Fie că vorbim despre catastrofe naturale, probleme tehnice sau atacuri cibernetice, un plan de continuitate operațională sau „business continuity plan” (BCP) face posibilă reluarea sau menținerea activității înainte, în timpul și după un eveniment care ar putea perturba activitatea normală a unei organizații. Un plan de continuitate operațională (BCP) este un set de proceduri și politici pentru a asigura că o organizație poate continua să își desfășoare operațiunile în condiții de urgență sau de criză.

Pandemia a fost probabil cel mai greu moment de încercare pentru multe companii. Cifrele diferă în funcție de rapoarte și piețe, însă concluzia este una singură: între 51 și 65% dintre organizații, publice și private, nu știau ce să facă și nu avea un plan în acest sens. Spre exemplu, nu aveau nicio tehnologie care să permită accesarea datelor de la distanță, angajaților să lucreze de acasă sau care să permită vânzarea de produse sau prestare de servicii online. Mai mult, în lumea reală există și incendii (peste 30.597 în 2021 conform Inspectoratului General pentru Situații de Urgență, dintre care un procent semnificativ în spații comerciale, birouri și clădiri industriale), atacuri de tip ransomware (Tarom este una dintre cele mai recente ținte), întreruperi în alimentarea cu energie electrică, furturi etc. Este important ca o companie să înțeleagă aceste riscuri și să își pună concret întrebarea „ce facem dacă”.

Ce înseamnă un plan de continuitate operațională?

În esență, un plan de continuitate operațională este un document care descrie strategia și acțiunile prin care o organizație își va putea continua activitatea în timpul sau după un eveniment neprevăzut/dezastru. Un BCP eficient implică identificarea riscurilor potențiale pentru operațiunile organizației și evaluarea impactului acestora asupra activității. Identifică resursele necesare, inclusiv de personal, echipamente și infrastructură, pentru a susține activitățile critice ale organizației în timpul unei crize. Planul trebuie să includă instrucțiuni detaliate pentru personalul cheie, cu privire la modul de reacție și acțiune în caz de urgență. Aceste instrucțiuni trebuie să fie clare și accesibile, astfel încât să fie ușor de urmat. Pentru că tot mai multe resurse sunt digitale, tehnologia are un rol esențial în orice plan de continuitate operațională, prin comunicații, back-up și restaurare, platforme de colaborare și telemuncă etc.

Etapele construirii unui plan de continuitate operațională

  • Analiza riscurilor și impactului

În această etapă întreprinderile identifică posibile riscuri, amenințări și vulnerabilități și stabilesc prioritățile. Tot aici se identifică funcțiile și resursele de care activitatea organizației depinde în mod critic. Acestea pot fi persoane cu responsabilități importante în activitatea de zi cu zi, pentru care un plan bun va identifica inclusiv posibili înlocuitori în caz de concediu, boală sau demisie. Mai departe, vor fi create liste cu detalii cheie: datele de contact ale echipei de continuitate, contacte externe (parteneri, furnizori, utilități, contabili, consultanți etc.), documente critice (acte de înființare, contracte, facturi) și modul de localizare rapidă a lor în format fizic. Printre resursele critice se numără și echipamente IT de rezervă și locații care ar putea înlocui sediul principal dacă acesta ar fi indisponibil.

  • Recuperare și organizare

Organizația identifică și implementează măsuri pentru recuperarea funcțiilor critice ale activității. Această etapă se bazează pe așa-numita „echipă de continuitate”, unde fiecare membru trebuie să își înțeleagă foarte clar responsabilitățile/rolul în reluarea activității: cine recuperează datele și documentele, cine coordonează munca de la distanță, cine informează clienții și partenerii de afaceri. Aici va fi utilă crearea de liste care să coreleze fiecare membru cu responsabilități precise. Spre exemplu, măsurile trebuie să țină cont de disponibilitatea pentru teleworking a angajaților în cazul indisponibilității sediului și identificarea unui spațiu temporar disponibil pentru angajații care nu pot lucra remote.

