poslovanje

ira perspektiva upravljanja kontinuitetom poslovanja

U pitanju nisu samo ekonomski

interesi, nego ira drutvena
odgovornost tvrtke prema
korisnicima, vlasnicima,
zaposlenicima i drutvu
u cjelini. Prihvaanje te
odgovornosti znai spremnost
za savjesno, drutveno
odgovorno poslovanje

Zato uope upravljati

kontinuitetom poslovanja?

orast primjene e-trgovanja i uporabe

Interneta u poslovne svrhe stvorili
su potrebu za kontinuiranim pruanjem usluga korisnicima. Zahtjevi
za raspoloivou poslovnih sustava 24x365
i prosjeno vrijeme otklona greke izmeu 2
i 24 sata postali su standard, uvjetovan oekivanjima svih zainteresiranih strana:
Korisnici oekuju stalnu raspoloivost
usluge,
Investitori oekuju poveanje vrijednosti
ulaganja neovisno o okolnostima,
Vlasnici oekuju da e upravljanje tvrtkom
operativno funkcionirati u svim situacijama,
Zaposlenici oekuju da e njihova egzistencija biti osigurana,
Opskrbljivai oekuju da e njihova zarada
nastaviti pristizati,
Regulatorna tijela oekuju da e njihovi
zahtjevi biti ispotovani neovisno o okolnostima,
Odravanje kontinuiteta poslovanja je u tom
smislu kritian i izuzetno zahtjevan zadatak.
Upravljanje kontinuitetom poslovanja, kvalitetno podrano na svim razinama, utjelovljuje
strateki okvir za izbjegavanje rizika koji mogu uzrokovati:
Ispad poslovnog procesa,
Ispad korisnike usluge,
Gubitak imovine,
Zakonsku odgovornost,
tetu ugledu tvrtke.
U pitanju nisu samo ekonomski interesi, nego
ira drutvena odgovornost tvrtke prema korisnicima, vlasnicima, zaposlenicima i drutvu
u cjelini. Prihvaanje te odgovornosti znai
spremnost za savjesno, drutveno odgovorno
poslovanje. Glavni izazov nije tehnologija,
ve stvaranje svijesti o potrebi drutveno
odgovornog pristupa na svim organizacijskim
razinama i njegovo ugraivanje u temelje

korporativne kulture. Na tritu postoji itav

niz rjeenja i usluga koje ciljaju neki od elemenata odravanja kontinuiteta poslovanja
(izrada BCP-a i DRP-a, sigurnost, podatkovni
centri, virtualizacija), no RECRO-NET ovoj
problematici pristupa kroz ukupnost rjeenja
posebno prilagoenog svakom korisniku.
RECRO-NET u tom smislu upravljanje kontinuitetom poslovanja ne sagledava samo kao
poslovno-tehnoloku disciplinu, nego kao
strateku odrednicu razvoja svake tvrtke.
Kako odrati kontinuitet poslovanja?
Odravanje kontinuiteta poslovanja nekog
poslovnog subjekta obuhvaa i poslovno i
tehnoloki iri kontekst od medijski najee
ciljanog procesa Upravljanja kontinuitetom
poslovanja (Business Continuity Management
- BCM). BCM je definiran u ISO/IEC 27002
Section 10 kao kontinuirani proces u okviru
kojeg se razmatraju potencijalni rizici za
poslovanje i osigurava neprekinutost kljunih
poslovnih procesa u sluaju nastanka tetnog
dogaaja. tetnim se dogaajem smatraju sve
pojave koje naruavaju normalno poslovanje:
prirodne katastrofe, eksplozije, poari, kemijski, bioloki i nuklearni incidenti, ispadi
elektrinog napajanja, HW/SW greke, oteivanje podataka.
BCM kao takav razmatra obuhvaa i definira
aktivnosti:
predvianja moguih tetnih dogaaja i
njihovog utjecaja na poslovanje,
izrade plana postupaka i procedura u sluaju nastanka takvih dogaaja,
implementacije postupaka i mehanizama
reakcije u trenutku nastanka,
periodike provjere funkcioniranja implementiranih mehanizama.
Praktino primjenjivi rezultat BCM procesa
je Plan odravanja kontinuiteta poslovanja

