#Bezpieczeństwo biznesu

Planowanie ciągłości działania. Moda czy konieczność w niespokojnych czasach

Marcin Marczewski


Co sprawia, że jedne przedsiębiorstwa przechodzą przez kryzysy i klęski żywiołowe niemal nietknięte, podczas gdy inne w tych samych warunkach walczą o przetrwanie?

Katastrofy się zdarzają. W ostatni weekend sierpnia 2011 r. huragan Irene uderzył we Wschodnie Wybrzeże Stanów Zjednoczonych. Silny wiatr był przyczyną wielu awarii sieci energetycznej, natomiast obfite deszcze i spiętrzone wody Oceanu Atlantyckiego spowodowały liczne podtopienia i lokalne powodzie, m.in. w Wirginii, Karolinie Północnej, Massachusetts i New Jersey. Straty dla całej gospodarki USA oszacowano na 10 mld dolarów. Wśród wielu firm poszkodowanych przez żywioły były elektrownie, lotniska i transport publiczny, a także zakłady przemysłowe i wiele mniejszych firm.

Ponad dwa tysiące osób zatrudnionych w siedzibie głównej Johnson & Johnson’s utraciło dostęp do biura po tym, jak woda odcięła drogi dojazdowe. GlaxoSmithKline zamknęło podtopioną fabrykę. Awarie zasilania przyczyniły się do zamknięcia biur Teva Pharmaceuticals, Bayer HealthCare oraz Cephalon Inc. Nietrudno wyobrazić sobie zamieszanie wywołane przez huragan w tych firmach. Część z nich odpowiedziała na zdarzenia w sposób reaktywny, dostosowując działalność do zmieniających się warunków. Były jednak wśród nich również takie, które Irene potraktowały jako trochę gorszą pogodę.
Jaką wartość dla firmy farmaceutycznej, jej klientów i organów nadzoru może mieć wdrożenie planów i systemu zarządzania ciągłością działania? Czy wdrożenia takich planów muszą być długotrwałe i kosztowne?

Ciągłość działania
Firmy,myśląc o ciągłości działania, opracowują przede wszystkim formalne plany czy procedury odtwarzania infrastruktury IT po awarii (Disaster Recovery Plan – DRP). Oznacza to, że przede wszystkim są przygotowane na awarie związane z niedostępnością danych, systemów IT i infrastruktury telekomunikacyjnej. Zarządzanie ciągłością działania jest jednak obszarem znacznie szerszym, a odtwarzanie usług IT – tylko jednym z jego aspektów. Ciągłość działania obejmuje również inne obszary zarządzania firmą: bezpieczeństwo i dostępność pracowników, ochronę wizerunku, komunikację kryzysową, zapewnienie dostępności kluczowych dostawców i partnerów outsourcingowych oraz inne działania umożliwiające odtworzenie kluczowych procesów w sytuacji kryzysowej w z góry zaplanowanym czasie.

Kilka lat temu w Stanach Zjednoczonych przeprowadzono badanie stanu rozwiązań w obszarze ciągłości działania w firmach farmaceutycznych1). Jego wyniki wskazują, że znacznie lepiej rozwinięte w tym obszarze są duże korporacje farmaceutyczne. Mniejsze firmy z branży, o dochodach nieprzekraczających 1 mld dolarów, podchodzą do tej tematyki z większym dystansem. Jeśli chodzi o kluczowe dla tej branży obszary w kontekście wymagań dostępności, przedstawiciele firm zgodnie wskazywali procesy biznesowe związane z zarządzaniem finansami, procesy produkcyjne, ochronę danych i kapitału intelektualnego (badania i rozwój nowych produktów). Zarządy tych firm stwierdzały, że głównymi czynnikami wpływającymi na priorytet prac nad wdrożeniem planów ciągłości działania były branżowe regulacje prawne wprowadzane przez FDA, Sarbanes-Oxley Act (wymuszający na organizacjach przygotowanie rozwiązań w zakresie kontroli zarządczej, w tym zarządzania ryzykiem), a także zestawy dobrych praktyk dotyczących wytwarzania i badań nad nowymi produktami.
Brak zgodności z ww. wymaganiami może skutkować nałożeniem znaczących kar finansowych (100 mln dolarów lub większych). Badania potwierdziły również, że znaczna część osób zarządzających spółkami z tej branży obawiała się, że w sytuacji realnego zagrożenia ciągłości działania ich organizacje mogłyby nie spełnić wymagań regulacyjnych. Jednym z takich wymagań jest ciągłe monitorowanie bezpieczeństwa oferowanych produktów, co oznacza utrzymanie pełnej dostępności centrów telefonicznych dla pacjentów, aby całą dobę mogli zgłaszać problemy i powikłania związane z produktami.

