Rekstraröryggi og stjórnun rekstrarsamfellu

Birt á Moggablogginu 29.2.2008 - Efnisflokkur: Áhættustjórnun

Þriðjudaginn 19. febrúar hélt Skýrslutæknifélagi Íslands hádegisverðarfund þar sem fundarefnið var rekstraröryggi og stjórnun rekstrarsamfellu.  Fjallað var "um faglega rekstrarstjórnun með beitingu staðla til að ná fram öryggi og til að tryggja samfelldan rekstur", eins og segir í fundarboði.  Þrír fyrirlesarar skoðuðu hver sinn staðalinn, þ.e. BS 25999, ISO 27002 og ISO 20000. 

Fyrir þá sem ekki þekkja til, er rétt að skoða áður en lengra er haldið hvað felst í stjórnun rekstrarsamfellu.  Það er markmið stjórnunar rekstrarsamfellu að tryggja samfelldan rekstur þeirrar starfsemi sem stjórnkerfið nær til.  Þetta þýðir í stuttu máli að greina fyrirfram hugsanleg áhrif af margvíslegum atvikum sem dregið geta úr hæfi fyrirtækis til að starfa á eðlilegan hátt og þar með auka getu fyrirtækisins til að þola að hluti starfsemi þess falli niður.  Bestur árangur við stjórnun rekstrarsamfellu næst, ef stjórnkerfið er drifið áfram af rekstrarlegum/viðskiptalegum sjónarmiðum, þannig að úrræði eru miðuð við að viðskiptavinurinn verði sem minnst var við áföll.

Breski staðallinn BS 25999 kemur í tveimur hlutum, þ.e. BS 25999-1 Code of practice for business continuity management og BS 25999-2 Business continuity management - Specification.  Fyrri hlutinn er með leiðbeiningar um það hvað á að vera í góðu stjórnkerfi rekstrarsamfellu, en síðari hlutinn lýsir kröfunum sem gerðar eru vegna uppbyggingu stjórnkerfisins og er vottunarhluti staðalsins.

Alþjóðastaðallinn ISO/IEC 27002 er hluti af röð staðla frá 27000 til 27006 sem fjalla um stjórnun upplýsingaöryggis.  Eru þeir ýmist komnir út eða væntanlegir. ISO/IEC 27002 hét áður ISO/IEC 17799 og sem slíkur íslenskur staðall. Inniheldur hann starfsvenjur fyrir stjórnun upplýsingaöryggis.  Hefur hann náð mjög mikilli útbreiðslu og er líklegast sá staðall um upplýsingaöryggi sem mestra vinsælda nýtur.  ISO/IEC 27001 inniheldur kröfur til stjórnkerfis upplýsingaöryggis og er vottunarhluti staðlaraðarinnar.

Alþjóðastaðallinn ISO/IEC 20000 inniheldur starfsvenjum um  þjónustustjórnun í upplýsingatækni.  Hann er uppruninn í ITIL (IT Infrastructure Library) og breska staðlinum BS 15000 IT Service Management.  Líkt og hinir staðlarnir kemur BS 15000/ISO 20000 í tveimur hlutum og er annar vottunarhluti staðalsins.

Allir fjalla staðlarnir á einn eða annan hátt um stjórnun rekstrarsamfellu.  BS 25999 mest en ISO 20000 minnst.  Vissulega má segja að UT þjónustustjórnun sé í eðli sínu að tryggja samfeldni þjónustu og starfsemi og sama má segja um stjórnun upplýsingaöryggis.

Ég saknaði þess á fundinum að ekki væri fjallað um CobiT aðferðina, þar sem hún tekur betur á rekstrarsamfellu en bæði ISO 27002 og ISO 20000, þó svo að hún fari ekki eins djúpt í hlutina og BS 25999. 

Eftir fundinn hef ég fengið nokkur símtöl og fyrirspurnir, þar sem erindin vöktu upp fleiri spurningar en þau svöruðu.  Algengasta spurningin er:  Í hverju felst verkferli við innleiðingu aðferða við stjórnun rekstrarsamfellu?  Það má segja að við þessu er bæði einfalt og flókið svar.  Þar sem ekki er pláss fyrir flókna svarið í svona pistli, þá læt ég það einfalda duga.  Fyrst er rétt að benda á, að reynslan hefur sýnt að yfir 90% fyrirtækja sem verða fyrir alvarlegu rekstraráfalli og hafa ekki innleitt eða undirbúið einhverjar ráðstafanir til að bregðast við slíku áfalli, leggja upp laupana innan 5 ára.  Þar af hætta 40 af hundraði rekstri strax eða fljótlega eftir áfallið og önnur 40% deyja innan 18 mánaða.

