Kontakt
ua ro pl hu en

Business Continuity Plan – czym jest i jak go stworzyć? 

Business Continuity Plan – czym jest i jak go stworzyć? 

Zapewnienie ciągłości działania firmy jest kluczowe dla jej prawidłowego funkcjonowania i sprawnego reagowania na sytuacje kryzysowe. Dlaczego jest to istotne i na co zwrócić uwagę przy tworzeniu Business Continuity Plan (Planu Ciągłości Działania)? Właśnie na pytania dotyczące utrzymania ciągłości działania postaramy się odpowiedzieć w poniższym artykule.

Każda firma narażona jest na sytuacje kryzysowe. Część z nich jest specyficzna dla danej branży, jak susze czy intensywne burze z gradobiciem w rolnictwie. Są też zagrożenia występujące na bardziej ogólnym poziomie, dotyczącym np. cyberbezpieczeństwa.

Dlaczego potrzebny Ci plan ciągłości działania?

Plan Ciągłości Działania to spisany dokument, który wskazuje, w jaki sposób organizacja reaguje na sytuację kryzysową. Mówi o tym, jak krok po kroku przywrócić działanie firmy. Aby był skuteczny, wymaga nie tylko jednorazowej implementacji, ale ciągłego usprawniania, dostosowywania do nowych zagrożeń. 

Dobry Business Continuity Plan (w skrócie BCP) zabezpiecza firmę na co najmniej czterech płaszczyznach: biznesowej, finansowej, związanej z interesariuszami organizacji oraz jej wewnętrznymi procedurami.

Perspektywa biznesowa

Zadaniem BCP na poziomie biznesowym jest wspieranie celów strategicznych organizacji oraz ochrona i wzmacnianie reputacji oraz wiarygodności firmy. Dobry plan zwiększa odporność na ataki, a czasem tworzy przewagę konkurencyjną. Potencjalni kontrahenci będą bardziej zainteresowani współpracą z firmą, która jest przygotowana do zażegnania potencjalnych kryzysów.

Perspektywa finansowa

Planowanie ciągłości działania pozwala ograniczać straty finansowe, zmniejszając zarówno bezpośrednie, jak i pośrednie koszty związane z wystąpieniem sytuacji kryzysowej. Zmniejsza się również zaangażowanie prawne firmy, takich jak konieczność zlecania ekspertyz w momencie wymagającym szybkiej i zdecydowanej reakcji.

Architektura Landing Zone

W jaki sposób wdrażać bezpieczne środowiska w Google Cloud?

Zapisz się na webinar

Perspektywa interesariuszy organizacji

Każdy kryzys wywołuje niepewność wśród pracowników firmy, prowadzącą w skrajnych sytuacjach do paraliżu decyzyjnego. Jeżeli wiedzą oni w jaki sposób organizacja zamierza walczyć z kryzysem, niepokój może zostać ograniczony, co pozwoli w dalszym ciągu wykonywać zlecone im zadania. W przypadku klęsk żywiołowych czy wystąpieniu awarii, Business Continuity Plan pozwala ograniczać ryzyko śmierci oraz uszczerbku na zdrowiu. Chroni mienie i środowisko, oraz zwiększa zaufanie do organizacji.

Perspektywa procesów wewnętrznych

Sam proces tworzenia Planu Ciągłości Działania pomaga znaleźć luki w systemie, a więc lepiej przygotować się na wystąpienie sytuacji kryzysowej. Zwiększa to zdolność firmy do skutecznego działania podczas zakłóceń oraz pozwala proaktywnie kontrolować ryzyko.

Przeczytaj też: Cloud Monitoring – o kontrolowaniu infrastruktury chmurowej GCP

W jakich sytuacjach przyda się BCP?

Sprawne zarządzanie kryzysami oraz minimalizacja strat powinna uwzględniać sytuacje takie jak:

  • klęska żywiołowa (trzęsienie ziemi, powódź),
  • awaria budynku (zalanie, pożar, zawalenie konstrukcji),
  • wypadek transportowy (np. w przypadku spedytorów),
  • kradzież lub zniszczenie fizycznych dokumentów,
  • kradzież sprzętu firmy, kopia zapasowa,
  • Atak hakerski na system informatyczny.

Business Continuity Plan krok po kroku

Właściwie przygotowany Business Continuity Plan (BCP) powinien być wyczerpujący, realistyczny, efektywny oraz możliwy do wdrożenia. Jakie działania należy podjąć, aby stworzyć taki plan.

