Kompanija mora biti svesna svih rizika koji mogu zaustaviti poslovanje i pravovremeno propisati procedure i radna uputstva koja omogućavaju da se zadrže vitalne poslovne funkcije koje su neophodne da bi sistem zadržao aktivan status i nastavio komunicirati sa tržištem.
Savremeni informacioni sistemi su doneli mnoge pogodnosti kada je u pitanju poslovanje preko računara i interneta, ali i kada je reč o automatizaciji procesa u okviru industrije, saobraćaja i drugih vidova klasične i kritične infrastrukture. Međutim, pored svih prednosti koje sa sobom nosi tehnološki napredak, postoje i mnoge opasnosti u vidu sajber rizika, pretnji, ali i drugih okolnosti i situacija koje mogu znatno usporiti ili prekinuti poslovanje jedne firme.
Ukoliko preduzeće u svojim informacionim sistemima ima samo jednu kritičnu tačku odakle se odvija podrška poslovanju, otkazivanje tog sajta može izazvati prekid rada čitavog sistema što je velika bezbednosna pretnja, često zanemarena zbog prioriteta u smanjenju troškova ili prosto zbog nedovoljne svesti o mogućim negativnim posledicama.
Stoga je bezbednosni standard u IT-u kao i osnovni savet za kompanije formiranje rezervne tačke/pozicije/sajta gde bi se back up-ovali kako podaci tako i funkcije i odakle bi se u slučaju incidenta, neke prirodne katastrofe, poput požara, poplave, zemljotresa ili hemijskih incidenata velikih razmera, mogao obaviti oporavak poslovnih funkcija iz rezervnog data centra.
Uspešne i odgovorne kompanije imaju i više rezervnih lokacija ali je jedna svakako obavezna da bi uopšte pristupili izgradnji BCM-a (Business Continuity Management).
Međutim, ono što je za opstanak i rad biznisa najvažnije je da izbegne, ili, ako već ne može, da nastavi da funkcioniše, uprkos bezbednosnom incidentu koji ga je snašao. Statistika pokazuje da ogroman procenat malih i srednjih preduzeća posle doživljenog upada u svoj sistem prestaje da funkcioniše ili biva izbrisano sa tržišta u roku od najviše 5 godina od prvog cyber napada.
Značaj dobre strategije kontinuiranog poslovanja
Kako se u poslovnoj praksi malih i srednjih preduzeća Srbije neretko dešavaju sajber incidenti, potrebno je i uprkos poteškoćama obezbediti da poslovanje firme teče bez zastoja, odnosno da vremenski gubici budu što manji. To se postiže primenom dobre strategije kontinuiranog poslovanja.
Kontinuirano poslovanje se odnosi na svaku operaciju ili funkciju koja se izvršava sa ciljem da se podrže aktivnosti vezane za prevenciju gubitka, odgovora na krizu, oporavka od tehničke katastrofe, odnosno, to je sposobnost da organizacija obezbedi proizvode i usluge svojoj zajednici i da održava svoje poslovanje pre, za vreme i posle ometajućeg događaja.
Poznato je da u poslovnom svetu vreme znači novac, pa je u praksi potrebno potrošiti što manje vremena na otklanjanje eventualnih problema u funkcionisanju informacionih sistema. Plan oporavka treba da ponudi optimalno rešenje koje bi bilo prihvatljivo i sa tehničke i sa ekonomske tačke gledišta.
S druge strane, strategija kontinuiranog poslovanja treba da se oslanja na plan oporavka i da obezbedi da se radni proces obavi uz minimum zastoja, jer veći zastoj znači veće finansijske gubitke za to preduzeće. Idealan slučaj bi bio kada bi se incident izbegao u potpunosti, ali to je u praksi teško izvodljivo ako su napadači posebno motivisani da napadnu i izvuku informacije iz malog ili srednjeg preduzeća i time ostvare određenu korist za sebe.
Drugim rečima, kako je sajber napad postao nešto što može svakoga da zadesi, potrebno je razmišljati o merama koje bi omogućile da firma to preživi.
Plan za obezbeđenje kontinuiteta poslovanja
Plan za upravljanje kontinuitetom poslovanja je dokument koji se sastoji od procedura za obezbeđivanje nesmetanog i kontinuiranog funkcionisanja svih značajnih procesa i sistema.
Sastavni deo ovog plana je plan poslovanja u slučaju nastanka nepredviđenih događaja kojim se utvrđuju tehničke i organizacione mere za ponovno uspostavljanje poslovanja, u što kraćem roku, odnosno za ublažavanje posledica prekida u poslovanju.
Cilj postojanja Plana za obezbeđenje kontinuiteta poslovanja je da pruži praktične savete za reagovanje zaposlenih i menadžmenta u slučajevima nastanka nepredviđenog događaja i da smanji potrebno vreme za donošenje odluka u vezi sa obezbeđenjem kontinuiteta poslovanja i uspostavljanje normalnog poslovanja u što kraćem roku.
Plan za obezbeđenje kontinuiteta poslovanja se primenjuje u primarnoj lokaciji, sekundarnoj lokaciji i celoj organizaciji, kao i na – Disaster Recovery lokaciji (rezervnoj lokaciji).
Plan za obezbeđenje kontinuiteta poslovanja izrađuje se na osnovu analize poslovnih procesa u organizaciji, tako da jasno određuje koji događaji mogu izazvati nastupanje vanredne situacije i poremećaje u poslovanju, a koji mogu delimično ili potpuno onemogućiti poslovni proces.
Događaje koji mogu na bilo koji način poremetiti poslovanje klasifikuju se u tri osnovne grupe i to:
- Događaji koji zavise od eksternih faktora / dobavljača;
- Događaji koji mogu nastati u obavljanju svakodnevnih poslovnih procesa;
- Nepredviđeni događaji koji mogu nastati usled elementarnih nepogoda, akcidenata, požara, vanrednih situacija proglašenih od strane države i tehničko – tehnoloških udesa.
Kada se u praksi desi incident, potrebno je postupiti po nekom planu koji bi obezbedio da se data situacija reši na što racionalniji način. Drugim rečima, da bi se što racionalnije sproveo plan oporavka i omogućio kontinuitet u poslovanju malog i srednjeg preduzeća, potrebno je da firma raspolaže:
- tehnologijom koja će da garantuje izvršenje mera spašavanja,
- ljudima koji će da sprovedu date mere i
- procesom koji će da obezbedi kontrolisano sprovođenje mera.
Ljudski resursi su ti koji treba da imaju znanje i veštine, kako bi osigurali da će data tehnologija biti pravilno upotrebljena, dok sam proces može da bude vešto napisan plan ili procedura po kojoj će se spašavanje podataka i organizovati.