Zarządzanie ciągłością działania, czyli BCM – businsess conitnuity management to grupa przedsięwzięć, których celem jest przetrwanie organizacji, gdy nie wszystko dzieje się tak, jak zostało zaplanowane. Aby jednak mówić o ciągłości działania w ujęciu systemowym, spełniony musi zostać jeden kluczowy warunek – czas przestoju, zakłócenia, awarii, wywołany incydentem, musi być na tyle długi, że organizacja po jego ustaniu nie będzie w stanie wrócić do poziomu działalności sprzed incydentu. Niezależnie, czy będzie to poziom produkcji, sprzedaży, czy też reputacji niezbędnej dla działania.

Nie każdy incydent narusza czy też może naruszyć maksymalne czasy dopuszczalnego przestoju, w związku z tym nie w każdej sytuacji będzie uruchamiany plan ciągłości działania. Czas to klucz do właściwego określenia parametrów dla składowych BCMS – business continuity management system (system zarządzania ciągłością działania).

W literaturze czasy dopuszczalnych zakłóceń, przestoju, noszą różne nazwy. Najbardziej historyczna to MTPD – maximum tolerable period of disruption, czyli w dowolnym tłumaczeniu maksymalny, tolerowany okres zakłócenia. Inne określenia to:

• MAO – maximum acceptable outgage, maksymalna dopuszczalna przerwa
• BIL – business interrutpion limit, limit zakłóceń biznesowych.

We wszystkich tych indeksach kluczowy jest czas przestoju, którego przekroczenie powoduje nieodwracalne stany. Stany, nie straty. Stanem tym może być między innymi cofnięcie uprawnienia do wykonywania określonej działalności (np. KNF i licencje na działalność finansową czy brokerską w obszarze inwestycji). Może to być też wydanie zakazu przetwarzania danych osobowych do czasu usunięcia nieprawidłowości (uprawnienie Prezesa Urzędu Ochrony Danych Osobowych). ISO/TS 22317, czyli specyfikacja techniczna opisująca analizę zmierzającą do oszacowania potencjalnych skutków, wynikających z przestoju w określonym czasie, wskazuje dodatkowo skutki umowne, a więc utratę kontraktów czy skutki reputacyjne, które również w dużej mierze wpływają na poziomy zamówień.

Istotą analizy wpływu na biznes – BIA, czyli business impact analysis, będącej fundamentem systemów BCMS, jest wykonanie oceny, w której szacujemy skutki oraz wpływ w określonym od zarejestrowania incydentu czasie. Jednocześnie ISO 22317 kładzie duży nacisk na tzw. skumulowany wpływ (cumulative impact), a więc nałożenie się wielu skutków wynikających ze zdarzenia, oszacowanie ich wpływu (nie tylko jednostkowo, ale też łącznie) oraz oznaczenie czasu przestoju, po którym wystąpią.

Procesy krytyczne vs kluczowe produkty i usługi

Jednak gdybyśmy chcieli realizować zarówno analizy BIA, jak i system BCMS, obejmujące całość organizacji, mogłoby się to okazać niebywale kosztowne, a czasem nawet wręcz niemożliwe. W historycznym ujęciu wyznaczane były procesy krytyczne, czyli takie, których przerwanie naruszać będzie dopuszczalne czasy przestoju. Niestety praktyka audytorska w tym obszarze wskazuje, że krytyczność procesów jest dość uznaniowa, często ograniczona do celu działu, który wykonuje klasyfikację. Przykładowo dział bezpieczeństwa uznał za procesy krytyczne monitoring wizyjny wszystkich obiektów.

Czy jest tak w rzeczywistości? Czy każde zakłócenie w monitorowaniu każdego z obiektów będzie skutkować naruszeniem czasu przestoju i zdarzeniem, po którym firma się już nie podniesie?

Wspomniana wyżej specyfikacja wprowadziła w tym zakresie nieco porządku. Analiza BIA wykonywana jest w kilku krokach:

• Identyfikacja i klasyfikacja produktów, i usług kluczowych. A więc takich, które są dla organizacji najważniejsze, decydujące o przetrwaniu firmy.
• Identyfikacja i klasyfikacja (jako krytyczne) procesów, których zakłócenie może spowodować niedostępność usług czy produktów kluczowych w czasie przekraczającym dopuszczalny przestój lub zakłócenie.
• Identyfikacja i klasyfikacja (jako krytyczne) wszystkich aktywności i zasobów w procesach krytycznych, których brak powodować będzie zakłócenie procesu krytycznego w czasie przekraczającym dopuszczalny przestój czy zakłócenie.

Dzięki takiemu podejściu organizacje skupiają się na najważniejszych działaniach, a system BCMS nie dubluje systemu zarządzania ryzykiem czy zarządzania bezpieczeństwem w organizacji, co było częstym zarzutem i powodem do niewdrożenia rozwiązań utrzymujących ciągłość działania.

Co dalej?

Mając już wiedzę, które aktywności i zasoby są krytyczne z punktu widzenia również krytycznych procesów, możliwe jest przygotowanie dla nich odpowiednich planów postępowania. Mogą to być odpowiednie magazyny części krytycznych do maszyn i urządzeń. Mogą to być też plany odtworzeniowe, czyli przywrócenia środowisk niezbędnych do produkcji czy świadczenia usług albo plany relokacji i uruchomienia działalności w lokalizacjach zastępczych.

Rozwiązań jest wiele i są one zależne od profilu i charakterystyki działalności organizacji.

Podsumowanie

Prawidłowo przygotowany system zarządzania ciągłością działania pozwala na przetrwanie organizacji w trudnych warunkach po wystąpieniu incydentu. Umożliwia planowane, a więc wykonywane w otoczeniu większego spokoju i pewności wykonanie planów ciągłości działania jako jednego z procesów biznesowych. Zawężenie ich do usług czy produktów kluczowych jest związane z kosztami, ale też z możliwościami organizacji.

RODO a BCP/BCMS

W wielu publikacjach pojawiły się próby wdrożenia planów czy pełnych systemów jako rozwiązań dedykowanych ochronie danych osobowych. W pełnym ujęciu jest to błąd warsztatowy, ponieważ celem BCMS/ BCP jest utrzymanie ciągłości biznesowej, przy założeniu poświęcenia niektórych zasobów czy procesów. Ochrona danych osobowych jest natomiast dedykowana osobom, których dane dotyczą. W tym ujęciu następuje wyraźny konflikt celów – biznes vs ochrona osoby. Właściwym rozwiązaniem dla ochrony danych jest wdrażanie planów awaryjnych, które są ukierunkowane na utrzymanie ochrony osoby fizycznej w związku z przetwarzaniem jej danych.