Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

Ciągłość działania

Nagłe przerwy w świadczeniu usług, czy realizacji procesów produkcyjnych skutkują spadkiem przychodów, karami finansowymi ze strony partnerów biznesowych, ograniczeniem zaufania klientów i naruszeniem wizerunku wśród interesariuszy. Jak skutecznie przygotować Twoją Firmę na incydenty związane z ciągłością działania by uniknąć negatywnych konsekwencji? Odpowiedzią jest wdrożenie BCMS (ang. Business Continuity Management System) w zakresie dostosowanym do potrzeb Organizacji.

Przesłanki do wdrożenia Systemu Zarządzania Ciągłością Działania lub jego elementów bywają różne. Mogą wynikać między innymi z:

  • chęci wdrożenia i certyfikacji Systemu Zarządzania Ciągłością Działania wg międzynarodowych standardów, jak ISO 22301,
  • konieczności dostosowania się do warunków narzucanych przez klienta w ramach zarządzania łańcuchem dostaw,
  • obowiązku spełnienia wymagań prawnych, jak na przykład Ustawa o Krajowym Systemie Cyberbezpieczeństwa, o której piszemy tutaj,
  • warunków polisy ubezpieczeniowej wykupionej przez firmę,
  • czy też szczerej potrzeby zabezpieczenia swojego biznesu.

Bez względu na przyczynę podjęcia decyzji o wdrożeniu BCMS lub jego wybranych elementów, należy pamiętać, że skuteczne zarządzanie ciągłością działania zawsze opiera się na dwóch filarach – prewencji oraz właściwej reakcji. Pierwszy z nich dotyczy analizy działalności realizowanej przez Klienta w ramach BIA, identyfikacji zasobów dla krytycznych procesów, określenia zagrożeń, które mogą spowodować niedostępność zasobów i podjęcie adekwatnych działań w stosunku do zidentyfikowanych ryzyk. Drugi obszar to przygotowanie się na prawdopodobne scenariusze incydentów i awarii, które zostaną zidentyfikowane w trakcie oceny ryzyka lub wynikają z dotychczasowych doświadczeń. Jak to zrobić? Stworzyć odpowiednie plany ciągłości działania, zasady komunikacji kryzysowej, procedury awaryjne i odtworzeniowe. To jednak nie wszystko – kluczowe jest ich właściwe przetestowanie, by mieć pewność, że przyjęte rozwiązania nie zawiodą nas w sytuacji rzeczywistego zagrożenia.

Żaden z opisanych elementów nie może zostać pominięty lub zbytnio uproszczony. Prowadzi to do błędnego określenia potrzeb w zakresie ciągłości działania, pominięcia ważnych zasobów, zbagatelizowania ryzyk, istotnych braków w procedurach awaryjnych i odtworzeniowych lub stworzenia planów ciągłości działania, których możliwość wykorzystania jest wątpliwa ze względu na brak testowania ich skuteczności.

 

Realizacja audytu wstępnego

Zalecamy, by każdy projekt wdrożenia BCMS lub wybranych elementów zarządzania ciągłością działania rozpocząć od audytu wstępnego. Głównym celem badania jest weryfikacja stopnia spełnienia przez Klienta wymagań norm odniesienia i dobrych praktyk w zakresie zarządzania ciągłością działania oraz zapoznanie się z Organizacją, przyjętym modelem procesów, wdrożonymi mechanizmami zarządzania ciągłością działania i wykorzystywaną technologią.

W ramach realizacji audytu wstępnego, Eksperci Blue Energy przeprowadzają audyt dokumentacji oraz właściwy audyt BCMS w siedzibie Klienta. Produktem etapu jest raport przedstawiający silne i słabe strony w zakresie zarządzania ciągłością działania oraz rekomendacje w formie roadmapy z opisem zadań niezbędnych do wdrożenia w celu zwiększenia poziomu bezpieczeństwa prowadzonej działalności.

Analiza BIA

Analiza wpływu biznesowego (ang. BIA – Business Impact Analysis) ma na celu dostarczenie odpowiedzi na pytanie, które z procesów realizowanych w Organizacji są szczególnie ważne. Aby zapewnić możliwie obiektywną ocenę procesów przez ich Właścicieli, Eksperci Blue Energy wraz z Zespołem Projektowym opracowują szczegółową metodykę analizy BIA. Metodyka zawiera kryteria oceny skutków finansowych, wizerunkowych oraz regulacyjno-prawnych wynikających z przerwy w realizacji procesów w ustalonych jednostkach czasu (od kilku godzin do kilku dni).

Ponadto, w ramach analizy BIA, dla każdego z procesów określane są parametry ciągłości działania obejmujące przynajmniej:

  • RTO – Recovery Time Objective – Maksymalny Czas Niedostępności Procesu,
  • MBCO – Minimum Business Continuity Objective – poziom realizacji Procesu pozwalający na zachowanie ciągłości działania w minimalnym zakresie,
  • MTPD – Maximum Tolerable Period of Disruption – czas, po którym należy wznowić proces w trybie normalnym.

