Data publikacji: 3 kwietnia 2020

ZARZĄDZIE CIĄGŁOŚCI DZIAŁANIA: NIE DZIAŁA, A TAKI PIĘKNY BYŁ PLAN.

Z niepokojem spoglądamy na środowisko “bezpieczników” (analityków, managerów, specjalistów bezpieczeństwa), którzy w zadaniach mieli tzw. business continuity, czyli zarządzanie ciągłością działania. Pojawiają się głosy, że niektóre zarządy są delikatnie mówiąc niezadowolone. Próbując dopytać o co chodzi otrzymujemy mniej więcej podobne informacje.

Plany kryzysowe nie objęły kryzysu… Nie działają. A takie były piękne. Amerykańskie (parafraza z filmu).

Dlatego postanowiliśmy poruszyć kilka kwestii:

Co jest czym? – czyli kiedy mamy plan awaryjny (contingency) a kiedy plan ciągłości (business continuity),
Dlaczego “normalne” podejście NIE ZADZIAŁA przy pandemii na taką skalę?
Jak zarządzać kryzysem i dlaczego to nie (zawsze) jest BCM?

Po pierwsze co masz?

W ostatnich kilkunastu latach branża związana z kryzysami mocno się zmienia. Pamiętam nawet czasy, gdy nie było Ustawy o zarządzaniu kryzysowym, a dziś jest już kilka razy znowelizowana. Dlatego w pierwszej kolejności zastanówmy się co mamy w firmach, bo to naprawdę ewoluuje. Tym bardziej, że kryzysów, incydentów, sytuacji jest coraz więcej. Mamy epidemie i pandemie, kryzysy systemów finansowych, lokalne wojny i konflikty, powstania i protesty na skalę krajów i regionów, ataki na systemy IT od takich, które wręcz wyłączają nawet instalacje przemysłowe (STUXNET), po takie nieco mniejsze, ale bardzo dotkliwe. Po prostu jest materiał do tego, aby rozwijać naukę i dostarczać rozwiązań.

Jedna mała uwaga na początek. Spece od incydentów, ciągłości, kryzysów są specami od incydentów, ciągłości i kryzysów. Nie od IT i incydentów w IT. Nie w produkcji i awarii przemysłowych. Po prostu jest to już całkiem odrębna grupa zawodowa.

Dlaczego tak?

W kolejnej publikacji rozwinę aspekt ludzki w kryzysach i incydentach. Ale warto pamiętać polskie przysłowie: “bliższa koszula ciału”. Po prostu kryzysowiec, mocno (emocjonalnie) związany ze swoim działem często próbuje go ratować z irracjonalnym uporem (nie zawsze świadomie).

Zacznijmy od identyfikacji tego co mamy (dla wytrawnych na końcu czeka bonus i prezent).

Poziom 0: Nie mam nic

Czyli kiedy mam wypadek, to sobie działam jak w rozporządzeniu BHP napisali. A po innych zdarzeniach może mi pomoże agencja ochrony (jeśli to kradzież), albo ktoś inny.

Poziom 1: Mam system zarządzania incydentami

Na początek krótka definicja incydentu:

Wszystko co może zaszkodzić zasobom, procesom w firmie i samej firmie.

Pożar, wypadek, naruszenie ochrony danych. Incydenty obsługują osoby wyznaczone, w pewnej strukturze. Nie zawsze jako stałe zespoły, mogą być powoływane ad hoc. Ważne jest, że celem zespołu są czynności zmierzające do rozwiązania incydentu, aby się nie rozwinął bardziej np. w kryzys czy sytuację kryzysową. Osoby są przeszkolone i mają procedury. Ważne – ta szafa procedur, w których wszystko jest pięknie opisane i co najważniejsze DZIAŁA to procedury postępowania przy incydencie. Nie kryzysowe, mimo, że często są tak nazywane.

