Πρόσφατα γεγονότα και καταστροφές που οδήγησαν σε σημαντικά προβλήματα στη λειτουργία επιχειρήσεων σε όλο τον κόσμο, καταδεικνύουν τη σημασία που έχει ένα ισχυρό και ώριμο πλαίσιο Σχεδιασμού Επιχειρησιακής Συνέχειας (ΣΕΣ) (Business Continuity Management, BCM) ως μέρος του ευρύτερου επιχειρησιακού σχεδιασμού. Η Επιχειρησιακή Συνέχεια είναι πλέον μια καθιερωμένη συνιστώσα των πλαισίων διαχείρισης κινδύνων σε πολλές ώριμες επιχειρήσεις, με βασική δραστηριότητα την ανάλυση των επιχειρησιακών επιπτώσεων (Business Impact Analysis, BIA), η οποία πραγματοποιείται περιοδικά ή μετά από σημαντικές αλλαγές (π.χ. εφαρμογή νέων συστημάτων, μετάβαση σε τρίτους παρόχους, systems virtualization, υιοθέτηση του cloud computing, νέες επιχειρησιακές διαδικασίες και οργανωτική δομή). Ιδιαίτερα οι αλλαγές σε τεχνολογικό επίπεδο μπορεί να αποτελούν ευκαιρίες για τη βελτίωση των σχεδίων ΣΕΣ, μείωση των χρόνων ανάκαμψης και βελτιστοποίησης του κόστους.
Οι σύγχρονες τάσεις και επιδράσεις στον τρόπο σχεδιασμού προγραμμάτων ΣΕΣ περιλαμβάνουν:
- Ταχέως μεταβαλλόμενο επιχειρηματικό περιβάλλον, το οποίο ασκεί πιέσεις για τη συνεχή προσαρμογή των υποστηρικτικών δομών και την ελαχιστοποίηση προγραμματισμένων ή μη διακοπών λειτουργίας.
- Διεθνοποιημένες δραστηριότητες και μεταφορά λειτουργιών σε εξωτερικούς συνεργάτες / τρίτα μέρη που λειτουργούν σε παγκόσμια κλίμακα.
- Κανονιστικές απαιτήσεις που συνδέονται και με συμβατικές υποχρεώσεις κατά τη συνεργασία με παρόχους υπηρεσιών για τον πλήρη καθορισμό ρόλων και αρμοδιοτήτων, τοποθεσία δεδομένων και υποχρεώσεις των εμπλεκομένων.
- Νέες τεχνολογίες όπως virtualization, cloud computing και βελτιωμένες λύσεις αποθήκευσης δεδομένων, δίνουν τη δυνατότητα για την υλοποίηση πιο ευέλικτων λύσεων και αυξημένων δυνατοτήτων ταχύτερης ανάκαμψης, ενώ τα κοινωνικά δίκτυα και οι φορητές συσκευές αυξάνουν τις δυνατότητες επικοινωνίας, ακόμη και κατά την ενεργοποίηση των ΣΕΣ.
Ειδικότερα, οι νέες τεχνολογίες μπορούν να επηρεάσουν θετικά τις ακόλουθες διαστάσεις των ΣΕΣ:
- Χρόνοι ανάκαμψης λειτουργιών και δεδομένων (RTOs and RPOs).
- Αυξημένη ανθεκτικότητα των υφιστάμενων υποδομών και μεγαλύτερη ευελιξία κατά την επιλογή λύσεων ανάκαμψης [π.χ. cloud computing με μοντέλα Disaster Recovery or Replication as a Service (DRaaS), Backup as a Service (BaaS), Storage as a Service (STaaS) and Software as a Service (SaaS)].
- Βελτιστοποίηση του κόστους για τον εξοπλισμό που απαιτείται για ενεργοποίηση ΣΕΣ (π.χ. μέσω virtualization).
- Νέα μέσα και βελτιστοποίηση επικοινωνίας τόσο μεταξύ των ομάδων ανάκαμψης (π.χ. mobile devices με αντίγραφα του ΣΕΣ) όσο και με πελάτες/συνεργάτες/ευρύτερο κοινό (π.χ. χρήση social media).
