Strona główna Bezpieczeństwo biznesu Nie tylko BIA analizy z obszaru ryzyka pomocne w ciągłości działania

Nie tylko BIA analizy z obszaru ryzyka pomocne w ciągłości działania

Hubert Łabęcki


Każdy, kto miał styczność z zarządzaniem ciągłością działania (Business Continuity Management – BCM), jako fundament poznania i zrozumienia kluczowych elementów wskaże tzw. analizę wpływu zdarzenia lub analizę wpływu na działalność (Business Impact Analysis – BIA).

Czy rzeczywiście BIA to jedyna i wystarczająca analiza, jaką należy wykonać, i czy na podstawie wyników można zbudować efektywny system BCM? Nie!
Często jestem pytany o źródła informacji, z których można i należy korzystać podczas wdrażania BCM.

Przedstawię kilka analiz ryzyka, które zazwyczaj są w firmach wykonywane, choć niekoniecznie w ramach zarządzania ciągłością działania.
Dla zachowania porządku i ciągu logicznego zacznę od analizy BIA. Jest to proces analizy funkcji biznesowych pozwalający określić, jaki wpływ na działalność organizacji miałoby ich ewentualne poważne zakłócenie lub przerwanie. Podstawą BIA są procesy wykonywane przez organizację. Przy dobrze wykonanej analizie powinniśmy otrzymać następujące elementy:

  • listę procesów krytycznych wraz z wykazem zasobów niezbędnych do ich wznowienia (zasoby techniczne/IT, organizacyjne, logistyczne, ludzkie itp.);
  • zestawienie potencjalnych strat finansowych i niefinansowych w przypadku przerwania procesów krytycznych;
  • wartości wskaźników oczekiwanego czasu wznowienia (Recovery Time Objective – RTO) i maksymalnego dopuszczalnego czasu utraty danych (Recovery Point
    Objective – RPO);
  • relację krytyczności procesów w ramach ocenianej jednostki w stosunku do krytyczności tych procesów w skali całej organizacji.

Analiza BIA dostarcza „pakiet startowy” informacji niezbędnych do zbudowania planu ciągłości działania. Dość szybko okazuje się on niewystarczający, by uznać, że posiadany przez nas plan spełni oczekiwania i zapewni takie poczucie bezpieczeństwa, jakie uznajemy za niezbędne minimum.

Teoretycznie na podstawie analizy BIA można przygotować uniwersalny plan postępowania w sytuacji kryzysowej niezależnie od jej źródła i charakteru. Czy taki model jednak będzie ekonomicznie, organizacyjnie i techniczne zasadny? Na tym etapie warto wykonać lub (jeśli w organizacji jest wdrożony proces zarządzania ryzykiem operacyjnym) sięgnąć po analizę rodzajów ryzyka i zagrożeń (Threat and Risk Assessment – TRA).
Celem analizy TRA jest określenie zbioru zagrożeń, których wpływ jest na tyle istotny, że warto je rozważyć, i są na tyle prawdopodobne, że mogą się realnie zmaterializować w określonym czasie. Trudność w przeprowadzeniu tego typu analizy polega na skali i różnorodności uwarunkowań zewnętrznych i wewnętrznych, jakie trzeba wziąć pod uwagę (czynniki klimatyczne, urbanistyczne, infrastrukturalne, kulturę organizacyjną, stosowaną technologię, podatności, branżę, w jakiej działa firma, zależność od usług i dostawców itp.). Dlatego m.in. warto sprawdzić, czy firma dysponuje już takimi danymi. Jeśli ma wdrożony proces zarządzania ryzykiem operacyjnym, to tego typu zagrożenia zwykle oszacowano w części regulowanej tzw. scenariuszami. W przypadku opracowań tworzonych na potrzeby procesu zarządzania ryzykiem operacyjnym dodatkową wartością jest fakt, że często te oceny bazują na statystykach rzeczywistych zdarzeń, nie tylko branżowych, lecz także geograficznych (regionalnych, krajowych itp.).

W przypadku analizy TRA zwykle podaje się dwa parametry: prawdopodobieństwo wystąpienia i wielkość potencjalnego oddziaływania. Ważne, aby przy oszacowaniu zagrożenia były one oceniane wspólnie, a ryzyko, które później będzie rozpatrywane z pozycji BCM, zakładało brak lub niepowodzenie działań kontrolnych i mitygujących.

