Διασφάλιση Επιχειρησιακής Συνέχειας και Ανάκαμψης Συστημάτων

Η αναγκαιότητα και οι προϋποθέσεις για μία ολιστική προσέγγιση με άμεσα οφέλη για τη σύγχρονη επιχείρηση.
Την τελευταία δεκαετία ο στρατηγικός σχεδιασμός των επιχειρήσεων για τη συνέχεια των εργασιών και την ανάπτυξη επίσημων Σχεδίων Συνέχειας Εργασιών, έχει εξελιχθεί σε κύρια δραστηριότητα της εταιρικής διακυβέρνησης. Παράλληλα, η εξέλιξη και διάδοση τόσο της χρήσης του διαδικτύου όσο και του ηλεκτρονικού επιχειρείν (e-business), ως αποτέλεσμα κυρίως της ανάπτυξης της ευρυζωνικότητας, είχε σαν αποτέλεσμα τα θέματα των Τεχνολογιών της Πληροφορικής και των Επικοινωνιών (ΤΠΕ) να βρίσκονται στο επίκεντρο των επιχειρηματικών αποφάσεων, καθώς η Πληροφορική αναδεικνύεται πλέον από βασικός πυλώνας για τη λειτουργία της επιχείρησης (enabler) σε κινητήριο μοχλό (driver).

Ως συνέπεια – και έτσι όπως διαμορφώνονται σήμερα οι συνθήκες για τη σύγχρονη επιχείρηση – η ανάπτυξη και υλοποίηση Σχεδίου Συνέχειας Εργασιών βασισμένου σε ένα οργανωμένο πλαίσιο διαχείρισης κινδύνων, ενώ παλαιότερα αποτελούσε απλώς μία από τις σημαντικές δράσεις χαμηλής ή υψηλής προτεραιότητας, προβάλλει πλέον ως επιτακτική ανάγκη συνυφασμένη με την ίδια τη βιωσιμότητά της, καθώς η προσπάθεια εστιάζεται κυρίως στην απρόσκοπτη συνέχιση των επιχειρησιακών λειτουργιών/ διαδικασιών μετά από διακοπή λειτουργίας (μη διαθεσιμότητας) ενός κρίσιμου συστήματος πληροφορικής.

