Επιχειρησιακή Συνέχεια και Ανάκαμψη από Καταστροφές: Από την Αβεβαιότητα στην Ετοιμότητα

Στον 21ο αιώνα, η επιχειρηματική σταθερότητα δεν θεωρείται πλέον δεδομένη. Ο πόλεμος, η τρομοκρατία, οι ενεργειακές κρίσεις, οι πανδημίες και οι φυσικές καταστροφές μεταφέρουν συνεχώς το πεδίο του κινδύνου από το περιθώριο στον πυρήνα της λειτουργίας των οργανισμών.

Νικόλαος Κολαϊτης

Director of NK Apparatum

 

 

 

 

Από την Αβεβαιότητα στην Ετοιμότητα

Ο Βενιαμίν Φρανκλίνος ανάφερε «By failing to prepare, you are preparing to fail», και σε αυτό το περιβάλλον, η ύπαρξη ενός Business Continuity & Disaster Recovery Plan (BCDRP) δεν αποτελεί μια προαιρετική διαδικασία αλλά μια στρατηγική αναγκαιότητα.

Το σύγχρονο επιχειρηματικό οικοσύστημα είναι εξαιρετικά πολύμορφο (diverse) όπως και το ευρύτερο περιβάλλον. Και τα δύο υπόκεινται σε συνεχή μεταβολές.

Χαρακτηριστικά μεταξύ άλλων,

• Ο ψηφιακός μετασχηματισμός και κυβερνο-εξαρτήσεις
• Οι διασυνδεδεμένες εφοδιαστικές αλυσίδες
• Οι αναδυόμενες γεωπολιτικές απειλές και
• Οι εναλλασσόμενες ρυθμιστικές απαιτήσεις όπως GDPR, ESG, και NIS2

..διαμορφώνουν άρδην το επιχειρηματικό τοπίο. Σύμφωνα με τη Deloitte CEO Survey (2023), το 87% των ηγετών επιχειρήσεων παγκοσμίως δηλώνουν ότι το επιχειρηματικό τους περιβάλλον είναι σημαντικά πιο ευμετάβλητο σε σχέση με πέντε χρόνια πριν.

Επομένως, το BCDRP δεν μπορεί να είναι μια “once of” ενέργεια. Πρέπει να αναθεωρείται και να αναβαθμίζεται συστηματικά, λαμβάνοντας υπόψη τεχνολογικές, κοινωνικές, νομικές και περιβαλλοντικές εξελίξεις.

«It is not the strongest of the species that survives, nor the most intelligent, but the one most responsive to change» (Δαρβίνος)

Η κατανόηση της διαδικασίας μέσω ενός «ενδεικτικού φορέα», του οργανισμού Χ, καθιστά σαφές πώς συνδέονται στρατηγική πρόβλεψη, τεχνική εφαρμογή και διαχείριση ρίσκου.

Το Πλαίσιο του Business Continuity & Disaster Recovery Plan (BCDRP)

Το πρώτο βήμα του οργανισμού Χ είναι το Business Impact Analysis (BIA) με σκοπό να αναγνωρίσει κρίσιμες λειτουργίες. Έτσι,  προσδιορίζονται δύο (2) βασικοί παράμετροι το RTO (Recovery Time Objective) & το RPO (Recovery Point Objective).

Μέσω του RTO ο οργανισμός Χ αναγνωρίζει το μέγιστο αποδεκτό χρόνο διακοπής μιας λειτουργίας ή συστήματος μετά από μια διακοπή ή καταστροφή. Πόσο γρήγορα πρέπει να αποκατασταθεί η λειτουργία για να μην υπάρξει σημαντική ζημιά;

Δηλαδή, ο οργανισμός Χ, ο οποίος διατηρεί σύστημα κρατήσεων έχει ορίσει ως RTO τις δύο (2) ώρες, τότε σε περίπτωση ζημιάς πρέπει να είναι και πάλι λειτουργικός εντός 2 ωρών από τη διακοπή.

