Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.
Zarządzanie kryzysowe
Zacznijmy od początku, czyli od ustalenia jakie procesy, usługi czy działalności realizowane przez Organizację powinny zostać uwzględnione w zarządzaniu kryzysowym. Najlepszym rozwiązaniem jest sprawdzone podejście systemowe, wywodzące się ze standardu ISO 22301 będącego normą dla wdrażania Systemów Zarządzania Ciągłością Działania. Szczegóły na temat BCMS i oferowanych przez nas usług w obszarze ciągłości działania znajdują się tutaj. Podejście oparte o wymagania normy ISO 22301 umożliwia dokładne zapoznanie się z procesami realizowanymi w organizacji i wybór tych najistotniejszych – które interesują nas przede wszystkim w planowaniu ciągłości działania i zarządzania kryzysowego.
Usługi związane z tworzeniem struktur kryzysowych i zarządzania kryzysowego wywodzą się przede wszystkim z obowiązków nakładanych na tzw. infrastrukturę krytyczną. Obejmuje ona systemy:
- zaopatrzenia w energię, surowce energetyczne i paliwa,
- łączności,
- sieci teleinformatycznych,
- finansowe,
- zaopatrzenia w żywność,
- zaopatrzenia w wodę,
- ochrony zdrowia,
- transportowe,
- ratownicze,
- zapewniające ciągłość działania administracji publicznej,
- produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
Doświadczenia zgromadzone podczas realizowanych projektów pokazują, że coraz więcej organizacji decyduje się na implementację mechanizmów zarządzania kryzysowego, pomimo iż nie są do tego obligowane wymaganiami prawnymi wynikającymi z Ustawy o zarządzaniu kryzysowym, Ustawy o krajowym systemie cyberbezpieczeństwa i podobnych. Działania te wynikają przede wszystkim z potrzeby przygotowania uporządkowanej i świadomej reakcji na wszelkie sytuacje kryzysowe dotykające od czas do czasu wszystkie organizacje.
W ramach implementacji mechanizmów zarządzania kryzysowego, eksperci Blue Energy pomagają Klientowi zaprojektować funkcjonalną strukturę organizacyjną, jak i opracować niezbędne procedury postępowania. Zakres obowiązków wynikających z wdrażania zarządzania kryzysowego najlepiej przedstawić w dwóch odsłonach – działań podejmowanych podczas „normalnego funkcjonowania” oraz zadań realizowanych w momencie wystąpienia sytuacji kryzysowych.
Dokumenty określające sposób reakcji Organizacji na kryzys są różne w zależności od przesłanek stojących za ich wdrożeniem. Czasami są to Plany Ciągłości Działania (BCP), a jeśli mowa o spełnieniu wymagań ustawy – Plany ochrony infrastruktury krytycznej. Bez względu na przyczynę podjęcia decyzji o wdrożeniu zarządzania kryzysowego – treść dokumentu jest zwykle podobna i posiada szereg części wspólnych.
Opracowywane przez ekspertów Blue Energy procedury reakcji na kryzys tworzone są zawsze z przedstawicielami klienta, by spełnić potrzeby Organizacji i dostosować się do kultury organizacyjnej i pozostałych regulacji wewnętrznych.
Wdrażane procedury kryzysowe poprzedzane są analizą krytyczności realizowanych procesów oraz posiadanej infrastruktury i zawierają:
- opis struktur kryzysowych, wskazanie osób i niezbędnych kompetencji, ustalenie zastępowalności, określenie zakresu odpowiedzialności za zarządzanie kryzysem i podejmowanie decyzji,
- wymagania dla komunikacji wewnętrznej i zewnętrznej, w tym: zgłoszenie sytuacji kryzysowej, bądź potencjalnej sytuacji kryzysowej, informowanie odpowiednich służb, pracowników, opinii publicznej, współpraca z podmiotami zewnętrznymi,
- zasady powoływania, realizacji zadań, rozwiązywania sztabu kryzysowego,
- wymagania dotyczące zarządzania dokumentacją, w tym: przegląd dokumentacji, zarządzanie zmianą, publikacja i archiwizacja,
- identyfikację infrastruktury krytycznej, procesów krytycznych wraz z wskazaniem charakterystyki i parametrów ciągłości działania i odtwarzania infrastruktury,
- analizę ryzyka, w tym: identyfikacja zagrożeń, szacowanie ryzyka, ocena ryzyka,
- ustalenie strategii zapewnienia zasobów w przypadku wystąpienia konkretnych scenariuszy awarii/kryzysu wynikających z przeprowadzonej oceny ryzyka,
- wymagania i harmonogramy testów sytuacji kryzysowych,
- zasady zarządzania sytuacją kryzysową, w tym oceny ryzyka i rozwoju sytuacji kryzysowej realizowanej przez Sztab Kryzysowy lub inne struktury zarządzania kryzysowego,
- wymagania w zakresie dystrybucji procedur, budowania świadomości, w tym instruktarzy, ćwiczeń i szkoleń.