Συγκεκριμένα, στην περίπτωση εμφάνισης ενός καταστροφικού συμβάντος στα συστήματα Πληροφορικής και στη σχετική με αυτά υποδομή (που μπορεί να προκαλέσει παρατεταμένη απώλεια διαθεσιμότητας) κατά την οποία οι επιχειρησιακές λειτουργίες δεν δύναται να αποκατασταθούν πλήρως μέσα σε «αποδεκτό» επιχειρησιακά χρονικό διάστημα (βάσει των κρίσιμων χρόνων ανάκαμψης που έχουν οριστεί από τις επιχειρησιακές μονάδες), εκτός από τις άμεσες οικονομικές επιπτώσεις (απώλεια εσόδων, απρόβλεπτα κόστη κ.ά.) η επιχείρηση θα υποστεί και άλλες σημαντικές συνέπειες, ανάμεσα στις οποίες συγκαταλέγονται επιπτώσεις στις πελατειακές σχέσεις (απώλεια πελατειακής βάσης κ.λπ.), λειτουργικές επιπτώσεις (απώλεια ανταγωνιστικότητας/ ανταγωνιστικού πλεονεκτήματος, μη συμμόρφωση με κανονιστικές απαιτήσεις, όπως π.χ. Π.Δ. ΤτΕ 2577/2006 – Basel II ή III – Solvency ΙΙ κ.λπ., απώλεια διοικητικού ελέγχου κ.ά.), επιπτώσεις στο προσωπικό, καθώς επίσης και αρνητική επίπτωση στη φήμη και την υπεραξία της εταιρείας.
Χαρακτηριστικό είναι το γεγονός πως όπως καταδεικνύουν σχετικές έρευνες, το 40% των επιχειρήσεων στις οποίες συνέβη ένα καταστροφικό συμβάν προκαλώντας σημαντικές συνέπειες – δηλαδή δεν κατέστη δυνατό να αποκατασταθεί η επιχειρησιακή τους λειτουργία βάσει προσδιορισμένου σχεδιασμού για τη συνέχεια των εργασιών – αναγκάστηκαν τελικά να τερματίσουν οριστικά τις εργασίες τους μέσα σε διάστημα περίπου 2 ετών από την εμφάνιση του συμβάντος. Ειδικότερα από τις επιχειρήσεις οι οποίες έχουν υποστεί μία σημαντική απώλεια διαθεσιμότητας δεδομένων, μόνο το 30% συνεχίζουν τις δραστηριότητές τους τον επόμενο χρόνο.
Επίσης αξιοσημείωτη διαπίστωση των ερευνών αυτών είναι ότι οι μετοχές των επιχειρήσεων που δεν κατάφεραν να ανακάμψουν σε αποδεκτό χρόνο (λόγω κυρίως απουσίας Σχεδίου Συνέχειας Εργασιών) υποτιμήθηκαν κατά 15% μέσα σε διάστημα 261ημερών διαπραγμάτευσής τους από το γεγονός που έπληξε την ομαλή επιχειρησιακή λειτουργία, σε αντίθεση με τις αντίστοιχες μετοχές των επιχειρήσεων που έθεσαν σε εφαρμογή τα Σχέδια Συνέχειας που διέθεταν, οι οποίες υπέστησαν ελάχιστες ως και μηδαμινές απώλειες.
Παρά την πανθομολογούμενη πλέον κρισιμότητα του σχεδιασμού για τη συνέχεια των εργασιών, πρόσφατα στοιχεία της Gartner Group καταδεικνύουν ότι περισσότερο από το 60% των Διευθυντών Πληροφορικής δεν πιστεύουν ότι οι εταιρείες τους διαθέτουν ένα αποτελεσματικό Σχέδιο Συνέχειας Εργασιών, έτσι ώστε να διαχειριστούν και να ελαχιστοποιήσουν τις συνέπειες μίας καταστροφής. Οι καταστροφές αυτές ποικίλουν και όσον αφορά στα συστήματα πληροφορικής περιλαμβάνουν από γεγονότα φυσικών καταστροφών έως και κινδύνους που αντιμετωπίζει μία εταιρεία σε καθημερινή βάση, όπως η εξάπλωση ιών οι οποίοι μπορεί να προκαλέσουν παρατεταμένη διακοπή της λειτουργίας τους.
Στο διάγραμμα 1 απεικονίζονται οι κύριες αιτίες που θα μπορούσαν να προκαλέσουν διακοπή εργασιών από παρατεταμένη μη διαθεσιμότητα των συστημάτων, βάσει παγκόσμιας έρευνας της KPMG.