W Polsce już dawno powstały podobne wymagania dostępności dla wybranych procesów realizowanych przez firmy z branży farmaceutycznej. Jest w nich mowa o tym, że każdy podmiot w łańcuchu dystrybucji leków musi zapewnić niemal natychmiastowe wycofanie z rynku produktów, których sprzedaż została formalnie wstrzymana, np. przez Główny Inspektorat Farmaceutyczny. Wydaje się jednak, że podmioty regulujące i nadzorujące rynek farmaceutyczny nie doceniają jeszcze narzędzi, jakimi są zarządzanie ryzykiem i planowanie ciągłości działania. Z drugiej strony większość firm działających na rynku polskim musiała zapewnić realizację tych wymagań prawnych i wdrożyła przynajmniej w wąskim zakresie rozwiązania organizacyjne, zapewniające możliwość zarządzania sytuacjami kryzysowymi i ciągłość wybranych procesów. Pozostaje pytanie, czy firmy te są pewne, że ich procedury zadziałają w sytuacji kryzysowej?

Przygotować się na najgorsze
Rozwiązania w obszarze ciągłości działania do tej pory kojarzono jedynie z wielkimi korporacjami działającymi w branży finansowej, które było stać na poświęcenie czasu i pieniędzy na przygotowanie i wdrożenie planów. Okazuje się jednak, że to zwłaszcza małe i średnie przedsiębiorstwa są bardziej narażone na różnego typu incydenty i sytuacje kryzysowe, które mogą negatywnie wpłynąć na realizację ich krytycznych zobowiązań, procesów i usług. Praktyka dowodzi, że z jednej strony przygotowanie skutecznej reakcji na podobne zdarzenia nie wymaga poświęcenia dużych zasobów, z drugiej – takie działania przynoszą znaczące korzyści. W badaniach przeprowadzonych na Oksfordzie udowodniono 5-procentowy wzrost cen akcji spółek, które były dobrze przygotowane do zarządzania sytuacjami kryzysowymi. Spółki przygotowane gorzej lub nieprzygotowane w ogóle traciły średnio po 15% wartości.

W zarządzaniu ciągłością działania bardzo ważne jest poznanie otoczenia, w którym firma prowadzi działalność, jej najważniejszych procesów biznesowych oraz realnych zagrożeń i ich wpływu na prowadzenie biznesu. Podstawowymi zdarzeniami, na które przygotowuje planowanie ciągłości działania, są np. długotrwała awaria zasilania, niedostępność siedziby, absencja dużej grupy pracowników, awaria systemów i infrastruktury IT, problemy z dystrybucją, transportem i logistyką produktów czy też awaria u jedynego zewnętrznego dostawcy usług lub półproduktów. W wielu przypadkach to, że zrobiliśmy cokolwiek w celu zabezpieczenia ciągłości naszej firmy, umożliwi jej przetrwanie i minimalizację strat w wymiarze finansowym i wizerunkowym. Brak przygotowania i jakichkolwiek planów może zagrozić istnieniu firmy.

