Худшие практики (окончание)

4. Выбор стратегий УНБ
Стратегии управления непрерывностью деятельности, которые должны использоваться для поддержания производственных шагов и процессов организации во время прерывания, уже были описаны при разработке ПНБ. Эти стратегии, а также связанные с ними тактики восстановления отдельных производственных шагов и процессов, должны быть зафиксированы на бумаге и предоставлены высшему руководству.
Выбранные стратегии не обязательно должны быть реализованы, также как и тактики, описанные в ПНБ, не обязаны быть реализуемыми. Они лишь выражают желания организации в области устойчивости и непрерывности, и, следовательно, должны рассматриваться лишь как цели.

5. Тестирование, поддержка и пересмотр
Если ПНБ разработан, можно считать доказанной способность организации управлять непрерывностью своей деятельности.
Однако для выполнения требований аудиторов, регуляторов и других заинтересованных лиц должны быть предоставлены свидетельства того, что план тестировался, поддерживался в актуальном состоянии и проходил аудит.

5.1. Тестирование:
Свидетельством того, что способность организации управлять непрерывностью своей деятельности тестировалась, является разработка плана программы тестирования. Чтобы быть успешным, этот план не обязательно реализовывать. Самого его существования и демонстрации намерения провести тестирование, как только наступит подходящая дата, часто бывает достаточно. Запланированные тестирования следует начинать с простой проверки ПНБ, сидя за столом, которую проводит менеджер непрерывности бизнеса, и быстро переходить к сложным тестам, проведение которых слишком дорогостояще, чтобы быть когда-либо выполненным.

5.2. Поддержка:
Программа поддержания УНБ в актуальном состоянии должна показывать, что организация сохраняет готовность справляться с инцидентами, несмотря на постоянные изменения, которые происходят во всех организациях.
Самым эффективным способом продемонстрировать это является планирование расписания обновления ПНБ в актуальном состоянии и повторная публикация плана с новой датой и номером версии в те дни, которые указаны в этом расписании, даже если в действительности в плане ничего не изменилось.

5.3. Пересмотр:
Предпочтительным методом пересмотра процесса УНБ в организации является самооценка. Поэтому, чтобы продемонстрировать свою беспристрастность, проводить пересмотр следует тому сотруднику, которого изначально назначили менеджером непрерывности бизнеса.
Однако, поскольку стандарты непрерывности деятельности постоянно развиваются, менеджер непрерывности бизнеса должен быть готов продемонстрировать во время проведения пересмотра любые свидетельства соответствия стандартам, какие только потребуются.

6. Встраивание УНБ в культуру организации
Тот факт, что ПНБ уже разработан, служит доказательством наличия зрелой культуры непрерывности деятельности. Любая попытка внушить энтузиазм по отношению к непрерывности деятельности является нереалистичной, но для менеджера непрерывности деятельности важно быть уверенным в том, что руководство организации знает об УНБ и той важной работе в этой области, которая выполняется.

6.1. Оценка осведомленности об УНБ и тренировок:
Перед тем, как приступать к планированию и разработке элементов кампании вовлечения высшего руководства, важно предположить, что руководители очень мало или совсем ничего не знают об УНБ.

6.2. Разработка УНБ в рамках корпоративной культуры:
Разработка программы обучения, тренировок и вовлечения для высшего руководства является очень сложной задачей, т.к. отводимого на ее проведение времени обычно очень мало. Во многих организациях оно не превышает десяти минут. Поэтому критически важно донести главную мысль - в организации есть менеджер непрерывности деятельности, который разработал и внедрил ПНБ.

6.3. Отслеживание культурных изменений:
Кампанию по вовлечению высшего руководства следует воспринимать как одноразовую задачу. Ее успех будет измеряться количеством времени, которое высшее руководство посвятит тому, чтобы выслушать и задать вопросы менеджеру непрерывности деятельности.

Хотя автор надеется, что эта статья позабавит читателей, он добавляет, что подобное отношение к управлению непрерывностью бизнеса достаточно часто встречается на практике (и это в Великобритании - родоначальнице данного направления менеджмента, что же говорить о России, добавлю я от себя), и надо приложить все возможные усилия, чтобы избавиться от подобных плохих практик.

Худшие практики

Недавно попалась на глаза статья в журнале Continuity, и я не смог отказать себе в удовольствии ее перевести, поскольку по содержанию ее легко можно было бы приписать перу Григория Остера. Должен заметить, что все описанное, к сожалению, встречается в нашей реальной жизни.

Управление непрерывностью бизнеса
Управление непрерывностью бизнеса (УНБ) - это управленческий процесс, используемый для того, чтобы убедить аудиторов, регуляторов и другие заинтересованные стороны в том, что организация способна эффективно реагировать на возможные воздействия, угрожающие ее репутации, бренду и деятельности, создающей прибавочную стоимость, даже если это не так.

1. Политика УНБ и управление программой УНБ
Эффективная программа УНБ не требует участи высших руководителей организации и требует минимального участия управленческих, операционных, административных и технических специалистов.
Ответственность за УНБ возлагается на какого-нибудь сотрудника организации, который не обладает властными полномочиями, находится на нижних уровнях иерархии в организации и кому руководитель организации чувствует необходимость дать поручение чем-нибудь заняться. Этот сотрудник будет называться менеджером непрерывности бизнеса, но у него не будет подчиненных и ему не будут предоставляться дополнительные ресурсы для выполнения своей работы.
Управление организацией при реагировании на инцидент будет осуществляться руководителем организации, никак не интересующимся программой УНБ и не имеющим никакого представления об управлении инцидентами и планах непрерывности бизнеса.

