Устойчивость бизнеса в трудные времена

Как мы обеспечиваем непрерывность бизнеса нашей компании и наших заказчиков

С конца 2021 года в Восточной Европе повышаются риски военных действий. Поэтому мы считаем необходимым поделиться с нашими потенциальными и реальными заказчиками и партнёрами некоторыми идеями из нашего плана обеспечения непрерывности бизнеса. 

С одной стороны, мы хотим показать, насколько устойчива наша компания. С другой стороны, мы хотим, чтобы наши заказчики и партнёры тоже были устойчивыми. Для этого мы хотим поделиться нашим опытом снижения рисков, связанных с карантином, социальными невзгодами и любыми другими нештатными ситуациями.

Введение

С незапамятных времён владельцы бизнесов пытались предусмотреть возможные риски природного, социального и техногенного происхождения. Например, риски аварий, катаклизмов, пожаров, потопов, наводнений, массовых беспорядков, военных действий, эпидемий, личных проблем персонала, а также прочих инцидентов.

История обеспечения непрерывности деятельности как корпоративной дисциплины берет начало с 50-х годов XX века. Примерно в это время компании начали системно решать проблему аварийного восстановления деятельности. Это послужило началом работы неких резервных центров, в которых хранились дубликаты документов и накопителей. 

Со временем деятельность таких центров набрала обороты и развилась качественно и количественно. К концу 80-х годов прошлого века в США насчитывалось более ста компаний, которые предоставляли услуги резервного хранения данных. С развитием компьютерной индустрии, в 90-х годах наряду с термином “аварийное восстановление” начал применяться более общий термин “непрерывность бизнеса”. 

Сегодня существует ряд международных и отраслевых стандартов и методологических фреймворков обеспечения непрерывности бизнеса. Например, ISO 22301 и NIST SP 800-34. 

Проблемой любых стандартов является присущий им абстрактный уровень. При применении стандартов и универсальных методологий необходимо адаптировать их под конкретные бизнес-процессы, системы, географические и культурные особенности конкретной организации. Такая адаптация отнимает время и ресурсы. 

Целью этой статьи является не утомительный пересказ стандартов, а краткое описание ключевых идей и наиболее существенных практических мер обеспечения непрерывности бизнеса такой сервисной компании, как наша. Эти идеи и меры хорошо работают для нас и некоторых наших клиентов. Поэтому у нас есть основания полагать, что эта статья окажется полезной для других компаний.

Что нужно сделать первым делом

В самом начале работы нашей компании у нас был довольно простой план обеспечения непрерывности бизнеса. Тот план описывал все системы автоматического резервирования всех наших критических систем и данных, а также порядок их восстановления. Кроме того, тот план описывал срочные и несрочные функции всех наших сотрудников, а также содержал список резервных ответственных за каждую срочную функцию.

Систему резервного копирования мы изначально строили так, чтобы данные копировались в облачные хранилища в нескольких разных европейских странах. Таким образом, даже при полном разрушении любого города, при крупных природных катаклизмах или социальных беспорядках в какой-то одной стране, наши данные оставались бы в сохранности и доступности в других странах.

Кроме прочего, наша система резервного копирования одновременно работает как система версионности. То есть, она позволяет получить данные по состоянию на любой день, неделю, месяц и год в прошлом, в пределах соответствующих окон времени.

Наступление пандемии и карантина в марте 2020 года никак не повлияли на непрерывность нашего бизнеса. Более того, мы незамедлительно предложили всем нашим клиентам протестировать и улучшить их системы обеспечения непрерывности бизнеса. Также мы поделились авторитетными рекомендациями по безопасности удалённой работы.

Таким образом, наш опыт показал, что полный переход на удалённую работу – это отличный первый шаг для построения надёжной системы обеспечения непрерывности бизнеса. Если обобщить идею, то повышение мобильности информации, офиса и сотрудников повышает устойчивость компании к прерываниям бизнеса.

Уровни устойчивости к катастрофам

Наш план обеспечения непрерывности бизнеса мы пересматриваем каждые полгода и внепланово, при изменении уровней рисков, которые мы постоянно отслеживаем. Например, несмотря на то, что мы пересмотрели наш план в ноябре 2021 года в плановом порядке, из-за повышения киберугроз и угроз военных действий в Восточной Европе, мы пересмотрели этот документ внепланово в январе 2022 года.

Для наглядного моделирования рисков и оценки устойчивости компании к инцидентам мы используем планирование и оценку устойчивости к тем или иным катастрофам.

Катастрофами мы называем инциденты безопасности с предельно высоким уровнем ущерба. Например, крупные локальные или региональные инциденты.

Плановый уровень устойчивости компании к катастрофам предусматривает беспрерывную работу нашей компании, с возможным частичным снижением производительности, при наступлении одного или нескольких следующих сценариев:

1. Полное разрушение любого одного города Германии, Ирландии, Швеции, США, Дании или Финляндии (страны, где находятся ресурсы нашей компании).
2. Полное прекращение работы одного из ключевых наших поставщиков онлайн-услуг, например, Google, AWS или Cloudflare.
3. Полная компрометация инфраструктуры открытых ключей (PKI), корневого центра цифровых сертификатов, либо банковской инфраструктуры.
4. Вторжение российских войск в Восточную Европу и/или социальные беспорядки в Восточной Европе.

Необходимо поддерживать уровень устойчивости ко всем вышеперечисленным сценариям катастроф путём регулярной проверки и коррекции правильной работы существующих мер снижения рисков и внедрения новых адекватных мер.

