Η Διαχείριση της Επιχειρησιακής Συνέχειας (Business Continuity Management) είναι μια διαδικασία ολιστικής διαχείρισης, η οποία προσδιορίζει τις πιθανές επιπτώσεις που απειλούν την απρόσκοπτη λειτουργία ενός Οργανισμού και παρέχει ένα πλαίσιο για την αύξηση της ανθεκτικότητας και της ικανότητας για αποτελεσματική αντίδραση σε περίπτωση κινδύνων. Σκοπός της είναι η προστασία των συμφερόντων όσων σχετίζονται με τη λειτουργία του Οργανισμού, καθώς και η προστασία της φήμης, της αξιοπιστίας και της βιωσιμότητάς του.

Η Διαχείριση της Επιχειρησιακής Συνέχειας διαφέρει από το σχέδιο αποκατάστασης της λειτουργίας μετά από καταστροφή (Disaster Recovery Plan), μιας και το δεύτερο αποτελεί υποσύνολο του πρώτου. Συγκεκριμένα, το Σχέδιο Αποκατάστασης από Καταστροφή (DRP), είναι η διεργασία, οι πολιτικές και οι διαδικασίες που σχετίζονται με την αποκατάσταση και τη συνέχιση της λειτουργίας της τεχνολογικής υποδομής ενός Οργανισμού, μετά από φυσικές ή ανθρωπογενείς καταστροφές. Το σχέδιο αποκατάστασης μετά από καταστροφή, επικεντρώνεται στην τεχνολογία της πληροφορικής ή στα συστήματα που υποστηρίζουν τη λειτουργία του Οργανισμού, σε αντίθεση με τη Διαχείριση της Επιχειρησιακής Συνέχειας η οποία περιλαμβάνει τον προγραμματισμό για την αποκατάσταση και συνέχιση της λειτουργίας ενός Οργανισμού σε περιπτώσεις γεγονότων που οδηγούν σε μερική ή ολική αδυναμία λειτουργίας του Οργανισμού.

Η υιοθέτηση μιας αποτελεσματικής διεργασίας Διαχείρισης της Επιχειρησιακής Συνέχειας για έναν Οργανισμό, αποφέρει πλεονεκτήματα σε μια σειρά από τομείς, όπως:

  • Προστασία της επένδυσης και των κερδών των μετόχων.
  • Μεγαλύτερη και καλύτερη κατανόηση της επιχειρηματικής λειτουργίας του Οργανισμού, μέσω της διαδικασίας προσδιορισμού και αξιολόγησης των κινδύνων.
  • Μεγιστοποίηση της Επιχειρησιακής ανθεκτικότητας η οποία προκύπτει από την εφαρμογή των δικλείδων ασφαλείας που αφορούν στη μείωση του κινδύνου.
  • Μείωση του χρόνου διακοπής της επιχειρηματικής λειτουργίας, μέσω του προσδιορισμού εναλλακτικών διαδικασιών και τρόπων αντιμετώπισης.
  • Προσδιορισμός και προστασία των ζωτικής σημασίας αρχείων.
  • Καλύτερη θεώρηση και διαχείριση των νομικών απαιτήσεων για την υγεία και την ασφάλεια των εργαζομένων.
  • Βελτίωση της λειτουργίας και της αποτελεσματικότητας των λειτουργικών διεργασιών, μέσω του ‘αναγκαστικού’ ανασχεδιασμού των κρίσιμων λειτουργικών διεργασιών.
  • Προστασία των φυσικών περιουσιακών στοιχείων, καθώς και της τεχνογνωσίας του Οργανισμού.
  • Διατήρηση αγορών και πελατών, εξασφαλίζοντας συνεχή παροχή υπηρεσιών και προϊόντων.
  • Αποφυγή των επιπτώσεων από περιπτώσεις αστικής ευθύνης.

