Plan ciągłości działania – czy wystepuje tylko jeden rodzaj?
Plan ciągłości działania (Business Continuity Plan – BCP) to dokument opracowany indywidualnie na potrzeby konkretnej organizacji. Jego zadaniem jest określenie procedur i polityk zapewniających ciągłość działania biznesu w nieoczekiwanych i trudnych do przewidzenia sytuacjach.
Zależnie od charakteru firmy, BCP reguluje nie tylko kwestie związane z ciągłością pracy systemów informatycznych. Zawiera także procedury dotyczące fizycznego bezpieczeństwa pracowników, klientów, mienia firmowego oraz naturalnego środowiska. Temat BCP jest bardzo szeroki, dlatego w tym wpisie skupimy się głównie na planie ciągłości działania systemu informatycznego organizacji.
Międzynarodowym standardem określającym wymagania dla systemów zarządzania ciągłością działań jest norma ISO 22301. W oparciu o nią tworzy się skuteczny BCP, obejmujący swoimi założeniami bezpieczeństwo kluczowych obszarów działalności. Według założeń tego standardu, tworzenie planu ciągłości działania wymaga przeprowadzenia następujących czynności:
- identyfikacja zagrożeń, analiza ryzyka (RA) i ocena ich wpływu na funkcjonowanie organizacji oraz wyznaczenie kluczowych obszarów działalności (BIA),
- wypracowanie procedur i planów awaryjnych dla każdego z zagrożeń,
- wdrożenie planów awaryjnych poprzez szkolenie pracowników i sprawdzenie ich reakcji podczas kontrolowanych testów,
- ulepszanie stworzonego BCP na podstawie przeprowadzanych regularnie audytów.
Oprócz wskazanej normy ISO funkcjonują także inne wzorce, jak choćby opracowany przez ISACA oraz IT Governance Institute wzorzec COBIT (Control Objectives for Information and related Technology), dotyczący bezpośrednio ciągłości działań IT, który rekomendowany jest między innymi dla podmiotów bankowych.
Plan ciągłości działania, aby był skuteczny, musi być możliwy do wdrożenia – stworzony z myślą o dostępnych środkach technicznych i umiejętnościach kadry.
Dlaczego plan ciągłości działania jest tak ważny?
Nie istnieje uniwersalny plan ciągłości działania, który sprawdzi się w każdej organizacji. Jego opracowanie wymaga indywidualnego podejścia i poznania zarówno czyhających na firmę ryzyk, jak i dogłębnej analizy infrastruktury IT. Już na etapie powstawania BCP udaje się więc często wykryć wiele groźnych podatności i błędów w organizacji systemów, a dalszy jego rozwój pozwala minimalizować pulę podatności i uszczelniać firmowy system bezpieczeństwa.
Do najważniejszych celów BCP zaliczamy między innymi:
- zapewnienie ciągłości najważniejszych procesów w przedsiębiorstwie,
- minimalizację strat finansowych,
- ochronę reputacji firmy,
- zapewnienie bezpieczeństwa firmy i kontrahentów,
- zapewnienie zgodności z obowiązującymi przepisami.
Z punktu widzenia IT kluczowymi celami BCP są ochrona dostępności i integralności systemów oraz zabezpieczenie wrażliwych danych firmowych i osobowych.
Co może zagrozić planowi ciągłości działania?
Przygotowanie firmy na wszystkie możliwe kryzysy i awarie jest w zasadzie niemożliwe. Latem 2019 roku nikt nie spodziewał się, że w XXI wieku zagrozi nam globalna pandemia wirusa, a mimo to – taki scenariusz wystąpił. Podstawowym elementem każdego planu ciągłości działania jest jednak realna ocena ryzyka i wdrożenie odpowiednich środków bezpieczeństwa, zależnie od prawdopodobieństwa wystąpienia danego scenariusza. Do najważniejszych kryzysów, na które powinna być przygotowana każda firma, zaliczamy między innymi:
- klęski żywiołowe,
- sytuacja polityczna i gospodarcza,
- przerwanie łańcucha dostaw,
- problemy kadrowe,
- awarie techniczne, incydenty bezpieczeństwa,
- konflikty zbrojne,
- epidemie i pandemie.
Plan zapewnienia ciągłości działania powinien być stale aktualizowany o kolejne scenariusze wraz z rozwojem sytuacji na świecie. Wybuch pełnoskalowego konfliktu zbrojnego tuż za granicami kraju z pewnością otworzył oczy na nowy rodzaj zagrożeń, którego ryzyko wystąpienia ocenialiśmy dotąd jako marginalne.