Najczęściej powtarzanymi argumentami przeciwko wdrażaniu planów jest brak czasu, niezrozumienie wartości dodanej, inne ważniejsze zadania, fałszywe poczucie bezpieczeństwa, wiara w to, że firma poradzi sobie, kiedy wystąpi kryzys, zbyt duże koszty, poczucie, że IT nas uratuje oraz przeświadczenie, że nie grozi nam żadne ryzyko.
Pełne wdrożenie planu składa się z kilku etapów. Pierwszym i podstawowym krokiem jest zrozumienie własnej organizacji, sposobu jej działania, a także czasu, w jakim należy realizować najważniejsze usługi lub inne zobowiązania (np. nałożone przez organy nadzoru). Drugim krokiem jest identyfikacja i ocena głównych zagrożeń, przed którymi stoi firma w ramach działalności operacyjnej. Powinna ona bazować na najprostszym podejściu, czyli odpowiedzi na następujące pytania: „Co może się zdarzyć?”, „Gdzie, kiedy i dlaczego (jakie są czynniki ryzyka i podatności)?”, „Jak firma jest obecnie zabezpieczona?” oraz „Co można poprawić?”. Ponadto należy zidentyfikować najbardziej krytyczne zasoby niezbędne do przetrwania firmy i zbadać, jak są zabezpieczone. Trzeba np. zweryfikować, czy kompetencje i zakresy odpowiedzialności pracowników są delegowane w taki sposób, aby niedostępność jednej osoby nie przerwała żadnego z kluczowych procesów biznesowych.
Następnym etapem budowy odporności firmy na zdarzenia kryzysowe jest opracowanie strategii zabezpieczenia i utrzymania kluczowych zasobów, takich jak ludzie, lokalizacje, technologie (produkcja, IT), dostawcy. To na tym etapie firmy stają przed dużym wyzwaniem, analizując, ile pieniędzy są skłonne wydać na zabezpieczenie systemów krytycznych i innych zasobów. Podczas projektowania rozwiązań zapasowych należy kierować się wymaganym przez biznes czasem dostępności systemu oraz wielkością strat, jakie mogą powstać w razie opóźnienia w jego uruchomieniu.
Doświadczenie pokazuje, że przeważnie dochodzi wtedy do eskalacji oczekiwań przedstawicieli jednostek biznesowych odnośnie do wymagań krótkich czasów dostępności zasobów IT. Należy mieć jednak na względzie, że ostatecznie to właśnie biznes zostanie obciążony wydatkami poniesionymi w celu zwiększenia dostępności niezbędnych dla niego zasobów. Należy zawsze starać się minimalizować koszty związane z inwestycjami w infrastrukturę IT. Jeśli coś da się zrobić ręcznie w określonym czasie i jest to akceptowalne przez biznes, trzeba rozważyć takie rozwiązanie. Wydłużenie czasu na odtworzenie narzędzi IT oraz zewnętrznych usług znacznie zmniejszy koszty. Niestety nie ma jednej odpowiedzi, ile kosztują zabezpieczenia. Wydatki powinny być adekwatne do potencjału i prawdopodobieństwa zidentyfikowanego ryzyka. Górnym limitem w obszarze Disaster Recovery powinna być kwota
20–30% wartości potencjalnych strat.