Określenie celów do planu ciągłości działania

Plan Ciągłości Działania dotyczy wszystkich kluczowych działów firmy, a więc na swoim najwyższym poziomie powinien zapewnić ciągłość podstawowych procesów biznesowych. Nie ma jednego modelu, który dałoby się zastosować do wszystkich organizacji. Każda z firm powinna określić cele zgodnie z oceną ryzyka charakterystyczną dla jej działalności.

Stworzenie zespołu kryzysowego

W momencie pojawienia się kryzysu może być za późno na próbę wyłonienia naturalnego lidera, który będzie najbardziej kompetentną osobą do wdrażania BCP. Dobrą praktyką jest zbudowanie zespołu składającego się z menedżerów, którzy w momencie pojawienia się sytuacji awaryjnej zaczną wspólnie działać. Taki zespół musi mieć lidera zdolnego do podejmowania decyzji i skutecznej egzekucji planu.

Przeprowadzenie analizy ryzyka (BIA)

Business Impact Analysis pomaga zidentyfikować potencjalne zagrożenia dla firmy, a w dalszym kroku przygotować scenariusz odpowiedzi na nie. 

Identyfikacja podstawowych funkcji firmy

Kolejnym krokiem jest identyfikacja podstawowych funkcji firmy, czyli minimum działań koniecznych do tego, aby firma mogła utrzymać się na rynku. Jest to najbardziej indywidualny punkt całego planu, powiązany ze strategią sprzedażową i marketingową. Funkcje kluczowe dla firmy z sektora e-commerce będą inne niż dla np. dla przedsiębiorstwa świadczącego usługi geodezyjne.

Uwzględnienie wszystkich interesariuszy

Przygotowując plan pamiętaj o uwzględnieniu potrzeb wszystkich interesariuszy. W zależności od sytuacji kryzysowej, może ona dotyczyć firmy w całości, lub tylko jej części. Przykładowe zerwanie łańcuchów dostaw w pierwszej kolejności dotyczy osób pracujących w działach  zakupów, które odpowiadają za czasowe dostarczanie do firmy potrzebnych komponentów. To na ich barkach spoczywa wyzwanie znalezienia alternatywnych rozwiązań. Od czasu reakcji zależy, czy kolejny dział firmy – produkcja, będzie narażona na przestoje i opóźnienia. Dłużej utrzymująca się sytuacja kryzysowa dotyka działu wysyłek, który nie może realizować zleceń na czas, co doprowadza do sytuacji kryzysowej w relacjach z klientami, oczekującymi na zamówione produkty. W tym momencie w sytuację kryzysową włącza się dział sprzedaży, albo obsługi posprzedażowej i w niedługim czasie mamy zaangażowaną niemal całą firmę. Plan powinien uwzględniać kroki, jakie należy podjąć, aby zredukować potencjalne napięcia, wdrażać systemy wczesnego ostrzegania, dzięki którym można zawczasu przygotować pozostałe działy firmy do sprawnej reakcji.

Sprawdzenie czy plan adresuje wszystkie funkcje biznesowe

Żadna z kluczowych funkcji biznesowych nie powinna być pozostawiona poza Planem Ciągłości Działania. Dla każdej z funkcji należy przypisać:

  • poziom ryzyka biznesowego,
  • wpływ na interesariuszy,
  • ścieżkę wyjścia z sytuacji kryzysowej,
  • zasoby finansowe konieczne do realizacji planu,
  • ewentualne zewnętrzne zasoby (organizacje, instytucje), z którymi należy rozpocząć współpracę.

Szkolenia personelu oraz aktualizacja planu

Aby plan mógł zostać płynnie wdrożony w ramach sytuacji kryzysowej konieczne jest regularne przeprowadzanie szkoleń wszystkich pracowników oraz aktualizowanie BCP w odpowiedzi na zmieniające się z czasem źródła potencjalnych kryzysów.

Bezpieczeństwo cyfrowe – największe wyzwanie

Obecnie jednym z największych wyzwań stojących przed firmami jest zapewnienie bezpieczeństwa cyfrowego. Chociaż nie ulega wątpliwości, że zmiany klimatu wpływają na intensyfikację klęsk naturalnych, to według Barometru Ryzyk Allianz 2019 oddziałują one jedynie na ok. 13% polskich przedsiębiorstw. Rodzime firmy nie muszą obawiać się tsunami, czy trzęsień ziemi o sile powodującej zawalanie się budynków, chociaż wspomniane wcześniej susze mogą skutecznie utrudnić pracę całym sektorom gospodarki, takim jak rolnictwo. 

Ostatnie dwa lata pokazały, że trzeba się również liczyć z wydarzeniami, jakich nie widzieliśmy w naszej części Europy od kilkudziesięciu lat – zarówno pandemia, jak i wojna w najbliższym sąsiedztwie to sytuacje, z którymi nie musiało się mierzyć ostatnie pięć pokoleń polskich przedsiębiorców. Mamy też zjawiska powracające cyklicznie, jak wysoka inflacja. 

