. μόνο την υπηρεσία τεχνικής υποστήριξης μέσω τηλεφώνου, εντός 2 ωρών από το περιστατικό).

Πώς μπορεί να επιτευχθεί αυτό;
Εφαρμόζοντας ένα σύστημα διαχείρισης επιχειρησιακής συνέχειας, ο Οργανισμός θα αναλύσει τις δραστηριότητές του, θα αποτιμήσει τις επιπτώσεις διαφόρων κινδύνων στη δραστηριότητά του, θα αξιολογήσει τις επιλογές του, θα δημιουργήσει σχέδια, θα ενεργοποιήσει μηχανισμούς και θα ελέγχει, θα βελτιώνει και θα εξασκεί τα σχέδιά του, ώστε σε περίπτωση που χρειαστεί, να μπορεί να ενεργήσει άμεσα και στοχευμένα. Οι βασικοί στόχοι ενός συστήματος επιχειρησιακής συνέχειας είναι:
. Η προστασία του ανθρώπου
. Η μείωση των συνεπειών, όταν το περιστατικό λάβει χώρα και
. Η συνέχεια των επιχειρησιακών δραστηριοτήτων σε αποδεκτό χρόνο και επίπεδο.
Η ορθή λειτουργία αλλά και αποτελεσματικότητα ενός συστήματος διαχείρισης επιχειρησιακής συνέχειας, ελέγχεται και αξιολογείται από ένα διαπιστευμένο φορέα πιστοποίησης. Το επιστέγασμα της προσπάθειας αυτής είναι η απονομή του πιστοποιητικού. Το πιστοποιημένο σύστημα διαχείρισης έχει τα εξής επιπλέον πλεονεκτήματα:
. Ο Οργανισμός λαμβάνει μια ανεξάρτητη, έγκυρη και έμπειρη γνώμη, σε σχέση με την ορθότητα και αποτελεσματικότητα του συστήματος και των προβλέψεων για την επιχειρησιακή συνέχεια.
. Ο έλεγχος γίνεται σε τακτά χρονικά διαστήματα, επιβεβαιώνοντας όχι μόνο ότι το σύστημα δημιουργήθηκε, αλλά εξακολουθεί να υπάρχει, να δοκιμάζεται και να είναι γνωστό και κατανοητό στο εμπλεκόμενο προσωπικό.
. Το πιστοποιητικό, από τη στιγμή που απονέμεται από ένα διαπιστευμένο Οργανισμό, έχει διεθνή αναγνώριση και υψηλή αξία.
. Επίσης, το πιστοποιητικό αποτελεί έμπρακτη απόδειξη προς οποιονδήποτε τρίτο, σχετικά με τη δέσμευση του Οργανισμού για την επιχειρησιακή συνέχεια.

Ποια είναι η διαδικασία της πιστοποίησης
Ο Οργανισμός που επιθυμεί να επιθεωρηθεί για τη συμμόρφωσή του με τις απαιτήσεις του προτύπου ISO 22301:2012, πρέπει να ακολουθήσει την ακόλουθη διαδικασία, αφού έχει δημιουργήσει το σύστημα:
1. Συμπλήρωση και αποστολή της σχετικής αίτησης προκειμένου να λάβει οικονομική και τεχνική προσφορά.
2. Αποδοχή της προσφοράς.
3. Διενέργεια του 1ου σταδίου της επιθεώρησης: Το πρώτο στάδιο της επιθεώρησης περιλαμβάνει τον έλεγχο της βασικής τεκμηρίωσης του συστήματος και έχει ως βασικούς σκοπούς την εξακρίβωση ότι το σύστημα στο βασικό του σκελετό υπάρχει και ότι ο Οργανισμός είναι έτοιμος να προχωρήσει στο επόμενο στάδιο της επιθεώρησης. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο επόμενο βήμα.
4. Διενέργεια του 2ου σταδίου της επιθεώρησης: Το δεύτερο στάδιο της επιθεώρησης περιλαμβάνει τον επιτόπιο έλεγχο στις εγκαταστάσεις του Οργανισμού και έχει ως βασικούς σκοπούς την εξακρίβωση ότι το σύστημα υπάρχει, λειτουργεί και είναι αποτελεσματικό. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός μπορεί να προχωρήσει στο επόμενο βήμα.
5. Έκδοση του Πιστοποιητικού. Το πιστοποιητικό έχει τριετή διάρκεια ισχύος, με την προϋπόθεση ότι θα διεξάγεται με επιτυχία μια επιτόπια επιθεώρηση ανά έτος.
6. Διενέργεια της 1ης επιθεώρησης επιτήρησης: Η επιθεώρηση αυτή διεξάγεται το αργότερο 1 χρόνο μετά από το 2ο στάδιο της επιθεώρησης πιστοποίησης και έχει σκοπό τον έλεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του.
7. Διενέργεια της 2ης επιθεώρησης επιτήρησης: Η επιθεώρηση αυτή διεξάγεται το αργότερο 2 χρόνια μετά από το 2ο στάδιο της επιθεώρησης πιστοποίησης και έχει ως σκοπό τον έλεγχο για συνεχιζόμενη εφαρμογή, λειτουργία και βελτίωση του συστήματος. Με την επιτυχή ολοκλήρωση του σταδίου αυτού, ο Οργανισμός διατηρεί το πιστοποιητικό του.