Ως προς τη διαχείριση κινδύνων, η απώλεια εσόδων, οι οικονομικές κυρώσεις, η απώλεια ανταγωνιστικού πλεονεκτήματος και οι επιπτώσεις στη φήμη είναι μερικοί από τους σημαντικούς κινδύνους που καλείται να αντιμετωπίσει ένας Οργανισμός, εφαρμόζοντας ένα αποτελεσματικό και δοκιμασμένο στην πράξη ΣΕΣ. Η ανάλυση των κινδύνων θα πρέπει να λαμβάνει σημαντικές οργανωτικές αλλαγές (π.χ. εξαγορές ή αναδιαρθρώσεις), αλλαγές στην τεχνολογία, αλλά και γεωγραφικές αλλαγές (π.χ. μετεγκατάσταση). Η Ανάλυση Επιχειρησιακών Επιπτώσεων (ΒΙΑ) χρησιμοποιείται για τον προσδιορισμό της βέλτιστης στρατηγικής ανάκαμψης και των επιχειρηματικών διαδικασιών που πρέπει να αποκατασταθούν και ποτέ μετά από ένα καταστροφικό γεγονός. Το επίπεδο της πολυπλοκότητας κατά την ανάλυση επιχειρησιακών διαδικασιών και των πόρων πληροφορικής που χρησιμοποιούν, αποτελεί μια πρόκληση για πολλές επιχειρήσεις, ειδικά για εκείνες που υιοθετούν νέες τεχνολογίες. Ως εκ τούτου, ιδιαίτερη προσοχή θα πρέπει να δοθεί στη μελέτη BIA και ειδικά στη συχνότητα και το βάθος αυτής. Επίσης η υποστήριξη της Διοίκησης είναι θεμελιώδους σημασίας για την επιτυχία ενός αποτελεσματικού προγράμματος ΣΕΣ, καθώς και η εφαρμογή επαρκών πολιτικών και διαδικασιών για τον επιτυχή σχεδιασμό, υλοποίηση και συντήρηση του ΣΕΣ.
Η ελεγκτική προσέγγιση σε θέματα ΣΕΣ στοχεύει στο να διασφαλίσει την ύπαρξη μιας ώριμης διαδικασίας για την αξιολόγηση των κινδύνων και το σχεδιασμό, υλοποίηση και δοκιμή ΣΕΣ, λαμβάνοντας υπόψη και τα σχετικά πρότυπα/βέλτιστες πρακτικές (π.χ. ISO, COBIT5). Το COBITR 5: Enabling Processes και το IT Continuity Planning Audit/ Assurance Program του ISACA παρέχουν έναν πλήρη οδηγό για τον ελεγκτή, ώστε να σχεδιάσει και να εκτελέσει μια αξιολόγηση της επιχειρησιακής συνέχειας.
Συνοψίζοντας, τα προγράμματα ΣΕΣ θα πρέπει να συνεχίσουν να εξελίσσονται ως επιχειρηματικές πρακτικές μέσω και των αναδυόμενων τεχνολογιών και να υποστηρίζουν το διαρκώς μεταβαλλόμενο τοπίο των επιχειρήσεων. Οι αυξημένες προσδοκίες των πελατών αλλά και οι υψηλές κανονιστικές απαιτήσεις, καταδεικνύουν ότι τα προγράμματα ΣΕΣ θα πρέπει να ευθυγραμμιστούν με την επιχειρηματική στρατηγική, ταυτόχρονα με περιοδικές δοκιμές, ενημερώσεις και βελτιώσεις, έτσι ώστε να ελαχιστοποιούνται οι σχετικοί κίνδυνοι και να αυξάνονται τα οφέλη.
Αναφορά:
Από το ISACA White Paper “Business Continuity Management: Emerging Trends”, 12/2012
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Business-Continuity-Management-Emerging-Trends.aspx
Ανέστης Δημόπουλος
CISA, CRISC, CGEIT
Αντιπρόεδρος Δ.Σ. ISACA Athens Chapter