Tworząc mechanizmy reakcji na sytuację kryzysową, eksperci Blue Energy skupiają się na praktyczności i możliwości zastosowania wypracowanych schematów w czasie kryzysu.
Pierwszą zasadą właściwego zarządzania kryzysem jest odpowiednio określona struktura odpowiedzialności.
Dobierając skład sztabu kryzysowego pamiętamy o właściwym przywództwie, zastępowalnościach i delegowaniu obowiązków oraz o zapewnieniu przedstawicielstwa wszystkich istotnych przedstawicieli Organizacji.
Drugim aspektem jest odpowiednio przygotowana strategia definiowana indywidualnie dla poszczególnych zasobów krytycznych wykorzystywanych do realizacji procesów krytycznych.
Trzecia kwestia to umiejętność zarządzania kryzysem, ciągła analiza scenariuszy rozwoju sytuacji kryzysowej i podejmowanie właściwej odpowiedzi na kryzys. Rekomendujemy sprawdzone mechanizmy oparte na definiowaniu optymistycznych, pesymistycznych i najbardziej realistycznych scenariuszy rozwoju kryzysu.
Kolejna kwestia, której nie może zabraknąć to wypracowane mechanizmy komunikacji wraz z przygotowaniem standardowych treści skierowanych do różnych grup odbiorców.
Ostatnia kwestia, na którą chcemy zwrócić uwagę to możliwość testowania wewnętrznych struktur i sposób reakcji. Nasze doświadczenia pokazują, iż nawet najbardziej kompleksowe procedury kryzysowe nie zdadzą egzaminu bez cyklicznych szkoleń i testów zdarzeń realizowanych przez Organizacje.
- identyfikacja krytycznych zasobów, infrastruktury i procesów realizowanych w Organizacji pozwalająca nakierować działania związane z zarządzaniem kryzysowym na najistotniejsze aspekty działalności,
- podejście oparte na ryzyku, identyfikacja zagrożeń dla zidentyfikowanych zasobów, a także podatności (słabości) wpływających na możliwość materializacji ryzyka i wystąpienia kryzysu
- jednoznaczne zdefiniowanie odpowiedzialności za zarządzanie sytuacją kryzysową poprzez stworzenie struktur zarządzania kryzysowego,
- ustalenie i przetestowanie zasad zarządzania kryzysem w oparciu o scenariusze sytuacji kryzysowych, umożliwienie podejmowania działań doskonalących i lepsze przygotowanie na wypadek wystąpienia realnych zagrożeń,
- ustanowienie strategii postępowania na wypadek niedostępności zasobów krytycznych wspierających realizację kluczowych procesów,
- zapewnienie rozliczalności i zgodności z przepisami prawa dla Organizacji, gdzie zarządzanie kryzysowe stanowi element wymagany przepisami prawa.
Powiązane artykuły na blogu
Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?
Częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych
Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?
Jeden z naszych Klientów infrastrukturalnych tak skupił się na planowaniu i testowaniu dotyczącym wystąpienia awarii, że zapomniał o tym, iż zarządzanie ciągłością działania zaczyna się od niedopuszczenia do awarii. Podczas poprawy wdrożenia systemu BCMS dużo czasu poświęciliśmy na poprawę mechanizmów zarządzania ryzykiem, zarządzania majątkiem / aktywami, właściwej eksploatacji. Pamiętajmy, że odpowiednie działanie, właściwa eksploatacja urządzeń i systemów jest często podstawowym źródłem ciągłości działania.
Instytucja z sektora finansowego toczyła odwieczną wojnę, kto odpowiada za zapewnienie ciągłości. Obszar biznesu twierdził, że nie mają wiedzy i środków do zapewnienia ciągłości, a obszar teleinformatyki twierdził, że oni nie wiedzą co jest krytyczne i nikt im nie przekazał co i jak zabezpieczyć. Wsparcie we wdrożeniu rozpoczęliśmy od uświadomienia wszystkim synergii, której wymaga zapewnienie ciągłości działania. Biznes musi określić jakie działania (procesy) i jakie narzędzia (zasoby, systemy) są krytyczne i dlaczego (możliwy czas przestoju, potencjalne straty i ewentualne kary). Obszar teleinformtyki musi określić lukę pomiędzy obecną, oczekiwaną dostępnością oraz wskazać powiązania pomiędzy aktywami. W kolejnym kroku decyzje i działania dotyczące luki dostępności należy podjąć wspólnie.
Przedsiębiorstwo produkcji ciągłej istotnie ucierpiało z powodu awarii. Po przeprowadzonym audycie okazało się, że mechanizmy prewencyjne i plany ciągłości działania były testowane tylko w postaci gry sztabowej. Po wystąpieniu zdarzenia – awarii, większość mechanizmów nie zadziałała. Wsparliśmy Klienta we właściwym zaplanowaniu i przeprowadzeniu testów. Pamiętajmy, że w ramach jednego testu możemy wykorzystywać różne techniki i tam gdzie to możliwe starajmy się stosować wyłączenia kontrolowane, symulacje i rzeczywiste testy, a nie tylko grę sztabową.