Любая организация зависит от совместной работы профессионалов различных областей на достижение общих результатов. Исключительно редко возможно достичь целостного успеха, не выходя за рамки собственной компетенции.
И чем масштабнее становится бизнес, тем более нетривиальной задачей становится обеспечение его устойчивости, ведь для ее решения необходимо распутать клубок взаимозависимости людей процессов и технологий. Такая задача требует совместной работы бизнеса, технических специалистов, безопасников и рисковиков для того, чтобы рассмотреть возможные последствия остановки деятельности организации со всех точек зрения.
На выходе такой комплексный подход к вопросам обеспечения непрерывности позволит не только выявить необходимость резервирования особенно важных активов, но и получить побочный положительный эффект от оптимизации процессов и устранения «бутылочных горлышек».
BCM вступает в игру
Вот тут и приходит на помощь Business continuity management (BCM), другими словами, система менеджмента непрерывности деятельности. В сущности, это подход, который позволяет разработать планы действий на случай непредвиденных обстоятельств. Обычно в организациях уже есть некий набор сформированных планов: план эвакуации из здания, одиноко висящий на стене; план восстановления ИТ-инфраструктуры, который лежит в столе у системного администратора. При этом, насколько пострадает сам бизнес, если «ляжет» ИТ-инфраструктура, чаще всего никто не знает.
В рамках BCM как раз и проводится комплексный анализ бизнес-процессов организации в разрезе того, какие финансовые, юридические, репутационные и любые другие виды последствий ждут компанию, если они пострадают. Принимая во внимание цифровизацию всего и вся, оценивается также зависимость бизнес-процессов от информационных систем и таким образом выстраивается прямая зависимость бизнеса от ИТ.
На основании такого анализа выявляются наиболее критичные бизнес-процессы, те сущности, от которых они зависят (помимо информационных систем, это могут быть поставщики, помещения, оборудование и т.д.), а также основные метрики их восстановления. Таким образом, появляется четкое понимание, какие бизнес-процессы жизненно необходимо поддерживать в первую очередь.
По результатам составляются планы обеспечения непрерывности (для конкретного бизнес-процесса либо для их совокупности), где расписано по шагам, что и кому необходимо предпринимать в случае той или иной чрезвычайной ситуации. Простой пример: сгорело здание. План непрерывности предписывает перевести часть сотрудников на удаленную работу, а часть – на альтернативную площадку. Возникнет проблема: а готова ли у нас альтернативная площадка? Ответом на него будет регулярное тестирование каждого плана непрерывности, в процессе которого сразу станет понятно, есть ли куда переезжать и укладываемся ли мы во временной норматив.
Всем ли то нужно, и кто этим будет заниматься?
Зачем нужен BCM, мы выяснили. Теперь надо понять, всем ли он нужен и в каком объеме. Уровень внедрения процессов BCM во многом зависит от размера и зрелости компании. Если она относительно невелика, то полноценный анализ бизнес-процессов необязателен, так как, ввиду их небольшого количества, и так понятно, какие из них являются критическими и нуждаются в первоочередной поддержке.
А вот для крупных предприятий со сложной распределенной структурой и тысячами бизнес-процессов комплексный BCM фактически необходим. Более того, в некоторых областях обеспечение непрерывности становится обязательным и управляется регуляторными предписаниями (работники банковской сферы не дадут соврать). Сразу становится очевидным, что вручную, с помощью большого количества таблиц, разработать планы обеспечения непрерывности будет поистине титанической задачей. Человеческий фактор никто не исключал, и количество неверных данных, ошибок при заполнении таблиц будет расти как снежный ком и затянет проект на долгие месяцы. Здесь преимущество автоматизированного BCM становится неоспоримыми (ниже поговорим об этом чуть подробнее).