În 2021 și 2022, mai multe spitale și primării din România au avut sistemele IT blocate mai multe zile în urma unor atacuri cu ransomware și nu au putut emite documente pentru cetățeni sau nu au putut face internări. Un plan de continuitate operațională ar fi oferit alternative care să poate fi puse în exploatare în cel mai scurt timp.

  • Diseminare și testare

Măsurile planului de continuitate trebuie să fie grupate într-un document unic și cunoscute de toți angajatii. Ideal ar fi să existe o echipă de continuitate care să fie instruită și testată constant, membrii vor efectua exerciții prin care să treacă în revistă planul și strategiile, chiar dacă acestea se rezumă la simple discuții teoretice strecurate înaintea unor întâlniri. Totuși, este util ca toți angajații să fie instruiți, astfel încât să cunoască procedurile și pentru a ști unde să găsească resurse pentru ajutor.

  • Actualizare

Un plan de continuitate operațională va fi actualizat în permanență pentru a ține cont de schimbările constante din activitatea companiei, fie că vorbim despre modificări în materie de personal, echipamente/sisteme IT și locații.

Continuitate operațională sau disaster recovery

Deși termenii „Business Continuity” (BC) și „Disaster Recovery” (DR) sunt adesea folosiți ca sinonime, există o diferență subtilă între cele două.

Continuitatea operațională se referă la abilitatea unei organizații de a-și menține operațiunile critice în funcțiune în timpul unei crize sau a unei situații neprevăzute, prin planificarea și implementarea unor strategii și tehnologii adecvate. Pe de altă parte, disaster recovery se concentrează mai mult pe restaurarea sistemelor IT și recuperarea datelor după un eveniment major, cum ar fi un dezastru natural, o defecțiune majoră a sistemului sau o infracțiune cibernetică. În general, un plan de DR se concentrează pe recuperarea rapidă a sistemelor IT, astfel încât afacerea să poată funcționa cât mai curând posibil.

În general, un plan de continuitate operațională este mai cuprinzător decât unul de recuperare post dezastru, deoarece se concentrează pe abilitatea organizației de a continua să funcționeze, indiferent de tipul de incident care apare. Un plan de BC poate include atât soluții de backup și recuperare a datelor, cât și soluții de remote working, comunicații redundante și alte măsuri pentru a menține afacerea în funcțiune în timpul unei crize. Pe de altă parte, un plan de DR se concentrează mai mult pe restaurarea rapidă a sistemelor IT.

În concluzie, deși BC și DR sunt strâns legate și se concentrează pe abilitatea unei organizații de a face față la situații neprevăzute, există o diferență subtilă între cele două. Business Continuity este un concepte mai cuprinzător decât Disaster recovery și se concentrează pe abilitatea organizației de a continua să funcționeze în timpul unei crize, în timp ce DR se concentrează mai mult pe restaurarea rapidă a sistemelor IT.

Un plan de continuitate operațională este necesar deoarece statisticile arată că efectele unui incident major (catastrofă naturală, atac cibernetic sau probleme tehnice) asupra unei afaceri pot fi devastatoare, de la pierderi importante pe plan financiar sau de imagine, până la faliment. Da, există asigurări, inclusiv pentru sistemele IT, însă acestea nu acoperă toate riscurile și nu compensează întotdeauna pierderile.

Deși majoritatea companiilor sunt expuse la numeroase riscuri care le pot afecta activitatea și le pot amenința supraviețuirea, multe subestimează importanța unui plan de continuitate operațională. Implementarea și actualizarea frecventă a planului de continuitate devin cu atât mai importante în contextul accelerării digitalizării, care afectează afacerile de orice dimensiuni pe toate planurile, transformând constant procesele de business, relațiile de muncă, accesul la informații și date.