 

1    Hvað felst í stjórnun rekstarsamfellu?

Stjórnun rekstrarsamfellu er viðvarandi ferli áhættumats og -stjórnunar í þeim tilgangi að tryggja að rekstur haldist samfelldur þó áhætta raungerist.  Þessi áhætti gæti verið frá ytra umhverfi (sem fyrirtækið hefur enga stjórn á, svo sem rafmagnsbilun) eða innan fyrirtækisins, svo sem vísvitandi eða óviljandi skemmdir á kerfum.  Stjórnun rekstarsamfellu er ekki bara um endurreisn eftir áfall, áhættumat eða endurheimt vegna bilunar í tækjum.  Stjórnun rekstrarsamfellu er góð aðferð fyrir fyrirtækið til að endurskoða og, þar sem við á, endurhanna þær leiðir sem fyrirtækið notar við afhenda vörur og þjónustu á sama tíma og það eykur þol sitt fyrir röskun, truflunum eða tapi.  Þá telst það til góðra viðskiptahátt og vera hluti af stjórnháttum fyrirtækja að tryggja samfelldan rekstur.

2    Hverjir koma að máli?

Heildarábyrgð á ferlinu á fela stjórnarmanni eða háttsettum stjórnanda.  Með þessu er ferlinu gert jafn hátt undir höfði innan fyrirtækisins og mikilvægi þess segir til um og líkurnar aukast á skilvirkri innleiðingu.  Úthlutun ábyrgðar á þessu stigi ætti líka að tryggja að atriði tengt samfelldum rekstri eru skoðuð við gerð viðskiptaáætlana.  Staðbundin ábyrgð deilist síðan á einstaka stjórnendur.

Aðili, sem sér um að samræma stjórnun rekstrarsamfellu innan fyrirtækisins, ætti að heyra beint undir stjórn eða þann háttsetta stjórnanda sem fer með þessi mál.  Í það hlutverk ætti helst að velja einstakling sem hefur góðan skilning á rekstrinum og mannlegum samskiptum, en einnig getur verið þörf á góðri verkefnisstjórn og góðum hópstjóra. Stjórnandi rekstrarsamfellu þarf síðan að fá stuðning frá lægri lögum fyrirtækisins, staðbundnum starfsmönnum, hópum og stjórnendum.

3    Grunnvallaratriði stjórnunar rekstrarsamfellu

Stjórnun rekstrarsamfellu snýst um að skilja reksturinn og koma á þeim ferlum sem nauðsynelgir eru til að fyrirtækið lifi af.  Til staðar þarf að vera stefna og markmið sem sýnir að hverju fyrirtækið einbeitir sér í rekstrinum, en það verður jafnframt það sama og stjórnun rekstrarsamfellur beinir sjónum að.  Í rekstri fyrirtækis eru margir áhrifaþættir, svo sem þjónustuveitendur, viðskiptavinir, kerfi og búnaður, sem styðja við mikilvæg verkferli.  Nauðsynlegt er að virkja fulltrúa þessara lykiláhrifaþátta til þess að neyðaráætlunin, sem kemur út úr þessu ferli, sé marktæk.

Lítið gagn er að stjórnun rekstrarsamfellu nema hún sé meðtekin.  Af þeirri ástæðu er nauðsynlegt að halda úti fræðslu og auka vitund starfsmanna til að tryggja skilning um allt fyrirtækið og að áætlunin verði meðtekin jafnt inn á við sem út á við.

4    Lykil atriði stjórnunar rekstrarsamfellu

Lykil atriði í stjórnun rekstrarsamfellu eru m.a. að:

Skilja samhengi þess rekstrar sem fyrirtækið og/eða einingar þess starfa við.Auðkenna og forgangsraða mikilvægum rekstrar-/viðskiptaferlum innan þess samhengisAuðkenna allar eignir og auðlindir sem tengjast þessum mikilvægu ferlumAuðkenna og skilja áhættur sem fyrirtækið stendur andspænis og geta leitt til truflunar á rekstrinum.Skilgreina áhrif og afleiðingar hugsanlegra atvika og hámarks ásættanlegt þjónusturof.Ákvarða hámarkstíma vegna endurreisnar.Tryggja að fyrirtækið hafi viðeigandi tryggingar.Koma á skilgreindum ábyrgðum, aðgerðum og ferlum vegna endurreisnar rekstrar-/viðskiptaferla ef til óvæntrar og óskipulagðrar truflunar kemur og vita hvað líklegt er að slíkar aðgerðir eða ferli leiði af sér.Setja fram, skjalfesta og innleiða neyðaráætlun (áætlun um samfelldan rekstur) fyrir fyrirtækið í heild og einstök mikilvæg rekstrar-/viðskiptaferli í samræmi við stefnu fyrirtækisins.Skilgreina ástæður eða aðstæður sem valda því að gripið er til neyðarviðbragða og endurreisnarferla.Tryggja að allir starfsmenn skilji hlutverk sitt og ábyrgðir ef neyðarástand skapast.Skapa einingu og skuldbindingu um innleiðingu, þátttöku í og þjálfun vegna rekstrarsamfellu.Viðhafa reglubundna og viðeignandi prófanir og uppfærslu á áætluninni og ferlum.Tryggja að stjórnun rekstrarsamfellunnar sé hluti af verkferlum og skipulagi fyrirtækisins.Úthluta til aðila með viðeignandi stöðu innan fyrirtækisins ábyrgð við að samræma ráðstafanir vegna rekstrarsamfellu og endurreisnar.

5    Ferlið vegna stjórnunar rekstrarsamfellu

Ferlið vegna stjórnunar á samfelldum rekstri skiptist í 6 þrep.  Þessi þrep þarf, þar sem við á, að fara ítrekað í gegnum, t.d. getur prófun leitt í ljós veikleika í hluta af skipulagi sem þarf að taka á og síðan prófa aftur.  Þrepin eru:

VerkefnisstjórnSkilja reksturinnSetja fram stefnumörkun og úrræði um samfelldan reksturÞróa og innleiða viðbrögðFella stjórnun rekstrarsamfellu inn í vinnuumhverfiðPrófa, viðhalda, taka út og endurskoða stjórnun rekstrarsamfellu

Heildarferlið vegna stjórnunar rekstrarsamfellu felur skilyrðislaust í sér viðvarandi ferli endurskoðunar, læra af reynslu og að nýta sér þessa þekkingu til að uppfæra stefnumörkunina og úrræðin.

6    Niðurstaða skilvirkra aðferða við stjórnun rekstrarsamfellu

Niðurstöður skilvirkra aðferða við stjórnun rekstrarsamfellu eru:

Mikilvægir starfsþættir eru auðkennir og varðir, þannig að samfeldni þeirra er tryggðVirkjuð er geta fyrirtækisins til að stjórna atvikum og koma þannig í veg fyrir að atvik verði að kreppuMótaður er og skjalfestur betri skilningur fyrirtækisins á sjálfum sér og samskiptum við önnur fyrirtæki, opinbera eftirlitsaðila eða ríkisstofnanir, stjórnvöld á hverjum stað og neyðarviðbragsaðilaStarfsmenn fá þjálfun í réttum viðbrögðum við atviki eða rekstrartruflun.Starfsmenn fá viðeigandi stuðning og upplýsingar ef til rekstrartruflunar kemur.Kröfur þeirra sem eiga hagsmuna að gæta njóta skilnings og eru uppfylltar með því að ofangreindar niðurstöður eru fengnar.Orðspor fyrirtækisins er verndað; ogRekstur fyrirtækisins er í samræmi við lög og reglur.

Ofangreindur texti er tekinn úr skjali sem ég hef samið og heitir Rammi um stjórnun rekstrarsamfellu, en ég hef unið við og fengist við ráðgjöf á þessu sviði í tengslum við stjórnun upplýsingaöryggis undanfarin 16 ár.  Ef einhver óskar eftir nánari upplýsingum um þetta efni er viðkomandi hvattur til að hafa samband með því að senda póst á oryggi@internet.is og ég mun reyna að verða eins mikið að liði og ég get.

Það skal tekið fram að það ferli sem farið er í gegnum við mótun og innleiðingu stjórnkerfis rekstrarsamfellu er mjög öflugt tæki til að endurhanna vinnuferla og öðlast skilning á eðli einstakra rekstrarþátta.  Þetta ferli leiðir sjálfkrafa af sér betri stjórnhætti sem nær undantekningarlaust leiðir af sér betri rekstur og betri afkomu.  Betri afkoma leiðir svo af sér að verðmæti fyrirtækisins eykst og þar með eign hluthafa.