Μέσω του RPO ο οργανισμός Χ θα αναγνωρίσει τη μέγιστη χρονική περίοδο δεδομένων που μπορεί να χαθούν σε περίπτωση αποτυχίας ή καταστροφής. Πόσο παλιά δεδομένα μπορεί ο φορέας να δεχτεί ότι θα χαθούν για οποιοδήποτε λόγο;

Αν το RPO είναι 4 ώρες, σημαίνει ότι μπορεί να “ανταπεξέλθει” την απώλεια δεδομένων των τελευταίων 4 ωρών.

Εν ολίγοις το RTO εστιάζει στον Χρόνο Αποκατάστασης και το RPO εστιάζει στην Απώλεια Δεδομένων και τα δύο είναι θεμελιώδη για τον σχεδιασμό του Business Continuity και Disaster Recovery Plan, και επηρεάζουν άμεσα τις τεχνολογικές επιλογές, τα κόστη και τα μέτρα ασφαλείας που πρέπει να ληφθούν.

Top of FormBottom of Form

Risk Assessment: Το Θεμέλιο της Προληπτικής Ανθεκτικότητας 

Το δεύτερο βήμα είναι η διαδικασία του Risk Assessment όπου εκτιμώνται οι απειλές, η πιθανότητα εμφάνισής τους και η δυνητική επίδραση στη λειτουργία της επιχείρησης.

Μέσα στον ευρύτερο προγραμματισμό και την οργάνωση της ανταπόκρισης στις αλλαγές η σύνδεση του BCDRP με τη διαδικασία Risk Assessment είναι θεμελιώδης. Καμία επιχείρηση δεν μπορεί να προετοιμαστεί σωστά για το απρόβλεπτο, εάν πρώτα δεν έχει εντοπίσει τα τρωτά της σημεία και τους πιθανούς κινδύνους.

Αν πάρουμε ως παράδειγμα τον οργανισμό Χ που δραστηριοποιείται εργοδοτεί και φιλοξενεί άτομα σε περιοχές ή γειτνιάζουσες περιοχές υψηλής γεωπολιτικής έντασης ή/και διαχειρίζεται κρίσιμες υποδομές μέσω του Security Risk Assessment, διεξάγει την ανάλογη έρευνα, ώστε να απαντήσει σε ερωτήματα όπως:

• Σε ποιο επίπεδο απειλής εντάσσεται η γεωγραφική θέση και τα περιουσιακά στοιχεία της επιχείρησης;
• Ποιοι είναι οι πιθανοί φυσικοί και ψηφιακοί κίνδυνοι;
• Ποια είναι η στρατηγική αξία της πληροφορίας που διαχειρίζεται ο οργανισμός;
• Πόσο ασφαλείς είναι οι φυσικές και ηλεκτρονικές αποθηκεύσεις της πληροφορίας; Που και πως φυλάσσετε η ‘εμπιστευτική’ πληροφορία του οργανισμού Χ
  

Έτσι, ταυτοχρόνως,

• Εντοπίζονται ευπάθειες φυσικής και πληροφοριακής ασφάλειας.
• Καταγράφονται κρίσιμα assets και οι εξαρτήσεις τους.
• Άμεσα Διορθωτικά μέτρα
• Δημιουργούνται σενάρια απειλών και αντίδρασης.

Το αποτέλεσμα της ανάλυσης αυτής μεταφέρεται έπειτα στο σχεδιασμό και τη δομή του BCDRP, ώστε να διασφαλιστεί η επιχειρησιακή συνέχεια ακόμη και υπό ακραίες συνθήκες. Το BCDRP είναι το τεκμηριωμένο και ενδελεχές έγγραφο, αλλά παράλληλα και διαδικασία που προετοιμάζει την ανταπόκριση σε όλες τις εκφάνσεις του οργανισμού. Άλλωστε, «η ανθεκτικότητα δεν έρχεται από την αδράνεια αλλά από την προνοητικότητα» (BCI Resilience Report 2022).

