Több mint 100 pénzügyi céget ért komoly veszteség a New York-i merényletben. Mindössze 10-15 százalékuk rendelkezett átfogó üzletfolytonossági tervvel, BCP-vel, ők egy-két napon belül folytatni tudták tevékenységüket, a háttérintézményekkel (tartalékrendszerek, adatvédelem) nem rendelkezők közül viszont sokan tönkrementek – mondta előadásában Raffai Mária, a Széchenyi István Egyetem informatikai tanszékének professzora.
Az üzletfolytonossági tervezés nem új keletű fogalom; gyökerei már a 70-es években megjelentek, válaszul arra az igényre, hogy fel kell készülni az informatikai rendszerek sérülésére. Az első, katasztrófaelhárítási tervek (Disaster Recovery Plan – DRP) csak az IT-rendszerek helyreállítására terjedtek ki. Az átfogóbb, az üzletmenet egészét érintő tervezés (Business Continuity Planning – BCP) a ’80-90-es években vált gyakorlattá. Mindkét megközelítés elsősorban a helyreállításra koncentrál.
Újabban már a proaktív hozzáállás vált hangsúlyossá és a megelőzést és a helyreállítást ötvöző üzletfolytonossági menedzsment (Business Continuity Management – BCM) került előtérbe. Ez a folyamatos, nagy megbízhatóságú működést kívánja biztosítani.
A világban bekövetkező események világossá tették, hogy a vállalatoknak érdemes áldozniuk a biztonságos működésre, a katasztrófák túlélésére. Az IT-központú tervezésben a mainál nagyobb hangsúlyt kell helyezni a folyamatok átfogó kezelésére, az újfajta kockázatokra és azok hatásának kivédésére, a megelőzésre, az üzletmenet helyreállítására, a krízishelyzetek kezelésére és a változásmenedzsmentre.
A BCP célja, hogy baj esetén a szolgáltatásokat a lehető legrövidebb idő alatt és a legkisebb költséggel visszaállíthassuk – hangsúlyozta Gaidosch Tamás, a KPMG Információkockázat-menedzsment (Information Risk Management Services – IRM) üzletágának vezetője. Nem véletlen, hogy a meglehetősen költséges tervezésben a pénzügyi intézmények járnak az élen: csaknem minden szolgáltatásuk idő- és IT-érzékeny, azaz a legtöbb funkció informatikai támogatással működik, amelynek a legrövidebb idejű leállása is komoly károkat okozhat. Az IT-kiesések oka azonban elsősorban nem technikai jellegű: az esetek mindössze ötödét okozza az informatika valamilyen hibája, leggyakrabban az emberi tényezők és a folyamatok felelősek a leállásért. Ez is igazolja, hogy valódi védelmet a működés egészét átfogó tervek jelenthetnek. Ma a hangsúly a megelőzésre terelődik – ez az olcsóbb megoldás, egy katasztrófa kezelése akár csődbe is juttathatja a céget, ami egy megfelelő tervvel elkerülhető.
A BCP-terv négy fázisra terjed ki: a katasztrófa előtti felkészülésre, közvetlenül a katasztrófa utáni tennivalókra („tűzoltás”), az átmeneti működés biztosítására (alternatív folyamatok, csökkent kapacitással), illetve a teljes, normál üzletmenet visszaállítására – ismertette Janni Ferenc, a KPMG menedzsere. A BCP kidolgozása előtt alaposan elemezni kell az üzleti hatásokat – például értékelni, hogy melyik folyamat milyen kockázatokat rejt, majd ezek alapján kell szelektálni a kritikus folyamatokat. (A MKB esetében összesen 264 folyamatot vizsgáltak a tanácsadók, közülük 50 bizonyult az üzletmenet szempontjából kritikusnak.) Ezután kezdődhet magának a tervnek a kidolgozása, majd bevezetése, később pedig folyamatos tesztelése, karbantartása, és a munkatársak oktatása. A terv akkor lehet hatékony, ha kiterjed minden fontos területre, pontosan, áttekinthetően dokumentált, valóban a cég igényeire szabott, naprakész, tesztelhető és a munkatársak számára ismert, „élő” dokumentum, begyakorolt megoldásokkal – hangsúlyozta Janni Ferenc.
A Magyar Külkereskedelmi Banknál hét hónapba került a komplex BCP kidolgozása és bevezetése – mondta a projektet irányító Jakab Péter, az MKB Bankbiztonsági szakterületének vezetője. A tervet a bank üzleti és IT-stratégiájára építették, alkalmazkodva a kialakítás alatt lévő integrált informatikai rendszer igényeihez. Mindez azonban csak az első lépés – a BCP akkor lehet hatékony, ha maga is folyamat, azaz a változó körülményekhez igazítva állandóan pontosítják, karbantartják, folyamatosan tesztelik és oktatják. Jakab Péter kiemelte, gyakori tévedés, hogy a tervezés az IT-részleg feladata, hiszen a jó terv valóban az összes folyamatra kiterjed. Hiba lehet a kockázatok mechanikus értékelése is. A BCP sikeréhez ezen kívül szükség van jelentős belső közreműködésre (a tanácsadók, illetve egy-egy felelős önmagában nem juthatnak előre), és elengedhetetlen a cég legfelsőbb szintű vezetésének teljes támogatása is.