Λαμβάνοντας υπόψη την αυξανόμενη πιθανότητα εμφάνισης περιστατικών παρατεταμένης διακοπής των εργασιών καθώς και την περιορισμένη ανοχή των επιχειρήσεων σε αυτά, οι διοικήσεις τους αξιολογούν την ικανότητά του Οργανισμού να ανταποκρίνεται σε κρίσεις, να διαχειρίζεται και να ελαχιστοποιεί τον κίνδυνο μη διαθεσιμότητας των πληροφοριακών συστημάτων.
Η ανάπτυξη Σχεδίου Συνέχειας Εργασιών (Business Continuity Planning – BCP) καθώς και σχεδίου Ανάκαμψης από Καταστροφή για τα Πληροφοριακά Συστήματα (Disaster Recovery Planning – DRP) θα πρέπει να βασίζεται στην αποτελεσματική διαχείριση κινδύνων και να προδιαγράφει το σχεδιασμό δράσης/απόκρισης σε κρίση και την έγκαιρη επαναλειτουργία επιχειρησιακών διεργασιών μετά την εμφάνιση του «χειρότερου προβλεπόμενου σεναρίου» (worst case scenario) καταστροφής. Σε αυτά τα πλέον δυσμενή σενάρια συγκαταλέγονται οι περιπτώσεις όπου ο κύριος χώρος «φιλοξενίας» των βασικών υποδομών (π.χ. Computer Room), όπως επίσης (σε πιο ακραίες καταστάσεις) ο βασικός χώρος δραστηριότητας και λειτουργίας της επιχείρησης, δεν είναι διαθέσιμος και προσπελάσιμος. Η βασική παραδοχή στην υλοποίηση των σεναρίων αυτών είναι ότι οποιαδήποτε καταστροφή «μικρότερης εμβέλειας» από το «χειρότερο προβλεπόμενο σενάριο» είναι δυνατό να αντιμετωπιστεί επιτυχώς, εφαρμόζοντας το ευρύτερο πλαίσιο δράσης του «χειρότερου σεναρίου».
Επίσης, η αποτελεσματική προσέγγιση που υιοθετείται ευρέως σήμερα, βασίζεται στην ανάλυση των Επιχειρηματικών Επιπτώσεων η οποία θα αναδείξει τα κρίσιμα Πληροφοριακά Συστήματα του Οργανισμού – και κατ’ επέκταση τις κρίσιμες επιχειρησιακές του λειτουργίες, έτσι ώστε να παρέχει πλάνα δράσης που επιφέρουν τα επιδιωκόμενα αποτελέσματα και διαχειρίζονται τον κίνδυνο με ρεαλιστικές επενδύσεις σχεδιασμού/ βελτίωσης διαδικασιών αλλά και τεχνικών λύσεων.
Οι επιχειρήσεις επενδύουν σημαντικά στο σχεδιασμό για τη Συνέχεια των Εργασιών, επικεντρώνοντας τις προσπάθειές τους στη διαμόρφωση συγκεκριμένων σχεδίων δράσης και ειδικότερα σε σχέση με τα πληροφοριακά τους συστήματα, Σχεδίων Ανάκαμψης από Καταστροφή και Συνέχειας Εργασιών. Τα Σχέδια Συνέχειας Εργασιών για τα πληροφοριακά Συστήματα θα πρέπει να είναι ενταγμένα στα γενικότερα εταιρικά Σχέδια Συνέχειας Εργασιών. Εντούτοις, η αρχική διαμόρφωση των σχεδίων αυτών δεν αρκεί για να εξασφαλίσει τους επιδιωκόμενους επιχειρησιακούς στόχους και τα οφέλη, καθώς απαιτείται αφενός μία συνεχής προσπάθεια επικαιροποίησης του σχεδιασμού βάσει των εκάστοτε επιχειρησιακών απαιτήσεων, καθώς επίσης και συντήρηση των υποδομών και αφετέρου αποτελεσματική διακυβέρνηση. Το πλαίσιο των βασικών προϋποθέσεων για την υλοποίηση και εφαρμογή ενός αποτελεσματικού σχεδιασμού επιχειρησιακής συνέχειας στη διάσταση του χρόνου δραστηριοποίησης του Οργανισμού, παριστάνεται στο διάγραμμα 2.

Σε κάθε περίπτωση δεν πρέπει ποτέ να παραβλέπεται το γεγονός ότι η υλοποίηση ενός ολοκληρωμένου και αποτελεσματικού σχεδιασμού Συνέχειας Εργασιών και Ανάκαμψης από

Καταστροφή για τα Πληροφοριακά Συστήματα, θα πρέπει να στηρίζεται στο τετράπτυχο:

Ανθρώπινοι πόροι (π.χ. σχεδιασμός εφεδρικότητας, ομάδα συντονισμού, ύπαρξη συνεκτικής ομάδας δράσης, ανάθεση ρόλων, πλήρης επίγνωση κρισιμότητας καταστάσεων και ρόλων, υπευθυνότητα, εκπαίδευση κ.ά.).
Διαδικασίες (π.χ. σαφή πλάνα με προσδιορισμό αλληλουχίας διαδικασιών ανά ενέργεια/ δράση, σαφής προσδιορισμός ρόλων και αρμοδιοτήτων, λίστα απαραίτητων ενεργειών, ύπαρξη υλικού αναφοράς σε σχέση με τις απαραίτητες δράσεις, τήρηση στοιχείων επικοινωνίας).
Τεχνολογία (υιοθέτηση των κατάλληλων κατά περίπτωση τεχνολογικών λύσεων, όπως Hot Replication, Asynchronous mirroring, Journaling, Warm Site κ.λπ.).
Υποδομές (π.χ. εφεδρικός εξοπλισμός, εναλλακτικό μηχανογραφικό κέντρο, εφεδρικές τηλεπικοινωνιακές συνδέσεις, συμβάσεις με προμηθευτές/ καθορισμός επιπέδου υπηρεσιών, κτηριακές εγκαταστάσεις, εξοπλισμός).

