DTR004 Управление непрерывностью бизнеса

Downloadable PDF Resources

  1. English
  2. English/Spanish
  3. English/Russian

This module will take you through the Управление непрерывностью бизнеса.

  1. Введение
  2. Цели УНБ‘
  3. Инфраструктура поддержки
  4. Связь
  5. Принятие решения
  6. Стабилизация
  7. Тестирование и Проверка
  8. Заключение
  9. Основные положения

 

нформация, содержащаяся в данном документе, является частью аккредитованного IQ курса
«Сертификат 4-го уровня по усовершенствованию управления рисками и кризисной ситуацией»

Введение

Учитывая тот факт, что кризисы, как правило, являются масштабными и неожиданными событиями, и находятся в значительной степени за пределами контроля менеджера безопасности, вполне вероятно, что любой кризис будет иметь существенное влияние на деятельность компании, ведущее к повсеместным операционным сбоям или даже к ее полному краху.

Планирование непрерывности бизнеса (ПНБ) и управления непрерывностью бизнеса (УНБ) — это два аспекта стадии восстановления послекризисного реагирования, что почти наверняка свазано с работой команды управления безопасностью. В этом разделе будут рассмотрены некоторые из основных требований любой программы ПНБ и УНБ.

Introduction

Given the fact that crises are usually large scale, unexpected and to a large degree outside of the control of the security manager, it is likely that any crisis that does occur will have a major impact on the operations of a company, including widespread disruption or even total collapse.

Business Continuity Planning (BCP) and Business Continuity Management (BCM) are two aspects of the recovery stage of the post-crisis response that will almost certainly involve the security management team. This section will look at some of the basic requirements of any BCP and BCM programme.

Цели УНБ

Цель планирования непрерывностью бизнеса является обеспечение существования концептуальной схемы правил, которые могут быть использованы для поддержания деятельности компании в рамках максимально широкого круга рисков. Тем не менее, как бы хорошо они не были спланированы и написаны, что-то большее, выходящее за рамки обычной ситуации, может внести значительные перебои и путаницу, и потребует адаптации написанных планов НБ к реальной ситуации, с которой столкнулись менеджеры. Это более очевидно в крупных организациях, особенно когда развертывание ПНБ выходит за рамки личных дискуссий и требует высокого уровня координации нескольких отделов. Необходимость использовать планы НБ и одновременно поддерживать основные функции бизнесдеятельности всегда будет процессом, который тестирует навыки менеджеров безопасности до предела.

Как и в любой программе управления безопасностью, первым этапом в разработке плана обеспечения непрерывности бизнеса является проведение оценки риска, с тем, чтобы определить, какие виды рисков должны быть запланированы. Каждый из этих выявленных рисков будет влиять на функционирование компании по разному, но все они разделяют общее качество – все они могут привести к серьезным перебоям в способности компании управлять своим бизнесом на нормальной основе. В типичном городском офисе, они могут включать в себя ИТ-сбои, наводнения, террористические угрозы, отказ транспорта (так что сотрудники не могут доехать до офиса), массовые беспорядки, сбой электроснабжения и т.д. Для компании, которая работает за рубежом, выявленные угрозы могут включать в себя стихийные бедствия , политические потрясения, социальные волнения, терроризм, организованная преступность, похищения с целью выкупа, или любой из других рисков, которые могут быть определены в зависимости от конкретной географической, политической и социальной среды.

Развитие ПНБ всегда предполагает высокий уровень сотрудничества с широким кругом других подразделений, а именно способность координировать различные подразделения, которые как правило не могли бы иметь тесные рабочие отношения, что создаст основу для совместного эффективного принятия решений и их воплащения в случае, если будет иметь место крупный сбой бизнес деятельности.

Objectives of BCM

The purpose of Business Continuity Planning is to ensure that there is a framework that can be used to maintain the operations of the company under the widest possible range of risks. However, however well they may be planned and written, anything which is more than a routine situation will involve a significant level of disruption and confusion, and will need the written BC plans to be adapted to the reality of the situation that the managers are facing. This is more evident the larger the organisation is, especially when the deployment of the BCP goes beyond a matter of personal discussions, and requires high levels of multi-division coordination. The need to utilise BC plans at the same time as maintaining the core functions of a business’s operations, is always going to be a process that tests a security managers skills to the limits.