Dokumenty, na których pracuje zespół mogą być złożone w plan odpowiedzi na incydent (Incident Response Plan), który w modelowej formie składa się z:

Analiz zagrożeń;
Szacowania i oceny ryzyka;
Procedur i instrukcji organizacyjnych i administracyjnych (Kto? Kogo? Kiedy?);
Procedur i instrukcji operacyjnych, związanych z konkretną charakterystyką incydentu (pożar, wypadek, awaria, naruszenie ochrony).

Uzupełniając o kwestię eksperta czy specjalisty, u którego w obszarze działania nastąpił incydent. Jest członkiem zespołu kryzysowego, bo ma wiedzę merytoryczną i ekspercką, ale nie jest jego szefem, a przynajmniej nie powinien być. Bo np. podświadomie może oddziaływać na raport czy na rozumienie sytuacji. Aspekt ludzki w incydentach i kryzysach jest naprawdę ciekawym obszarem do omówienia w kolejnym artykule.

Poziom 2: Mam system zarządzania “awaryjnego”

Awaryjnego w cudzysłowie, bo jest to trudne do przetłumaczenia. Zacznę wyjątkowo od dokumentu. Dokument (zbiór procedur a nie jeden kwit) to contingency plan tłumaczony na polski jako plan awaryjny. Awaria po angielsku to damage, accident (wypadek), czy breakdown (najbardziej adekwatne). Tylko w słowniku bezpieczników – kryzysowców nie mamy breakdown plan jako dokument wiodący (są jako konkretne dla działów produkcji i nazywane anti). Wróćmy do naszego planu awaryjnego (contingency plan). Otóż jest to dokument wykraczający już poza sam incydent. Często zawiera dodatkowo (szerzej niż incydenty):

Analizy krytyczności maszyn wraz z np. sensownym systemem zarządzania magazynem części krytycznych (np. poniżej granicznego czasu dostawy są wykazy dostawców, powyżej granicznego czasu dostawy są w magazynku podręcznym);
Procedury i instrukcje współpracy z instytucjami i organami (w incydentach jest tylko informowanie i współpraca przy postępowaniu);
Procedury i instrukcje współpracy z dostawcami i odbiorcami;
Procedury komunikacji.

W dużym skrócie wiele firm posiada plany awaryjne (nie plan ciągłości działania, mimo że tak są nazywane), które są naprawdę wystarczające w większości przypadków. Plany te są wymagane dość często przez ubezpieczycieli czy też kontrahentów, którzy świadomie zarządzają swoim łańcuchem dostaw. Nazywanie ich planami ciągłości działania jest nieporozumieniem. Dlaczego? Przejdźmy do systemów zarządzania ciągłością, zawartość i podejście pokaże, dlaczego.

Poziom 3: mam system zarządzania ciągłością działania (BCMS – business continuity management system) lub plan ciągłości działania (business continuity plan).

Na początek wyjaśnienie. Często oddziały korporacji międzynarodowych czy wręcz globalnych mają TYLKO plany ciągłości działania. Cała dokumentacja systemowa ta która określa organizację, czasy przeglądów, wytyczne globalne i regionalne, czyli SYSTEM ZARZĄDZANIA jest po prostu w centrali. Koordynatorzy, specjaliści czy managerowie krajowi lub regionalni mają zadania w zakresie utrzymania i aktualizacji planów ciągłości działania (BCP). Analogicznie do poprzednich, nie jest to jeden dokument, a zestaw.

Tutaj często są to już zagadnienia związane ze współpracą międzynarodową organizacji, również z ujęciem regionalnego (np. EMEA) czy globalnego łańcucha dostaw. Czyli po prostu powiązań dostawców, odbiorców, produkcji, subprodukcji (produkcja w toku czy półprodukty). Pełne systemy obejmują (wszystkie poprzednie oraz):

