Nedílnou součástí bezpečnosti informací je i zajištění kontinuity činností, které jsou z pohledu bezpečnosti informací podstatné. Norma ISO 27001 se zabývá kontinuitou bezpečnosti informací v příloze A.17. Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti, definuje požadavky na zajištění kontinuity v § 15, kde mimo jiné ukládá provedení analýzy dopadů (BIA) a rizik kontinuity činností, stanovení cílů kontinuity, jakož i zpracování, aktualizaci a pravidelné testování plánů kontinuity činností a havarijních plánů. Norma ISO 22301 se věnuje řízení kontinuity v širším rámci a stanovuje požadavky na systémy řízení kontinuity činností (BCMS = Business Continuity Management Systems).
V České republice je zavádění systémů řízení kontinuity činností dost zanedbáváno. Podle mezinárodní organizace pro standardizaci ISO byly v roce 2018 v České republice pouze 2 certifikované organizace, zatímco v Nizozemsku to bylo 37 a ve Velké Británii rovných 290.
O zajištění kontinuity činností v organizaci obvykle panují mýty. Často můžeme slyšet, že je řízení kontinuity jen o přírodních katastrofách, že plány kontinuity jsou odpovědností IT nebo dokonce, že každá katastrofa je jedinečnou událostí, na kterou se nelze připravit.
Co je zajištění kontinuity
Co to tedy zajištění kontinuity je? Je to soubor opatření, které vycházejí ze strategických a taktických potřeb organizace. Vhodně zvolená opatření zajišťují schopnost organizace poskytovat své produkty nebo služby na přijatelné a předem definované úrovni a to, i když dojde k rušivému incidentu. Proaktivní řízení kontinuity zlepšuje odolnost organizace proti narušení a její schopnosti plnit své cíle, poskytuje ověřené metody pro obnovení poskytování produktů a služeb po narušení, přináší osvědčené schopnosti řídit narušení činností a chránit dobré jméno a značku organizace.
Abychom mohli řádně řídit kontinuitu, potřebujeme k tomu vhodné techniky a nástroje. Tento článek není návod k implementaci systému řízení kontinuity činností (BCMS), ale poskytuje prostor, abychom se na některé komponenty BCMS podívali podrobněji.
Systém řízení kontinuity podnikatelských činností (BCMS)
V roce 2009 přijala mezinárodní organizace pro standardizaci ISO usnesení, podle kterého mají mít všechny normy pro systémy řízení (např. ISO 14001, ISO/IEC 27001, ISO 22301, ISO/IEC 20000 atd.) strukturu, která vychází z normy ISO 9001 (řízení jakosti). Jednotná struktura ISO norem, která se od té doby vyvinula, umožňuje harmonizovat postupy a budovat integrované systémy řízení. A tak systém řízení kontinuity činností zavádí několik klíčových komponent: podporu vedení, politiku, osoby s definovanými odpovědnostmi, řídící procesy (vztažené k zásadám, plánování, implementaci a provozování, hodnocení efektivnosti, přezkoumání vedením a neustálému zlepšování), dokumentaci poskytující auditovatelné důkazy a další procesy specifické pro každou organizaci.
Analýza rizik a analýza dopadů
Správně nastavený systém řízení kontinuity umožňuje organizaci nastavit váhu adaptivních, proaktivních a reaktivních strategií řízení na základě systematického posuzování rizik a analýzy dopadů (BIA = Business Impact Analysis). Rizika, jimž organizace čelí, jsou funkcí interního a externího prostředí, ve kterém organizace působí. Mění se například v závislosti na průmyslovém sektoru / oboru, velikosti organizace i geografickém umístění. Zatímco posouzení rizik řeší oblast identifikace, analýzy a hodnocení rizik, BIA se zabývá analýzou hlavních činností (byznys funkcí) a dopadů, které na ně může narušení mít. A právě identifikace kritických činností klíčových procesů, jejich závislostí a dopadů je nejnáročnějším aspektem analýzy dopadů.
Výsledkem BIA je shromáždění podkladů pro stanovení cílů kontinuity činností, tj. které činnosti musíme udržet v provozu, jaký je minimální cíl kontinuity dané činnosti (MBCO = Minimum Business Continuity Objective), jak rychle musíme provoz obnovit, jaká je cílová doba zotavení (RTO = Recovery Time Objective), k jakému bodu obnovu provádíme (RPO = Recovery Point Objective) nebo jaký je maximální akceptovaný výpadek (MAO = Maximum Acceptable Outage).