Mając listę zagrożeń o wskaźniku prawdopodobieństwa i wpływie spełniającym kryteria rodzajów ryzyka z obszaru stosowania BCM, można przejść do etapu projektowania rozwiązań zapewniających ciągłość działania. Aby uniknąć tworzenia różnych scenariuszy ginących w mnóstwie danych, różnorodnych strategiach i planach, należy wybrać te o najwyższym prawdopodobieństwie wystąpienia i dla nich przygotować odpowiednie scenariusze postępowania, a dla pozostałych opracować uniwersalny szablon reagowania, który będzie zawierał najważniejsze zasady, informacje i ogólne wytyczne. Dzięki temu otrzymamy elastyczny i efektywny plan działania.

Ten zasób wiedzy o naszej organizacji i środowisku, w jakim działa, nie jest jeszcze wystarczający, aby czuć się bezpiecznie. W większości współczesnych firm, zarówno małych, jak i dużych, IT stanowi nierozłączny element funkcjonowania i jakiekolwiek awarie systemu czy systemów bądź infrastruktury IT doprowadzą do poważnych strat (w skrajnych przypadkach nawet do bankructwa). Warto więc wykonać analizę ryzyka ITSCM (IT Services Continuity Management Risk Analysis). Analiza ryzyka ITSCM wywodzi się ze standardu ITIL i zwykle jest wykonywana w firmach i działach IT jako proces niezależny od „biznesowej” oceny ryzyka wyrażonej analizami BIA/TRA.

Po zakończonym procesie BIA „biznes” przekazuje do IT listę swoich oczekiwań związanych z odtworzeniem oraz dostępnością systemów i innych zasobów IT w przypadku awarii. Dział IT zwykle wykonuje tzw. analizę rozbieżności pomiędzy oczekiwaniami biznesu a realnymi (czyli aktualnie dostępnymi) parametrami RTO/RPO. Jej wynikiem jest nie tylko wykaz rozbieżności, ale także kosztorys potencjalnych inwestycji w infrastrukturę IT niwelujących te rozbieżności. To dobry moment na wykonanie analizy ryzyka ITSCM, która nie tylko określi krytyczność systemu i komponentów jego infrastruktury, ale pomoże też w klasyfikacji danych i informacji przetwarzanych w danym systemie, mapowaniu procesów i funkcji biznesowych realizowanych w danym systemie oraz określi kto i jakie usługi IT dla danego systemu świadczy. Ostatnim elementem analizy ryzyka ITSCM jest analiza zagrożeń i skutków ich materializacji dla wskazanego systemu IT. Na jej podstawie będzie można poddać walidacji przygotowane wcześniej scenariusze postępowania w przypadku awarii IT oraz zweryfikować stosowane rozwiązania w obszarze redundancji infrastruktury i mechanizmów tworzenia kopii zapasowych.

Wykonaliśmy kolejny krok – wiemy, jaka jest krytyczność procesów biznesowych i jakie zasoby są potrzebne do ich odtworzenia, znamy krytyczność systemów IT, przetwarzane w nich dane i wygląd siatki zależności pomiędzy procesami biznesowymi, usługami IT i infrastrukturą.
W przypadku zarządzania ciągłością działania trzeba zachować czujność i bacznie przyglądać się wszelkim analizom ryzyka wykonywanym w naszej organizacji. Źródłem wartościowych i pomocnych informacji są także:

  • analizy z obszaru ryzyka operacyjnego – walidują i uzupełniają analizę BIA o informacje dotyczące rodzajów ryzyka procesów oraz ich wpływu na ciągłość usług i procesów;
  • analizy ryzyka w ramach tworzenia planów BRRD (Bank Recovery and Resolution Directive), czyli planów naprawy, restrukturyzacji i uporządkowanej likwidacji – stanowią źródło informacji o planowanych działaniach w obszarze płynnościowym i kapitałowym, które mogą fundamentalnie wpłynąć na stosowane przez nas rozwiązania techniczno-organizacyjne w zakresie ciągłości działania;
  • analizy bezpieczeństwa informacji i ochrony danych – mogą być punktem wyjścia lub walidacji do analizy rodzajów ryzyka ITSCM;
  • testy i analizy bezpieczeństwa systemów IT (w tym podatności „cyber”) – doskonałe uzupełnienie analizy TRA i ITSCM.

Zarządzanie ciągłością działania to proces nietolerujący stagnacji i rutyny. Tutaj stale coś się dzieje i musimy być gotowi do szybkiej reakcji. Im dokładniej będziemy przyglądać się różnym rodzajom ryzyka i zagrożeniom, tym łatwiej i sprawniej przygotujemy na nie naszą organizację.

Hubert Łabęcki
Ekspert zarządzania ciągłością działania, praktyk z kilkunastoletnim doświadczeniem we wdrażaniu i zarządzaniu BCM w sektorach finansowym i publicznym, audytor wiodący BS25999 (ISO22301), przewodniczący Grupy ds. Ciągłości Działania Forum Technologii Bankowych przy Związku Banków Polskich.