Analizy kontekstu zewnętrznego i wewnętrznego (pełny system, nie BCP);
Analizę BIA – analizę wpływu na biznes. Czyli wskazanie kluczowych usług czy produktów, krytycznych procesów i aktywności. Oraz oszacowania skutków incydentów w czasie (mówi się czasem, że to ryzyka z nałożoną funkcja czasu, ale to nie do końca właściwe określenie);
Wyliczone czasy zakłóceń bądź przestojów (MTPD – maximum tolerable period of disruption, BIL – business interruption limit, MAO – maximum acceptable outage). W skrócie czas, po którym firma się nie podniesie;
RTO – recovery time objective, czyli cel wyrażony w czasie do wznowienia działania (jeszcze nie do podniesienia całkiem i powrotu do pełnej sprawności. Tym jest np. MTPD);
RPO – recovery point objective, czyli punkt, do którego się przywracamy. Ma duże znaczenie w bezpieczeństwie informacji (i danych osobowych) gdzie często nazywany jest MDL – maximum data loss – ilością utraconych informacji. Do przemysłu nieco ciężej RPO jest zaimplementować, bo wymaga to dobrych systemów zarządzania. Ale jest możliwe, a w wielu przypadkach nawet wymagane np. bezpieczeństwo żywności, farmacja, inne szczególnie wrażliwe produkty;
Scenariusze bazowe, czyli BCP. Z reguły obejmujące postępowanie w sytuacji utraty personelu, lokalizacji, systemów IT.
Scenariusze procesowe jak wyżej są również już planami ciągłości. Z reguły obejmujące przerwanie procesów (mocno powiązane z BIA i RTO).
Załączniki na ryzyko z kategorii czarnych łabędzi. Między innymi jednym z audytowanych załączników w 2013 roku był ten dotyczący pandemii (firma globalna, polski oddział i fabryka). Czarne łabędzie to skutki zdarzeń bardzo mało prawdopodobne, ale o takiej sile oddziaływania, że przy nich tsunami to jest burza w szklance wody.

Zarządzanie kryzysowe w klasycznym ujęciu

Zanim przejdziemy do zarządzania kryzysowego warto wskazać pewne podejście, nadal funkcjonujące czy to w bezpieczeństwie publicznym, czy prywatnym (korporacyjnym, firmowym, organizacyjnym). Większość działań nazywanych systemami zarządzania kryzysowego jest osadzona jako element działań powyżej opisanych. To np. zespoły zarządzania kryzysowego czy sztaby działające w sytuacji zagrożenia naruszeniem czasów przestoju (MTPD, BIL, MAO). Rozpoczynają działanie na podstawie aktywatorów zawartych w planach opisujących sytuację, która wcześniej została rozpoznana jako zagrożenie dla ciągłości. Działają zgodnie z procedurami, mając wypisane nawet elementy takie jak kwestie zaopatrzenia logistycznego (podoperacja logistyka) i wypisane restauracje, które dostarczą posiłki dla sztabu, a nawet hotele, jeśli członkowie będą musieli pozostać na miejscu dłużej. W niektórych przypadkach zdarza się (całkiem słusznie), że na procedurach mają zawartą informację, że jeśli dana procedura przeszkadza w rozwiązaniu problemu, należy od niej odstąpić (wyjątki).

Oznacza to też, że często w planach i procedurach opisany bywa stan wyjściowy. A więc to co uznamy, że przywrócono organizację do normalnego działania. Działamy więc w bardzo przewidywalnym środowisku. To determinuje klasyfikację tych działań do incydentów czy co najwyżej sytuacji kryzysowej.

Dlaczego to nie zadziała w obecnej sytuacji?

Większość tych systemów jest skierowanych niejako do środka. Innymi słowy obejmują te działania, co do których jesteśmy w stanie podjąć działania samodzielne i za ich pomocą utrzymać ciągłość działania, czy po prostu funkcjonowanie organizacji. Nawet analizując czynniki zewnętrzne takie jak pandemie, rozwiązania są często nakierowane na minimalizację skutków na poziomie konkretnej lokalizacji. W przypadku, jeśli jest ona nie do utrzymania (np. brak personelu od firm dostarczających kontraktorów czy wyłączenie z użytkowania w trybie decyzji administracyjnej) po prostu w łańcuchu dostaw dochodzi do swoistego przełączenia działania na obiekty sąsiednie o podobnej charakterystyce. Przy czym sąsiednie mogą być w innym województwie czy nawet kraju.