Κίνδυνοι και ευκαιρίες κατά την ανάπτυξη του Σχεδίου Επιχειρησιακής Συνέχειας
Η συγκεκριμένη παράγραφος προσδιορίζει τις ευκαιρίες που έχει ένας Οργανισμός να βελτιωθεί στα πλαίσια ανάπτυξης ενός Σχεδίου Επιχειρησιακής Συνέχειας, αλλά και τους κινδύνους που πρέπει να αντιμετωπιστούν προκειμένου να αναπτυχθεί αποτελεσματικά το Σχέδιο Επιχειρησιακής Συνέχειας.
Ένα αποτελεσματικό Σχέδιο Επιχειρησιακής Συνέχειας μπορεί να πάει πολύ πιο πέρα από ό,τι ένα σχέδιο διασφάλισης της απρόσκοπτης λειτουργίας ενός Οργανισμού. Πρόκειται για την ανάπτυξη ενός πλαισίου προστασίας της λειτουργίας του Οργανισμού, το οποίο θα του επιτρέπει να προσαρμόζεται γρήγορα στις συνεχώς μεταβαλλόμενες επιχειρηματικές απαιτήσεις και θα αποτελέσει εφαλτήριο για την επιχειρηματική και γεωγραφική του επέκταση.
Τα ακόλουθα θεωρούνται ως οι κύριες ευκαιρίες κατά την ανάπτυξη ενός Σχεδίου Επιχειρησιακής Συνέχειας, όσον αφορά στην ανθεκτικότητα του Οργανισμού σε περιστατικά διακοπής της λειτουργίας του ή μέρους αυτής, στη λειτουργική αρτιότητα και αποτελεσματικότητά του:

  • Υλοποιεί τη δέσμευση για συνεχή παροχή υπηρεσιών, που έχει σαν απαραίτητη προϋπόθεση τη συνεχή παροχή των κρίσιμων επιχειρησιακών διεργασιών, με σκοπό την αποφυγή σοβαρής διακοπής της λειτουργίας.
  • Αποδεδειγμένη δέσμευση για Επιχειρησιακή Συνέχεια. Μπορεί να χρησιμοποιηθεί ως ανταγωνιστικό πλεονέκτημα στο πλαίσιο διαπραγμάτευσης νέων συνεργασιών.
  • Μπορεί να χρησιμοποιηθεί ως εργαλείο διαπραγμάτευσης με προμηθευτές, έτσι ώστε και αυτοί να ευθυγραμμιστούν με τις απαιτήσεις του εκάστοτε Οργανισμού για επιχειρησιακή συνέχεια.
  • Αποδεδειγμένη δέσμευση για Επιχειρησιακή Συνέχεια μπορεί να μειώσει το κόστος ασφάλισης του Οργανισμού.
  • Συνολική βελτίωση της αποτελεσματικής λειτουργίας του Οργανισμού μέσω του προσδιορισμού των περιουσιακών του στοιχείων, των ανθρώπινων και οικονομικών πόρων που σχετίζονται με τις κρίσιμες επιχειρηματικές δραστηριότητες και διεργασίες.
  • Ευκαιρία να τεκμηριωθούν οι κρίσιμες επιχειρηματικές διαδικασίες και οι μεταξύ τους αλληλεξαρτήσεις.
  • Εξοικονόμηση κόστους, καθώς κατά τη διάρκεια ανάπτυξης του Σχεδίου Επιχειρησιακής Συνέχειας προσδιορίζονται όλοι οι αναγκαίοι πόροι για την υποστήριξη της επιχειρηματικής συνέχειας, συμπεριλαμβανομένων του προσωπικού, των πληροφοριών, του εξοπλισμού, των οικονομικών πόρων, νομικών απαιτήσεων και απαιτήσεων προστασίας των υποδομών. Ως αποτέλεσμα, ελαχιστοποιείται ο κίνδυνος επιπρόσθετων επενδύσεων σε τομείς που δεν επηρεάζουν τη συνέχιση των κρίσιμων επιχειρήσεων δραστηριοτήτων.
  • Βελτίωση της συνολικής ασφάλειας, φυσικής και λογικής.

