Professional Documents
Culture Documents
POSLOVNI ODJEL
DAVID KRNJAK
SEMINARSKI RAD
Rijeka, 2009.
VELEUČILIŠTE U RIJECI
POSLOVNI ODJEL
SEMINARSKI RAD
1 UVOD.................................................................................................................................................... 3
4 ZAKLJUČAK.......................................................................................................................................... 14
LITERATURA................................................................................................................................................ 15
2
1 Uvod
U današnje vrijeme svjedoci smo revolucionarnih tehnoloških postignuća. S tehnološko-znanstvenog
pogleda tehnologija koju danas koristimo sutra je već zastarjela. Sva ta postignuća promijenila su
spoznaju vrijednosti informacija kao primarni resurs daljnjeg razvoja, što organizacije, što društva pa
možemo reći čitavog svijeta. Komunikacijske tehnologije potpuno su izbrisale geografske granice.
Ljudi, usluge i informacije dostupne su pokretu, kod kuće, na poslu, u bilo kome trenu. Podjela koju
smo nekada poznavali kao bogati i siromašni danas je poprimila oblik na one koji posjeduju te na one
koji ne posjeduju informacije. U novije vrijeme pismenost zamjenjuje informatička pismenost,
kompanije se otvaraju u virtualnim okruženjima, a ulaganja u cjelokupnu informatičko-tehnološku
domenu nikad nisu bila veća. Sama činjenica da smo u relativno kratkome roku napredovali od
računala prve generacije do današnjih minijaturnih računala koja ulaze u petu generaciju
inteligentnih sistema, govori o naglom i kontinuiranome razvoju. U bliskoj budućnosti automatizacija
svakodnevnih ljudskih poslova koja je već odavno započela biti će završena. Industrijska
automatizacija odavno je na visokom nivou. Sve ovo pokazuje koliko nam je u ovome trenu, a koliko
će nam u budućnosti tehnologija biti važna za normalno odvijanje privatnog i poslovnog života.
U konkurentnom okruženju kao što je danas, zahtjevi svih strana za kvalitetnijih proizvodima i
uslugama konstantno raste. Paralelno s time potrebe za informacijama i pristupom tim
informacijama također rastu. Pristup cjelovitim, raspoložljivim, povjerljivim informacijama postaje od
presudne važnosti u poslovnome svijetu. S povećanjem ovisnosti o informacijskih tehnologijama
rastu rizici, prijetnje te ranjivosti kojima su izloženi izvori informacija.
3
2 Upravljanje kontinuitetom poslovanja
Od najranijih dana naše povijesti vladari i vojskovođe shvaćali su važnost postojanja određenog
mehanizma zaštite dokumenata. Postoje tragovi prvih kamenih pečata već oko 2000 godina p.n.e. 1,
dok se prvi vladar koji je počeo koristiti određenu vrstu kriptografije spominje Julije Cezar. On je 50
godina p.n.e.2 oformio način kriptiranja ne bi li spriječio širenje informacija neželjenim smjerovima.
Upravljanje kontinuitetom poslovanja predstavlja postupak predviđanja incidenata koji mogu utjecati
na kritične poslovne funkcije i procese te pripremanja odgovora na incidente kroz planirani i detaljno
istraženi način.
Možemo reći da je BCM3 proces predviđanja i pripremanja na moguće incidente, u svrhu što boljeg
odgovora na njih ako se oni i ostvare. Ako je plan, koji je nastao kao rezultat analize rizika dobro
pripremljen, testiran, prezentiran osoblju, te ako je ključno osoblje dobro obučeno za provedbu tog
plana, u slučaju katastrofe, organizacija će nastaviti raditi sa što manjim prekidom i sa što manjom
razlikom od standardnog poslovanja. Ovdje se mora naglasiti da BCM ne predstavlja samo postupak
izrade plana, već je on kontinuirani proces koji osigurava da su same mjere predstavljene i
implementirane.