BCP & DRP: Από τη Στρατηγική στη Δράση

Το Business Continuity Plan (BCP), ορίζει και αναλύει πώς ο «ενδεικτικός φορέας» θα συνεχίσει να λειτουργεί υπό καθεστώς κρίσης. Στο πλαίσιο αυτό, καθορίζονται ρεαλιστικά και τεκμηριωμένα σενάρια κρίσης, λαμβάνοντας υπόψη γεωπολιτικούς κινδύνους, τεχνολογικές απειλές, φυσικά φαινόμενα και άλλα ενδεχόμενα που ενδέχεται να επηρεάσουν την ομαλή λειτουργία. Ακολουθεί η αναλυτική περιγραφή των επιχειρησιακών αντιδράσεων, δηλαδή των διαδικασιών και των πόρων που θα ενεργοποιηθούν για τη διατήρηση κρίσιμων λειτουργιών.

Παράλληλα, είναι σημαντική η σύσταση της ομάδα κρίσης, με το σαφή καταμερισμό ρόλων και ευθυνών, ενώ διαμορφώνεται και η επικοινωνιακή στρατηγική (Crisis Communications Plan), προκειμένου να εξασφαλιστεί η έγκαιρη, σαφής και ενιαία πληροφόρηση όλων των εμπλεκομένων (προσωπικό, πελάτες, συνεργάτες, δημόσιες αρχές, ΜΜΕ εάν και εφόσον χρειαστεί).

Μέσω του Disaster Recovery Plan (DRP), εστιάζει στη τεχνική αποκατάσταση των συστημάτων πληροφορικής και ψηφιακών υποδομών μετά από κάποιο καταστροφικό γεγονός. Το DRP περιλαμβάνει λεπτομερείς οδηγίες για την ανάκτηση των κρίσιμων τεχνολογικών υποδομών, από servers και βάσεις δεδομένων, έως επιχειρησιακές εφαρμογές. Επιπλέον, καθορίζονται σαφείς πολιτικές για τη διαχείριση αντιγράφων ασφαλείας (backups), καθώς και οι διαδικασίες ενεργοποίησης μηχανισμών failover. Ειδική πρόβλεψη υπάρχει για το πώς θα γίνει η ανάκτηση των δεδομένων (data restoration) και η πλήρης επανενεργοποίηση των συστημάτων, εντός των καθορισμένων στόχων RTO (Recovery Time Objective) και RPO (Recovery Point Objective).

Εν ολίγοις το DRP είναι τεχνικό εργαλείο για αποκατάσταση τεχνολογικών υποδομών και το BCP είναι στρατηγικό εργαλείο που καλύπτει ολόκληρη την επιχείρηση (ανθρώπους, χώρους, διαδικασίες, προμηθευτές, πελάτες, νομικές ευθύνες), η διαδικασίες στα πλαίσια της κάλυψης του Οργανισμού Χ από το ‘aftermath’ και το Risk Assessment η διαδικασία που άγεται στα πλαίσια της αναγνώρισης και εφαρμογής διορθωτικών/ προληπτικών μέτρων= Ολιστική διασφάλιση του Οργανισμού Χ.

Κάθε BCDRP που σχεδιάζεται σήμερα, πρέπει να βασίζεται σε ρεαλιστικά σενάρια, να αντλεί πληροφορίες από αξιόπιστα εργαλεία Risk Assessment και να αναθεωρείται συνεχώς ώστε να αντανακλά τον ρυθμό αλλαγών του επιχειρηματικού περιβάλλοντος.

Δοκιμές, Εκπαίδευση και το Κόστος της Ετοιμότητας

Ωστόσο, η αποτελεσματικότητα αυτών των σχεδίων δεν μπορεί να θεωρείται δεδομένη χωρίς συστηματικές δοκιμές και εκπαίδευση. Ο οργανισμός Χ μέσω tabletop και simulation ασκήσεων, εξετάζει την πρακτική εφαρμοσιμότητα των σχεδίων, την ανταπόκριση της ομάδας κρίσης και το βαθμό συντονισμού μεταξύ διαφορετικών τμημάτων. Παράλληλα, η συνεχής εκπαίδευση του προσωπικού, και ιδιαίτερα των κρίσιμων ρόλων, είναι ουσιώδης για τη διατήρηση της ετοιμότητας. Κάθε άσκηση ή πραγματικό περιστατικό οδηγεί σε «lessons learned», δηλαδή σε πολύτιμα συμπεράσματα που ενισχύουν τη δυνατότητα προσαρμογής και επιβάλλουν την τακτική αναθεώρηση και αναβάθμιση των σχεδίων.