2. Разработка и реализация реагирования в рамках УНБ
Целью процесса УНБ является создание плана непрерывности бизнеса (ПНБ), и именно с этого следует начать процесс УНБ. План предназначен для того, чтобы убедить заинтересованных лиц и аудиторов, что критические функции организации будут продолжать осуществляться во время прерывания, что бы его ни вызвало, а остальные функции будут восстановлены контролируемым образом.
Менеджеру непрерывности бизнеса следует при первой же возможности приступить к разработке плана непрерывности бизнеса и не волноваться по поводу привлечения к этой работе других сотрудников, поскольку у них, наверное, есть более важные дела.

2.1. План управления инцидентами
План управления инцидентами может быть разработан, но поскольку он влечет дополнительные расходы, то не является обязательным. Руководитель организации обеспечит эффективное и своевременное управление в случае наступления серьезного инцидента и защитит бренд организации от финансового и репутационного ущерба без всякого плана управления инцидентами.

2.2. План непрерывности бизнеса (ПНБ)
ПНБ служит основой, на которой строится весь процесс УНБ. В нем описываются теоретические действия всей организации в ответ на инцидент, вызывающий прерывание деятельности, а вовсе не те меры, которые реализованы в действительности. Те, кому предстоит использовать этот план, должны быть способны взять его и применить, ни разу до этого не подержав в руках, и интуитивно понимать, как его использовать, чтобы выбрать и применить подходящие стратегии управления восстановлением деятельности бизнес-подразделений в соответствии с приоритетами, существующими у этих подразделений в данный момент.
Элементы и содержание плана непрерывности бизнеса могут меняться от организации к организации, но если для разработки ПНБ будет использован шаблон, полученный из другой организации, вероятно, он будет отражать культуру этой другой организации и сложность ее технических решений.

2.3. Планы возобновления деятельности подразделений
Планы возобновления деятельности содержат описание действий по реагированию на инцидент конкретных департаментов или бизнес-подразделений. Обычно они разрабатываются самими департаментами и не имеют никакой или очень слабую связь с планом непрерывности бизнеса с точки зрения целей, приоритетов и процессов восстановления. Типичным примером плана возобновления бизнеса служит план аварийного восстановления информационных и телекоммуникационных систем, который должен быть разработан ИТ-департаментом самостоятельно, чтобы не тратить время пользователей на выяснение их требований к ИТ-системам.

3. Понимание организации
Когда заканчивается разработка плана непрерывности бизнеса, можно приступать к созданию других элементов программы УНБ, которые захотят увидеть аудиторы. Предварительным условием для этого является изучение жаргона, используемого профессионалами в области непрерывности бизнеса, для его применения по отношению к вашей организации, даже если больше никого эта терминология не интересует.

3.1. Анализ воздействия на бизнес (АВБ)
Теоретически в ходе анализа влияния на бизнес (BIA) выявляется, измеряется и оценивается влияние потери, прерывания или нарушения течения бизнес-процессов, чтобы руководство могло определить, через какой промежуток времени это влияние становится неприемлемым. На практике достичь этого невозможно.
Осуществление анализа влияния на бизнес путем проведения интервью, семинаров и заполнения опросных листов дорого и отнимает много времени, поэтому не стоит даже пытаться, если только менеджеру непрерывности бизнеса нечего больше делать. Вместо этого, цель анализа влияния на бизнес, состоящая в определении "максимально допустимого времени прерывания" каждого из бизнес-процессов, может быть достигнута с помощью информации из плана непрерывности бизнеса, который уже разработан. Максимально допустимое время прерывания каждого бизнес-процесса совпадает с целевым временем восстановления, указанным в плане непрерывности бизнеса, и эту информацию следует извлечь из ПНБ в отдельный документ, который можно направить руководителю в качестве доказательства проведения АВБ.

3.2. Анализ требований непрерывности (АТН)
В рамках проведения анализа требований непрерывности собирается информация о ресурсах, требуемых для возобновления и продолжения работы. Снова, эти данные могут быть взяты из ПНБ, который уже разработан, поэтому нет необходимости совершать дополнительные действия.

3.3. Оценка рисков
В контексте УНБ при проведении оценки рисков оценивается вероятность и размер ущерба от реализации тех угроз, способных вызвать прерывание бизнеса, о которых чаще всего упоминают в СМИ или которые более всего волнуют руководителей организации. При оценке рисков надо использовать количественные методы, подсчитывая вероятность реализации каждой угрозы и размер вызываемого ею ущерба, и затем перемножая эти две величины, чтобы создать иллюзию точной численной оценки риска.
Для каждого измеренного риска должно быть указано некоторое количество действий реагирования, уменьшающих риск. Они должны быть продемонстрированы руководству как свидетельство того, что в организации понимают угрожающие ей риски и предпринимают меры по их уменьшению. После демонстрации этого отчета руководству организации оценка рисков может быть забыта, по крайней мере, на целый год.

(Продолжение следует)