As in any security management programme, the first stage in developing a business continuity plan is to carry out a risk assessment, so as to identify what sorts of risks might need to be planned for. Each of these identified risks would affect the operation in a different way, but they all share the common quality that they would cause significant disruption to the ability of the company to manage its business on a normal basis. In a typical city office that might include IT failure, flooding, terrorist threat, transport failure (so that employees can’t get in), rioting, power failure, etc. For a company that runs overseas operations, identified threats might include natural disasters, political upheaval, social unrest, terrorism, organised crime, K&R (Kidnapping and Ransom), or any of the other risks that might be identified depending on the specific geographical, political and social environment within which it is operating.

The development of a BCP will always be something that involves a high level of collaboration with a wide range of other divisions, and it is the ability to coordinate different divisions that might not normally have a close working relationship that will set the foundation for effective shared decision making and delivery of solutions in the event that a major business disruption was to occur.

Инфраструктура поддержки

Одним из первых вопросов, которым задается любая ПНБ — это «Что бы мы предприняли, если бы наши нынешние объекты стали неработоспособными?». Это может быть чем-то, что непосредственно связано со зданием — утечки газа, например — или это может быть что-то, во что вы попали, и что на самом деле не имеет ничего общего с вами. Так может произойти террористическая атака на соседней улице, но ваше здание может находится внутри специально созданного внутреннего оцепления, и вы не сможете иметь к нему доступ в течение нескольких дней или даже недель. Или же ваше здание может находиться рядом с центральным офисом крупной нефтехимической компании, которая вдруг становится объектом сидячего протеста или ситуации с заложниками.

В том случае, если у вас возникла необходимость переместить операционную деятельность на другой объект, решающим фактором для успеха этого шага, является готовность этого нового объекта. Одним из недостатков многих ПНБ является то, что предполагается, что они будут иметь возможность сделать что-то, а на самом деле- нет. Они могут предположить, например, что работники смогут получить доступ в здание для извлечения файлов из компьютеров или других документов. Тем не менее, в качестве менеджера по безопасности, важно, чтобы вы реалистично оценили ваш ПНБ, и не делали такие предположения, что, безусловно, сделает вашу жизнь проще, но на самом деле, не поможет, если возникнет подлинная кризисная ситуация.

Back-Up Facilities

One of the first questions that any BCP will pose is ‘What would we do if our present facilities became inoperable?’. That might be because of something directly connected to the building – a gas leak, for example — or it may be something that you get caught up in that actually has nothing to do with you. There may be a terrorist attack in the next street, but your building is inside the inner cordon that has been set up, and you may not be able to have access to that site for days or even weeks, or you may share your building with a major petrochemical company that becomes the target of sit-in protestors or a hostage situation.

In the event that you did need to move your operations to another site, it is critical to the success of that move that everything that you need is already in place. One weakness of many BCP’s is that they presume that they will be able to do something that actually is not the case. They may presume, for example, that people will be able to access the building in order to retrieve computer files or other documents. However, as a security manager, it is important that you look at your BCP with honest eyes, and don’t make presumptions that would certainly make your life easier, but actually are not likely to happen if a genuine situation was to arise.

Связь

В любой из «ненормальных» ситуаций связь является абсолютным ключом к решению задач. Какой бы эффективной ПНБ не была, всегда будет необходимость в большем общении между всеми заинтересованными сторонами, которые будут оценивать ситуацию и адаптировать ПНБ в соответствии с конкретными и немедленными потребностями. Помимо необходимости общения с другими людьми, вовлеченными в ПНБ — и это, вероятно, будут, в той или иной форме, все сотрудники — существует также потребность в общении с клиентами и поставщиками, чтобы проинформировать их о настоящей ситуации и о том, как долго займет возобновление нормальной деятельности (или, по крайней мере, насколько это возможно ближе к нормальной).