Τι γίνεται στην επιθεώρηση
Ένα από τα σημεία στα οποία πολλοί έχουν απορίες, είναι το τι ακριβώς γίνεται στην επιθεώρηση. Κατά τη διάρκεια της επιθεώρησης, ο επιθεωρητής προσπαθεί να συλλέξει τεκμήρια ότι πράγματι το σύστημα που έχει δημιουργήσει ο Οργανισμός λειτουργεί, εφαρμόζεται και βελτιώνεται σύμφωνα με τις απαιτήσεις του προτύπου.
Η συλλογή των αντικειμενικών αυτών αποδείξεων μπορεί να γίνει με διάφορους τρόπους:
1. Με παρατήρηση από την πλευρά του επιθεωρητή: Π.χ., ας υποθέσουμε ότι μέρος του σχεδίου επιχειρησιακής συνέχειας ενός Οργανισμού είναι η τήρηση ενός δευτερεύοντος site, το οποίο είναι σε κατάσταση “hot”. Ο επιθεωρητής θα πρέπει να δει τόσο τις προβλέψεις για το συγχρονισμό από την πλευρά του αρχικού / παραγωγικού site, αλλά και να επισκεφθεί το δευτερεύον site προκειμένου να λάβει και από εκεί τεκμήρια ότι υπάρχει και βρίσκεται σε ετοιμότητα.
2. Με συζητήσεις με το προσωπικό: Για ένα σύστημα επιχειρησιακής συνέχειας, ο άνθρωπος έχει ιδιαίτερη σημασία και παίζει καθοριστικό ρόλο στην ορθή λειτουργία και αποτελεσματικότητά του. Σε αυτήν την περίπτωση, ο επιθεωρητής θα πρέπει με σωστές ερωτήσεις που θα διευκολύνουν τη συζήτηση και θα παραβλέπουν το άγχος, να λάβει πληροφορίες σχετικά με το αν το άτομο αυτό γνωρίζει το ρόλο του στο σύστημα και έχει εξασκηθεί στη διενέργεια των καθηκόντων αυτών.
3. Με ανασκόπηση εγγράφων και έλεγχο αρχείων: Π.χ., ακρογωνιαίος λίθος ενός συστήματος επιχειρησιακής συνέχειας είναι η ανάλυση επιχειρησιακών επιπτώσεων. Ο επιθεωρητής θα πρέπει να ελέγξει τον τρόπο με τον οποίο δημιουργήθηκε η ανάλυση αυτή, αλλά και να κρίνει την ορθότητα και πληρότητά του.
Πότε προκύπτουν προβλήματα και τι γίνεται σε αυτήν την περίπτωση
Ένα από τα πιο συνηθισμένα προβλήματα που προκύπτουν στην επιθεώρηση, αφορά στην ύπαρξη διαφοράς ανάμεσα σε αυτό που θα ήθελε ο Οργανισμός να γίνεται και σε αυτό που τελικά αποδεικνύεται μέσω της επιθεώρησης ότι γίνεται.
Υπάρχουν δηλαδή περιπτώσεις όπου στη διάρκεια της επιθεώρησης αποκαλύπτεται ότι, ενώ μια διαδικασία είναι αποτυπωμένη με έναν τρόπο, υλοποιείται διαφορετικά ή ότι κάτι που θα έπρεπε να γνωρίζει κάποιος, στην πραγματικότητα δεν το γνωρίζει. Ειδικά το τελευταίο, όταν αφορά σε εργασίες που πρέπει – σε συγκεκριμένο χρόνο και με συγκεκριμένο τρόπο – να υλοποιηθούν και μπορεί να επηρεάζουν και την υγεία και ασφάλεια του ατόμου, η επίπτωση λανθασμένης ή καθυστερημένης ενέργειας μεγιστοποιείται. Σε περίπτωση όπου κατά τη διάρκεια της επιθεώρησης παρατηρηθούν αποκλίσεις οι οποίες κριθούν σημαντικές και ότι επηρεάζουν την αποτελεσματικότητα του συστήματος, εκφράζονται Μη Συμμορφώσεις. Τις Μη Συμμορφώσεις ο Οργανισμός πρέπει να τις αντιμετωπίσει άμεσα και με επιτυχία, για να μπορεί το πιστοποιητικό του να εκδοθεί (στην περίπτωση της επιθεώρησης πιστοποίησης) ή να διατηρηθεί η ισχύς του (στην περίπτωση επιθεώρησης επιτήρησης).
Εκπαίδευση
Η ΤUV AUSTRIA HELLAS αποτελεί το μοναδικό Οργανισμό στην Ελλάδα που προσφέρει εκπαίδευση στις πρακτικές οι οποίες σχετίζονται με την επιχειρησιακή συνέχεια και που οδηγούν στην πιστοποίηση ως Business Continuity Practitioner του ISEB Αγγλίας, καθώς και στην πιστοποίηση Certificate of the BCI του διεθνούς Business Continuity Institute. Επιπλέον, η ΤUV AUSTRIA HELLAS προσφέρει εκπαίδευση και σε όλα τα αντικείμενα που πλαισιώνουν και υποστηρίζουν την επιχειρησιακή συνέχεια, όπως είναι η ετοιμότητα για περιστατικά, το ICT continuity, η ανάλυση κινδύνου, η αποτίμηση επιχειρησιακών επιπτώσεων, η ασφάλεια κ.ά. Όλα τα παραπάνω σεμινάρια είναι αναγνωρισμένα από τον ISACA και προσφέρουν CPEs. Περισσότερες πληροφορίες μπορούν να αντληθούν και από τον εκπαιδευτικό οδηγό στο: http://www.tuvaustriahellas.gr/gr/educational-2013.htm.