 

Wyniki analizy są opracowywane w postaci raportu z analizy BIA zawierającego szczegółową ocenę poszczególnych procesów. Dokument zawiera również listę procesów krytycznych, na których skupione są dalsze prace projektowe. Dzięki takiemu podejściu, procesy nieistotne nie są uwzględniane w projektowaniu BCMS powodując znaczne oszczędności dla Klienta.

W przypadku projektów w obszarze IT analiza BIA wykonywana jest w stosunku do konkretnych systemów.

Ocena ryzyka utraty ciągłości działania

Ocena ryzyka utraty ciągłości działania skupiona jest na procesach uznanych w ramach BIA za działalności krytyczne. Podobnie jak analiza BIA, ocena ryzyka realizowana jest zgodnie z wypracowaną przez Zespół Projektowy metodyką. Ocena ryzyka ma na celu uzyskanie pełnej wiedzy nt. zagrożeń i podatności, które mogą wpłynąć w znaczący sposób na ciągłość procesów realizowanych w Organizacji. Poprawnie wykonana ocena ryzyka jest zatem kopalnią wiedzy dla osób zarządzających organizacją.

Zalecamy, by ocena ryzyka odbywała się w stosunku do zasobów niezbędnych do realizacji procesów krytycznych. Kategorie zasobów różnią się w zależności od prowadzonego biznesu. Mogą być to ludzie, ich specyficzne kompetencje, systemy IT, systemy automatyki przemysłowej, park maszynowy i infrastruktura, środki łączności, procedury wewnętrzne i wiele, wiele innych.

W ramach oceny ryzyka Eksperci Blue Energy z przedstawicielami Klienta identyfikują zagrożenia, podatności i określają wielkość prawdopodobieństwa i skutków potencjalnego ryzyka. W ramach oceny ryzyka definiowane są działania w Planie postępowania z ryzykiem i obejmują zarówno planowane działania prewencyjne, jak i scenariusze zdarzeń, które powinny zostać objęte właściwymi procedurami ciągłości działania.

Produktem etapu  jest raport zawierający szczegółowe wyniki oceny ryzyka wraz z Planem postępowania z ryzykiem.

Dokumentacja Zarządzania Ciągłością Działania

W ramach tego etapu, Eksperci Blue Energy opracowują dokumentację BCMS. Zakres dokumentów, ich struktura i zawartość uzgadniana jest przez Zespół Projektowy, by spełnić wymagania Klienta.  Model dokumentacji jest inny dla firmy wdrażającej kompleksowo wymagania ISO 22301 oraz inny dla organizacji skupiającej się na opracowaniu jedynie Planu Ciągłości Działania ze względu na wymagania ubezpieczyciela. Każdorazowo tworzona jest lista dokumentów do wypracowania.

Proponowany zakres dokumentacji w przypadku wdrażania Systemu Zarządzania Ciągłością Działania w oparciu o ISO 22301 obejmuje m.in.:

  • Politykę Zarządzania Ciągłością Działania,
  • Regulamin Zarządzania Ciągłością Działania,
  • Metodykę analizy BIA,
  • Metodykę oceny ryzyka utraty ciągłości działania,
  • Wzór Planu Ciągłości Działania,
  • Wzór procedury awaryjnej/odtworzeniowej,
  • Procedurę tworzenia i testowania ciągłości działania,
  • Wymagania bezpieczeństwa dla dostawców zewnętrznych.

 

Propozycja każdego z dokumentów jest przedstawiana przez Ekspertów Blue Energy. Finalne wersje regulacji są tworzone z aktywnym udziałem Klienta.

Plany ciągłości działania oraz procedury awaryjne i odtworzeniowe

Zalecamy, by dokumentacja reakcji na incydenty ciągłości działania została podzielona na 2 poziomy. Wyższy – zaadresowany w Planie Ciągłości Działania oraz niższy – uwzględniony w procedurach awaryjnych i odtworzeniowych.

W ramach projektu Eksperci Blue Energy opracowują Plan Ciągłości Działania obejmujący:

  • listę procesów krytycznych wraz z zasobami niezbędnymi do ich realizacji,
  • strukturę zarządzania kryzysowego w Organizacji,
  • zasady powiadamiania oraz komunikacji wewnętrznej i zewnętrznej,
  • zasady uruchamiania i odwoływania trybu kryzysowego,
  • strategię zachowania ciągłości działania,
  • sposób monitorowania i raportowania prac w trybie kryzysowym.

Docelowy kształt Planu Ciągłości Działania jest wypracowywany wspólnie z Zespołem Projektowym.