Η οικοδόμηση ενός αποτελεσματικού Σχεδίου / Πλαισίου Επιχειρησιακής Συνέχειας απαιτεί την αντιμετώπιση των ακόλουθων κινδύνων, κατά τη διάρκεια της ανάπτυξής του:

  • Εξάρτιση από ένα Κέντρο Διοίκησης. Σε περίπτωση κρίσιμων περιστατικών, ακόμα και καταστροφής, ένας Οργανισμός πρέπει να μπορεί να επιβιώσει ακόμα και χωρίς τον ηγέτη του ή και τα βασικά διοικητικά του στελέχη. Ο Οργανισμός θα πρέπει να βεβαιωθεί ότι το Σχέδιο Επιχειρηματικής Συνέχειας προβλέπει διαφοροποιήσεις στη δομή διοίκησης σε περιπτώσεις έκτακτης ανάγκης.
  • Μη πρόβλεψη για εναλλακτικές μεθόδους επικοινωνίας. Ο Οργανισμός χρειάζεται να βεβαιωθεί ότι το σχέδιο επιχειρησιακής συνέχειας παρέχει εναλλακτικές μεθόδους επικοινωνίας μεταξύ των εργαζομένων και εύκολη πρόσβαση στις λίστες με τα στοιχεία επικοινωνίας τους. Το σχέδιο θα πρέπει επίσης να περιλαμβάνει και εναλλακτικούς τρόπους επικοινωνίας με τους πελάτες, στην περίπτωση όπου το τηλεφωνικό κέντρο ή η διαδικτυακή επικοινωνία δεν είναι διαθέσιμα.
  • Παραλείψεις στην εκπαίδευση των εργαζομένων σε διεργασίες πέραν των καθημερινών τους δραστηριοτήτων. Κατά τη διάρκεια ή μετά από ένα περιστατικό έκτακτης ανάγκης, υπάρχει πιθανότητα να μην είναι διαθέσιμο το προσωπικό που απαιτείται για την ανάκαμψη και επαναλειτουργία του Οργανισμού. Πρέπει να είμαστε σε θέση να εκτελέσουμε τόσο το σχέδιο επιχειρηματικής συνέχειας, όσο και τις παραγωγικές διεργασίες του Οργανισμού, με το διαθέσιμο προσωπικό. Αυτό απαιτεί εκπαίδευση του προσωπικού σε διαφορετικούς ρόλους του σχεδίου, αλλά και σε καθημερινές εργασίες πέραν των καθημερινών τυπικών τους καθηκόντων, έτσι ώστε να μπορεί πραγματικά να ανακάμψει και να λειτουργήσει ο Οργανισμός.
  • Έλλειψη κατανόησης σχετικά με το πώς συνεργάτες και προμηθευτές μπορούν να βοηθήσουν. Ένας ισχυρός εταίρος μπορεί να βοηθήσει να αντιμετωπιστούν πολλά προβλήματα, συμπεριλαμβανομένων και ορισμένων σεναρίων που μπορεί να μην έχουν συμπεριληφθεί στο αρχικό σχέδιο.
  • Ενημέρωση & αναθεώρηση του Σχεδίου Επιχειρησιακής Συνέχειας. Είναι απαραίτητη η διαρκής αναθεώρηση και ενημέρωση του σχεδίου, καθώς οι συνθήκες αλλάζουν και υπάρχει κίνδυνος να μην ανταποκρίνεται στο υφιστάμενο λειτουργικό περιβάλλον και στις αλλαγές που έχουν επέλθει σε αυτό.
  • Υπευθυνότητα. Αυτό περιλαμβάνει την ανάθεση αρμοδιοτήτων ελέγχου του Σχεδίου Επιχειρησιακής Συνέχειας σε ένα πρόσωπο που μπορεί σωστά και αποτελεσματικά να διαχειρισθεί κρίσιμες καταστάσεις και ταυτόχρονα να ελέγχει την εφαρμοσιμότητα του σχεδίου.
  • Δοκιμές αποτελεσματικότητας του Σχεδίου Επιχειρησιακής Συνέχειας μέσω τακτικών ασκήσεων.