Έτσι ο «ενδεικτικός φορέας» μέσω της συνεχής αναθεώρησης και συντήρησης των πλάνων κατοχυρώνει, στο μέτρο του δυνατού, – σε ένα περιβάλλον έντονα διαφοροποιούμενο και ραγδαία μεταβαλλόμενο όπου οι επιχειρηματικοί κίνδυνοι δεν είναι στατικοί αλλά δυναμικοί – ένα μέσο προστασίας, αλλά και ανταγωνιστικό πλεονέκτημα.Top of Form

Bottom of Form

Ο Kevin Plank CEO μιας από τις πιο επιτυχημένες επιχειρήσεις αθλητικής ένδυσης και εξοπλισμού είπε  ότι «Trust is built in drops and lost in buckets», οργανισμοί και φορείς, ιδιωτικού και δημόσιου δικαίου, που επενδύουν σε προληπτικά και καλά σχεδιασμένα BCDRP και Risk Assessments δεν προστατεύουν απλώς τα συμφέροντά τους. Διατηρούν την εμπιστοσύνη των πελατών, τη συμμόρφωση με κανονιστικά πλαίσια και τη φήμη τους στην αγορά. Πυλώνες πολύτιμοι δεδομένου του ανταγωνιστικού επιχειρηματικού περιβάλλοντος.

Αξίζει εδώ να σημειωθεί το εξής σημείο: η επένδυση σε ένα Business Continuity & Disaster Recovery Plan και τα διορθωτικά μέτρα που προκύπτουν από τα Risk Assessments, συνεπάγεται κόστος; Nαι. Όμως, το πραγματικό ερώτημα του “ενός εκατομμυρίου” είναι, ποιο είναι το συγκριτικό κόστος – ανάμεσα στην προληπτική προετοιμασία και συμμόρφωση, και στο ενδεχόμενο οικονομικό και λειτουργικό πλήγμα που μπορεί να προκύψει από μία (ή περισσότερες) ζημιές, καθώς και από τις αλυσιδωτές παρενέργειες τους;

Η απώλεια δεδομένων, η παύση λειτουργίας, η απώλεια εμπιστοσύνης πελατών, τα νομικά πρόστιμα ή οι κυρώσεις συμμόρφωσης (όπως βάσει του GDPR ή του NIS2), καθώς και η ζημιά στη φήμη, μπορούν να οδηγήσουν σε ένα κόστος πολλαπλάσιο εκείνου της πρόληψης.

Όπως χαρακτηριστικά επισημαίνεται σε αναλύσεις του Ponemon Institute, το μέσο κόστος ενός data breach παγκοσμίως φτάνει τα 4,45 εκατομμύρια δολάρια (2023), ενώ για επιχειρήσεις που δεν διαθέτουν σύστημα αντιμετώπισης κρίσεων, το ποσό αυτό αυξάνεται δραματικά.

Με άλλα λόγια, η ερώτηση δεν είναι “αν αξίζει το κόστος της ετοιμότητας”, αλλά “αν μπορείς να αντέξεις το κόστος της αδράνειας”.

«If you think compliance is expensive, try non-compliance» (Former U.S. Deputy Attorney General Paul McNulty).Top of FormBottom of Form

Η αναγνώριση, πρόληψη και διατήρηση της επιχειρησιακής συνέχειας απέναντι σε σύνθετους και πολλαπλούς κινδύνους δεν αποτελεί κάτι «έξτρα». Αντιθέτως, αναδεικνύεται σε κρίσιμο στρατηγικό εργαλείο για την επιβίωση και τη βιώσιμη ανάπτυξη οργανισμών σε ένα παγκόσμιο, διασυνδεδεμένο και γεωπολιτικά εύθραυστο περιβάλλον.