1
http://www.thebakken.org/artifacts/cylinder-seal.htm (15.04.2009)
2
http://www.secretcodebreaker.com/history2.html (15.04.2009)
3
Business Continuity Management
4
Bilo kako bilo, i dalje se uglavnom sve svodilo na IT. Planovi oporavka od katastrofe dokumentirali su
akcije potrebne da bi se sačuvali i povratili računalni sustavi, podatci i sam informacijski sustav u
globalu. Ono što se tada nije ticalo ovakvih planova je recimo kamo smjestiti ljude koji će nastaviti
raditi sa tim sustavom. Tek tokom 1990. Te još više 2000. DRP se polako prebacio u BCP 4 te se tako i
udaljio od striktno IT voda. Danas BCP se pak promijenio u BCM te tako stavlja naglasak na
upravljanje, za razliku od planiranja, a ujedno i označava kontinuirani pristup ovome problemu.
Nakon svima poznatoga 11. Rujna, rušenja WTC tornjeva u New Yorku, BCM poprima novu razinu
ukupnog utjecaja na planiranje poslovnog procesa u mnogim kompanijama diljem svijeta. Taj je
primjer pokazao kao se u času firme prestaju boriti sa dnevnim poslovima i počinju boriti za čisto
preživljavanje. BCM se ubrzo počeo adresirati u samim zahtjevima poslovanja pri početku projekta za
razliku od ranije kada se njemu pristupalo tek nakon završetka, što je naravno uvelike povećavalo
troškove.
Posao koji je tada napravljen ne bi li se osiguralo točno sistemsko adresiranje datuma dovelo je do
osjetno bolje kontrole sistema u globalu, dokumentiranost sistema se poboljšala dok su neke firme
po prvi put organizirale inventure podataka i podsistema. Većina organizacija do tada nije nikada
shvaćala koliko su zapravo njihovi procesi i oprema ovisne o računalnome čipu. Uz samu brigu o
vlastitim organizacijama, Y2K je pokazao važnost kriznog komuniciranja kod BCM –a. Nesigurnost
sisteme zbog već spomenutog buga bio je globalan, pa je problem postojao i u organizacijama o
kojima su ovisile druge. Tako je zabrinutost zbog mogućih gubitka struje, plina, vode, transportnih i
komunikacijskih usluga nagnala je organizacije na masivnu korespondenciju te razmjenu informacija
između njih isključivo vezanih uz taj zajednički problem.
Nerijetko, nakon što je Y2K prošao, ljudima koji su radili na njegovom rješavanju ponuđeno je da
nastave raditi na potpunome korporativnome planu kontinuiteta poslovanja.
4
Business Continuity Planning
5
Year 2000 problem
5
2.3 Povezanost sa analizom rizika
BCM je vrlo usko vezan uz analizu rizika. U mnogim organizacijama BCM se smatra dijelom ukopnog
upravljanja rizikom. Ovo je osobito slučaj u financijskim institucijama gdje je analiza rizika odavno
poznata, postavljena i organizirana te odgovara i izvještava sam vrh rukovodstva.
Identifikacija rizika
Kontrola rizika
6
3 Kvaliteta informacijskih sustava i sigurnost
Polje BCM tek se prije kratko vrijeme počelo detaljno razrađivati unutar određenih preporuka,
smjernica ili standarda. Do tada se uglavnom spominjao kao manji dio nekih provjera, u pravilu ne
toliko detaljno opisan. Jedan od prvih važniji naglasaka na BCM dan je u standardima za informacijsku
sigurnost pošto se oni direktno tiču dostupnosti informacija i podataka. Sa dolaskom danas vrlo
poznatih BS 7799 te kasnije BS/ISO 17799 i ISO 27001 BCM je postao i nužan za dobivanje tih
prestižnih i na tržištu traženih certifikata.
7
2. Akvizicija i implementacija (AI)– Definira zahtjeva za informacijskim tehnologijama, nabavu,
primjenu te samo održavanje.
8
3.1.2 IT infrastructure library (ITIL)
Predstavlja jedan od najraširenijih pristupa upravljanju IT uslugama. To je zapravo set tehnika za
rukovođenje IT infrastrukturom dobivenih i prihvaćenih u poslovnom i javnom sektoru. On uključuje
incidenti, promjene, kapacitet, određivanje i upravljanje razinama usluge - SLA, upravljanje
sigurnošću, korisnička podrška, itd.
