Planul de continuitate a afacerii in cazul producerii unei brese de securitate

Atunci cand analizam amenintarile la care este expusa o companie, trebuie sa calculam riscul de producere pentru fiecare in parte. Riscul este compus din doua elemente - probabilitate si impact.

Efecte negative ca pierderile de venituri, pierderea unor oportunitati de afaceri, incalcarea prevederilor legale sau a unor reguli de deontologie profesionala, insatisfactia clientilor, imaginea neagativa a marcii produsului sau scaderea cotei de piata pot fi studiate impreuna cu reprezentantii companiei pentru a evalua costurile materializarii unor amenintari. Pe baza rezultatelor obtinute, compania poate decide acceptarea, transferarea, remedierea sau evitarea riscului. Problema este ca evaluarea probabilitatii de producere a incidentelor duce de cele mai multe ori la rezultate eronate.

Care este probabilitatea ca serverul dumneavoastra de fisiere, pe care pastrati sute de documente, sa se defecteze si sa pierdeti tot continutul uneia dintre unitatile HDD ? "Foarte mica." veti raspunde, dat fiind ca a fost achizitionat de curand de la o firma cu care derulati afaceri de 10 ani, condusa de un patron in care aveti incredere deplina si ca oricum, asa ceva "nu s-a mai intamplat niciodata". Dar daca ati afla ca unitatile HDD sunt produse de firma X si ca dintr-un lot de 50 de calculatoare livrate catre institutia Y, 40 au trecut deja prin service tocmai din cauza unitatilor HDD care s-au defectat, identice cu cele instalate pe serverul dvs.? De cate ori, in timpul investigarii unei fraude comise de un angajat al companiei nu ati auzit declaratii de genul "Nu as fi crezut ca X ar putea face asa ceva. Parea atat de cumsecade." ?

Eroarea consta in faptul ca evaluarea probabilitatii se bazeaza pe aprecieri subiective si pe analiza datelor disponibile pana la un anumit moment. Daca nu suntem la curent cu toate aspectele relevante pentru situatia respectiva, evaluarea riscului produce rezultate eronate. In plus, majoritatea oamenilor sunt optimisti si din acest motiv nu cred in producerea unor evenimente nedorite. Aceast mod de a vedea lucrurile se propaga la nivelul intregii companii, managementul superior dovedind rezerve inepuizabile de optimism in ce priveste depasirea dificultatilor, dezvoltarea companiei si eliminarea concurentilor.

Raspundeti obiectiv la urmatoarea intrebare: "Care sunt motivele pentru care nici o amenintare serioasa de securitate nu s-a materializat inca: a) Management si control riguros, b) Noroc, c) Nu am fost vizati de nici un atac pana in acest moment."

Prin urmare trebuie sa presupunem ca o amenintare se poate materializa indiferent cat de scazuta consideram ca este probabilitatea de producere a acesteia. Daca impactul negativ al producerii unui incident asupra companiei este inacceptabil, va trebui elaborat un plan tocmai pentru gestionarea unei astfel de situatii.

Planurile de continuitate a afacerii nu trebuie sa acopere doar producerea unor evenimente ca "incendiu", "inundatie","patrundere prin efractie". Intr-o lume in care informatia inseamna putere iar tehnologia si sistemele automatizate constituie elemente critice de business, va trebui sa tratam cu seriozitate si masurile de prevenire a amenintarilor de securitate IT. Indiferent de complexitatea masurilor de securitate folosite pentru a contracara amenintarile, va trebui sa avem si un plan de rezerva pentru situatii de criza.

Altfel spus, avem nevoie de masuri de protectie IT pentru a preveni bresele de securitate dar si de un plan de continuitate a afacerii, inclusiv recuperarea tehnologiei si a sistemelor, care sa ne asigure o strategie pentru restabilirea "activitatii normale". Rolul decisiv va apartine departamentului tehnic.

Daca organizatia dispune de un plan de continuitate a afacerii, inclusiv de o echipa de interventie pregatita, este acest plan suficient de flexibil pentru a face fata materializarii unei amenintari ? O metoda de testare a eficientei acestuia este simularea producerii unui incident. Convocati echipa de interventie intr-o sala de sedinte si propuneti un scenariu de genul "Ati fost informati cu 10 minute in urma ca principalul nostru concurent a obtinut planul nostru de afaceri pentru anul urmator" sau "Un nou virus a trecut de masurile de protectie de pe serverul proxy si se raspandeste in reteaua locala" sau "Angajatul X a marturisit ca a delapidat fonduri de peste 70.000.000 ROL in curs de 3 ani".

Fiecare astfel de scenariu necesita nu numai o reactie rapida pentru pornirea investigatiilor si gestionarea crizei, dar si eventuala publicare a unor comunicate de presa si operatiuni de limitare a pagubelor, aspecte care solicita participarea managementului superior, adoptarea unor decizii majore si contributia unor specialisti in resurse umane, relatii cu publicul sau domeniul juridic. Un plan de continuitate a afacerilor ar trebui sa includa si participantii, managerii si expertii necesari pentru fiecare situatie in parte.

Un astfel de exercitiu ar trebui sa ne ajute sa verificam daca planul de continuitate a afacerii este pregatit sa faca fata materializarii unei amenintari de securitate. Planul ar trebui sa verifice daca exista o strategie de iesire din situatii de criza si daca sceasta este utila in cazul producerii unor brese majore de securitate. Daca nu, actualizarea acestui plan ar trebui sa constituie principala prioritate a unei companii.

Care este probabilitatea de producere a unei brese de securitate in urmatoarele 10 minute ?