И тут мы подходим к еще одной болевой точке: «А кто же в организации будет этим заниматься?». Даже в зрелых компаниях, как правило, нет выделенного отдела обеспечения непрерывности. Этим могут заниматься специалисты по рискам либо отдел информационной безопасности в тесном сотрудничестве с ИТ. На самом деле, не стоит расценивать обеспечение непрерывности как некую дополнительную ношу, которую навязали вашему отделу. Не секрет, что в компаниях взаимодействие между бизнесом и техническими отделами идет со скрипом. BCM становится точкой пересечения интересов и позволяет «технарям» лучше понять потребности бизнеса, а бизнесу, в свою очередь, дает осознание, что на ИБ и ИТ можно и нужно тратить больше денег.
Но ведь живут же многие организации без BCM?
На самом деле, практически у всех организаций есть какой-то уровень подготовки к чрезвычайным ситуациям. Вопрос лишь в том, насколько эффективный и взвешенный подход применяется для составления этого плана. Зачастую зачатки планов обеспечения непрерывности формируются по наитию кем-либо из ответственных сотрудников, например, сисадмин держит резерв рабочих станций про запас и бэкапирует важные, по его мнению, сервисы. Это может привести к недооценке возможных последствий и потенциальным потерям для организации.
Построение полноценного процесса обеспечения непрерывности позволит организации ответственно и рационально подойти к вопросам выделения ресурсов, подготовки и тестирования планов действий на случай наступления чрезвычайной ситуации. Одним из ключевых аспектов в формировании плана обеспечения непрерывности является анализ и расчет рисков. Исходя из полученных данных, организация может определить, какие резервы необходимо формировать, какие процессы нуждаются в бэкапировании и какие ресурсы следует выделять на эти цели. Только таким образом она сможет быть уверена в своей способности эффективно справиться с непредвиденными обстоятельствами и минимизировать потери.
И все же, зачем автоматизация и чем хуже Excel?
Когда компания маленькая, учет и оценка бизнес-процессов, ресурсов, а также проведение опросов в рамках импакт-анализа могут проводиться без автоматизации. Однако с увеличением числа департаментов и структурной сложности организации объем документации растет по экспоненте. К тому же, при проведении оценок последствий, подготовке планов непрерывности или тестовых испытаний приходится копировать данные из одного документа в другой, что может привести к ошибкам и трате времени.
В данной ситуации автоматизация процессов позволяет сформировать модель данных и обеспечить их переиспользование без необходимости ручных действий. Реализовав процессы в рамках одной системы, можно эффективно управлять областями видимости и правами доступа для совместной работы. Кроме того, автоматизация позволяет настроить автоматический сбор и обработку информации, например, результаты заполненных опросных листов могут сразу пройти анализ, а также проверку наличия бэкапов согласно политике резервного копирования.
Таким образом, использование систем автоматизации процессов позволяет компаниям значительно улучшить управление бизнес-процессами и ресурсами, избежать ошибок и существенно экономить время. В конечном итоге это способствует повышению эффективности компании и созданию благоприятных условий для развития ее деятельности.
Использование автоматизации для составления и визуализации модели взаимосвязей процессов и ресурсов также играет важную роль. Это позволяет компании проводить реинжиниринг своей деятельности, выявлять узкие места в процессах и перераспределять нагрузку для избежания рисков отказа ключевых элементов или излишних вложений в неиспользуемые мощности, что в свою очередь дает возможность оптимизировать работу компании и улучшить эффективность ее деятельности.
Заключение
И в заключение хотелось бы отметить ценность, которую вносит BCM в процессы управления инфраструктурой и ресурсами организации. Так, данные об инфраструктуре, собранные и хранимые с помощью процессов управления активами, могут быть обогащены сведениями об их бизнес-ценности, критичности и взаимосвязях через интерактивные опросные листы. На основании собранной информации можно смоделировать потенциальный ущерб от выхода из строя тех или иных ресурсов и составить адекватные планы реагирования и восстановления в случае чрезвычайной ситуации, а регулярные тестирования планов позволят быть уверенными в их актуальности.
Максим Анненков, эксперт по ИБ Security Vision
Максим Лунев, аналитик Отдела аналитики производственного департамента Security Vision