Communications

As in any ‘non-normal’ situation, communication is the absolute key to getting things done. However effective the BCP might be, there will always be the need for a large amount of communication between all the various stakeholders, who will be assessing the situation and adapting the BCP according to the specific and immediate needs. As well as the need to communicate with the other people involved in the BCP – and that is likely to be all employees, in one way or another – there is also the need to communicate with clients and suppliers, to reassure them as to the current situation and as to how long it will take to resume normal operations (or at least, as near to normal as possible).

Принятие решения

Как в любой из ситуаций антикризисного управления, события на местах могут потребовать быстрого и решительного принятия решений, и одной из главных причин неудач в ПНБ является отсутствие ясного понимания, кто имеет право принимать решения и на каком уровне. Многие из мер, которые будут приняты необходимо будет оплатить, как то: организовать специализированную уборку, чтобы очистить офис после наводнения, арендовать транспорт для перевозки сотрудников в запасной офис, снять гостиничные номера и организовать питание, нанять стороннего поставщика для организации сети связи при чрезвычайных ситуациях. Если каждый из этих вопросов приводит к значительным задержкам в принятии решений и начале действий, то ясно, что задержка будет нарастать, что означает, что сама ПНБ стала неэффективной и ситуация будет становиться все более серьезной и труднореагируемой.

Decision-Making

As in any crisis management situation, events on the ground may require fast and decisive decision making, and one of the main causes of failures in BCP is the fact that it is not clear who has the authority to make decisions, and to what level. Many of the actions that will be taken will need to be paid for – getting specialist cleaners in to clean up your office after a flood, hiring coaches to take your staff to the new offices, paying for hotel rooms and meals, hiring a third party supplier (TPS) to supply emergency communications networks, etc. If each of these questions leads to significant delays in making the decisions and putting the actions into place, then it is clear that there will be an accumulative delay that will mean that the BCP itself will become increasing ineffective and the situations that you are facing will become increasingly serious and difficult to respond to.

Стабилизация

Вполне вероятно, что последствия событий, которые приведут к запусканию ПНБ, будут иметь «длинный хвост», и что они будут продолжать оказывать влияние на вашу деятельность в течение длительного времени после исходной проблемы. Тем не менее, даже если вы не будете в состоянии восстановить свою деятельность до пред-кризисного уровня, одной из ваших целей является достижение, насколько это возможно, стадии нормальной деятельности, и параллельно с ней осуществления остальной части программы восстановления.

Stabilisation

It is likely that the impacts of the events that lead to the triggering of the BCP will have a ‘long tail’, in that they will continue to affect your operations for a long time after the initial problem. However, even if you may not be able to restore the whole operation to the status that is was before the crisis started, one of your objectives is to reach a stage where normal activities can carry on, as best as possible, whilst the rest of the recovery programme runs in parallel to that.

Тестирование и Проверка

Учитывая потенциальный уровень влияния неудачи любой из программ УНБ, важной частью ПНБ любой организации является тестирование и проверка каждой разработанной УНБ программы. Несмотря на то, что, очевидно, невозможно полностью воссоздать условия, которые будут присутствовать в полномасштабной кризисной ситуации, все еще возможно проверить сами программы и способность ключевого персонала к их реализации через серию прогрессивно-сложных и трудных основанных на сценарии тренингов.

Одним из примеров такого проверочного тренинга может быть проверка планов УНБ. Очень часто одной из проблем является неизменность находящейся в нем информации. Работники часто меняют рабочие места или покидают организацию в целом, функциональность перемещается из одного офиса в другой, происходят корпоративные реорганизации, так что цепочки отчетности могут меняться, также входные коды в разных местах могут быть изменены. Это все важная информация, которая имеет основополагающее значение для эффективного управления любого УНБ. Учитывая уровень организационного стресса, который присутствует в любой операции УНБ, вместе с беспорядком и личным давлением, влияние такой устарелой информации практически невозможно переоценить. Пытаться позвонить кому-то, кто числится как директор непрерывности бизнеса конкретного подразделения или отдела, только чтобы узнать, что его телефонный номер больше не существует, так как этот человек покинул компанию два года назад, совершенно не помогает, если не сказать большего. Ключевым моментом в тестировании и проверке планов УНБ является то, что информация, которую они содержат пересматривается, обновляется и проверяется.

