Implementarea sistemului de management al securităţii informaţiilor

Management & Calitate

de Mihai Gheorghe

Realizarea planului de continuare a activităţii (Business Continuity Plan-BCP)
 
Asigurarea continuităţii activităţii este un proces prin care sunt identificate principalele ameninţări la adresa desfăşurării proceselor unei organizaţii şi prin care sunt stabilite măsurile necesare pentru contracararea acestor ameninţări.
 
Obiectivele principale al acestui proces le reprezintă:
  • continuitatea derulării activităţii şi reducerea la minim a impactului negativ asupra organizaţiei.
  • stabilirea modalităţilor de comunicare.
  • colectarea şi evaluarea informaţiilor privind gravitatea distrugerilor şi a pagubelor.
  • identificarea resurselor disponibile pentru reluarea activităţii.
  • executarea unui set necesar şi suficient de acţiuni cu scopul continuării activităţii fără pierderi semnificative.
Descrierea planului
Situaţii apărute în ultimii ani în diverse companii au demonstrat importanţa unui Plan de Continuitate a Activităţii.
Reluarea activităţii în astfel de situaţii, într-o perioadă de timp care să nu ameninţe în nici un fel stabilitatea companiei reprezintă o problemă de mare actualitate.
 
Se impune:
  • elaborarea de planuri alternative (de rezervă) pentru reluarea activităţii în cazul unor întreruperi;
  • replicarea sistemelor critice pe sisteme de rezervă situate în altă locaţie sau prin intermediul unui furnizor extern de servicii;
Repere pentru BCP:
  • etapele întocmirii documentului;
  • identificarea zonelor de aplicabilitate după o posibilă apariţie a unui incident care ar putea avea ca efect întreruperea temporară a activităţii companiei;
  • stabilirea echipelor care ar putea fi implicate în procesul de reluare a activităţii în cazul apariţiei unui incident;
  • stabilirea reponsabilităţilor care revin într-o astfel de situaţie fiecărei echipe, reguli de lucru;
  • elaborarea formularelor pentru:
    • semnalarea apariţiei unui incident;
    • înştiinţarea echipelor de producerea unui incident;
    • înregistrarea cheltuielilor generate în procesul de reluare a activităţii;
  • pentru fiecare dintre echipele care ar putea fi implicate în procesul de reluare a activităţii s-a elaborat un formular privind:
    • componenţa echipei respective;
    • resursele solicitate de echipa respectivă, considerate de aceasta ca necesare pentru îndeplinirea responsabilităţilor care îi revin în procesul de reluare a activităţii companiei.
  • testarea periodică a planurilor alternative în scopul verificării disponibilităţii acestora.
În procesul de întocmire a Planului de Continuitate a Activităţii în cazul producerii unui incident, au fost luate în considerare următoarele:
  • necesitatea întocmirii acestui document
  • obiectul şi scopul acestui document;
  • condiţiile concrete de funcţionare a companiei;
  • identificarea şi clasificarea incidentelor posibile de a se produce, cu risc de întrerupere temporară a activităţii;
  • o clasificare a incidentelor care s-ar putea produce în funcţie de timpul minim necesar pentru reluarea activităţii;
  • identificarea activităţilor şi proceselor desfăşurate;
  • identificarea funcţiilor critice şi a locaţiilor în care acestea sunt implementate;
  • identificarea de locaţii de rezervă (alternative) implicând:
a. surse alternative pentru alimentarea cu energie electrică
b. conexiuni noi ale reţelelor de calculatoare
c. reţele de comunicaţii alternative
d. suport hardware-software
e. inventar uzual de hardware şi software
f. stocarea offsite a imaginii desktop pentru fiecare tip de configuraţie (hardware-software, soft aplicativ )
g. stocarea într-o bază de date a topologiei şi infrastructurii IT&C pentru fiecare departament în parte
h. acoperirea cu personal suficient care să poată asigura preluarea activităţilor desfăşurate în locaţia de bază
i. utilizarea la maximum a tehnologiilor de vârf – asigurând în felul acesta o dependenţă redusă a organizaţiei faţă de cunoştinţele personalului;
  • redundanţa: este critic ca redundanţa să fie construită în aşa fel încât, dacă locaţia este lovită de dezastru, activităţile să fie repornite într-o altă locaţie ceea ce înseamnă, că pentru acele sisteme ale căror procese sunt critice pentru supravieţuirea şi continuitatea activităţii firmei, trebuie pregătite sisteme redundante, care să preia activitatea în eventualitatea unui dezastru;
  • alte elemente procedurate:
  1. plan de backup pentru computerele personale sau dispozitive mobile întrucât pe acestea utilizatorii pot stoca o cantitate semnificativă de date critice, expuse riscului de a fi pierdute cu atât mai mult cu cât, în general, nu sunt o parte a planului de recuperare şi nici nu pot fi controlate;
  2. liste uşor accesibile cu numere de telefon/numere de mobil privind persoane de contact în astfel de situaţii, inclusiv furnizori şi parteneri;
  3. furnizorii de servicii trebuie să-şi construiască planuri de continuitate a activităţii;
  4. în construcţia unui plan de continuitate a activităţii trebuie luate în calcul mai multe soluţii, executabile într-o scurtă perioadă de timp;
  5. copii ale planului de continuitate a activităţii trebuie stocate în toate locaţiile firmei ;
  6. planul de continuitate a activităţii trebuie revizuit şi îmbunătăţit, adaptat schimbărilor normale din organizaţie, resursa umană trebuie să fie pregătită pentru orice eveniment;
  7. supravieţuirea companiei poate depinde de viteza cu care infrastructura alternativă preia funcţiile infrastructurii de bază sau infrastructura de bază poate fi reconstruită;
  8. un program de continuitate a activităţii bine construit măreşte posibilitatea organizaţiei de a rezista sau de a atenua orice perturbare, întreruperile putând fi transparente, relaţia cu partenerii rămânând în limite absolut normale;
  9. succesul unui plan de continuitate a activităţii ar putea fi afectat de:
  • costurile pe care le implică implementarea (cuantumul sumelor disponibilizate pentru o astfel de acţiune)
  • planul de continuitate a activităţii trebuie verificat, actualizat permanent cu schimbările;
  • BCP trebuie testat periodic
  • membrii echipei de coordonare a situaţiilor de criză şi şeful acesteia vor participa efectiv la testarea BCP;
  • responsabilul BCP are obligaţia de a verifica rezultatele fiecărei testării a BCP şi de a întocmi rapoarte pentru informarea managementului situaţiilor de criză;
  • la intervale de timp prestabilite responsabilul BCP are obligaţia de a testa procedurile pentru situaţii de urgenţă;
  • în cazul în care consideră că este absolut necesar, responsabilul BCP propune investiţii care să asigure funcţionarea BCP pentru situaţii de urgenţă/criză;
  • după efectuarea unui test a BCP sau depăşirea unei situaţii de criză, se evaluează eficienţa sistemului propus pentru gestionarea situaţiilor de criză, se reconsideră (dacă este cazul) funcţiile şi responsabilităţile echipei de coordonare a situaţiilor de criză luând în considerare experienţa acumulată pe parcursul unui test sau a unei situaţii de urgenţă.
 