 

Uzupełnienie Planu Ciągłości Działania na poziomie operacyjnym stanowią konkretne procedury i instrukcje. Eksperci Blue Energy wspierają Klienta zarówno w przygotowaniu procedur awaryjnych dla utrzymania procesów biznesowych, produkcyjnych i technologicznych, a także informatycznych i związanych z automatyką przemysłową. Zespół Blue Energy składa się z architektów bezpieczeństwa, administratorów systemów i pentesterów, których wiedza stanowić będzie wartość dodaną na etapie tworzenia procedur.

Przyjęty model zapewnia skuteczną reakcję na zdarzenia zarówno na poziomie Zarządzania Kryzysem przez Najwyższe Kierownictwo (Plan Ciągłości Działania), jak i odtwarzanie procesów i zasobów na poziomie operacyjnym (procedury awaryjne i odtworzeniowe).

Testowanie ciągłości działania

Testowanie skuteczności wypracowanych procedur reakcji na incydent ciągłości działania stanowi najlepszy sprawdzian organizacji przed wystąpieniem rzeczywistego zagrożenia. Dlatego też, Eksperci Blue Energy kładą duży nacisk na organizację praktycznych testów BCMS. W ramach przygotowania testów ciągłości działania opracowujemy regulacje wewnętrzne w zakresie planowania testów, ich organizacji oraz wyboru skutecznych metod testowania. Uwzględniają one organizację testów zarówno w formie testów, gier sztabowych, jak i najbardziej zaawansowanych – testów operacyjnych.

W ramach realizacji tego etapu, Eksperci Blue Energy:

  • opracowują z Zespołem Projektowym roczny harmonogram testów ciągłości działania,
  • wybierają metody testów właściwe dla testowanych scenariuszy,
  • opracowują założenia testów zawierające scenariusze sytuacji awaryjnych, które są przedmiotem testów,
  • biorą czynny udział w testach moderując gry sztabowe i testy operacyjne,
  • przygotowują raporty z testów ciągłości działania zawierające rekomendacje do ciągłego doskonalenia.

Ze względu na posiadane doświadczenie i wiedzę techniczną, Eksperci Blue Energy planują i moderują testy dotyczące procesów organizacyjnych i biznesowych, jak i bardziej skomplikowane testy w obszarze utrzymania infrastruktury IT/OT.

 

Korzyści
  • zwiększenie wiarygodności Organizacji wśród partnerów biznesowych w związku z wdrożeniem ISO 22301 lub wybranych elementów BCMS,
  • BIA - precyzyjna identyfikacja potrzeb biznesu w zakresie dostępności procesów, konsekwencji finansowych, wizerunkowych i prawnych ich przerwania oraz parametrów ciągłości działania, jak np. RTO, RPO, MBCO, MTPD,
  • ocena ryzyka - świadomość zagrożeń oraz podatności (słabych punktów) umożliwiająca podejmowanie działań prewencyjnych, a także przygotowania na rzeczywisty incydent,
  • ustalenie ról i odpowiedzialności, struktur reakcji na sytuacje kryzysowe, zasad komunikacji wewnętrznej i zewnętrznej z interesariuszami,
  • wypracowanie mechanizmów reakcji na incydenty, awarie i inne zdarzenia wpływające na ciągłość biznesu w postaci Planów Ciągłości Działania (BCP), procedur awaryjnych i odtworzeniowych (DRP),
  • testowanie procedur ciągłości działania w oparciu o najbardziej prawdopodobne scenariusze zapewniające najlepszy sprawdzian skuteczności zabezpieczeń realizowany w kontrolowanych warunkach.
Potrzebujesz wsparcia w bepzieczeństwie?
Skontaktuj się z nami arrow
Proces wdrożenia usługi
1
Przeprowadzenie audytu wstępnego. Krok opcjonalny w celu poznania Organizacji oraz oceny poziomu zgodności z dobrymi praktykami w obszarze BCMS, np. ISO 22301.
2
Przeprowadzenie Analizy BIA z Właścicielami Procesów. Ocena konsekwencji przerwania procesów, ustalenie parametrów ciągłości działania. Identyfikacja procesów krytycznych.
3
Przeprowadzenie oceny ryzyka dla zasobów wykorzystywanych w procesach krytycznych. Ustalenie Planu postępowania z ryzykiem, w tym identyfikacja scenariuszy wymagających.
4
Opracowanie dokumentacji Systemu Zarządzania Ciągłością Działania zgodnie ze strukturą ustaloną z Klientem.
5
Przygotowanie Planu Ciągłości Działania oraz procedur awaryjnych i odtworzeniowych.
6
Zaplanowanie i realizacja testów ciągłości działania w oparciu o ustalone z Klientem scenariusze potencjalnych awarii. Definiowanie działań doskonalących na podstawie wyników testów.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow
Materiały dodatkowe