Majoritatea organizațiilor mari din România au un plan de continuitate a afacerii (business continuity plan), care de obicei este concretizat sub forma unui document care cuprinde acțiunile necesare reluării activității în cazul apariției unor situații atipice și cu impact semnificativ asupra businessului. În mod tradițional, aceste planuri de continuitate iau în considerare scenarii de atacuri cibernetice, dezastre naturale, cum ar fi cutremurele, ori informații și scenarii adverse intens mediatizate, care pot afecta capacitatea organizației de a-și continua activitatea în parametri obișnuiți.
Principalul obiectiv al acestor planuri este de a restabili funcțiunile critice ale organizației, pentru a putea relua activitatea în mod ordonat și gradual. Prioritățile sunt diferite, în funcție de domeniul în care activează organizația. Băncile, spre exemplu, urmăresc cu prioritate restabilirea funcționării sistemelor de plăți cu cardul și online; pentru operatorii de telecomunicații, primează asigurarea serviciilor de telefonie și a traficului de date către clienți; furnizorii de utilități urmăresc, cu prioritate, restabilirea furnizării de servicii și reducerea zonei afectate.
Tic-tac, tic-tac
Timpul este un element esențial în execuția planului de continuitate a afacerii, având în vedere că perioadele repetate sau lungi de nefuncționare pot produce pagube economice și de reputație pentru organizații. Drept dovadă, în aproximativ toate industriile puternic reglementate (servicii financiare, telecomunicații, energie etc.) există norme specifice care prevăd praguri maxime de indisponibilitate pentru anumite tipuri de servicii. Încălcarea acestora duce la aplicarea unor sancțiuni care de multe ori sunt consistente.
În general, timpii de recuperare pentru funcțiunile critice sunt de ordinul orelor, pe când pentru funcțiunile interne, care nu sunt critice, timpii de recuperare pot fi de câteva zile și, foarte rar, mai mari de o lună. Infrastructurile IT sunt construite în jurul acestui principiu. Pentru unele sisteme este preferabil un mecanism de comutare automată (failover) într-un centru de date din alt oraș sau în cloud, iar pentru altele este suficient să existe copii de siguranță ale datelor, urmând ca refacerea acestora să dureze mai mult. Distincția între metodele alese de recuperare este făcută de cât de importantă este recuperarea serviciilor și datelor într-un timp scurt versus cât de costisitoare sunt măsurile de pregătire în acest sens.
Continuitatea afacerii în caz de pandemie
Un plan de continuitate a afacerii ia în calcul și amenințarea apariției unei pandemii. Acest lucru schimbă însă semnificativ regulile jocului. Chiar dacă putem presupune că impactul direct este minim – un procent mic de angajați bolnavi la un moment dat –, măsurile preventive precum izolarea, punerea în carantină a personalului, restricțiile de circulație și de transport și evitarea voluntară a contactului direct testează limitele organizațiilor de a-și desfășura activitatea fără prezența fizică a personalului în spațiile de lucru. De la aspecte de ordin juridic și până la aspecte de ordin practic, este foarte dificil de estimat câte organizații sunt cu adevărat pregătite să funcționeze în aceste situații pentru mai multe săptămâni sau chiar luni.
De asemenea, persoanele care lucrează cu ajutorul calculatorului ar fi și ele semnificativ afectate. Sistemele IT pot fi pregătite pentru angajații care lucrează la distanță, dar nu sunt, în general, configurate să permită accesul în rețea de la distanță, simultan, pentru un număr mare de angajați. Mai mult, dacă în mod normal acest acces este efectuat prin intermediul laptopului de serviciu, există probabilitatea apariției unei noi nevoi, aceea de a asigura funcționarea simultană a zeci sau chiar sute de calculatoare personale într-un interval de timp foarte mic, de câteva zile, lucru care implică mobilizarea unor resurse importante care să faciliteze înrolarea echipamentelor personale (BYOD – Bring Your Own Device).
„Inima” unei reacții coordonate în timpul unei situații de criză este reprezentată de constituirea unei celule de criză la nivelul organizației, care să includă persoane cu putere de decizie, personal pregătit și capabil să comunice clar și prompt, atât intern, cât și extern, dar și personal care să coordoneze restabilirea sistemelor IT. Însăși funcționarea celulei de criză poate fi afectată, în cazul impunerii unor restricții de deplasare și transport.
Însă scenariul unei pandemii nu trebuie analizat doar prin prisma impactului direct. O astfel de undă de șoc este însoțită de obicei de reașezări economice și sociale și de schimbarea comportamentului de consum. În acest context, este posibil ca riscurile de continuitate a afacerii să fie amplificate și să necesite, în primul rând, adaptarea și comunicarea imediată a modalităților de acțiune, situație în care actualizarea documentației formale trece în plan secundar.
În construirea planurilor de continuitate, organizațiile nu trebuie să omită importanța protejării vieții umane, care reprezintă prioritatea numărul unu a oricărui astfel de exercițiu. Pe lângă aspectul umanitar, nenumărate exemple pragmatice ne arată că nimeni nu este dispus să participe la reluarea activității unei afaceri atunci când viața sa sau a celor apropiați este amenințată.
Pregătirile trebuie însoțite de testări ale componentelor importante pentru reluarea activității și ale planurilor efective, începând cu managementul crizei, incluzând sistemele informatice și terminând cu relocarea personalului.
(Material de opinie, de Claudiu Constantinescu, Senior Manager și Raluca Anton, Manager Managementul Riscului – Deloitte România )