Σχεδιασμός και ανάπτυξη του Σχεδίου Διαχείρισης Επιχειρησιακής Συνέχειας
Η διαχείριση της επιχειρησιακής συνέχειας είναι η διαδικασία με την οποία ένας Οργανισμός προετοιμάζεται για μελλοντικά περιστατικά που θα μπορούσαν να θέσουν σε κίνδυνο τους στόχους, την αποστολή και τη μακροπρόθεσμη βιωσιμότητά του.
Ο στόχος του Σχεδίου Επιχειρησιακής Συνέχειας είναι να δώσει τη δυνατότητα στον Οργανισμό για αποκατάσταση των κρίσιμων επιχειρηματικών διεργασιών του, μετά την εκδήλωση ενός κρίσιμου περιστατικού. Το Σχέδιο Επιχειρησιακής Συνέχειας αφορά στη διαχείριση του κινδύνου και στη διαμόρφωση ενός πλαισίου επιχειρηματικής συνέχειας, αναλόγως των πιθανών κινδύνων αλλά και της επιχειρηματικής αξίας του Οργανισμού.
Για την ανάπτυξη ενός αποτελεσματικού Σχεδίου Επιχειρησιακής Συνέχειας χρειάζεται να ακολουθηθεί μια εξίσου αποτελεσματική προσέγγιση, οι βασικές φάσεις ανάπτυξης της οποίας περιγράφονται στη συνέχεια:
Φάση 1: Προσδιορισμός των λεπτομερών απαιτήσεων
Έχοντας ορίσει το πεδίο εφαρμογής του Σχεδίου Επιχειρησιακής Συνέχειας, χρειάζεται μια λεπτομερής ανάλυση των εξειδικευμένων απαιτήσεων της Επιχειρησιακής Συνέχειας για τον κάθε Οργανισμό. Αυτό γίνεται για να κατανοήσουμε τη ροή των εργασιών που αφορούν στις κρίσιμες επιχειρηματικές διεργασίες της κάθε επιχειρηματικής μονάδας. Ταυτόχρονα προσδιορίζεται ο στόχος χρονικής αποκατάστασης των κρίσιμων πόρων και διεργασιών της κάθε επιχειρησιακής μονάδας.
Φάση 2: Ανάπτυξη της στρατηγικής αποκατάστασης
Ο στόχος της συγκεκριμένης φάσης είναι ο σχεδιασμός των απαραίτητων λύσεων (διαχειριστικές, τεχνολογικές) προκειμένου να διασφαλισθεί το απαραίτητο επίπεδο διαθεσιμότητας και δυνατότητας ανάκτησης των επιχειρηματικών διαδικασιών. Η διαδικασία επιλογής στρατηγικής ασχολείται με θέματα όπως ο προσδιορισμός των κρίσιμων πόρων για τους οποίους δεν υπάρχει πρόβλεψη αυξημένης διαθεσιμότητας (π.χ. ένα κτίριο παραγωγής, εξάρτηση από έναν και μοναδικό προμηθευτή, ένα τηλεφωνικό κέντρο κ.λπ.). Εξετάζονται επίσης οι κίνδυνοι που αφορούν σε ευρύτερες περιβαλλοντικές απειλές (π.χ. πολιτική αστάθεια, φυσικά φαινόμενα). Στο πλαίσιο της στρατηγικής προσδιορίζονται οι επιχειρηματικές ανάγκες συναρτήσει της ανάλυσης των επιχειρηματικών επιπτώσεων, όπως η προστασία της αξιοπιστίας του Οργανισμού και η πρόληψη ή η μείωση του χρόνου διακοπής της επιχειρηματικής δραστηριότητας.
Φάση 3: Ανάπτυξη των σχεδίων αντιμετώπισης
Ένα σχέδιο επιχειρησιακής συνέχειας αποτελείται από ένα σύνολο επιμέρους σχεδίων αντιμετώπισης κρίσιμων περιστατικών (διαδικασίες και πληροφορίες για τους σχετικούς πόρους), τα οποία χρησιμοποιούνται για την ανάκτηση των επιχειρηματικών διεργασιών από ένα γεγονός το οποίο έχει προκαλέσει μερική ή ολική διακοπή σε μία ή περισσότερες επιχειρηματικές δραστηριότητες. Το σχέδιο αντιμετώπισης απαντά στα βασικά ερωτήματα ενός σχεδίου, όπως: ποιος (ποιος εκτελεί την ανάκτηση), Τι (τι θα γίνει), πότε (η σειρά των διαδικασιών ανάκτησης), πού (πού θα λάβει χώρα η ανάκαμψη) και πώς (η ενσωμάτωση και ο συντονισμός εταιρικών πόρων, συνεργατών και πελατών).
Φάση 4: Ενσωμάτωση του Σχεδίου Επιχειρηματικής Συνέχειας στην κουλτούρα και το περιβάλλον του Οργανισμού
Αυτή είναι μία από τις πιο σημαντικές πτυχές του Σχεδίου Επιχειρηματικής Συνέχειας. Η αποτελεσματικότητά της εξαρτάται σε μεγάλο βαθμό από την ενσωμάτωση και το βαθμό επικοινωνίας του Σχεδίου Επιχειρηματικής Συνέχειας σε όλο τον Οργανισμό.