BCP furnizează două elemente absolut necesare restaurării serviciilor IT&C:
  • locaţia unde trebuie restaurate serviciile IT&C
  • beneficiarul direct al acestora îşi creează premisele necesare comunicării dintre personalul tehnic, respec­tiv cel operaţional şi de business.
Etape
Având ca obiectiv asigurarea continuităţii în desfăşurarea activităţii, în cazul apariţiei unui eveniment neprevăzut care ar putea afecta capacităţile operaţionale, BCP - face referire în principal la următoarele aspecte:
  • identificarea proceselor, activităţilor critice, priorităţi de abordare; echipe de acţiune în cazul apariţiei unui posibil incident, evaluarea modului de răspuns;
  • evaluarea dimensiunii unui potenţial impact cauzat de un posibil incident;
  • înştiinţarea,
  • mobilizarea personalului;
  • definitivarea responsabilităţilor şi procedurilor pen­tru fiecare echipă implicată în procesul de asigurare a continuităţii activităţii;
  • definirea procedurilor de urgenţă care trebuie urmate în cazul apariţiei unui posibil incident;
  • definirea incidentelor care s-ar putea produce, impactul acestora asupra activităţii
  • modul de alertare a echipelor de acţiune, identifi­carea obiectivelor alocate fiecărei echipe;
  • modul de răspuns al furnizorilor (de hardware, software, servicii, etc. ), al firmelor de outsourcing.
Planul de continuare a activităţii, etape principale:
1. Răspuns în caz de urgenţă:
  • modul de abordare a răspunsului de urgenţă în cazul apariţiei unui incident
  • definirea echipelor cu responsabilităţi de asigurare a continuităţii activităţilor
  • proceduri de alertare a persoanelor implicate
  • proceduri care trebuie puse în execuţie de către echipele cu responsabilităţi în asigurarea continuităţii activităţilor în cazul apariţiei unui incident.
2. Aplicarea BCP:
  • atribuţii, obiective ale echipelor cu responsabilităţi în aplicarea Planului de Continuitate a Activităţii
  • acţiuni imediate ce trebuie întreprinse pentru resta­bilirea funcţiilor critice afectate de producerea unui incident.
3. Anexe:
  • informaţii cu referire la modul de utilizare a BCP
  • liste cu persoanele de contact
  • rapoarte (pentru incidente) întocmite de echipele implicate în aplicarea BCP
 