ITIL v3 najnovije je izdanje izdano 2007. Za razliku od v2 izdanu 2000 sastoji se od 5 kategorija:
Service Strategy
Service Design
Service Transition
Service Operation
Continual Service Improvement
Informacijska sigurnost jedan je do procesa koje definira ITIL v3, za razliku od v2 u kojem je ISM 7 bio
manje važan proces ovaj je ipak osjetno unaprijeđen. Ono što mu se često zamjera je to što su ITIL
kontrole u najvećem broju orijentirane ka fizičkoj sigurnosti podataka ne toliko logičkoj i aplikacijskoj.
6
Izvor: www.algebra.hr
7
Information Security Management
9
Kao prednosti ITIL –a često se navode vrlo zrele, dobro definirane detaljne upute koje se tiču same
primjene IT –a te kvalitete isporučene usluge. ITIL je sam po sebi kompatibilan sa drugim standardima
te se može koristiti u sprezi sa njima.
Objavljen je u listopadu 2005. godine kao zamjena za dotad dominantni standard informacijske
sigurnosti BS7799-2. Ciljevi ovog standarda su ponuditi model za uspostavljanje, implementaciju,
operacionalizaciju, nadzor (monitoring), reviziju, održavanje i unapređenje sustava upravljanja
informacijskom sigurnošću. Kao i većina današnjih standarda kvalitete strateškog upravljanja
informacijskim tehnologijama, opseg ovoga standarda prilično je širok pa tako obuhvaća veći broj
detaljno razrađenih skupova kontrolnih ciljeva i smjernica za upravljanje informacijskom sigurnošću.
Standard ISO 27001 može se shvatiti i kao iscrpan popis tehnika kojima se u praksi nastoji uspostaviti
željena razina informacijske sigurnosti u poduzećima i ostalim organizacijama te upravljanja
poslovnim rizicima i sukladnosti s pozitivnom nacionalnom i međunarodnom pravnom regulativom.
Također, kao i većina standarda, ISO 27001 ne propisuje konkretne korake i procedure niti precizno
definira tehniku implementiranja. Ono što nam on nudi su unaprijed definirane kontrole koje trebaju
biti zadovoljene, no ne i način kako ih zadovoljiti.
Vidi se da je cijelo jedno poglavlje dodijeljeno upravo BCM –u, no unatoč tome samo se četiri
kontrole nalaze unutar tog poglavlja.
10
3.1.4 Disaster recovery institut (DRII)
Donedavno, najpopularnija metodologija za upravljanje kontinuitetom poslovanja bila je upravo DRII
metodologija. Ovaj je institut propisao deset smjernica koje je potrebno zadovoljiti, te tak osigurati
naše poslovanje od mogućih neželjenih posljedica.
Institut je predvidio da se prva četiri koraka izvode sekvencijalno, dok se izradi planova može
simultano pristupiti. Nakon planova nastupa obuka, osvješćivanje, testiranje, vježbanje i ostali koraci.
Ovaj projekt kontinuiranoga poslovanja treba promatrati kao kontinuirani proces, koji nikada nije
završen. Sami planovi se moraju dorađivati zavisno o promjenama u organizaciji, obuka se mora
kontinuirano provoditi, kadrovi uključeni u planove se mijenjaju, novi rizici na poslovanje se mogu
pojaviti itd.
Procjena rizika
Inicijalizacija i
upravljanje projektom Analiza utjecaja na
poslovanje
11
3.1.5 British Standards Institution (BSI)
BSI grupa osnovana je 1901 8 u Londonu kao povjerenstvo za tehničke standarde, 17 godina kasnije
proširuje se u standardizacijsko društvo te joj se nakon dodjele povelje mijenja i ime u današnje. BSI
danas predstavlja ključni posao BSI grupe djeluje kao nacionalno standardizacijsko tijelo. Ono dakle
objavljuje i priprema britanske standarde te predstavlja Veliku Britaniju u internacionalnim i
europskim standardizacijskim tijelima.
BSI 2003. godine izdaje PAS 569 koji postavlja terminologiju, principe i sam proces kontinuiteta
poslovanja. Točnije PAS 56 je opisao procese koji sudjeluju te sam ishod postavljanja procesa
upravljanja kontinuiranim poslovanjem. Također preporučio je nekoliko praksa vezanih uz sam
proces. Ovaj je standard opisao opći okvir za upravljanje rizicima te na odgovaranje na njih. Također
je opisao kriterije i tehnike za provođenje evaluacije. Nastao je u suradnji sa mnogim veliki
organizacijama / firmi, pa su tako poštanska služba, EDS 10, Sainsbury's bili temelj za stvaranje ovoga
standarda.