W obecnej sytuacji takie działanie nie ma szans przynieść korzyści. Po prostu zasięg oddziaływania, wprowadzone środki bezpieczeństwa (często bez przemyślenia) spowodowały wiele splotów sytuacji i nieprzewidzianych kombinacji skutków. Czy niemożliwych do przewidzenia to już nie jest takie pewne.

SARS, MERS i inne pandemie nas oszukały

Od wielu lat mamy do czynienia z nowymi szczepami bakterii czy wirusów które z różną zjadliwością atakują populację lub jej części. Przykładem dość lokalnego zasięgu chorób zakaźnych był np. MERS, czyli bliskowschodni zespół niewydolności oddechowej. Wysoce niebezpieczny, o śmiertelności na poziomie 36%. Wywoływany przez beta-koronawirusa MERS-CoV, o bardzo zbliżonej charakterystyce do SARS-CoV 19 (obecnego). Zasięg działania MERS był mocno ograniczony do krajów arabskich, najbliżej Polski wystąpiły dwa przypadki w Niemczech, jeden zgon (50% śmiertelności). MERS zidentyfikowany został jako odzwierzęcy (jak obecny SARS-CoV 19), ale również analogicznie może być przenoszony między ludźmi droga kropelkową. SARS (też koronawirus) miał równie wysokie poziomy śmiertelności a nawet wyższe i występował na nieco większym obszarze.

Dlaczego MERS, SARS nas oszukał (i nie tylko on)?

Wielu ekspertów pracuje na modelach analitycznych faworyzujących analizy ex-post, czyli analizy historyczne. Oznacza to, że większym zaufaniem (skądinąd słusznie przy większości systemów) obdarzone są dane historyczne a nie predykcja (przewidywanie). Te w przypadku wcześniejszych chorób zakaźnych nawet tych z podobnej grupy (koronawirus) wskazywały na dwie rzeczy:

Ilość osób zakażonych (czy dokładniej, oznaczonych jako zakażone) była stosunkowo niska,
Zasięg miejsc do których transportował się wirus, a z niego rozwijała się choroba była dość znikoma.

Zestawienie tych danych wskazywało zarówno na niskie zasięgi pandemii (prawdopodobieństwo) i stosunkowo małe ilości osób zakażonych (siła oddziaływania). O błędzie analityków bezpieczeństwa w podsumowaniu.

Zarządzanie kryzysowe

Tym razem zarządzanie kryzysowe w ujęciu samodzielnego działania, nie związanego z BCM i ograniczonego systemami. Istotą zarządzania kryzysowego w tym ujęciu jest przede wszystkim gromadzenie informacji i podejmowanie decyzji na ich podstawie.

Różnicą jest to, że bardzo często źródła informacji czy same informacje, które powinniśmy gromadzić na podstawie opracowanych procedur dla incydentów czy “zarządzania kryzysowego w ciągłości działania” są nieprzydatne. Często dotyczą zaplanowanych procedur i są raczej na zasadzie potwierdzenia, że proces przywracania działania jest prowadzony poprawnie i ma odpowiednie dane, podobnie jak proces odbudowy (często też element planów czy systemów zarządzania ciągłością działania).

Raport sytuacyjny i świadomość sytuacyjna

Podstawą do zarządzania kryzysowego, w którym tak naprawdę jesteśmy w całkowicie nowym i niepowtarzalnym a nawet nieprzewidywalnym środowisku jest zrozumienie dwóch wymiarów:

Zrozumienie środowiska, otoczenia i tego co się dzieje;
Zrozumienie wpływu czynników, na naszą działalność.

Procedura, która określa zasady tworzenia raportów i wytwarzania świadomości nie jest stałą procedurą, jak w przypadku działań w incydencie, czy nawet zarządzaniu kryzysowym w strukturze BCM. Wskazuje elementy raportu, ale nie mówi o tym, że np. w nim ma się znaleźć informacja o opóźnieniu transportu komponentów do produkcji. Zarządzający kryzysem powinien wskazać, które informacje są potrzebne na podstawie informacji o splotach różnych sytuacji i działań (zapotrzebowanie informacyjne).

