Σχέδιο Επιχειρησιακής Συνέχειας

Το Σχέδιο Επιχειρησιακής Συνέχειας (Αγγλ.:Business Continuity Plan - BCP)^[1][2] (ή "Επιχειρησιακή Συνέχεια και Σχεδιασμός Ανθεκτικότητας») είναι η διαδικασία δημιουργίας συστημάτων πρόληψης και ανάκαμψης για την αντιμετώπιση πιθανών απειλών για μια επιχείρηση.^[3] Επιπλέον της πρόληψης, ο στόχος είναι να δοθεί η δυνατότητα Επιχειρησιακής Συνέχειας πριν και κατά τη διάρκεια εκτέλεσης αποκατάστασης μετά από καταστροφή.^[4]

Η αντίσταση ενός οργανισμού σε αναστολή εργασιών είναι "η ικανότητα ... να αντέξει στις αλλαγές στο περιβάλλον του και να συνεχίσει να λειτουργεί".^[5] Η συχνά ονομαζόμενη ως ανθεκτικότητα, είναι μια δυνατότητα που επιτρέπει στους οργανισμούς είτε να υπομείνουν τις περιβαλλοντικές αλλαγές χωρίς να χρειάζεται να προσαρμοστούν μόνιμα, είτε να αναγκαστούν να προσαρμοστούν σε έναν νέο τρόπο εργασίας, ο οποίος να ταιριάζει καλύτερα στις νέες περιβαλλοντικές συνθήκες.^[5]

Επισκόπηση

Στο Σχέδιο θα πρέπει να περιλαμβάνεται οποιοδήποτε συμβάν, το οποίο θα μπορούσε να επηρεάσει αρνητικά τις λειτουργίες, όπως η διακοπή της αλυσίδας εφοδιασμού, η απώλεια ή ζημιά στην υποδομή ζωτικής σημασίας (μεγάλα μηχανήματα ή υπολογιστές/πόροι δικτύου). Ως εκ τούτου, το Σχέδιο Επιχειρησιακής Συνέχειας (BCP) είναι υποσύνολο της διαχείρισης κινδύνου.^[6] Στις ΗΠΑ, κυβερνητικές οντότητες αναφέρονται στη διαδικασία ως «σχεδιασμός της συνέχισης των επιχειρήσεων» (continuity of operations planning - COOP).^[7] Ένα Σχέδιο Επιχειρησιακής Συνέχειας^[8] περιγράφει μια σειρά από σενάρια καταστροφών και τα βήματα που θα ακολουθήσει η επιχείρηση σε κάθε συγκεκριμένο σενάριο για να επιστρέψει στις τακτικές εργασίες της. Το Σχέδιο Επιχειρησιακής Συνέχειας συντάσσεται εγκαίρως και μπορεί επίσης να περιλαμβάνει προφυλάξεις που πρέπει να τεθούν σε εφαρμογή. Συνήθως δημιουργείται με την συγκέντρωση πληροφοριών από το βασικό προσωπικό της εταιρείς και των υπολοίπων ενδιαφερομένων, και είναι ένα σύνολο ενδεχομένων, που προβλέπονται για την ελαχιστοποίηση της δυνητικής βλάβης στις επιχειρήσεις κατά τη διάρκεια των δυσμενών σεναρίων^[9]

Ανθεκτικότητα

Μια ανάλυση του 2005 σχετικά με τον τρόπο, με τον οποίο οι αποδιοργανώσεις μπορούν να επηρεάσουν δυσμενώς τις δραστηριότητες των επιχειρήσεων, και τον τρόπο, με τον οποίο η επένδυση στην ανθεκτικότητα μπορεί να δώσει ένα ανταγωνιστικό πλεονέκτημα έναντι οντοτήτων που δεν έχουν προετοιμαστεί για διάφορες απρόβλεπτες καταστάσεις^[10] επέκτεινε τις ως τότε κοινές πρακτικές των Σχεδίων Επιχειρησιακής Συνέχειας. Επιχειρηματικές οργανώσεις όπως το Συμβούλιο Ανταγωνιστικότητας αγκάλιασαν τον στόχο για ανθεκτικότητα.^[11]

Η προσαρμογή στην αλλαγή με φαινομενικώς πιο αργό, πιο εξελικτικό τρόπο - μερικές φορές στη διάρκεια πολλών ετών ή δεκαετιών - έχει περιγραφεί ως ανθεκτικότερη,^[12] και ο όρος «στρατηγική ανθεκτικότητα» χρησιμοποιείται πλέον για να περιγράψει κάτι περισσότερο από την αντίσταση σε κρίση της μιας φοράς, αλλά για να περιγράψει μια συνεχιζόμενη πρόληψη και προσαρμογή, "πριν η υπόθεση της αλλαγής (που πρέπει να γίνει) να γίνει απεγνωσμένα προφανής".