Λίγα λόγια για την TUV AUSTRIA HELLAS
Η ΤUV AUSTRIA HELLAS, 100% θυγατρική εταιρεία του Αυστριακού Οργανισμού ΤUV AUSTRIA GROUP, προσφέρει τις υπηρεσίες της από το 1994, αξιοποιώντας την τεχνογνωσία και την επιστημονική υποστήριξη του ΤUV AUSTRIA GROUP και κατέχει σήμερα μία από τις πρώτες θέσεις στον τομέα της επιθεώρησης, της πιστοποίησης και των τεχνικών ελέγχων στη χώρα μας. Διαθέτει στην Ελλάδα παραρτήματα στη Θεσσαλονίκη και στο Ηράκλειο της Κρήτης, ενώ στο εξωτερικό δραστηριοποιείται με αποκλειστικούς αντιπροσώπους σε Κύπρο, Ιορδανία, Τουρκία, Αλβανία, Ισραήλ, Αίγυπτο, Υεμένη, Κατάρ, Πακιστάν και Κορέα. Ειδικά στο χώρο της επιχειρησιακής συνέχειας και της πληροφορικής, κατέχει την ηγετική θέση στην Ελλάδα, έχοντας αποδώσει περισσότερο από το 70% των πιστοποιητικών στην αγορά.Η ΤUV AUSTRIA HELLAS είναι διαπιστευμένος φορέας για τα παραπάνω αντικείμενα, από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) και κατέχει τη διαπίστευση για την επιχειρησιακή συνέχεια, αρχικά με την έκδοση του BSI, BS 25999 και εν συνεχεία με την έκδοση του προτύπου από τον ISO, στο ISO 22301.

Αργυρώ Χατζοπούλου
Επικεφαλής Επιθεωρήτρια – ISO 22301, ISO 27001, ISO 20000, ISO 9001, CISA, HISP, CCSK, ISEB BCMP, PRINCE (P)
Υπεύθυνη Τμήματος Ασφάλειας Πληροφοριών & Επιχειρησιακής Συνέχειας
TUV AUSTRIA HELLAS