Η KPMG αποτελεί το παγκόσμιο δίκτυο ανεξάρτητων εταιρειών παροχής επαγγελματικών υπηρεσιών-μελών συνδεδεμένων με την KPMG International, ενός Ελβετικού Συνεταιρισμού. Οι εταιρείες-μέλη της KPMG παρέχουν ελεγκτικές, φορολογικές και συμβουλευτικές υπηρεσίες. Λειτουργούν σε 152 χώρες, με προσωπικό περίπου 145. 000 ατόμων παγκοσμίως. Κάθε εταιρεία KPMG αποτελεί μία νομικά ξεχωριστή οντότητα. Στη χώρα μας, η KPMG παρέχει τα τελευταία 40 χρόνια ολοκληρωμένες ελεγκτικές, συμβουλευτικές, λογιστικές, φορολογικές υπηρεσίες σε ελληνικές και διεθνείς εταιρείες που δραστηριοποιούνται στην Ελλάδα και το εξωτερικό. Για περισσότερες πληροφορίες: www.kpmg.com/gr

Συμεών Καλαματιανός
M.Sc., CISA, CISM, Διευθυντής,
Συμβουλευτικές υπηρεσίες Πληροφορικής –
Διαχείριση Τεχνολογικών Κινδύνων, KPMG

Πώς η Microsoft IAM Λύση Διασφαλίζει Απλή και Ασφαλή Διαχείριση Πρόσβασης σε Eταιρικούς Πόρους;

Αναζητώντας τα όρια της προσωπικής ευθύνης της ανώτατης διοίκησης

Η PeS Cybersecurity και η Proofpoint μοιράζονται το όραμα τους για μια ανθρωποκεντρική προσέγγιση στην κυβερνοασφάλεια

Ο Security Leader σήμερα έχει και το ρόλο του coach για την ομάδα του!

The State of Cybersecurity 2024 by Pylones Hellas – Αποτελέσματα και Συμπεράσματα

« 1 αρκεί! » …it only takes one

Κυβερνοασφάλεια για Όλους!

Μικρομεσαίες επιχειρήσεις και κανονιστική συμμόρφωση: ένας αγώνας με σημαντικό έπαθλο

Ευαισθητοποίηση σε Θέματα Ψηφιακής Ασφάλειας: Προτάσεις και Λύσεις για Μικρομεσαίες Επιχειρήσεις

Κυβερνοασφάλεια για τις ΜΜΕ με την Ακαδημία Logstail

Ποια είναι η λύση κυβερνοασφάλειας για εταιρείες με περιορισμένους πόρους: Το MDR!

SMB security made real: Α Fortinet SASE & SOCaaS story

Μικρές και Μεσαίες Επιχειρήσεις: Ο Κύριος Στόχος των Κυβερνοεπιθέσεων Λόγω της Αντιλαμβανόμενης Ευπάθειάς τους

ESET: Ασφάλεια για Όλους – Προστατεύοντας τις μικρές και μεσαίες επιχειρήσεις

WatchGuard ThreatSync + NDR, μία ολοκληρωμένη λύση NDR που απευθύνεται τόσο σε μεγάλα όσο και σε μικρομεσαία δίκτυα

Οι μικρές και μεσαίες εταιρίες δεν απειλούνται από τις κυβερνοεπιθέσεις;

Θωρακίζοντας την επιχείρησή σας στην ψηφιακή εποχή

Εκπαίδευση Ευαισθητοποίησης αντιμετώπισης του phishing

Hybrid Multi-Cloud Υποδομή: Νέες προσεγγίσεις στην ασφάλεια

Η KELA και η Ολοκληρωμένη Προσέγγιση της NIS2

Είναι η Κοινωνική Μηχανική μια Νέα Μορφή Επιθέσεων Μηδενικής Ημέρας (Zero-Day);

Η σημασία του CISO στο Διοικητικό Συμβούλιο

Η Σημασία της Αναφοράς Περιστατικών Κυβερνοασφάλειας από τους Εργαζομένους

Μια οργανική προσέγγιση στο IT Security εμπνευσμένη από τις κοσμοθεωρίες ιθαγενών

Το μέλλον των αδειών λογισμικού: Τάσεις και προβλέψεις για την εξέλιξη των μοντέλων αδειοδότησης λογισμικού τα επόμενα χρόνια

Ο αριθμός των επιθέσεων μέσω email που εντοπίστηκαν στον κυβερνοχώρο αυξήθηκε κατά 239% το 1ο εξάμηνο του 2024

Η Στρατηγική Σημασία της Κυβερνοασφάλειας για τις Ένοπλες Δυνάμεις

Διασφάλιση Επιχειρησιακής Συνέχειας και Ανάκαμψης Συστημάτων

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Προστασία δεδομένων σε τελικούς χρήστες

Η συλλογή δικτυακών πληροφοριών στα πλαίσια ανταγωνισμού των εταιρειών

Social Networking – Ευχή ή κατάρα σε μια επιχείρηση