Etapele procesului de reluare a activităţii:
1. avertizare incident
2. identificare incident
3. răspuns de urgenţă asigurare a continuităţii activităţii;
4. mobilizarea echipelor, revizuirea strategiei;
5. decizia de relocare
6. reluarea activităţii în noua locaţie
7. reluarea activităţii în site-urile de bază
8. restaurarea activităţilor la nivelul anterior dezastrului
 
Documente utilizate în procesul de reluare a activităţii:
Formulare prin care se documentează activitatea de management a situaţiei de criză. Echipele implicate în procesul de asigurare sau de reluare a activităţii vor utiliza un set de documente prin care se formalizează activita­tea de management a situaţiei de criză, după cum urmează:
Raport incident – documentul se completează de către responsabilii echipelor din zonele afectate de incident şi se transmite către Comitetul de Coordonare a Crizei; în document se va prezenta într-o formă cât mai detaliată impactul incidentului asupra resurselor din zona afectată.
Raport de informare – în urma sesizării (documentul ,,Raport incident”), Comitetul de Coordonare a Crizei face o primă evaluare a situaţiei create şi formulează un răspuns către Personalul şi părţile interesate; de asemenea, va notifica echipele (documentul ,,Raport de informare”) care vor fi implicate în procesul de asigurare sau reluare a activităţii.
Raport de analiză – se va întocmi de către echipele implicate pentru reluarea activităţii. Documentul va fi actualizat pe parcursul întregului proces de redresare a activităţii. Va fi transmis către Echipa de coordonare la solicita­rea acesteia sau în orice situaţie în care echipa care întocmeşte documentul solicită resurse suplimentare sau este pusă în situaţia de a iniţia alte acţiuni decât cele prevăzute în documentul ,,Raport de informare”, respectiv în documentul ,,Raport de analiză ” – ultima versiune transmisă către Comitetul de Coordonare.
Raport privind măsurile întreprinse – se va întocmi de către Comitetul de Coordonare a Crizei. Documentul va fi actualizat pe parcursul întregului pro­ces de redresare a activităţii şi va conţine toate acţiunile întreprinse pentru redresarea activităţii.
Raport cheltuieli – se va întocmi de către echipele implicate pentru redre­sarea activităţii. Documentul va fi transmis către Compartimentul Financiar şi Contabilitate, aceasta va întocmi un raport – un centralizator al anexelor transmise de echipele notificate - având ca suport aceeaşi anexă, raport pe care îl transmite Echipei de Coordonare a Crizei în situaţiile în care această echipă solicită acest raport.
Inventarul contactelor şi resurselor – documentele se întocmesc la elaborarea BCP şi vor fi utilizate de Echipa de Coordonare a Crizei pentru identificarea echipelor (responsabili, membri) care vor fi notificate, şi pentru stabilirea necesarului de resurse, de asemenea.
 
Documentele vor fi utilizate de responsabilii echipelor notificate pentru impli­carea membrilor echipelor respective, gestionarea resurselor alocate.
Documentele vor fi actualizate permanent, ori de câte ori intervine o schim­bare în ceea ce priveşte componenţa unei echipe sau în ceea ce priveşte alocarea de resurse.
____________________________________________________
MIHAI GHEORGHE dr. ing., Director Calitate Indaco Systems
____________________________________________________