Η προσέγγιση αυτή συνοψίζεται κάποιες φορές ως: ετοιμότητα,^[13] προστασία, απόκριση και ανάκτηση.^[14]

Η Θεωρία της Ανθεκτικότητας μπορεί να σχετιστεί με το πεδίο των Δημόσιων Σχέσεων. Η ανθεκτικότητα είναι μια επικοινωνιακή διαδικασία που κατασκευάστηκε από τους πολίτες, τις οικογένειες, το σύστημα των μέσων ενημέρωσης, τις οργανώσεις και τις κυβερνήσεις μέσω της καθημερινής ομιλίας και της διαμεσολαβούμενης συνομιλίας.^[15]

Η θεωρία βασίζεται στο έργο της Patrice Buzzanell, καθηγήτριας στη Σχολή Επικοινωνίας Brian Lamb στο Πανεπιστήμιο Purdue.

Στο άρθρο της του 2010, "Η ανθεκτικότητα: Μιλώντας, αντιστέκοντας και φαντάζοντας τις νέες κανονικότητες στην ύπαρξη" ("Resilience: Talking, Resisting, and Imagining New Normalities Into Being"),^[16] η Buzzanell εξέτασε την ικανότητα των οργανισμών να ευδοκιμήσουν μετά από μια κρίση μέσα από την οικοδόμηση αντίστασης. Εξετάζοντας τη θεωρία ανθεκτικότητας, υπάρχουν ομοιότητες με την θεωρία της επικοινώνησης της κρίσης, αλλά και διαφορές. Η θεωρία επικοινώνησης της κρίσης βασίζεται στη φήμη της εταιρείας, αλλά η θεωρία ανθεκτικότητας βασίζεται στη διαδικασία ανάκαμψης της εταιρείας. Η Buzzanell διαπίστωσε ότι υπάρχουν πέντε βασικά στοιχεία ανθεκτικότητας, πέντε διαφορετικές διαδικασίες που χρησιμοποιούν τα άτομα όταν προσπαθούν να διατηρήσουν την ανθεκτικότητα: δημιουργώντας κανονικότητα, επιβεβαιώνοντας τις βάσεις της ταυτότητάς τους, συντηρώντας και χρησιμοποιώντας δίκτυα επικοινωνίας, χρησιμοποιώντας εναλλακτική λογική και υποβαθμίζοντας τα αρνητικά συναισθήματα, προβάλλοντας τα θετικά συαισθήματα.^[17] Κάθε μία από αυτές τις διαδικασίες μπορεί να εφαρμοστεί στις επιχειρήσεις σε περιόδους κρίσης, καθιστώντας την ανθεκτικότητα σημαντικό παράγοντα για τις επιχειρήσεις να επικεντρωθούν ενώ εξασκούνται.

Υπάρχουν τρεις κύριες ομάδες που πλήττονται από μια κρίση: micro (προσωπικό), meso (ομάδα ή οργάνωση) και macro (εθνική ή οργανισμού). Υπάρχουν επίσης δύο βασικοί τύποι ανθεκτικότητας: η προληπτική ανθεκτικότητα και η κατοπινή ανθεκτικότητα. Η προληπτική ανθεκτικότητα προετοιμάζει για μια κρίση και δημιουργεί μια σταθερή βάση για την εταιρεία. Η κατοπινή ανθεκτικότητα περιλαμβάνει τη διατήρηση της επικοινωνίας και επαφής με τους υπαλλήλους.^[18] Η προληπτική ανθεκτικότητα αντιμετωπίζει τρέχοντα θέματα, προτού προκαλέσουν πιθανή μεταβολή στο περιβάλλον εργασίας και η κατοπινή ανθεκτικότητα, διατηρώντας την επικοινωνία και αποδέχοντας τις πιθανότητες μετά από ένα περιστατικό. Η ανθεκτικότητα μπορεί να εφαρμοστεί σε κάθε οργανισμό.

