Működési kockázatok elemzése
Minden szervezetnek megvannak az erősnek tűnő gyenge pontjai. Állandónak hisszük a megszokott dolgokat: internet, számítógép, iroda, csapat stb.
Kevesen gondolnak bele, ha ezek bármelyike kiesik, megáll a rendszer, ha nincs begyakorolt vészhelyzeti forgatókönyv.
Jelen helyzetben az iroda és a csapat esett ki, és az otthoni internet és számítógép nem mindenütt biztosított. Volt erre a helyzetre terv? Mi lenne most, ha ezek a tervek meglettek volna, és elkezdenék alkalmazni? A válság valószínűleg jelentősen kevésbé éreztetné hatását.
Miként lehetett volna erre készülni?
A teendők:
- A saját eszközökkel végzett munka IT biztonsági feltételeinek megteremtése. Figyelni kell arra, hogy az otthoni hálózatok kevésbé védettek mint a céges környezet. Fel kell készülni arra, hogy sok dolgozónak kell egyszerre pl. VPN hozzáférést vagy mobil net elérést kapnia.
- Mobil eszközök: az irodai munkavégzés sok helyen még ma is asztali gépen (PC-n) folyik. Ezek nehezebben mozgathatók, ki kell alakítani annak a rendszerét, hogy ezeket miként lehet elvinni, vagy honnan lehet mobil eszközöket biztosítani, esetleg milyen feltételekkel használhatja a dolgozó a saját eszközét.
Vannak olyan munkakörök, ahol szükséges a személyes jelenlét (pl. iratkezelés). Ezeket fel kell tárni, és meg kell határozni, hogy miként lehet a biztonságos munkafeltételeket biztosítani.
A normál irodai működésben kényelmes(?) a papír-pecsét-aláírás kombináció használata. Az feltételek megváltozása esetére azonban hasznosabb felkészülni e-aláírásokkal való hitelesítésre.
Ez belső folyamatok esetén lehet saját hitelesítő rendszer is, de kifelé, főleg pénzügyeket érintő kommunikációhoz minősített tanúsítványokra van szükség.
A normál irodai működésben kényelmes(?) a papír-pecsét-aláírás kombináció használata. Az feltételek megváltozása esetére azonban hasznosabb felkészülni e-aláírásokkal való hitelesítésre.
Ez belső folyamatok esetén lehet saját hitelesítő rendszer is, de kifelé, főleg pénzügyeket érintő kommunikációhoz minősített tanúsítványokra van szükség.
Ha bekövetkezik egy vis major esemény, a rend megőrzése érdekben előre definiált kommunikációs protokolloknak kell életbe lépniük:
Az ügyfeleket és beszállítókat értesíteni kell a változásokról. Tárgyalásokat kell kezdeni az esetleges csúszásokról.
Amennyiben a cég profilja indokolja, úgy a külső érintetteket (pl. iskola esetében a szülőket) is értesíteni kell.
A munkatársakat segíteni kell abban, hogy a megváltozott körülményekhez alkalmazkodni tudjanak, meg tudják találni az új helyzetben szükséges eszközöket és szoftvereket.
Az értesítési protokollnak ki kell térnie arra, hogy ki miről jogosult nyilatkozni és miről kinek kell információt adni.
Mit javaslok?
Ki kell alakítani egy folyamatot a BCP rendszeres felülvizsgálatára, oktatására az alábbi modell szerint.
- kiket kell értesíteni,
- hol találhatóak a szükséges eszközök információk
- milyen külső segítséget lehet igénybe venni
- mi a minimális erőforrásigény a működőképesség fenntartásához
A lehetséges krízishelyzeteket csoportmunkában brainstorming technikákkal célszerű összegyűjteni.
- Első lépésben fel kell tárni a működés szempontjából kritikus erőforrásokat, folyamatokat.
- Második lépésben meg kell vizsgálni, hogy ezek részleges vagy teljes kiesésére milyen valószínűséggel fordulhat elő.
- Harmadik lépésben elemezni kell, hogy milyen tartalék erőforrások, eljárások állhatnak rendelkezésre.
Ki kell alakítani azokat a monitoring eszközöket, amelyek segítenek abban, hogy a veszélyhelyzet előjeleit a cég vezetése időben észlelje, és meg tudja tenni az előkészületeket a BCP (üzletmenet folytonossági terv vagy forgatókönyv) életbe léptetéséhez.
A krízishelyzet bekövetkezésekor pedig olyan kontrollpontok figyelésére van szükség, amelyek jelzik, hogy a BCP végrehajtása megfelelően halad, valóban segíti a helyzet kezelését. A BCP egy terv, azaz szükség esetén el lehet/kell tőle térni.
Rendszeres időközönként – pl. évente – végig kell gondolni, milyen krízishelyzetek fordulhatnak elő.
Egy katasztrófahelyzet lezárulása után a tapasztalatokat értékelni kell, és be kell építeni a BCP újabb verzióiba.
A normál működés mellett is fontos időközönként tesztelni, hogy a munkatársak ismerik a vészhelyzeti eljárásokat. Például egy számlázórendszer leállás esetére tudják hol vannak a számlatömbök.
Erre jó alkalmat nyújthatnak a továbbképzések, a csapatépítő és a vezetői tréningek.
Ha van terv, és a kollégák is ismerik, gyorsan tudnak átállni, akkor a cég működése biztosított
A vállalatok állandó változásban vannak: változik a külső környezet, a belső működés, a technológiai lehetőségek és természetesen az emberek.
A vállalat működésének részévé kell tenni azokat a képzéséket, ahol a BCP-t megismerhetik, javaslatokat tehetnek a javítására. Be kell építeni a tűz-és munkavédelmi oktatáshoz hasonlóan a beléptetési folyamatba is.