Кроме мер, упомянутых выше, вам также необходимо составить таблицу с контактной информацией ваших ключевых поставщиков онлайн-услуг, телефонами служб поддержки, а также с адресами их страниц Facebook и Twitter.

Не забудьте составить и протестировать план восстановления после катастроф. Этот план логически строится на основе мер обеспечения непрерывности бизнеса. Тестирование плана позволяет выявить меры, которые вы забыли предусмотреть, спроектировали неэффективно или внедрили неправильно.

Безопасность сотрудников

Одной из основных задач непрерывности бизнеса является физическая безопасность людей. Сотрудники – главная ценность многих компаний.

Наши рекомендации, описанные ниже, можно оформить в качестве инструкции для ваших сотрудников. Эти рекомендации помогут им не впадать в панику и соблюдать спокойствие даже в трудных ситуациях.

Эти рекомендации предназначены для мирных людей, и не предназначены для лиц, которые стремятся или вынуждены воевать.

Основной идеей обеспечения физической безопасности персонала является его своевременная эвакуация.

Психологическая подготовка

Психологические основы физической и информационной безопасности прежде всего подразумевают, что любые риски необходимо воспринимать головой, а не чувствами. Иными словами, не нужно бояться, а нужно опасаться. 

Разница между страхом и опаской заключается в том, что при опаске мы применяем правила, согласно которым нужно действовать. Эти правила мы выучили и потренировались выполнять заранее. Например, правила дорожного движения (ПДД), пожарной безопасности или гигиены – это самые яркие примеры опаски, которую мы применяем повседневно. Все остальные правила безопасности нужно воспринимать так же, как ПДД, пожарную безопасность и гигиену – без эмоций. 

Учитывая, что военные действия и социальные беспорядки часто сопровождаются пропагандой от различных сторон конфликта, рекомендуется изучить наш ресурс по защите от психологических манипуляций.

Информационная подготовка

1. Локальные инциденты время от времени сопровождаются проблемами со связью. Сделайте резервные копии важной личной информации на ваши мобильные устройства.
2. Зайдите в сервис Google Alerts и настройте в режиме “по мере поступления” емайл-оповещения на русском, украинском и английском языках по ключевым словам, например, “вторжение России в Украину” и “Чернобыль радиация”. Привычка использования этого сервиса сильно экономит время и энергию на чтение и анализ новостей и позволяет фокусироваться только на событиях, которые вам действительно важны, вместо потока информационного мусора.
3. Установите на всех ваших смартфонах приложение Карты Google (версия для iPhone) и Maps.me. В Картах Google кликните на иконку вашего профиля и выберите “Оффлайн-карты”. Загрузите (закэшируйте) карту вашего города, а также всех областей на пути от вашего города к городу, в который вы направляетесь. Загруженные карты Google Maps и Maps.me следует обновлять раз в месяц или чаще.
4. В Интернете в открытом доступе опубликованы различные книги и руководства по выживанию в городе, на природе, при военных действиях, социальных беспорядках и т. д. Основная идея здесь – изучение этой литературы не требуется при своевременной эвакуации. Такое изучение может быть связано с негативным психологическим воздействием и чрезмерной эмоциональной нагрузкой, искажающей восприятие действительности и вызывающей ненужный перерасход энергии и ресурсов.
5. Изучение английского языка и улучшение своих профессиональных навыков представляется для нас не только наилучшей информационной подготовкой, но и вообще наилучшей инвестицией не только в собственную безопасность и комфорт, но и в благосостояние в целом.
6. Наличие на мобильных устройствах каких-либо полезных или интересных книг всегда удобно, а особенно, когда нет связи.

Подготовка ресурсов и документов

Рекомендуется подготовить предметы, которые обычно берутся в заграничные путешествия: 

1. Главное: наличные деньги в долларах или евро, платёжные карты, основные документы, ноутбук, смартфон, зарядные устройства и ключи (механические, электромеханические, электронные, цифровые).
2. Комфорт и безопасность: одежда, обувь, оптические и солнцезащитные очки, беруши, косметика, медицинские маски и т. д.
3. Здоровье: ваши личные лекарства, аскорбиновая кислота, спирт и прочее.
4. Заграничный паспорт. Если у вас нет загранпаспорта, его рекомендуется получить. Если паспорт есть, и срок окончания его действия менее 8-10 месяцев от текущей даты, нужно получить ещё один паспорт, а старый не сдавать, если это возможно.
5. Сертификаты прививок от Ковид настоятельно рекомендуется получить в бумажном виде, с переводом на английский язык. Тем, кто не привился, нужно срочно вакцинироваться.

Рекомендуем держать на счетах в банках суммы, не превышающие необходимые для повседневного использования с помощью платежных карт (не более месячного заработка). В наличном виде можно держать дополнительно не более такой же суммы в национальной валюте. Рекомендуем использование стабильных криптовалют, а именно, стейблкоинов USDT или USDC. При этом нужно уделить внимание безопасности криптокошельков. Остальные средства можно носить с собой в виде наличных долларов.

Мы здесь, чтобы помочь

H-X Technologies с удовольствием поможет вашему предприятию разработать, внедрить и протестировать эффективный план обеспечения непрерывности бизнеса, “заточенный” индивидуально под вашу организацию. У нас есть успешный опыт разработки решений, которые позволят вашему бизнесу работать непрерывно, почти независимо от внешних сил.

Планируйте заранее – это может спасти ваш бизнес.

Свяжитесь с нами, чтобы узнать больше.

Подпишитесь на наш канал Телеграм, чтобы не пропустить новые статьи нашего блога.