Strategie kontinuity činností
Když známe rizika a cíle kontinuity konkrétních činností, můžeme zodpovědně posoudit možnosti a zvolit vhodnou strategii či strategie pro:
- zajištění ochrany prioritních činností před narušením,
- stabilizování, pokračování, obnovení a zotavení prioritních činností po narušení,
- zmírnění, odezvu a zvládání dopadů.
Při definování strategie zajištění kontinuity činností můžete volit mezi vícero přístupy, od zajištění provozu v nezávislých lokalitách s diverzifikací dodavatelů, přes záložní uspořádání až po přizpůsobení daného procesu. Volba správné strategie bude záviset na chuti organizace riskovat nebo naopak na chuti či možnostech investovat. Nulová strategie, pokud jde o její implementaci, před výskytem ničivé události nic nestojí, ale je to asi ta nejdražší strategie po katastrofě. A naopak, plně vybavená a k okamžitému provozu připravená záložní lokalita je patrně ten nejnákladnější způsob, který však umožní nejrychlejší možné obnovení činností. Většina z nás bude hledat svou cestu někde mezi.
Samozřejmě, některé části strategie nejsou spojeny s investicemi, a lze je poměrně rychle realizovat. Příkladem je pojištění, které může zmírnit, i když ne zcela nahradit finanční dopady narušení. Dalším příkladem je stanovení komunikační strategie, která může efektivně přispět k ochraně dobrého jména organizace i v případě vzniku mimořádné situace.
Ošetření rizik kontinuity
V analýze rizik jsme určili, jakým rizikům čelíme. Musíme se tedy rozhodnout, jakým způsobem existující rizika ošetříme, abychom snížili pravděpodobnost výskytu narušení, zkrátili dobu narušení anebo snížili dopad narušení na schopnost poskytovat klíčové produkty a služby. Zvolený přístup bude opět záviset na ochotě organizace (jejího vedení) riskovat.
Volit můžeme mezi preventivními opatřeními (snižují pravděpodobnost a možný dopad, např. záložní zdroje napájení, instalace systému protipožární ochrany nebo najímání zdatného personálu), detektivními opatřeními (snižují možný dopad, např. detektory tepla nebo kouře, videokamery nebo systém detekce narušení počítačové sítě) a nápravnými opatřeními (zmírňují následky, např. efektivní komunikace, zálohování a obnova dat ze zálohy, plán odezvy na incident). Z podstaty některých opatření vyplývá, že mohou spadat i do dvou nebo dokonce do všech tří skupin, příkladem může být antivirový SW – prevence proti virům, detekce virů, odstraňování virů.
Postupy pro zajištění kontinuity
Nyní víme, které činnosti podporující klíčové produkty a služby musíme chránit, zvolili jsme vhodnou strategii, realizovali jsme nebo jsme naplánovali realizaci potřebných opatření zajišťujících kontinuitu zvolených činností a je před námi další důležitý krok – ustavení postupů kontinuity pro zvládání rušivých incidentů, tedy vytvoření plánu či plánů kontinuity.
Opět závisí na kontextu konkrétní organizace, jak takový plán nebo plány budou obsáhlé a jak detailně budou popisovat postupy reagující na možné incidenty. Existuje vícero oblastí, které plány kontinuity činností řeší a od toho se také odvíjí aplikovatelné typy plánů kontinuity.
Metodika implementace
Nyní zhruba víme co je potřeba udělat, tak si ještě řekněme, jak je možné to udělat. Postupně jsme přijali metodiku pro úspěšnou implementaci a provozování systémů řízení. Tato metodika vychází z PDCA cyklu, který je běžně aplikován v ISO normách pro systémy řízení. Čtyři etapy PDCA cyklu dělíme do 21 kroků, od ustavení projektu BCMS a analýzy existujícího prostředí, přes realizaci všech výše uvedených činností až po interní audit, řízení nápravných opatření a vytvoření kultury neustálého zlepšování.
Závěr
Existuje mnoho zdrojů rušivých incidentů, které mohou výrazně ohrozit nebo dokonce ukončit klíčové činnosti organizace. Od přírodních katastrof, mimořádného počasí, pandemií, výpadků dodávek energií nebo telekomunikačních služeb, až po mimořádné události v dodavatelském řetězci, útoky různě motivovaných hackerů nebo chyby či dokonce úmyslné zásahy interních osob. Tak jako se vyskytují černé labutě, vyskytují se i katastrofy. Buďte na ně připraveni, ať nedopadnete tak, jak uvádí Business Continuity Institute – 80 % podniků, které neměly plány kontinuity, nepřežily a opustily své aktivity během 13 měsíců po závažném incidentu.