Jak w tym zestawie plasują się ataki na systemy informatyczne? Są one coraz częstsze, a rosnąca cyfryzacja na świecie sprawia, że również coraz trudniejsze do uniknięcia.

Jak wynika z raportu “Cyberzagrożenia 2021” przygotowanego przez Cyfrową Polskę, 64% firm w Polsce doświadczyło w ostatnim roku co najmniej jednego incydentu dotyczącego cyberbezpieczeństwa. To wzrost o 10 punktów procentowych w stosunku do roku 2019. CERT Polska, zespół zajmujący się reagowaniem na zdarzenia naruszające bezpieczeństwo w polskiej sieci wskazuje, że najczęściej występującą formą ataku był w tym okresie phishing, czyli próba wyłudzenia danych. Dotyczył on 29 proc. polskich firm. 

Business Continuity Plan a Disaster Recovery Plan

Mówiąc o Business Continuity Plan, często spotykamy się z terminem Disaster Recovery Plan, który jest składową BCP. Obejmuje on tylko warstwę cyfrową firmy, a jego celem jest jak najszybsze przywrócenie działania systemu IT po awarii, takiej jak np. Atak hakerski, pożar serwerowni, czy błąd po stronie dostawcy usługi. Tutaj przeczytasz więcej o Disaster Recovery Plan.

Business Continuity Plan w rozwiązaniach chmurowych

Korzystanie z rozwiązań chmurowych, takich jak Google Cloud pozwala na ograniczanie ryzyka utraty danych podczas cyberawarii. Fizyczne serwery znajdują się w rozproszonych po całym świecie centrach danych. Dzięki redundancji danych, kopie zapasowe znajdują się nie tylko w podstawowej lokalizacji, ale też w innych lokalizacjach niż oryginalne dane, co sprawia, że nawet fizyczne zniszczenie części serwerów nie spowoduje ich utraty. Należy jednak pamiętać o tym, że to po stronie właściciela aplikacji leży zapewnienie bezpieczeństwa danych i konieczność opracowania BCP oraz DRP. Musi też brać pod uwagę fakt, że awaria może nastąpić po stronie dostawcy usług.

Rozwiązania chmurowe, takie jak Google Cloud Platform są dobrze zabezpieczone, przez co sam atak hakerski na infrastrukturę jest niemal niemożliwy, jednak inną kwestią jest samo zabezpieczenie aplikacji, które leży po stronie użytkownika GCP. Jeżeli zabezpieczenie nie jest wystarczające, a dodatkowo właściciel aplikacji nie ma przygotowanego Planu Ciągłości Działania, ani tym bardziej Planu Odzyskiwania po Awarii, to powinien jak najszybciej rozpocząć wdrożenie. 

Dodatkowo Google posiada własny zespół specjalistów od cyberbezpieczeństwa (Google Cybersecurity Action Team). Doradza on klientom w zakresie strategii bezpieczeństwa, wdraża programy instruktażowe, szkoli z zakresu mapowania zagrożeń i szybkiego reagowania, oraz dzieli się dobrymi praktykami projektowania bezpiecznych aplikacji.

Pomożemy Ci stworzyć plan awaryjny – business continuity plan (bcp)

FOTC to wsparcie specjalistów, zniżki na usługi GCP

Zapytaj o szczegóły

Podsumowanie

Rolą Business Continuity Plan jest zapewnienie bezpiecznego funkcjonowania firmie. Posiadanie planu odpowiedzi na sytuację kryzysową pozwala podejmować racjonalne i wyuczone decyzje, w sytuacjach zagrożenia, zmniejszając ryzyko braku decyzyjności czy podejmowania nieprzemyślanych kroków. Jednym z największych zagrożeń, z którym muszą liczyć się firmy doby cyfryzacji, są cyberataki. Ponieważ dotykają one niemal dwóch trzecich polskich przedsiębiorstw, posiadanie BCP uwzględniającego ochronę kluczowych danych jest priorytetem nie tylko dla firm z sektora IT. 

Przeczytaj też:

Dlaczego potrzebny Ci plan ciągłości działania?
W jakich sytuacjach przyda się BCP?
Business Continuity Plan krok po kroku
Bezpieczeństwo cyfrowe – największe wyzwanie
Business Continuity Plan a Disaster Recovery Plan
Business Continuity Plan w rozwiązaniach chmurowych
Podsumowanie

Copywriter, dziennikarz, content marketer. Od 2005 roku tworzy artykuły , teksty blogowe i raporty dla branży nowoczesnych technologii, druku 3D oraz logistyki.