Непрерывность бизнеса: оптимизируем расходы
Любой человек с аналитическим складом ума старается минимизировать объем бесполезной деятельности. Или неочевидно полезной. Или полезной, но не для него и не сейчас. Давайте попробуем взглянуть в этом свете на жизненный цикл построения системы непрерывности бизнеса. Все ли этапы одинаково полезны? Может быть, что-то можно оптимизировать и достичь цели быстрее и дешевле?
Начнем по порядку — с анализа воздействия на бизнес (BIA). Не раз мне приходилось сталкиваться с заказчиком проекта, утверждающим, что все целевые показатели восстановления он знает и так, и надо просто обеспечить их достижение. Более того, часто в документах регулирующих органов прописаны показатели RTO и доступности сервисов. Так можно ли обойтись без BIA?
Отступим на шаг назад и посмотрим, какие результаты возникают на выходе BIA.
1. На стратегическом уровне мы формируем карту бизнес-процессов, оцениваем динамику потерь во времени и определяем для каждого из процессов целевые показатели восстановления (RTO, RPO, MTPD, MBCO — все 4, или меньше). Какие возникают риски, если мы этого не сделаем, а просто авторитарно определим RTO?
- Мы можем пропустить что-то важное. Если смотреть на требования регуляторов, то там будут только процессы, которые видны пользователю, а то, что «под капотом» останется за кадром. Например банальный процесс начисления и выплаты зарплаты вряд ли когда-то попадет в первоначальный список критичных процессов — а попробуйте остановить его на несколько дней, особенно в крупной корпорации. Точно так же и руководитель, выделяя критичные по его мнению процессы, может про что-то забыть.
- Мы можем недооценить критичность. Возможно, ваша организация хочет быть эффективнее своих конкурентов, и ставит перед собой более жесткие цели в области непрерывности бизнеса, чем это предписано регулятором.
- Мы можем переоценить критичность. Как ни странно, так тоже бывает, когда целевые показатели назначаются свыше без должной оценки последствий. В результате организация инвестирует избыточные средства в непрерывность бизнеса.
2. На тактическом уровне мы анализируем зависимости бизнес-процессов от ресурсов. Что случится, если мы пропустим этот этап?
- Мы не будем знать, какие ресурсы мы должны гарантированно обеспечить в случае чрезвычайной ситуации. Без этих данных дальнейшая работа будет носить чисто формальный характер, а о том, чего нам не хватает (не зарезервировано, не обеспечена доступность, и т.п.) мы узнаем только в момент ЧС… но будет уже поздно.
- Мы потеряем огромный объем важной информации для оценки рисков непрерывности бизнеса. Как правило, именно на этом этапе владельцы бизнес-процессов, описывая необходимые им ресурсы, делятся своей болью — дефицитом ресурсов, едиными точками отказа, уже происшедшими инцидентами.
Кроме того, для многих отраслей рынка проведение анализа воздействия на бизнес в явном виде требуется регулирующими документами. Если посмотреть повнимательнее, то аналогичные требования вы сможете найти и в регулировании по информационной безопасности (особенно для ЗО КИИ), и по операционной устойчивости.
Можно ли сэкономить на данном этапе? Да, и я вижу три пути.
- Объединить усилия различных подразделений (риски, ИТ, ИБ), и сделать все комплексно за один раз. Будет заметно дешевле и существенно повысит уровень целостности защиты.
- Привлекать экспертов, близко знакомых с предметной областью. Если это внешний консалтинг — убедитесь в том, что консультанты делали проекты в вашей области. Если вы делаете проект своими силами, создавайте «агентов влияния» в бизнес-подразделениях. Этот механизм встречается не очень часто (по моему опыту — не более, чем в 20% компаний), но там, где он есть, он показывает отличную эффективность.
- Старайтесь максимально автоматизировать процесс сбора и консолидации данных. Хотя после 2022 года на рынке автоматизации непрерывности бизнеса образовался существенный вакуум, сейчас он понемногу начинает заполняться отечественными решениями.
Даже если вы воспринимаете анализ воздействия на бизнес как этап, на котором не возникает конкретных результатов для организации, вспомните любой визит ко врачу. Больше половины времени приема уходит на то, чтобы выслушать пациента, задать ему массу вопросов, и только потом можно переходить к стратегии лечения. Здесь все примерно так же.
В следующий раз мы продолжим движение по жизненному циклу и поговорим об оценке рисков непрерывности бизнеса. Stay tuned.
Оптимизация расходов — это то, чем пришлось заняться вплотную в прошлом году... Казалось бы, очевидные вещи, но до кризиса на них не обращал внимания. Например, пересмотрели аренду — перешли на меньшую площадь, но более функциональную, и сразу сократили затраты на 20%. Ещё помогло то, что убрали ручные процессы, уменьшили нагрузку на сотрудников и снизили операционные расходы. Важно не просто «резать», а искать, где можно оптимизировать без потери качества.