На практической основе, способы, которыми планы УНБ могут быть протестированы (а затем улучшены, на основе накопленного опыта), включают регулярные упражнения, которые позволят людям из разных подразделений и отделов работать вместе в принятии решений, намечая планы действий и создавая общекорпоративную возможность обеспечения непрерывности бизнеса. Эти упражнения не должны быть слишком сложными, и они, конечно, не должны быть хай-тек, но они должны собрать как можно больше сотрудников вместе, чтобы выявить, каким наилучшим образом они могут работать вместе в процессе выявления потенциальных проблем, и создавая повышенные возможности на всех уровнях функционирования.

Testing and Verification

Given the potential level of impact of the failure of any BCM programme, a critical part of any organisation’s BCP is the testing and verification of any BCM programme that has been developed. Although it is clearly impossible to fully recreate the conditions that would be present in a full-blown crisis, it is still possible to test the programmes and the ability of critical staff to implement them through a series of progressively more complex and challenging scenario-based training.

As an example of a simple verification exercise, one of the problems in any BCM plan is that the information is held on it changes. People move jobs or leave the organisation altogether, functions are moved to different offices, there are corporate reorganisations so that reporting chains may change, entry codes to various locations may be changed. This is all critical information that is fundamental to the effective management of any BCP. Given the level of organisational stress that is involved in any BCM operation, together with confusion and personal pressure, the impact of such out-of-date information is almost impossible to calculate. To phone someone up who is listed as the Business Continuity Director of a particular division, only to find out that that number no longer exists because that person left the company two years ago, is not helpful, to say the least. A significant issue in the testing and verification of BCM plans is that the information that they hold is reviewed, updated and checked.

On a practical basis, the way that BCM plans can be tested (and then improved, based on the lessons learned), is to hold regular table-top exercises that allow people from different divisions to work together in making decisions, putting plans in action and creating a general corporate-wide business continuity capability. These exercises do not need to be overly complicated, and they certainly do not need to be high-tech, but they should bring as many people together as possible to find out how they can best work together, as they identify potential problems, and create enhanced capability at every level of the operation.

Заключение

Природа кризисов заключается в том, что они имеют тенденцию быть неожиданными, и не существует «хорошего времени» для их прихода! Тем не менее, чем лучше планирование и подготовка к работе с ними, тем больше вероятность того, что организация сможет выдержать первоначальный шок.

После этого УНБ может быть использовано для обеспечения ответа, который обеспечит безопасность и благополучие персонала и, в то же время, поддержит оперативную функциональность организации в максимально возможной степени. Затем УНБ может быть задействовано для стабилизации и повторной оценки, принимая необходимые решения, которые позволят организации вернуться к нормальному рабочему режиму, так плавно и эффективно, насколько это возможно.

Summary

It is in the nature of crises that they tend to be unexpected, and there is never a good time to have one! However, the better the planning and preparation for dealing with them, the more likely it is that the organisation will be able to survive the initial shock. They will then be able to utilise their BCP to deliver a response that will ensure the safety and well being of staff at the same time that they maintain the operational functionality of the organisation to the greatest degree possible. They can then use BCM to stabilise and reassess, making the necessary decisions that will enable them to return to normal operating status as smoothly and effectively as possible.

Основные положения

  • Эффективное ПНБ — это нечто, продолжающееся на постоянной основе, а не единственное событие
  • Все заявленные планы должны пересматриваться, проверяться и обновляться на регулярной основе
  • ПНБ есть только бумага, и это люди, кто воплощает ее в жизнь.
  • Чем больше вы будете тестировать и перепроверять свои планы через упражнения на местах и другие подобные тренинги, тем более эффективным будет ваш ответ в случае, если это потребуется

Main Points

  • Effective BCP is something that is on-going, rather than a single event
  • All plans showed be reviewed, checked and updated on a regular basis
  • BCP’s are only paper – it is people that make them work.
  • The more you test and revalidate your plans, through table-top exercises and other similar training events, the more effective your response will be in the event that is it is required