Για το λόγο αυτό είναι απαραίτητη η ανάπτυξη:

  • Προγραμμάτων και υλικού εκπαίδευσης.
  • Εκπαίδευσης της Ομάδας Διαχείρισης Κρίσεων.
  • Εκπαίδευσης της βασικής ομάδας υλοποίησης του Σχεδίου Επιχειρηματικής Συνέχειας.
  • Δημιουργίας & προγραμματισμού συνεχούς εκπαίδευσης και ευαισθητοποίησης.

Φάση 5: Δοκιμές & Συντήρηση του Σχεδίου Επιχειρηματικής Συνέχειας
Οι δοκιμές καταδεικνύουν εάν τα τεκμηριωμένα σχέδια και η στρατηγική αποκατάστασης είναι επαρκή και μπορούν αποτελεσματικά να ανακτήσουν τις κρίσιμες επιχειρηματικές λειτουργίες εντός των προβλεπόμενων χρονικών στόχων. Οι δοκιμές επικυρώνουν το σχεδιασμό του Σχεδίου Επιχειρηματικής Συνέχειας και προσδιορίζουν τις τυχόν αδυναμίες του.

Αυτοματοποίηση της διαχείρισης της Επιχειρησιακής Συνέχειας
Η αυτοματοποίηση της διαδικασίας διαχείρισης ενός Σχεδίου Επιχειρησιακής Συνέχειας, αφορά στη χρήση τεχνικών εργαλείων τα οποία δίνουν τη δυνατότητα κεντρικής διαχείρισης και αναθεώρησης των επιμέρους σχεδίων αντιμετώπισης.
Οι περισσότερες από τις διαθέσιμες λύσεις αφορούν στη χρήση web-based λογισμικού το οποίο συνδυάζει την επιχειρηματική συνέχεια, το σχέδιο αποκατάστασης καταστροφών που προσφέρει βοήθεια κατά τον αρχικό σχεδιασμό και αποτελεί κεντρικό σημείο αποθήκευσης για τα σχέδια και τις σχετικές διαδικασίες. Κάποιες πιο προηγμένες λύσεις συνδυάζουν και τη διαχείριση κρίσεων σε μια ενιαία πλατφόρμα διακυβέρνησης, διαχείρισης κινδύνου και διαχείρισης των απαιτήσεων συμμόρφωσης (GRC, Governance, Risk, Compliance).