(Business Continuity Plan - BCP) i kao takav

ukljuuje planiranje za non-ICT segmente
kao to su ljudski resursi, prostori i objekti,
komunikacija i zatita kredibiliteta, a oslanja
se na Plan tehnolokog oporavka (Disaster
Recovery Plan - DRP) za ICT segmente. Plan
tehnolokog oporavka definira organizaciju,
postupke, procedure i tehnoloku infrasturkturu koji e osigurati nastavak normalnog
funkcioniranja ICT infrastrukture (aplikacije,
mrea, oprema, podaci) kritine za poslovanje nakon nastupanja tetnog dogaaja. U
tom smislu BCM proces obuhvaa definiranje
reakcija na svim razinama u sluaju nastanka
tetnog dogaaja.
No prevencija, odnosno smanjivanje uope
mogunosti nastajanja tetnih dogaaja,
kljuna je aktivnost koja se mora provoditi
u svim segmentima poslovanja. Kako je
informacijsko-komunikacijska infrastruktura
podloga za implementaciju poslovnih sustava i procesa te podrku istima, kontinuitet se
poslovanja osigurava ve u sferi informacijsko-komunikacijske tehnologije i nuno ga je
promatrati kroz tri temeljna elementa:
sigurnost ICT sustava,
zalihost ICT sustava,
standardizacija.
Zajedniko je polazite BCM procesa i sigurnosti ICT sustava kvalitetno predvianje
i planiranje koje se provodi kroz sljedee
aktivnosti:
procjena moguih sigurnosnih incidenata i
vrijednosti resursa (Risk Assessment),
procjena utjecaja sigurnosnog incidenta na
poslovanje (Business Impact Analysis - BIA)
Ove aktivnosti trebaju osigurati kljune ulazne podatke za definiranje dvaju relacijski povezanih segmenata - Sigurnosne politike (ISO/
IEC 27002 Section 1) i prethodno opisanog
Plana odravanja kontinuiteta poslovanja kao

SPONZORIRANI TEKST

produkta procesa Upravljanja kontinuitetom

poslovanja.
Paradigma sigurnosti see znaajno izvan
okvira informacijsko-komunikacijske tehnologije, no ako se sigurnosni aspekt promatra
iskljuivo kroz tehnoloku perspektivu, ona
se naelno svodi na dvije razine: fiziku sigurnost (ISO/IEC 27002 Section 5) i sigurnost
komunikacija i operacija (ISO/IEC 27002
Section 6), ija je krajnja svrha ouvanje povjerljivosti, integriteta i dostupnosti podataka,
odnosno zatita informacija. Kroz zadovoljavanje sigurnosnih pretpostavki navedenih
razina ispunjava se jedan od preduvjeta
odravanja kontinuiteta poslovanja.
Sustavni pristup definiranju i odravanju
sigurnosnog okruenja podrazumijeva kontinuirani proces s vrlo preciznim ciklusom
trajanja koji obuhvaa planiranje, dizajn,
implementaciju, praenje i prilagodbu sigurnosnog sustava. Razborita procjena moguih
sigurnosnih incidenata, definiranje optimalnih
metoda, alata i aktivnosti zatite, striktna
primjena metoda i provoenje definiranih aktivnosti te standardizacija procesa mogu rizik
od sigurnosnog incidenta svesti na mjeru koju

ma te utvrivanje raskoraka (GAP Analysis),

poredbenom analizom prikupljenih podataka. Po potrebi se moe pristupiti i testiranju
sigurnosti sustava kroz penetracijske testove.
Temeljem rezultata analize, i eventualnog
testa, preciznije se odreuju slabe toke sustava i na taj nain dobivaju kvalitetniji ulazni
podaci nuni u prethodno opisanim fazama
planiranja i dizajniranja.
Kakvoa provedbe navedenih aktivnosti
planiranja i dizajniranja izravno e utjecati
na operativnost sigurnosnog sustava te posljedino njegovu uinkovitost i svrsishodnost
u cjelini. Kao i uvijek, poanta je nai pravu
mjeru na nain da sustav zatite ne otea ili
onemogui normalno funkcioniranje poslovnog sustava.
Drugi je element bitan za odravanje kontinuiteta poslovanja zalihost informacijsko-komunikacijskog sustava u smislu redundancije
objekata, veza, ureaja i samih podataka.
Podatkovni se centar najee promatra kao
sredinja toka svakog informacijsko-komunikacijskog sustava. Stoga su temeljni zahtjevi
koji se postavljaju na podatkovni centar pouzdanost i visoka raspoloivost (High Availability). Tehnologija se podatkovnih
centara znaajno razvila i
standardizirala posljednjih godina, a tehnoloki
BUSSINESS CONTINUITY
je napredak posebice
vidljiv na podruju virtualizacije ICT resursa
BCM
Security Policy
Risk
(serveri, storage, mrea).
Assessment
Prednosti i utede koBCP
BIA
je donosi virtualizacija
Security Design
takve su da je koncept
Security
Assessment
u kratko vrijeme postao
ve uvrijeeni standard
Enforcement
DRP
GAP
kod svih vanijih proAnalysis
izvoaa. Relevantna
globalna regulativa
(HIPAA, Basel II, EFA,
BS2599, ISO/IEC 27001, ISO/IEC 27002, ITILv3
GASB, COOP, COG)
zahtijeva/preporuuje
definiranje BCP-a i DRP Temeljni elementi upravljanja kontinuitetom poslovanja
a te neizravno upuuje na
potrebu izgradnje dislociraje mogue kontrolirati. Temeljne su aktivnosti nih podatkovnih centara (Disaster Recovery
u tom smislu:
Center - DRC) kao obveznu poslovnu praksu.
kreiranje koncepta sigurnosne politike Konano, standardizacija kao trei element
(Security Policy),
bitan za odravanje kontinuiteta poslovanja
definiranje sigurnosnih metoda i alata (Se- podrazumijeva realno primjenjivo pridravanje regulatornih i tehnolokih preporuka te
curity Design).
Sigurnosna politika naelno definira opi nuno proima prethodno opisane elemente
stav poslovnog subjekta prema informacij- sigurnosti i zalihosti ICT sustava. Relevantni
skoj sigurnosti, poslovno temeljene zahtjeve meunarodni standardi BS25999, ISO/IEC
informacijske sigurnosti te opseg i zadatke 27001, ISO/IEC 27002 zahtijevaju donoenje
Sustava upravljanja informacijskom sigurnosti jasne Sigurnosne i BC politike na kojima e
(Information Security Management System - se temeljiti operativno planiranje i provedba.
ISMS). Kljuno je uskladiti znaaj/vrijednost ISO/IEC 27002 najaktualniji je globalni sigurtienih resursa i vrijednost sigurnosnog su- nosni standard koji, izmeu ostalog, u svom
stava, odnosno postii prihvatljivi kompromis Section 10 zahtijeva izradu odgovarajuih
izmeu potreba i mogunosti, uvjetovanih Planova odravanja kontinuiteta poslovanja
financijskim, organizacijskim i tehnikim (BCP) i tehnolokog oporavka (DRP). ISO/IEC
ogranienjima.
27002 Section 11 obrauje pitanje regulatorBudui da je najea situacija u praksi ta- ne usklaenosti (Compliance) s relevantnim
kva da korisnici ve imaju implementirane nacionalnim i globalnim zakonima te profeodreene sigurnosne sustave, sastavni je dio sionalnim standardima.
procesa planiranja i procjena postojeeg
sigurnosnog sustava (Security Assessment). Kako to izgleda u praksi?
Ona obuhvaa pregled sigurnosne politike i Navedeni standardi i preporuke u teorijskom
dizajna, pregled implementiranih mehaniza- smislu pokrivaju sve ICT aspekte nune za