Ilość i jakość informacji

Krytycznym czynnikiem do opracowania raportu sytuacyjnego i wytworzenia świadomości sytuacyjnej jest zgromadzenie odpowiednich informacji. Ich ilość jest determinowana dostępnością. Praktycznie nie ma możliwości, aby zebrać w krótkim czasie ilość informacji o odpowiedniej jakości i podejmować decyzje w pełni “bezpieczne”. To jeden z elementów wyróżniających nowoczesne podejście do zarządzania kryzysowego. Wiemy, że nie wszystko wiemy. A dodatkowo, informacje mogą być błędne.

W tym przypadku procedury i instrukcje powinny obejmować:

Sposób wyznaczania źródeł informacji uznanych za rzetelne;
Sposoby gromadzenia i analizowania informacji sektorowych;
Wskazanie kto ma to robić i w jaki sposób.

Co ważne, procedury te również nie są procedurami takimi jak do zarządzania incydentem, czy BCP. Nie wskazują na etapie tworzenia co i gdzie konkretnie mamy sprawdzać. Tylko sposób określania np. źródeł informacji.

Przykład:

Nawet w obecnej sytuacji możemy uznać, że niektóre osoby zajmujące oficjalne stanowiska w rządzie czy władzy publicznej przekazywały informacje delikatnie ujmując nieprawdziwe lub niesprawdzone. Określenie źródła informacji i nadanie oznaczenia jako “wiarygodne” powinno odbywać się w trakcie realizacji polityki informacyjnej (to nie tylko informowanie na zewnątrz, ale również komunikacji wewnętrznej).

Dodatkowo warto pamiętać, że zespół kryzysowy MUSI mieć dostęp do WSZYSTKICH informacji w firmie. Do planów i prognoz sprzedażowych, w tym również do analiz ryzyka. Do szacowania wpływu na biznes (BIA) i do danych o populacji. Ważnym jest też dostęp do danych o charakterze strategicznym, w tym tych wykorzystanych do analiz kontekstu zewnętrznego (makrootoczenie i mikrootoczenie) czy analiz organizacji np. audytów.

Po prostu założenie, jakie należy przyjąć:

Zespół kryzysowy ma otrzymać wszystko czego żąda.

Bo to nie jest czas budowania księstewek w organizacji czy bronienia pozycji. To czas walki o przetrwanie, a czasem o rozwój po kryzysie (tak, kryzys niesie ze sobą nie tylko zagrożenia, ale i szanse).

Przetworzenie informacji

Ważnym aspektem jest to by członkowie sztabu kryzysowego rozpatrzyli otrzymane informacje i dokonali ANALIZY. Analiza nie jest zestawieniem czynników w tabelce. To tylko krok pierwszy. W kolejnym branżysta (specjalista swojej branży, sektora, działu) powinien dokonać oceny w jaki sposób sytuacja wpływa na jego dział, komórkę zakres działania.

Przyjdź z rozwiązaniem nie problemem!

Chwila dygresji. Wielu dobrych managerów tzw. “czasu pokoju” wymusza (całkiem słusznie) od swoich zespołów dostarczania rozwiązań w swoich obszarach. W czasie kryzysu, podejmowania decyzji kluczowych nie zawsze takie rozwiązanie jest dobre. W dużym skrócie, bo artykuł jest już naprawdę duży. Otóż w sytuacjach kryzysowych i kryzysach (prawdziwych) z reguły musimy coś poświęcić. Ludzi, działy, relacje, emocje, po to, żeby przejąć te zasoby do działań, które pomogą nam przetrwać, czy które muszą przetrwać. Dlatego w sytuacji kryzysowej planowanie co i jak nie należy już do osób, których zadaniem jest wykonywanie wąsko określonych zadań, a do osoby, która widzi wszystko, w tym to, gdzie i na co zabraknie zasobów.