U studenome 2006. Godine BSI izdanje službeni standard kao nasljednik PAS 56, BS 25999-1 – „Sustav
za upravljanje kontinuitetom poslovanja“. Ovaj je standard nastao također u suradnji velikih
organizacija / firmi, a tokom izrade dodatne firme su bile pozvane za konzultante.
Godinu dana kasnije, u studenome 2007. izdaje se drugi dio standarda, BS 25999-2, koji je isto tako
nastao u suradnji grupacije koja sačinjava BCM povjerenstvo unutar samoga BSI -a.
BS 25999 danas dakle sačinjavaju dvije publikacije, BS 25999-1 i BS 25999-2. Prvi predstavlja kodeks
prakse dok drugi specificira BCM, definira zahtjeve za implementaciju, provođenje te poboljšanje
dokumentiranoga BCMS 11–a. Možemo zaključiti da je prvi dio bio smjernica koja je preporučala
određene koraka, dok je drugi dio internacionalna specifikacija koja nalaže određene korake.
8
Robert C McWilliam, „BSI: The first hundred years“
9
Publicly Available Specifications
10
Electronic Data Systems
11
Business Continuity Management System
12
Standard se temelji na Plan-Do-Check-Act (PDCA) odnosno Planiraj-Učini-Provjeri-Primijeni (PUPP)
modelu te s time osigurava konzistenciju sa ostalim standardima vezanih uz sisteme upravljanja kao
npr. BS EN ISO 9001:2000 (Upravljanje kvalitetom), BS EN ISO 14001:1996 (Upravljanje okolinom),
BSI/IEC 27001:2005:2005 (Upravljanje informacijskom sigurnošću), BS ISO/IEC 20000-2:2005
(Upravljanje IT uslugama).
PLAN
ACT
DO
CHECK
1. Domena standarda
2. Termini i definicije
3. Planiranje BCM sistema (PLAN)
4. Implementacija i korištenje (DO)
5. Praćenje i revizija (CHECK)
6. Održavanje i poboljšanje (ACT)
13
4 Zaključak
Svima postaje jasno da se informacijskome sustav budućnosti ne može potpuno vjerovati ako ga
jedan interni ili eksterni rizik može u potpunosti onesposobiti. Nedopustivo je da organizacija dođe
do ruba bankrota zato što je samo jedan njen krucijalan bio izložen velikoj katastrofi. U prošlosti,
nekoliko se puta već cijeli svijet upoznao sa ovakvim scenarijem. Uzmemo li Y2K kao početak
masovnog uvođenja i uspostavljanja BCM, a 11. Rujan kao veliki podsjetnik na važnost ovakvih
planova, vidimo da se će u novije doba sve više voditi računa o kontinuitetu i kontigenciji. Prije dvije
godine pojavljuje se prvi službeni standard koji definira i specificira potrebne radnje ne bi li se
organizacija što je moguće bolje osigurala i pripremila na neplanirane incidente. Kroz narednih par
godina za pretpostaviti je da će ISO i sam prihvatiti ovaj ili neki sličan standard, a organizacije će se
moći i certificirati po njima. Kao što je već napomenuto, iako se organizacija interno pripremi i
osigura najboljim mogućim mjerama, njen partner može sa svojim padom povući i sve ostale direktno
ovisne o njemu. Tu treba tražiti pravi smisao standarda i potrebe za certifikatom za uspješno
uvedenim BCM procesom.
14
Literatura
1. Michael Gallagher, „Business Continuity Management: How to protect your company from
danger“, Financial Times Management, 2003
2. Mark Stamp, „Information security principles and practice“, Wiley-Interscience, 2006.
3. Thomas Norman, „Integrated security systems design: Concepts, Specifications and
Implementation“, Elsevier, 2007.
4. Saša Aksentijević, završni rad "Integralna zaštitna funkcija unutar poduzeća i sustav
upravljanja informacijskom sigurnošću – Saipem Mediteran Usluge d.o.o“ , Sveučilište u
Rijeci, 2008
Ostali izvori:
15