odravanje kontinuiteta poslovanja. No, praktina primjena i potivanje tih preporuka odgovornost su svakog poslovnog subjekta i kao
takvi izravno ukazuju na razinu korporativne
kulture i svijesti. itav je niz objektivnih i subjektivnih potekoa s kojima se neizbjeno
susree veina pokuaja ozbiljnijeg pristupa
ovoj problematici. Visoko kompetitivna trita, posebice ona u razvoju, stavljaju uprave
i operativna rukovodstva tvrtki u poziciju u
kojoj su optereeni prvenstveno egzistencijalnim pitanjima pa se teko nalazi prostora i
vremena, a jo manje financijskih mogunosti
za sustavniju primjenu ovakvog koncepta. Ne
treba sumnjati da svijest o potrebi odravanja
kontiuniteta poslovanja kod veine tvrtki postoji, ali su pritisci svakodnevnih operativnih
naprezanja jednostavno preveliki.
S druge strane, postupci uvoenja ovakve
prakse u poslovanje su nerijetko toliko birokratizirani i daleko od prakse da profesionalci
zaziru od susreta s iskusnim strunjacima i
all-in-wonder tablicama koje sadre frustrirajue setove pitanja. Isto tako jo uvijek ima i
onih za koje uvoenje upravljanja kontinuitetom poslovanja predstavlja samo regulatorni
alibi i takvo troenje dragocjenih materijalnih
i ljudskih resursa nee dati oekivane uinke.
Ulazak u EU jednostavno e otkloniti svaku
alternativu sustavnoj primjeni standardiziranog upravljanja kontinuitetom poslovanja.
Koliko god su trenutno regulatorni zahtjevi
glavni pokreta razmiljanja o uvoenju BCM
koncepta u praksu, toliko e samo trite i
korisnici postupno eliminirati one koji ne
ponu funkcionirati po modelu drutveno
odgovornog poslovanja.

RECRO-NET i partneri
RECRO-NET je, uz podrku svojih
tehnolokih partnera, ve spreman
za takve trine uvjete i kontinuirano
razvija ekspertizu nunu za kvalitetno
pokrivanje svih segmenata koji ine iru
perspektivu upravljanja kontinuitetom
poslovanja. Iskustva s ve realiziranih
projekata u Hrvatskoj, regiji i Bliskom
istoku omoguuju nam stalno
usavravanje koncepta. S obzirom
na irinu znanja i vjetina potrebnih
za kvalitetno voenje korisnika kroz
proces izgraivanja vlastitog sustava
upravljanja kontinuitetom poslovanja,
nekoliko tehnikih odjela RECRONETA pokriva segmente sigurnosti,
podatkovnih centara te pripreme BCP-a
i DRP-a. RECRO-NETOVA metodologija
definira standardizirani okvir, ali se
sadraj i tijek procesa prilagoavaju
realnom poslovnom okruju pojedinog
korisnika. Metodologija se zasniva na
viegodinjem praktinom iskustvu u
ICT industriji zahvaljujui kojem RECRONET kreira i podrava cjelokupni proces
i primjenu standarda, uinkovito ih
prilagoavajui stvarnim poslovnim
potrebama korisnika.