Kategorie
BLOG Wiedza

Zarządzanie ciągłością działania

Coraz więcej firm świadczy usługi w modelu 24x7x365. Przerwa w działaniu może wiązać się z ogromnymi stratami dla przedsiębiorstwa. Straty mogą być tylko finansowe, ale też mogą mieć wpływ na wizerunek i wiarygodność lub wręcz zagrozić istnieniu firmy lub instytucji. Aby przeciwdziałać negatywnym skutkom mających wpływ na ciągłość działania, organizacje wprowadzają planowanie ciągłości działania (z ang. Business Continuity Planning – BCP). BCP to zbiór aktywności w zakresie tworzenia, weryfikacji i aktualizacji planów wznawiania działania w obszarze kluczowych procesów organizacji, w przypadku wystąpienia awarii lub katastrofy takiej jak:

  • zagrożenie naturalne (pożar, trzęsienie ziemi, epidemia/pandemia),
  • zagrożenie techniczne (powódź, katastrofa budowlana, skażenie chemiczne),
  • zagrożenie umyślne (sabotaż, terroryzm).

Są to sytuacje o niskim prawdopodobieństwie zaistnienia, ale o potężnych skutkach.

Kluczowe elementy BCP to:

  • Ustalenie, w jaki sposób zidentyfikowane ryzyka wpłyną na działanie organizacji,
  • Wdrożenie zabezpieczeń i procedur ograniczających ryzyko,
  • Testowanie procedur w celu upewnienia się, że działają,
  • Przegląd procesu, aby upewnić się, że jest aktualny.

Firmy wykorzystują normę ISO 22301:2019 do zarządzania ciągłością działania i tworzenia planów awaryjnych.

Zarządzanie ciągłością działania – BCM

Gdy przedsiębiorstwo lub instytucja nie może kontynuować działalności w podstawowej lokalizacji, dla zachowania ciągłości działania przenosi, do lokalizacji zapasowej kluczowe procesy w zakresie niezbędnym, do jej konturowania do czasu powrotu do lokalizacji podstawowej.

Elementy procesu zarządzania ciągłością działania (BCM):

  • Analiza ryzyka.
  • Analiza procesów biznesowych.
  • Identyfikacja kluczowych procesów.
  • Utworzenie planów ciągłości działania.
  • Wdrożenie BCP
  • Testy wdrożonych rozwiązań i procedur.
  • Szkolenia.

W jednym z wcześniejszych postów pisaliśmy o myśleniu o IT w kontekście zarządzania ryzykiem. Zarządzanie ciągłością działania jest kontynuacją tego podejścia. Dzięki niemu możemy zmitygować ryzyko związane z mało prawdopodobnymi, ale brzemiennymi w skutkach zdarzeniami. BCP są zaprojektowane w celu ochrony personelu i aktywów oraz zapewnienia, że szybko mogą wrócić do funkcjonowania po katastrofie.

Źródło: https://www.iso.org

Kategorie
BLOG Doświadczenie Wiedza

Przestaw myślenie na zarządzanie ryzykiem

Wczoraj zadzwonił do mnie kolega z zaprzyjaźnionej firmy i zaczął opowiadać o wspólnym przedsięwzięciu, którego mielibyśmy się razem podjąć. Szybko przedstawił swój pomysł i już w drugim zdaniu zaczął snuć opowieść o zyskach jakie spłyną na obie nasze firmy. Układałem sobie całą jego historie w głowie i w końcu odezwałem się: Jakie są ryzyka tego projektu?
Przytoczyłem tę krótką historię dlatego, że każdy dobry biznes, dobry biznesplan musi mieć oprócz pomysłowości, kreatywności i energii także analizę ryzyka i na tym chciałbym się dziś chwilę zatrzymać.
Zarządzanie ryzykiem to proces identyfikacji, oszacowania ryzyka oraz ograniczenia go do akceptowalnego poziomu i zapewnienia, że na tym poziomie pozostanie. Nie ma środowiska IT w 100% zabezpieczonego. W każdym można znaleźć podatności i zagrożenia. Wyzwaniem jest ich identyfikacja, oszacowanie prawdopodobieństwa ich wystąpienia i szkód jakie mogą spowodować, a następnie podjęcie właściwych kroków aby zredukować poziom ryzyka wystąpienia do poziomu akceptowalnego przez organizacje. Ryzyka w świecie IT możemy podzielić na:

Rodzaje ryzyka IT

Transformacja cyfrowa ujawniła wiele obszarów, na których powinny się skupiać zespoły ds. ryzyka i cyberbezpieczeństwa. Realizując inicjatywy cyfrowe, organizacje zwracają uwagę na wyniki finansowe, reputacje firmy i relacji z klientami jako najbardziej negatywne konsekwencje związane z ryzykiem cyfrowym.
Decydując się na zwiększenie przetwarzania w chmurze, budowę nowych aplikacji dla klientów, aplikacji mobilnych, szukając zaawansowanej analityki czy też automatyzacji procesów, organizacje mogą mieć trudności ze określeniem, na czym polega konkretne zagrożenie.
W związku z tym firmy powinny podjąć działania, które pozwolą zminimalizować prawdopodobieństwo negatywnego scenariusza:

5 kroków do zarządzania ryzykiem

O tym, że warto podejmować wszystkie działania związane z minimalizacją ryzyka niech świadczą następujące informacje. Według raportu firmy RSA z 2018 roku „Current State of Cybercrime” 60% fraudów finansowych ma miejsce przez aplikacje mobilne. Natomiast z raportu firmy Positive Technologies „Vulnerabilities and threats in mobile applications” wynika, że 76% aplikacji mobilnych ma wady pozwalające hakerom na kradzież haseł, pieniędzy lub informacji.

Takich smutnych statystyk można by przytaczać wiele. Dodam może jeszcze na zakończenie jedną informacje z Positive Technologies: 60% ataków w roku 2019 to były ataki kierowane. Zarządzanie ryzykiem i cyberbezpieczeństwo powinny iść w parze. Nigdy nie wiem kiedy trafimy na celownik hakerów!