Jak zadbać o bezpieczeństwo planu ciągłości działania?
Podstawowa zasada, którą należy przyjąć podczas pracy przy tworzeniu planu ciągłości działania IT, brzmi: BCP i zabezpieczenia stosowane w firmie nigdy nie są dostatecznie dobre.
Zmieniające się środowisko pracy, nowe metody ataków i oszustw, a nawet każda aktualizacja oprogramowania biurowego niosą za sobą kolejne ryzyka wystąpienia incydentów bezpieczeństwa. Plan ciągłości działania firmy powinien być stale rozwijany i ulepszany (zgodnie z cyklem Deminga): od stosowanych środków technicznych, po zwiększanie świadomości pracowników poprzez szkolenia z zakresu cyberbezpieczeństwa.
Tworząc plan zapewnienia ciągłości działania, warto postawić na dostępne na rynku rozwiązania IT:
- Pewne, wysokodostępne łącze internetowe to rdzeń każdego przedsiębiorstwa. Pomimo szybkiego rozwoju usług sieciowych, zapewnienie nieprzerwanego dostępu do Internetu warunkuje dostępność usług, które świadczysz dla swoich klientów. Biznesowe łącze powinno być zabezpieczone umową SLA i gwarancją dostępności pasma. Takie warunki spełnia Biznesowy Dostęp do Internetu Netii ( Netia BDI)
- Backup danych jako podstawowy środek zapobiegawczy. Pozwoli wdrożyć ostatnio zapisany stan systemów i sieci w przypadku uszkodzenia serwerów lub innej awarii.
- Migracja części lub całości środowiska do chmury w bezpiecznym data center. To rozwiązanie zapewniające maksymalny poziom bezpieczeństwa niezależnie od tego, co aktualnie dzieje się w siedzibie firmy. Najnowocześniejsze obiekty DC charakteryzują się wysokim poziomem bezpieczeństwa informatycznego oraz fizycznego, a także odpornością na wiele możliwych do wystąpienia klęsk żywiołowych. Data center wyposażone są w awaryjne, niezależne linie zasilania z modułami UPS oraz możliwość czerpania energii z odnawialnych źródeł, co jednocześnie obniża koszty energii. Mogą utrzymywać gotowe środowisko IT w kilku różnych fizycznych lokalizacjach i przełączać je natychmiastowo dla zapewnienia ciągłości pracy w kryzysowych sytuacjach (DRaaS).
- Skorzystanie z kolokacji – użycie własnych serwerów, ale w udostępnionej do tego celu bezpiecznej lokalizacji (data center).
- Ochrona antywirusowa i monitorowanie sieci – plan ciągłości działania systemów IT powinien opierać się na profilaktyce zagrożeń, a tę zapewnić mogą nowoczesne systemy bezpieczeństwa. Do absolutnie podstawowych, niskokosztowych i jednocześnie prostych do wdrożenia zaliczamy przede wszystkim zapory sieciowe i zawierające się w nich systemy antywirusowe. Kompleksową ochronę łącza internetowego może zapewnić firewall zlokalizowany centralnie w chmurze dostawcy, który zadba o jego prawidłowe działanie. Anomalie w ruchu sieciowym i niebezpieczne pakiety danych będą blokowane zanim jeszcze trafią do firmowej sieci, co pozwoli uniknąć wielu incydentów i jednocześnie zapewnić ciągłość działania systemu.
- Skorzystanie z kompleksowej ochrony Security Operations Center to rozwiązanie dla najbardziej wymagających firm. Aktywny monitoring sieci 24/7/365 z wykorzystaniem zaawansowanych systemów SOAR i SIEM, w połączeniu z automatyzacją procesów i doświadczeniem specjalistów, pozwolą wykryć większość najważniejszych zagrożeń.
Netia oferuje cały wachlarz usług, które zapewniają firmie ciągłość jej działania.
Netia SOC to usługa, która pozwoli Ci korzystać z wiedzy najlepszych specjalistów i najbardziej zaawansowanych technologii bezpieczeństwa za ułamek ich wartości.Skorzystaj także z bezpiecznej lokalizacji i obsługi serwerów przez specjalistów z Netii w ramach Netia kolokacja serwerów lub postaw na rozwiązania chmurowe wraz z Netia Disaster Recovery as a Service (DRaaS). Utrzymasz w ten sposób w gotowości zapasowe środowisko pracy, możliwe do wdrożenia natychmiast po wystąpieniu awarii. Netia Cloud Firewall sprawdzi się z kolei jako kompleksowy system ochronny dla firmowej sieci.
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy @Model.TitleTag>
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105