Decyzja

Po zgromadzeniu informacji i zrozumieniu ich (świadomość sytuacyjna) należy podejmować decyzje. Brzmi nieco jak banał, ale w wielu przypadkach nie jest to banałem. Wiele firm upadło w wyniku kryzysów (finansowych, ekonomicznych, w wyniku zdarzeń naturalnych jak powódź, czy np. pożarów czy awarii). Upadło nie dlatego, że kryzys wystąpił, ale dlatego że powstała blokada decyzyjna. Osoba, która miała podjąć decyzję po prostu jej nie podjęła.

Drugim, równie skrajnym przypadkiem jest tzw. “pistolet decyzyjny” – osoba, która podejmuje decyzje pod wpływem emocji, dokładniej hormonów (często endorfin i paradoksalnie nadmiaru kortyzolu). Dlatego sensowna procedura, nakazująca oznaczenie punktu decyzji jest elementem zwalczającym zarówno blokady decyzyjne jak i strzelanie decyzjami.

W procedurze podejmowania decyzji powinny znaleźć się:

Wskazanie osób uprawnionych do podejmowania decyzji (odzwierciedlone w stosownych dokumentach organizacji);
Momenty podejmowania decyzji (parametry czasowe lub okoliczności);
Zasady dystrybuowania informacji o podjętych decyzjach;
Notowanie otoczenia informacyjnego. Po zakończeniu kryzysu często dochodzi do ocen prawidłowości podjętych działań. Niestety jako środowisko informacyjne jest podstawiane to, które jest już po zakończeniu działań i prac np. komisji. Jest to fundamentalny błąd w założeniu, który pomija fakt, że wiele decyzji kryzysowych podejmowanych jest w sytuacji ograniczonych informacji;
Mierników wdrożenia decyzji (czyli tego, co potwierdzi, że decyzja została wdrożona).

Kolejny etap?

Nie. Rozwiązania kryzysowe jako działania szybkie, dynamiczne, pod presją czasu nie powinny być nadmiernie rozdmuchane. Mimo tego, że niektóre standardy i normy mówią o kolejnych etapach, w swojej praktyce skróciliśmy działania do powrotu do etapu:

Raport sytuacyjny i świadomość sytuacyjna.

Różnica w stosunku do standardów

Standardy mówią o tym, aby ocenić stopień wdrożenia podjętych decyzji. Ocenić, jak wpłynęły na sytuację. W naszej pracy jest to nic innego, jak stworzenie kolejnego raportu sytuacyjnego. Czyli praca na gromadzeniu i wartościowaniu informacji, w celu ich analizy i uzyskania świadomości. Bo przecież o to chodzi, aby pozyskać informacje o tym, czy nasze działania są słuszne i skuteczne. A to jest po prostu informacja. Dlatego zalecamy w trakcie szkoleń czy tworzenia systemów, aby rozwiązania te po prostu wchodziły jako kolejna grupa informacji do raportu sytuacyjnego.

Drugim aspektem, który uzasadnia takie działanie jest zwiększenie wartości informacji dostarczanych w trakcie raportu i wprowadzenie elementu psychologicznego. Zaczynamy rozpatrywać skuteczność naszych działań w otoczce zdarzeń kryzysowych, a to powoduje, że powoli budowana jest pewność w zespołach zarządzania kryzysowego. Ten temat również zostanie rozwinięty w artykule poświęconym aspektowi ludzkiemu w kryzysach.

Podsumowanie zarządzania kryzysowego

Jak widać w toku działań kryzysowych wcale nie ma potrzeby tworzenia zaawansowanych rozwiązań, gromadzenia wielu informacji z wyprzedzeniem, jak to ma miejsce w zarządzaniu kryzysowym osadzonym w systemach zarządzania ciągłością działania.

W przypadku zarządzania kryzysowego, w podejściu nowoczesnym konieczne jest po prostu pracowanie na informacjach bieżących i podejmowanie decyzji. I te dwa elementy są krytyczne do tego, aby funkcjonować.