Το ιδανικό αυτοματοποιημένο εργαλείο διαχείρισης της Επιχειρηματικής Συνέχειας θα πρέπει να διαθέτει τα ακόλουθα:

  • Αυτοματοποίηση της διαδικασίας προσδιορισμού των επιχειρηματικών επιπτώσεων (business impact assessment) και της κρισιμότητας των επιχειρηματικών διεργασιών και της τεχνολογικής υποδομής που τις υποστηρίζει.
  • Δημιουργία του σχεδίου επιχειρηματικής συνέχειας και των επιμέρους σχεδίων αντιμετώπισης, παρέχοντας τη δυνατότητα αυτοματοποίησης της ροής εργασιών που αφορούν στις εγκρίσεις και στις δοκιμές των επιμέρους σχεδίων αντιμετώπισης.
  • Διαχείριση και εκτέλεση του σχεδίου και παροχή των καναλιών επικοινωνίας που χρειάζονται κατά την ενεργοποίηση του σχεδίου.

Τα παραπάνω χαρακτηριστικά περιγράφουν το ιδανικό σενάριο, το οποίο δεν υλοποιείται από τις υφιστάμενες εμπορικά διαθέσιμες λύσεις.
Υπάρχουν επί του παρόντος πολλές αυτοματοποιημένες εφαρμογές Διαχείρισης Επιχειρησιακής Συνέχειας και αρκετά εργαλεία που είναι διαθέσιμα στην αγορά, που καλύπτουν μέρος του παραπάνω ιδανικού σεναρίου.
Η χρήση ενός λογισμικού Διαχείρισης της Επιχειρηματικής Συνέχειας, καθιστά τη δημιουργία και τη συντήρηση των σχεδίων αντιμετώπισης εύκολη και αποτελεσματική, εξοικονομώντας χρόνο στους εργαζομένους για να ασχοληθούν με τις παραγωγικές διεργασίες του Οργανισμού.
Στα πλεονεκτήματα των εν λόγω λύσεων συγκαταλέγεται η καθοδήγηση κατά το σχεδιασμό των διαδικασιών αντιμετώπισης. Τα σχέδια τεκμηριώνονται με ομοιόμορφο τρόπο για όλες τις επιχειρηματικές μονάδες, απλοποιείται η συντήρηση των σχεδίων αντιμετώπισης και οι όποιες αλλαγές γίνονται σε κεντρικά διαχειριζόμενο μέρος.
Η εμπειρία συμβουλεύει τη συνετή επιλογή του όποιου τεχνολογικού βοηθήματος, μιας και θα δαπανηθεί αρκετός χρόνος για την εισαγωγή των δεδομένων. Χρόνος που μπορεί να είναι δυσανάλογος της βοήθειας που μπορεί να προσφέρει το κάθε εργαλείο. Στο link που ακολουθεί μπορείτε να βρείτε αρκετά στοιχεία για τα εμπορικά διαθέσιμα εργαλεία και τις δυνατότητές τους. (http://www.continuitycentral.com/bcs.htm).

Πιστοποίηση του Σχεδίου Επιχειρηματικής συνέχειας
Ο κάθε Οργανισμός έχει τη δυνατότητα όχι μόνο να αναπτύξει αλλά και να πιστοποιήσει το πλαίσιο Διαχείρισης της Επιχειρηματικής του Συνέχειας, κατά το διεθνώς αναγνωρισμένο πρότυπο ISO 22301.

Το ISO 22301 προσδιορίζει μια σειρά από απαιτήσεις που αφορούν στη Διαχείριση ενός Σχεδίου Επιχειρηματικής Συνέχειας. Η πιστοποίηση, παρόλο προαιρετική, παρέχει προστιθέμενη αξία και αποτελεί σημείο διαφοροποίησης, καθώς αποτελεί επικύρωση της ύπαρξης, λειτουργίας και συντήρησης ενός σχεδίου Επιχειρηματικής Συνέχειας, από τρίτο ανεξάρτητο φορέα.

