Бесперебойная работа бизнеса в условиях пандемии

Советы PwC.

Многие воспринимают COVID-19 как непредсказуемую угрозу. Но давайте подумаем, так ли это? За последние десятилетия мы столкнулись с различными типами эпидемий, и текущая — все же не пресловутый «чёрный лебедь», сформулированный Нассимом Талебом.

Недостаточная готовность некоторых организаций свидетельствует об отсутствии или низком развитии процессов обеспечения непрерывности бизнеса.

Внедрение системы управления непрерывностью бизнеса подразумевает разработку в организации целого спектра мер, направленных на обеспечение бесперебойности бизнес-процессов. Одной из таких мер является разработка модели угроз, релевантных конкретной организации. Однако многие либо не включали угрозу эпидемии в свои модели, либо присваивали этой угрозе низкий рейтинг. Причин этому несколько.

Первая – недооценка угрозы, её последствий и вероятности.

Вторая – минимизация затрат. Если признать угрозу такого масштаба реальной, то необходимы дополнительные инвестиции для внедрения ответных мер, включающих организационные и дорогостоящие технические решения для удаленной работы.

Косвенная причина игнорирования угрозы пандемии — существующие в некоторых организациях стратегии информационных технологий, не предусматривающие массовую удаленную работу. А также позиция офицеров по информационной безопасности, обосновывающих отказ от дистанционной работы возрастающими рисками.

А именно — недоступность офисных помещений и производственных площадок из-за карантина и значительная потеря персонала из-за заболевания. Как следствие — деградация бизнес-процессов или их полная остановка.

Сейчас многие организации вынужденно перевели своих сотрудников на удаленную работу. Многим пришлось буквально на коленке внедрять технологические решения и защитные процедуры. Организациям пришлось в считанные дни проводить категорирование персонала – кого в первую очередь необходимо переводить на новый формат работы.

Уже несколько недель в регионах, где был введен режим самоизоляции, персонал большинства организаций работает удаленно. Постепенно проявляются недостатки в процессах и технологиях, неизбежные при принятии экстренных мер.

Однако следует обратить внимание на некоторые меры, которые могли быть упущены в первые горячие недели:

1. Рекомендуем создать кризисную группу во главе с топ-менеджментом. В такую группу должны входить руководители бизнес-направлений, а также представители следующих блоков: управление персоналом, юристы, ИТ, ИБ, риск-менеджмент, связи с общественностью, финансы, безопасность, закупки, продажи, непрерывность бизнеса. Наличие кризисной группы повысит оперативность принятия решений.

2. Не во всех организациях возможен перевод абсолютно всех сотрудников на удаленную работу. Если часть ваших сотрудников из-за специфики работы должны посещать офис, то стоит разделить сотрудников с идентичным задачами на смены, которые не будут пересекаться. Распределите функционал по различным локациям на тот случай, если один из объектов будет закрыт на дезинфекцию.
3. Если ваша организация размещена в регионе, где еще не был введен режим самоизоляции, рекомендуем провести категорирование персонала и определить несколько этапов перевода сотрудников на удаленную работу – сначала наиболее критичный персонал и в конце сотрудники, у которых функционал до этих пор не позволял полностью переходить на дистанционную работу.
   
4. Обязательно проведите дополнительное обучение сотрудников удаленной работе и вопросам информационной безопасности. В последнее время активизировались злоумышленники, которые воспользовавшись текущей ситуацией взламывают сети организаций, применяя методы социальной инженерии и фишинга. Электронные письма могут полностью копировать формат организаций и посвящены вопросам реализации процедур удаленной работы. Проводите регулярное периодическое обучение или организовывайте периодические информационные рассылки.
   
5. Внедрите дополнительные контроли информационной безопасности и усильте защитные меры.
   
6. Внесите корректировки в процессы коммуникаций. Обновляя процедуры внешних коммуникаций, определите ключевые внешние стороны и способы взаимодействия с ними. Регулярно проводите внутренние коммуникации с персоналом. С переходом на удаленную работу усиливается потребность в оперативном обмене информацией, и сотрудники начинают использовать для служебных коммуникаций открытые мессенджеры без шифрования передачи данных. Организация должна провести дополнительный инструктаж о процедурах обмена конфиденциальной информацией и, по возможности, внедрить корпоративный закрытый мессенджер.
   
7. Оцените технические возможности конечных пользователей. У кого-то из ваших сотрудников может не быть подключен домашний интернет или каналы связи плохого качества. Вероятно, может понадобиться закупка модемов для таких сотрудников. Переоцените корпоративные требования по объемам мобильного интернета на корпоративных телефонах, так как в условиях удаленной работы возрастают объемы передачи данных. Не у всех сотрудников может быть персональный компьютер – потребуется закупка служебных ноутбуков.
   
8. В условиях удаленной работы возрастает нагрузка на подразделения поддержки информационных технологий. Готовы ли эти подразделения к повышенной нагрузке?
   
9. Говоря о технологических решениях нельзя не упомянуть о проведении анализа существующих в организации мощностей. Позволяют ли они справляться с возрастающими задачами? Готовы ли коммуникационные каналы к передаче больших объемов данных?
   
10. С учетом изменившихся подходов к выполнению бизнес-процессов и процессов, связанных с технической поддержкой, необходимо актуализировать процедуры выявления, реагирования и решения инцидентов информационных технологий и информационной безопасности.
    
11. С точки зрения бизнеса немаловажной мерой является оценка поставщиков и их готовности к бесперебойной поставке продукции и услуг для вашей организации. Оцените возможные пути доставки продукции – возможно транспортные хабы находятся в регионах, в которых введен карантин или есть риск введения ограничений на перемещение людей, транспортных средств и товаров. Составьте перечень альтернативных поставщиков – заключите рамочные соглашения.
    
12. Юридическим подразделениям совместно с экспертами по непрерывности бизнеса необходимо акцентировать внимание на новых договорах с поставщиками, включая пункты об уровне оказываемых услуг, а также регулярно отслеживать выход новых указаний государственных органов, связанных с противодействием пандемии.
    

Не стоит рассматривать перечисленные меры как временные. Рекомендуем разработать стратегию на период не менее 3-4 месяцев.

Резюмируя вышеизложенное, следует отметить первоочередные шаги, которые нужно реализовать уже сейчас:

• Проверьте свою техническую готовность к дистанционной работе. Обеспечьте надежное функционирования центров обработки данных и серверного оборудования.
• Определите критичный бизнес-персонал, внедрите меры по минимизации риска потери этих сотрудников по причине болезни.
  
• Приступите к внедрению новых технологий удаленной работы, например переход в «облака», электронный документооборот, не забывая о средствах защиты.
  
• Разработайте сценарии возможных последствий для организации в зависимости от сроков карантина: 4 недели, 8 недель, 16 недель. Проработайте стратегии снижения негативных последствий.