Błędy analityków

W artykule opisaliśmy kwestie predykcji epidemii na skalę jaką mamy teraz, czyli pandemii ogłoszonej przez WHO z bardzo dużym zasięgiem. Aby ujawnić zagrożenie kryzysem wynikającym z pandemii należy monitorować lub co najmniej okresowo przeglądać czynniki makrootoczenia tzw. kontekst zewnętrzny zgodnie z normami ISO np. 31000, czy makrootoczenie w analizach strategicznych. Czynnikiem, który powinien być szczególnie brany pod uwagę przez analityków bezpieczeństwa, specjalistów i managerów są parametry związane z transportem. Osądzając w analizach kontekstu zewnętrznego / PEST:

Czynniki:

E-1.4 migracje zawodowe na poziomie światowym (czynniki ekonomiczne, poziom 1 – globalny);
E-1.6 globalizacja;
S-1.3 wzorce życia na poziomie globalnym (czynniki społeczne, poziom 1- globalny)
S-2.2 migracje zawodowe (czynniki społeczne, poziom krajowy).

Dane do pozyskania:

Zdolność przewozowa na linii Azja-Europa. Zdolność przewozowa to jest największa liczba ładunków i pasażerów, których może przewieźć przewoźnik;
Dynamika wzrostu przewozów Azja-Europa, ze szczególnym uwzględnieniem przewozów pasażerskich.

Te dwa parametry dodane do analizy makrootoczenia już powinny wskazać źródło wzrostu ryzyka. Po prostu wzrasta zagrożenie wynikające z większych możliwości podróżowania między krajami, w których dochodziło wcześniej do zakażeń koronawirusami.

WAŻNE

Ani MERS, ani SARS nie złożyły broni. Szczepy ptasiej grypy z tych najbardziej zjadliwych – H5 i H7 znane są praktycznie od średniowiecza. Analitycy bezpieczeństwa powinni zwrócić naprawdę szczególną uwagę na te obszary, bo na wiele z tych wirusów nie ma szczepienia, a leczenie często jest objawowe. Oznacza to, że odkryte są kombinacje leków, które potrafią uleczyć.

Ale 36% śmiertelności dla MERS, czy około 50% dla SARS powinno robić większe wrażenie niż obecny SARS-CoV-2 ze swoimi 2-5%. Po prostu pozostałe nie skorzystały jeszcze z transportu. Nie chodzi o straszenie, a o przygotowanie się z procedurami z obszarów ciągłości działania, czy też incydentów. Tak, aby nie wpaść w zarządzanie kryzysowe, te w nowoczesnym ujęciu. W którym wiemy zbyt mało, aby wcześniej zaplanować działania.

Najbliższe szkolenie Zarządzanie ciągłością działania: 24-25 października 2022

AUTOR: Eksperci ESSA

PODOBNE ARTYKUŁY:

O wiodących koncepcjach personalnych w zarządzaniu zasobami ludzkimi, czyli jak zarządzać personelem, by unikać jego błędów?

Błędy pracownika, błędy kierownika, błędy… Błąd pracownika może powodować dla firmy dużą stratę, czasem nawet bardzo dużą. Błąd pracownika z działu bezpieczeństwa czy innej osoby, który wykonuje zadania dotyczące bezpieczeństwa może kosztować firmę zdecydowanie ZA...

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje?

Analiza wpływu w NIS 2 – czym różni się od szacowania i oceny ryzyka oraz jak się ją wykonuje? W poprzednim artykule zostało opisane ryzyko w NIS 2 - wymagania w zakresie szacowania i oceny ryzyka w kontekście świadczenia usług kluczowych. Dziś kilka słów o drugiej z...

Szacowanie i ocena w NIS 2 – analiza ryzyka, szacowanie, czy ocena?

Ryzyko w NIS 2 Dyrektywa NIS 2 (Network and Information Security) w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE wprowadza szereg wymagań w zakresie stosowanych rozwiązań organizacyjnych. Jednym z nich jest polityka analizy...

NAJBLIŻSZE SZKOLENIA

Szkolenie online: Szacowanie i ocena ryzyka
14 maja @ 09:30 - 15 maja @ 15:30
Szkolenie on-line: Zarządzanie kryzysowe
28 maja @ 09:30 - 29 maja @ 15:30
Szkolenie online: Zarządzanie bezpieczeństwem
11 czerwca @ 09:30 - 12 czerwca @ 15:30