Πλεονεκτήματα πιστοποίησης

  • Η πιστοποίηση δίνει ένα ισχυρό μήνυμα προς τους πελάτες και τους επιχειρηματικούς εταίρους ότι ο Οργανισμός είναι σε θέση να συνεχίσει την επιχειρηματική του δραστηριότητα αδιάκοπα, καθώς διαθέτει ένα πλαίσιο διαχείρισης κρίσιμων περιστατικών.
  • Η πιστοποίηση μπορεί να χρησιμοποιηθεί και σαν εργαλείο marketing.
  • Με τη διαδικασία πιστοποίησης επαληθεύεται από μια ανεξάρτητη οντότητα ότι υπάρχει και λειτουργεί πλαίσιο Διαχείρισης Επιχειρηματικής Συνέχειας.
  • Ο κάθε Οργανισμός πρέπει να δείξει υλοποίηση των διαδικασιών / σχεδίων αντιμετώπισης, προκειμένου να πιστοποιηθεί. Αυτό βοηθά στην ανανέωση, αναθεώρηση και εξορθολογισμό των υφιστάμενων επιχειρηματικών διεργασιών.
  • Πιστοποίηση σημαίνει ότι όχι μόνο εφαρμόζονται κανόνες και διαδικασίες σχετικά με την Επιχειρηματική Συνέχεια, αλλά υπάρχει και το σχετικό πλαίσιο συνεχούς ελέγχου αποτελεσματικότητας, συνεχούς βελτίωσης και αναθεώρησης όταν οι επιχειρηματικές αλλαγές το απαιτούν.
  • Το πεδίο εφαρμογής της πιστοποίησης μπορεί να επιλεγεί από τον εκάστοτε Οργανισμό, με τον τρόπο που αυτό θα ελέγξει την κατανομή πόρων κατά την υλοποίησή του.

Μειονεκτήματα Πιστοποίησης

  • Η πιστοποίηση ίσως και να κοστίσει περισσότερα χρήματα (ίσως 10% – 15% του συνολικού κόστους του έργου) στο πλαίσιο της προετοιμασίας, μιας και χρειάζεται να καλυφθούν όλες οι απαιτήσεις του προτύπου.
  • Ένα πιστοποιημένο πλαίσιο Διαχείρισης Επιχειρηματικής Συνέχειας, απαιτεί αυστηρή κατανομή ρόλων και πόρων

Διαδρομή πιστοποίησης
Η συνήθης διαδρομή για έναν Οργανισμό που επιθυμεί να πιστοποιηθεί κατά ISO22301 είναι η ακόλουθη:
1. Εφαρμογή του συστήματος διαχείρισης. Συνήθως, ο ελάχιστος χρόνος που απαιτείται από τους Οργανισμούς πιστοποίησης είναι 3 μήνες.
2. Εσωτερικός έλεγχος και επανεξέταση από τη διοίκηση. Πριν από την πιστοποίηση, ένα σύστημα διαχείρισης θα πρέπει να είχε τουλάχιστον μία έκθεση εσωτερικού ελέγχου και μία επανεξέταση από τη Διοίκηση.
3. Επιλογή του φορέα πιστοποίησης.
4. Στάδιο 1, έλεγχος από φορέα πιστοποίησης: Μια επισκόπηση της συμμόρφωσης του σχεδιασμού του συστήματος διαχείρισης. Ο κύριος στόχος είναι να βεβαιωθεί ότι το σύστημα διαχείρισης έχει σχεδιαστεί έτσι ώστε να πληροί τις απαιτήσεις του προτύπου και τους στόχους της Οργανισμού.
5. Στάδιο 2 ελέγχου από τον φορέα πιστοποίησης (επιτόπου επίσκεψη). Στόχος του ελέγχου είναι να αξιολογηθεί εάν το σύστημα διαχείρισης συμμορφώνεται με όλες τις απαιτήσεις του προτύπου. Εάν στην πραγματικότητα έχει υλοποιηθεί και να υποστηρίζει τους στόχους και τις απαιτήσεις του Οργανισμού.
6. Επιβεβαίωση εγγραφής. Εάν ο Οργανισμός συμμορφώνεται με τις απαιτήσεις του προτύπου, η ανεξάρτητη οντότητα επιβεβαιώνει τη συμμόρφωση και εκδίδει το πιστοποιητικό.
7. Συνεχής βελτίωση και έλεγχοι επιτήρησης. Όταν ένας Οργανισμός είναι πιστοποιημένος, υπόκειται σε ελέγχους επιτήρησης από το Φορέα Πιστοποίησης προκειμένου να εξασφαλιστεί ότι το σύστημα διαχείρισης εξακολουθεί να συμμορφώνεται με το πρότυπο. Οι έλεγχοι επιτήρησης περιλαμβάνουν επιτόπου επισκέψεις (τουλάχιστον 1/έτος) που επιτρέπουν την επαλήθευση της συμμόρφωσης του συστήματος διαχείρισης.

