Kontinuitet poslovanja (Business Continuity) i oporavak od katastrofe (Disaster Recovery) ključni su elementi u osiguravanju neprekinutog rada organizacije unatoč nepredviđenim događajima.
Prijetnja je svaka okolnost ili događaj s potencijalom da negativno utječe na informacijski sustav iskorištavanjem njegovih ranjivosti. To mogu biti prirodne nepogode, ljudske pogreške, zlonamjerni napadi ili tehnički kvarovi. Prijetnje mogu biti namjerne, poput hakerskih napada, ili nenamjerne, poput slučajnog brisanja podataka.
Ranjivost označava slabost ili propust u informacijskom sustavu koji može biti iskorišten od strane prijetnje. Ranjivosti mogu proizaći iz nedostataka u dizajnu, implementaciji, konfiguraciji ili održavanju sustava. Primjeri uključuju neispravne sigurnosne postavke, zastarjeli softver ili nedovoljno educirano osoblje.
Kontinuitet poslovanja odnosi se na sveobuhvatan pristup planiranju i pripremi organizacije za održavanje ključnih poslovnih funkcija tijekom i nakon incidenta. To uključuje identifikaciju kritičnih procesa, procjenu rizika, razvoj strategija za smanjenje utjecaja te uspostavu planova za održavanje operacija na prihvatljivoj razini tijekom poremećaja. Cilj je osigurati da organizacija može nastaviti pružati proizvode ili usluge čak i u kriznim situacijama.
Osnovna ideja kontinuiteta poslovanja zapravo je zaštititi informacije u slučaju neke veće i neočekivane nezgode (dakle, osigurati dostupnost informacija).
Neadekvatno planiranje kontinuiteta poslovanja može dovesti do ozbiljnih posljedica za organizaciju, uključujući:
• Financijski gubici: Prekidi u poslovanju bez odgovarajućih planova mogu rezultirati značajnim financijskim gubicima zbog smanjenja prihoda i dodatnih troškova oporavka.
• Gubitak povjerenja klijenata: Nemogućnost pružanja usluga ili proizvoda tijekom krize može narušiti reputaciju organizacije i dovesti do gubitka klijenata.
• Pravni i regulatorni problemi: Neispunjavanje zakonskih obveza tijekom prekida može rezultirati sankcijama ili pravnim postupcima.
• Operativni poremećaji: Nedostatak planova može produžiti vrijeme oporavka, uzrokujući dugotrajne prekide u poslovnim procesima.
• Gubitak konkurentske prednosti: Organizacije koje nisu pripremljene za krizne situacije mogu zaostati za konkurencijom koja ima učinkovite planove kontinuiteta poslovanja.
Stoga je ključno razviti i implementirati sveobuhvatan plan kontinuiteta poslovanja kako bi se smanjili rizici i osigurala otpornost organizacije na nepredviđene događaje. Planovi određuju na koji način je potrebno postupiti u izvanrednim situacijama (priprema rezervne lokacije, određivanje vremena oporavka, priprema komunikacije u slučaju krize i sl.)
Primjer strukture takvog plana:
1. Uvod
• Svrha: Definirati cilj i opseg PKP-a.
• Opseg: Odrediti koje poslovne jedinice i funkcije plan obuhvaća.
2. Analiza utjecaja na poslovanje (Business Impact Analysis – BIA)
• Identifikacija kritičnih procesa: Nabrojati ključne poslovne funkcije.
• Procjena utjecaja: Odrediti kako prekid utječe na svaki proces.
• Prioriteti oporavka: Postaviti redoslijed oporavka procesa.
3. Procjena rizika
• Identifikacija prijetnji: Popisati moguće prijetnje (npr. prirodne katastrofe, tehnički kvarovi).
• Procjena vjerojatnosti i utjecaja: Odrediti koliko je vjerojatno da će se prijetnja dogoditi i koliki bi bio njezin utjecaj.
4. Strategije oporavka
• Prevencija: Mjere za smanjenje rizika od prekida.
• Oporavak: Planovi za vraćanje poslovanja u normalu nakon prekida.
5. Planovi odgovora na incidente
• Postupci: Detaljni koraci za odgovor na specifične incidente.
• Odgovornosti: Dodijeliti odgovornosti članovima tima.
6. Komunikacijski plan
• Interna komunikacija: Kako obavijestiti zaposlenike.
• Eksterna komunikacija: Kako komunicirati s klijentima, dobavljačima i medijima.
7. Resursi
• Ljudski resursi: Ključni zaposlenici i njihove zamjene.
• Tehnički resursi: Oprema i sustavi potrebni za oporavak.
8. Testiranje i održavanje
• Testiranje plana: Redovito provoditi simulacije kako bi se osigurala učinkovitost PKP-a.
• Ažuriranje plana: Redovito revidirati i ažurirati plan prema promjenama u poslovanju.
9. Prilozi
• Kontakti za hitne slučajeve: Popis ključnih kontakata.
• Dijagrami toka procesa: Vizualni prikazi kritičnih procesa.
Izvor: https://www.cert.hr/wp-content/uploads/2019/04/NCERT-PUBDOC-2010-15-307.pdf?utm_source=chatgpt.com
Oporavak od katastrofe, s druge strane, specifično se fokusira na obnovu IT sustava i infrastrukture nakon ozbiljnog incidenta. To podrazumijeva uspostavu procedura za sigurnosno kopiranje podataka, planiranje redundancije sustava te definiranje koraka za brzo vraćanje IT operacija u normalno stanje nakon prekida. Oporavak od katastrofe dio je šireg plana kontinuiteta poslovanja, usmjeren na tehničke aspekte oporavka.
Iako su oba koncepta usko povezana, kontinuitet poslovanja obuhvaća širi spektar aktivnosti usmjerenih na održavanje cjelokupnog poslovanja, dok se oporavak od katastrofe fokusira na specifične IT komponente i njihovu obnovu nakon incidenta. Integracija oba pristupa ključna je za sveobuhvatnu otpornost organizacije na različite vrste prijetnji.
Kao što se vidi iz definicija, kod disaster recoverya naglasak je na tehnologiji, dok je kod kontinuiteta poslovanja naglasak na poslovnim aktivnostima. Zato je disaster recovery dio kontinuiteta poslovanja – može ga se smatrati jednim od glavnih čimbenika koji omogućuju odvijanje poslovnih aktivnosti ili tehnološkim dijelom kontinuiteta poslovanja.
Plan oporavka
- Plan oporavka se obično piše zasebno za svaku kritičnu aktivnost i mora obuhvaćati sljedeće korake:
- Vrijeme i način na koji se komunicira s raznim zainteresiranim stranama (zaposlenicima i
- njihovim obiteljima, dioničarima, klijentima, partnerima, državnim službama, javnim medijima i
- dr.),
- Princip sastavljanja tima,
- Provođenje oporavka infrastrukture,
- Provjera funkcionalnosti aplikacija i kontrole pristupa,
- Provjerava podataka koji nedostaju i utvrđivanje svega što je oštećeno u havariji,
- Oporavak podataka i uspostava normalnih aktivnosti.