Zastanów się nad taką sytuacją: Co się stanie, jeśli nieruchomość, w której świadczysz usługi będzie niedostępna, (nie analizujemy na tym poziomie powodów), stracisz kluczowego dostawcę, stracisz dostęp do prądu lub wody etc.
… „w czasach niespokojnych najważniejszym zadaniem kierownictwa jest zapewnienie dla organizacji zdolności do przetrwania, upewnienie się co do jej strukturalnej siły i odporności, zdolności do przeżycia ciosu”. („Management in turbulent timas” Peter Drucker, Londyn)
Pandemia Covid-19, pożar serwerowni w Strasburgu w 2021 roku, czy niedawna awaria systemów operacyjnych na całym świecie wywołana aktualizacją oprogramowania antywirusowego to świetne lekcje dla wszystkich organizacji, by nie ufać w stabilne warunki rozwoju dane nam raz na zawsze. To znane wydarzenia, które miały wpływ na tysiące podmiotów gospodarczych. Negatywne wydarzenia o mniejszej skali występują znacznie częściej. Choć odbijają się mniejszym echem, nie znaczy to, że nie mają wpływu na działanie organizacji, których dotyczą. Pandemia pokazała, że tak krytyczne sytuacje mogą zdarzać się niespodziewanie, w związku z czym organizacje powinny być przygotowane do niemal natychmiastowej całkowitej zmiany trybu pracy. To dotyczy także sposobu przetwarzania danych. Nie posiadając przetestowanego planu ciągłości działania w warunkach alternatywnych do standardowych, ryzykujemy narażenie przetwarzanych w organizacji danych na kompromitację, co z kolei może generować kolejne „koszty” w postaci kar finansowych i upadku reputacji. Z pozoru mało prawdopodobne zrządzenie losu może zaszkodzić organizacji, ale też wpływać na strony zainteresowane w ogromnym stopniu.
NIS2 i KSC o ciągłości działania
Dyrektywa NIS 2, a także wdrażana w Polsce 17 października nowelizacja ustawy o KSC wymagają, aby organizacje objęte ich zakresem wdrożyły System Zarządzania Bezpieczeństwem Informacji i System Zarządzania Ciągłością Działania w oparciu o normy europejskie (choć można też sugerować się innymi normami). I choć w kuluarach mówi się o rezygnacji ze wskazania, że dokumentacja ma być sporządzana wg. PN EN ISO 27001 to jednak dostosowanie się do zapisów owych norm przyniesie wiele korzyści w obszarze bezpieczeństwa informacji i ciągłości działania dla organizacji.
Także znane już doskonale RODO wymaga, by zapewnić:
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Istnieją również inne przepisy szczególne, które w swoim zakresie zobowiązują podmioty do zapewniania ciągłości działania jak: ustawa o zarządzaniu kryzysowym, prawo bankowe, prawo telekomunikacyjne, prawo energetyczne,
Wiele mówi się dzisiaj o bezpieczeństwie informatycznym, czy cyber higienie. W pędzie dążenia do zbudowania warstwowego bezpieczeństwa w oparciu o antywirusy, UTM/NG firewalle, oprogramowania backupowe, oprogramowania z rodzaju SIEM/SOAR służące do analizy logów i reakcji na incydenty, wszelkiego rodzaju zabezpieczenia fizyczne czy osobowe w postaci na przykład szkoleń, częstokroć spotykamy się z tym, że choćby najlepsze wyżej wymienione zabezpieczenia, nie są w żaden sposób testowane i weryfikowane między innymi pod względem ich skuteczności czy ciągłości działania. Zabezpieczenia wymienione wyżej są jak najbardziej pożądane, jednak zbudowanie w pełni bezpiecznego warstwowego środowiska wymaga również zapewnienia ciągłości funkcjonowania tychże zabezpieczeń jak i usług, które świadczymy.
Przykładowe zabezpieczenia ciągłości działania buduje się poprzez:
- Personel i jego kompetencje w zakresie ciągłości działania
- Kopie zapasowe, testowanie możliwości ich odtworzenia pod względem poprawności i szybkości
- Testowanie dostępności zasobów i usług
- Zapisy umowne SLA lub OLA, określające przywrócenie dostępności usług lub gwarantują dostępność zasobów w określonym czasie
- Zgodność z zasadami BHP
- Detekcję z wczesnym alarmem (IT/pożar/zalanie)
- Redundantne zasilanie i sprzęt
- Podwójne linie zasilające
- Agregaty prądotwórcze
- Podwójni dostawcy
Środków tego typu jest znacznie więcej i ich zastosowanie zależy wyników analizy ryzyka w oparciu o kontekst organizacji i strony zainteresowane.
Wracając do pytania zadanego w tytule artykułu: Czy zapewnienie ciągłości działania to problem? Pytanie powinno raczej brzmieć: czy możemy rozwiązanie tego problemu odwlekać w nieskończoność? Analiza kosztów, jakie może ponieść organizacja w związku z karami, niską reputacją, zagrożeniami dla samego istnienia… etc… nasuwa wniosek, że powinno być to priorytetowym zadaniem każdej organizacji.
W praktyce jednak zapewnienie ciągłości działania w organizacji to problem, który wymaga uwagi na każdym szczeblu organizacyjnym – od najwyższego kierownictwa, kadry zarządzającej po zwykłych pracowników. Organizacje, które zaniedbują lub lekceważą ten aspekt, same narażają się na poważne ryzyko operacyjne i biznesowe, podczas gdy te, które dbają o rzetelne zapewnienie ciągłości działania dla swojej organizacji zyskują znaczącą przewagę konkurencyjną, co też doskonale pokazała rzeczywistość podczas pandemii.
Powiązane wpisy
Endpoint protection – zdecydowanie więcej, niż antywirus
Jeszcze kilka lat temu edukowaliśmy naszych klientów, ale również prywatnych użytkowników internetu, że oprogramowanie antywirusowe to konieczność ze względu na rosnącą skalę infekcji. Dziś nie
Skąd wiadomo, co dzieje się w sieci? SIEM i analiza logów
Zagrożenia cybernetyczne stały się codziennością. Z tego powodu w organizacjach istnieje pilna potrzeba budowy skutecznych strategii ciągłego monitorowania i reagowania na potencjalne incydenty. Jednym z