Log off…
Η βιωσιμότητα και η απρόσκοπτη λειτουργία ενός Οργανισμού, δεν απαιτούν μόνο την κάλυψη των απαιτήσεων των πελατών και την επέκταση των επιχειρηματικών δραστηριοτήτων. Απαιτούν τη λήψη μέτρων πρόληψης για την προστασία κατά των συνεπειών μιας φυσικής καταστροφής, μιας ηλεκτρονικής επίθεσης, προστασία από πράξεις τρομοκρατίας και άλλα γεγονότα που θα έχουν αρνητική επίπτωση στην ομαλή και απρόσκοπτη λειτουργία μιας επιχείρησης. Οι περισσότεροι Οργανισμοί παρόλο που αναγνωρίζουν την παραπάνω ανάγκη, ακόμα και σήμερα ολιγωρούν σε θέματα που άπτονται της διαχείρισης της Επιχειρηματικής Συνέχειας. Η μεγιστοποίηση της τεχνολογικής διαθεσιμότητας από μόνη της, δεν αποτελεί αποτελεσματική δικλείδα προστασίας της συνεχούς λειτουργίας ενός Οργανισμού. Χρειάζεται συγκεκριμένη προσέγγιση, σχεδιασμός και συνεχής βελτίωση. Καμία τεχνολογία δεν είναι ικανή να προβλέψει και να διαχειρισθεί από μόνη της περιστατικά, που μπορεί να οδηγήσουν σε μερική ή ολική διακοπή της επιχειρηματικής δραστηριότητας. Η τεχνολογία παρέχει ενδείξεις και ο ανθρώπινος παράγοντας κρίνει εάν και πότε θα ενεργοποιηθούν οι διαδικασίες αντιμετώπισης και ανάκαμψης από μερική ή ολική διακοπή της επιχειρηματικής δραστηριότητας. Το ζητούμενο είναι να υπάρχουν οι εν λόγω διαδικασίες, αλλά και ο κατάλληλος ανθρώπινος παράγοντας που θα τις διαμορφώσει και θα τις διαχειρισθεί.

Παραπομπές
. Common Business Continuity Planning Mistakes, Franklin Fletcher, CBCP CISSP
. Business Continuity Planning Presentation and Direction, Thomas Bronack
. Business Continuity Planning (BCP) & Disaster Recovery Planning (DRP), by Jeff Smith, CISSP
. Global Technology Audit Guide (GTAG), Business Continuity Management, David Everest, Key Bank, Roy E. Garber, Safe Auto Insurance Co., Michael Keating, Navigant Consulting, Brian Peterson, Chevron Corp.
. Continuity Central http://www.continuitycentral.com/index.htm
. The business continuity institute http://www.thebci.org
. Business Continuity Management Institute http://www.bcm-institute.org/bcmi10/
. Disaster Recovery Journal http://www.drj.com

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com