Επιχειρησιακή Συνέχεια

Η Επιχειρησιακή Συνέχεια είναι το επιδιωκόμενο αποτέλεσμα της ορθής εκτέλεσης του Σχεδίου Επιχειρησιακής Συνέχειας και της ανάκαμψης από καταστροφές (Disaster recovery). Είναι το όφελος της οικονομικά αποδοτικής αγοράς εφεδρικών μηχανών και διακομιστών, της δημιουργίας αντιγράφων ασφαλείας και της απομάκρυνσής τους εκτός εταιρικών εγκαταστάσεων, της ανάθεσης ευθυνών, της διενέργειας ασκήσεων, της εκπαίδευσης των εργαζομένων και της επαγρύπνησης.

Ένα σημαντικό κόστος του σχεδιασμού είναι η προετοιμασία των εγγράφων διαχείρισης της συμμόρφωσης σε ελέγχους. Διατίθενται εργαλεία αυτοματοποίησης για τη μείωση του χρόνου και του κόστους που σχετίζονται με τη μη αυτόματη παραγωγή αυτών των πληροφοριών.

Διάφοροι οργανισμοί τυποποίησης έχουν δημοσιεύσει αρκετά εμπορικά πρότυπα επιχειρησιακής συνέχειας για να βοηθήσουν στην δημιουργία λιστών ελέγχου αυτών των εξελισσόμενων εργασιών.^[19]

Καταγραφή Αποθεμάτων

Οι υπεύθυνοι σχεδιασμού θα πρέπει να κατέχουν πληροφορίες σχετικά με:

• Εξοπλισμό
• Προμήθειες και προμηθευτές
• Έγγραφα και τεκμηρίωση, συμπεριλαμβανομένων των ποιών έχουν αντίγραφα ασφαλείας εκτός εταιρικών εγκαταστάσεων:^[8]
  • Επιχειρηματικά έγγραφα
  • Τεκμηρίωση διαδικασίας

Ανάλυση

Η φάση της ανάλυσης αποτελείται από

• Ανάλυση επιπτώσεων
• ανάλυση απειλής και
• σενάρια επιπτώσεων.

Η ποσοτικοποίηση των δεικτών ζημίας πρέπει επίσης να περιλαμβάνει «δολάρια για να υπερασπιστεί (η εταιρεία τον εαυτό της σε) μια δίκη.»^[20] Έχει εκτιμηθεί ότι ένα δολάριο που δαπανάται στην πρόληψη των απωλειών μπορεί να εμποδίσει να δαπανθούν "επτά δολάρια από οικονομικές απώλειες που σχετίζονται με καταστροφές".^[21]

Ανάλυση επιχειρηματικών επιπτώσεων (Business impact analysis - BIA)

Μια ανάλυση επιχειρηματικών επιπτώσεων κάνει διάκριση μεταξύ κρίσιμων (επείγουσων) και μή κρίσιμων (μη επείγουσων) οργανωτικών λειτουργιών/δραστηριοτήτων. Μια λειτουργία δύναται να θεωρηθεί κρίσιμη εάν υπαγορεύεται από το νόμο.

Για κάθε λειτουργία, εκχωρούνται δύο τιμές:

• Στόχος σημείου ανάκτησης (Recovery Point Objective - RPO) - η αποδεκτή καθυστέρηση των δεδομένων που δεν θα ανακτηθούν. Για παράδειγμα, είναι αποδεκτό η εταιρεία να χάσει δεδομένα 2 ημερών;^[22] Ο στόχος του σημείου ανάκτησης πρέπει να διασφαλίσει ότι δεν θα ξεπεραστεί η μέγιστη ανεκτή απώλεια δεδομένων για κάθε δραστηριότητα.
• Στόχος χρόνου ανάκτησης (Recovery Time Objective - RTO) - το αποδεκτό χρονικό διάστημα για την αποκατάσταση της λειτουργίας.

Οι μέγιστοι χρονικοί περιορισμοί για το χρονικό διάστημα κατά το οποίο τα βασικά προϊόντα ή οι υπηρεσίες μιας επιχείρησης μπορεί να μην είναι διαθέσιμα ή να μην είναι παραδοτέα, πριν τα ενδιαφερόμενα μέρη να αντιληφθούν μη αποδεκτές συνέπειες, έχουν καθοριστεί ως:

• Μέγιστη ανεκτή περίοδος διακοπής (Maximum Tolerable Period of Disruption - MTPoD)
• Μέγιστος χρόνος ανεκτής διακοπής λειτουργίας (Maximum Tolerale Downtime - MTD )
• Μέγιστη ανεκτή διακοπή λειτουργίας (Maximum Tolerable Outage - MTO) )
• Μέγιστη αποδεκτή διακοπή λειτουργίας (Maximum Allowable Outage - ΜΑΟ)^[23][24]