Ważnym elementem tego etapu jest także przygotowanie założeń do pracy w trybie kryzysowym. W zakresie opracowania strategii działania należy zweryfikować, czy można zapewnić i wyposażyć zapasową lokalizację dla firmy na czas po wystąpieniu zdarzenia. Rozwiązanie to wydaje się najbardziej odpowiednie dla firm dysponujących większą liczbą lokalizacji biznesowych. Jeśli wybrani pracownicy mają być przenoszeni do lokalizacji zapasowych, muszą one być na tyle blisko, żeby udało się do nich dotrzeć w czasie w miarę krótkim i z góry zaplanowanym (biorąc pod uwagę ewentualne trudności spowodowane wystąpieniem incydentu). Jednocześnie lokalizacja zapasowa powinna być wystarczająco oddalona, aby nie znalazła się w zasięgu tego samego zdarzenia.
W praktyce stosuje się lokalizacje zapasowe położone w odległości od kilku do kilkunastu kilometrów od lokalizacji podstawowej, ale w granicach tej samej aglomeracji. Alternatywą dla tego rozwiązania może być udostępnienie pracownikom zdalnego dostępu do narzędzi i systemów IT oraz zezwolenie na pracę z domu lub zaplanowanie wynajęcia zapasowego biura. Jeśli chodzi o zapasowe centra danych, duże firmy lokalizują je nawet w innych miastach lub regionach.
Kolejnym działaniem jest weryfikacja, w jaki sposób zamierzają się przygotować na podobne zdarzenie kluczowi usługodawcy czy dostawcy firmy. W tym przypadku niezbędnym minimum jest ustalenie, w jaki sposób zabezpieczono świadczenie usług na rzecz firmy. Pomocne mogą być wszelkie dowody na testowanie, przeglądy oraz aktualizacje tych rozwiązań – czyli potwierdzenie, że były weryfikowane w praktyce.
Wszystkie planowane działania powinny zostać udokumentowane w formie głównego planu lub ogólnych założeń do pracy w sytuacji kryzysowej, które określą zakres zadań poszczególnych osób ze wskazaniem ich zastępców. Ważne, aby wytypować osoby, które będą podejmowały strategiczne decyzje biznesowe i finansowe. W ramach opracowania dokumentacji powinny zostać przygotowane: procedura zarządzania incydentami (nawet w formie listy kontrolnej), lista priorytetowych działań mających na celu odtworzenie krytycznych procesów biznesowych, zasady komunikacji kryzysowej z pracownikami, prasą, klientami, dostawcami, udziałowcami, ubezpieczycielem, urzędem nadzoru, a także listy kontaktowe do wszystkich zainteresowanych stron oraz listy zasobów niezbędnych do pracy w trybie awaryjnym.

Dobrą praktyką jest przeprowadzenie szkoleń dla pracowników firmy. Mają one na celu wyjaśnienie przyczyn powstania planu ciągłości działania, podstawowych zasad powiadamiania o różnego typu zdarzeniach (inne ścieżki eskalacji), miejsca zbiórek po ewakuacji oraz lokalizacji zapasowej, zakresu zadań poszczególnych osób i zespołów w strukturze zarządzania kryzysowego, miejsca, w którym zostaną ulokowanie zasoby niezbędne do odtworzenia działalności w trybie awaryjnym.

Warto, by firma zweryfikowała wdrożone rozwiązania m.in. poprzez wykonanie serii prostych testów, np. testów powiadamiania (weryfikacja list kontaktowych), przeprowadzenie warsztatów typu walk through polegających na wspólnym przeglądzie i weryfikacji procedur awaryjnych czy założeń do pracy w sytuacji kryzysowej. Bardzo dobrym rozwiązaniem jest przygotowanie testu symulacyjnego opartego na prostym i realnym scenariuszu, zakładającym np. pożar lub zalanie pomieszczeń firmy. W obrębie takich ćwiczeń pracownicy łatwo zweryfikują, czy założone w procedurach działania i przygotowane rozwiązania zapasowe są wystarczające, czy też należy je poprawić.

Oczekiwanie na kolejny kryzys
Huragan Irene nie był ostatni w USA. Mieszkańcy i właściciele firm z niepokojem obserwowali rozwój kolejnych huraganów i burz tropikalnych, które potencjalnie mogły okazać się równie niebezpieczne i kosztowne. Wiele osób uspokajała myśl: „Przeżyliśmy, w przyszłości też jakoś damy radę”. Inni wiedzieli, że w trudnej sytuacji mogą polegać na własnych planach i rozwiązaniach awaryjnych. W której grupie warto się znaleźć?

1) Raport Business Continuity in the Pharmaceutical Industry opracowany 
przez Stevens Institute of Technology.

Marcin Marczewski
Prezes zarządu i architekt odporności biznesu w Resilia. Konsultant w dziedzinie zarządzania ryzykiem i bezpieczeństwem biznesu z ponad 14-letnim doświadczeniem.

Planowanie ciągłości działania. Moda czy konieczność w niespokojnych czasach

Agencje ochrony w XXI wieku. Cz. 2.

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.