Список угроз для бизнеса в России вырос. Как с ними надо справляться

Бизнес в России регулярно сталкивался с различными трудностями, форс-мажорами и научился их преодолевать с минимальными потерями, однако последние несколько лет показали, что «штормить» может очень по-крупному. Пандемия с экстренным переходом на удаленный формат работы, санкционное давление на бизнес, в сотни раз участившиеся атаки на сайты и инфраструктуру компаний в очередной раз показали — нет ничего невозможного.

Подход, при котором проблемы решаются по мере поступления, больше не работает. Но критичные для бизнеса процессы должны быть непрерывными, и этим нужно управлять, причем централизованно.

Вот инструменты, пришедшие из управления рисками в рамках ИТ-проектов (элементы подхода BCM — Business Continuity Management), которые позволяют это обеспечить:

• BCP (Business Continuity Plan) — превентивные мероприятия, направленные на снижение вероятности возникновения событий, способных привести к нарушению деятельности;
• DRP (Disaster Recovery Plan) — реактивные мероприятия, цель которых — восстановление деятельности после чрезвычайной ситуации.

Для каждого возможного риска нужно разработать план непрерывности и восстановления. BCP при этом позволяет снизить вероятность возникновения инцидента (выход из строя оборудования сразу двух интернет-провайдеров менее вероятен, чем одного), а DRP — уменьшить возможный ущерб и сократить время на полное восстановление (компании, делающие запасы товарно-материальных ценностей (ТМЦ) или использующие электронный документооборот (ЭДО), в отличие от других не почувствовали драматическое увеличение цен на бумагу, и их процессы не останавливались в ожидании закупки). Наличие и внедрение планов дисциплинирует персонал и позволяет избежать паники в случае форс-мажора.

Примеры ситуаций, для которых разработаны BCP/DRP, в контексте нашей компании — нарушение электроснабжения, аварии на каналах связи, попытки взлома и другие виды атак, эпидемии, природные катаклизмы и прочие неожиданные, но всегда нарушающие постоянство сервисов события.

Часть из них (нарушения электроснабжения, связи, попытки взлома, заболеваемость сотрудников) имеют высокую вероятность в текущей ситуации. Другие маловероятны, но полностью исключить эти события мы не можем, поэтому не упускаем их из фокуса внимания и рассматриваем как потенциально возможные.

Как управлять непрерывностью бизнеса

Инструмент Business Continuity Management актуален для любого бизнеса, хотя его содержание будет отличаться. Основное влияние окажут:

• размер, модель и сфера бизнеса/компании;
• количество и содержание критичных бизнес-процессов;
• зрелость системы управления рисками;
• приоритет, который руководство отдает процессам управления рисками.

Внедряя инструменты управления непрерывностью бизнеса, важно учитывать, что список потенциальных угроз за последние несколько лет увеличился.

Если раньше основными направлениями были ИТ (оборудование, программное обеспечение, сети) и информационная безопасность (подбор паролей, фишинговые атаки, несанкционированный доступ), то теперь важно обратить внимание еще и на снабжение и работу с персоналом, взаимодействие с поставщиками, изменения бизнес-процессов, возможные финансовые и другие риски.

Мы, например, в рамках управления непрерывностью бизнес-процессов рассматриваем такие категории рисков:

• управление бизнес-процессами,
• внешние факторы,
• взаимоотношения с клиентами,
• персонал,
• технологии и оборудование,
• управление поставками,
• форс-мажоры и чрезвычайные ситуации.

Разрабатывать, внедрять и совершенствовать BCM можно как внутренними ресурсами бизнеса, так и привлеченными консультантами. Наиболее эффективный вариант — совместная команда, где привлеченные консультанты проводят аудит действующих регламентов, разрабатывают планы, документацию и рекомендации на основе имеющегося опыта, при этом внутренние сотрудники выступают в качестве стороны, которая будет поддерживать эти процессы в дальнейшем.

BCP/DRP — результат анализа и приоритизации угроз. Они включают в себя согласованные действия для митигации (уменьшения вероятности) рисков.

Универсального шаблона для этого не существует. Но есть ряд элементов, которые мы рекомендуем включить.

• Сценарий возникновения риска (описание, классификация, вероятность наступления, триггер, последствия для бизнеса, цели закрытия) — детальное описание того, что может произойти, и наши цели по работе с этим риском.
• План действий — способ обеспечить непрерывность или восстановление. Включает пошаговые инструкции для участников. Также в план действий могут быть добавлены ссылки на нормативные документы, где закреплены эти действия.
• Ответственные — сотрудники, отвечающие за предотвращение возникновения или восстановление после инцидента, при необходимости — их контактные данные, заместители.

Важный критерий при создании BCP/DRP — информация, необходимая исполнителям, должна быть полная и актуальная. Также можно дополнить обязательные элементы таймингом, точками контроля и другими необходимыми элементами.

Первый этап внедрения управления непрерывностью бизнеса — аудит существующих нормативных документов по управлению рисками и профильным направлениям, связанным с критичными бизнес-процессами. Результат — понимание процессов как есть (AS IS).

Следующий этап — функциональный анализ. Его цель — определить уровень критичности каждой бизнес-функции на основе оценки финансовых и других видов рисков и согласовать итоговый список критичных бизнес-функций с руководством.

На основе этого списка формируются BCP/DRP для каждого риска. Особое внимание нужно уделить стратегиям восстановления (чтобы описанные действия для этого были точными и полными).

Подготовленные планы обязательно должны пройти этап тестирования, в рамках которого нужно определить наиболее подходящие и доступные способы тестирования, а также провести испытания и внести корректировки в алгоритмы действий.

Протестированные BCP/DRP используют для обучения сотрудников действовать в форс-мажорных ситуациях. Его проводят поэтапно, а в дальнейшем регулярно.

Итоговым документом должна стать политика управления непрерывностью бизнес-процессов, в которой закреплены основные составляющие BCM и частота их обновления.

Управление непрерывностью бизнеса существует давно, компании, которые ответственно относятся к управлению рисками, знакомы с ним и применяют его. В последний год этот подход стал особенно актуальным.

Очевидно, что управление непрерывностью бизнеса из категории advanced перешло и прочно обосновалось в категории must have. Каждой компании стоит провести аудит уже имеющихся инструментов, которые поддерживают непрерывность бизнеса, а также актуализировать их до необходимого уровня или разработать новые. Для этого можно использовать внутренний ресурс или опыт внешних консультантов — в зависимости от масштаба целей. Вызовы в бизнесе всегда были и будут, главное — уметь достойно на них ответить.

Источник: Список угроз для бизнеса в России вырос. Как с ними надо справляться :: РБК Pro (rbc.ru)