W ubiegłym tygodniu miałem okazję przeprowadzić dość ciekawą i oryginalną rozmowę. Mój oponent - osoba wykształcona, z wieloletnim doświadczeniem zawodowym (również na wysokich stanowiskach) zaczęła zadawać mi serię pytań dotyczących zarządzania ciągłością funkcjonowania, a dokładniej sensowności stosowania tego typu rozwiązań. Bardzo rzadko spotykam się już z tego typu utwardzonym stanowiskiem, zazwyczaj dyskusje, które prowadzę dotyczą zagadnień "jak" a nie "po co", dlatego pozwolę sobie w skrócie podać parę argumentów za normą BS 25999 i całym BCMS (Business Continuity Management System).
Otóż norma powstała w dużej mierze na żądanie środowisk związanych z bezpieczeństwem i ciągłością. Korzystanie z niej nie jest (jeszcze - w Wielkiej Brytanii może się to niedługo zmienić) obowiązkowe. Jej celem jest dbanie o interes klientów poprzez "wymuszanie" właściwych zachowań w organizacji. Myśląc o prowadzeniu interesu należy się zabezpieczyć. Ponieważ łatwiej to powiedzieć niż zrobić stworzono BS 25999 by stał się swoistym przewodnikiem, narzędziem z którego należy korzystać.
Zapewnienie ciągłości funkcjonowania jest strategicznym celem wszystkich organizacji. Brak działalności nie tylko może destrukcyjnie wpłynąć na organizację (tu trzeba zaznaczyć, że nie ma obowiązku prowadzenia działalności, więc teoretycznie każdy może sobie bankrutować kiedy chce) ale również na inne strony, zależne od firmy (przede wszystkim klientów). Poważniejsza awarie, katastrofa czy atak nie powinny niszczyć całej struktury (jak bywa obecnie). Niewielka liczba najlepszych praktyk pozwoli bardzo ograniczyć rozmiary tego typu incydentów, znacznie skrócić czas potrzebny na przywrócenie działalności.
Argumenty typu "Jak przyjdzie powódź to takimi planami nawet nie da się uszczelnić rowów" są niezasadne. Jeżeli firma wcześniej przeanalizuje ryzyko biorąc pod uwagę zagrożenia dla ciągłości funkcjonowania to:
- będzie się mogła dobrze ubezpieczyć;
- będzie mogła wybudować własne wały;
- będzie mogła przenieść zakłady w inne miejsce;
- będzie mogła zastanowić się nad zapewnieniem redundancji - prowadzeniem działalności z innej lokalizacji.
Możliwości jest jeszcze trochę. Trzeba jednak się nad nimi zastanowić, w czym bardzo pomaga korzystanie ze standardów.