Σύμφωνα με το πρότυπο ISO 22301, οι όροι «μέγιστη αποδεκτή διακοπή λειτουργίας» και «μέγιστη ανεκτή περίοδος διακοπής» σημαίνουν το ίδιο πράγμα και ορίζονται με ακριβώς τις ίδιες λέξεις.^[25]

Συνέπεια Δεδομένων

Όταν περισσότερα από ένα συστήματα παύουν να λειτουργούν (crash), τα σχέδια αποκατάστασης πρέπει να εξισορροπούν την ανάγκη συνέπειας των δεδομένων με άλλους στόχους, όπως του Στόχου Χρόνου Ανάκτησης (Recovery Time Objective - RTO) και Στόχου Σημείου Ανάκτησης (Recovery Point Objective - RPO).^[26] Αυτή η ανάγκη συνέπειας των δεδομένων περιγράφεται από τον Στόχο Αποκατάστασης Συνέπειας (Recovery Consistency Objective - RCO). Χρησιμοποιώντας τον εφαρμόζονται αντικειμενικοί στόχοι για την συνέπεια των δεδομένων, ώστε να καθοριστεί μια αποτίμηση της συνέπειας των κατανεμημένων ψηφιακών δεδομένων της εταιρείας τα οποία βρίσκονται σε αλληλοσυνδεόμνενα συστήματα, έπειτα από ένα καταστροφικό περιστατικό. Παρόμοιοι όροι που χρησιμοποιούνται σε αυτό το λογικό πλαίσιο είναι τα "Χαρακτηριστικά Σταθερότητας Ανάκτησης" (Recovery Consistency Characteristics - RCC) και "Επίπεδο Ανάκτησης Αντικειμένων" (Recovery Object Granularity - ROG). ^{[27] [28]}

Ενώ οι RTO και RPO είναι απόλυτες τιμές ανά σύστημα, το RCO εκφράζεται ως ποσοστό που μετρά την απόκλιση μεταξύ πραγματικής και στοχευμένης κατάστασης των ψηφιακών εταιρικών δεδομένων σε συστήματα, για ομάδες επεξεργασίας ή για μεμονωμένες επιχειρηματικές διαδικασίες.

Ο ακόλουθος τύπος υπολογίζει το RCO με το "n" να αντιπροσωπεύει τον αριθμό των επιχειρηματικών διαδικασιών και τις "οντότητες" να αντιπροσωπεύουν μια αφηρημένη τιμή για τα επιχειρηματικά δεδομένα: ${\displaystyle {\text{RCO}}=1-{\frac {({\text{πλήθος ασυνεπών οντοτήτων}})_{n}}{({\text{αριθμός οντοτήτων}})_{n}}}}$ 

RCO=100% σημαίνει ότι μετά την ανάκτηση, δεν υπάρχει απόκλιση των δεδομένων των επιχειρήσεων.^[29]

Ανάλυση απειλών και κινδύνων (Threat and risk analysis - TRA)

Μετά τον καθορισμό των απαιτήσεων ανάκτησης, κάθε πιθανή απειλή μπορεί να απαιτεί μοναδικά βήματα ανάκτησης. Οι κοινές απειλές περιλαμβάνουν:

* Επιδημίες

• Σεισμός
• Φωτιά
• Πλημμύρα
• Cyber attack
• Δολιοφθορά (εκ των έσω ή από εξωτερική απειλή)
• Τυφώνας ή άλλη μεγάλη καταιγίδα
• Διακοπή ρεύματος
• Διακοπή νερού (διακοπή παροχής, μόλυνση)
• Διακοπή τηλεπικοινωνιών
• Διακοπή συστημάτων πληροφορικής
• Τρομοκρατία/Πειρατεία
• Πόλεμος/αστική διαταραχή
• Κλοπή (εκ των έσω ή από εξωτερική απειλή, κλοπή ζωτικής σημασίας πληροφορίες ή υλικό)
• Τυχαία αποτυχία των κρίσιμων για την αποστολή της εταιρείας συστημάτων
• Εξάρτηση ενός σημείου
• Αποτυχία προμηθευτή

Οι παραπάνω περιοχές μπορούν να καταρρεύσουν διαδοχικά: Οι προκαθορισμένοι ανταποκριτές μπορούν να σκοντάψουν. Οι προμήθειες ενδέχεται να εξαντληθούν. Κατά τη διάρκεια της επιδημίας του SARS το 2002-2003, ορισμένοι οργανισμοί μοίρασαν τους εργαζομένους σε ομάδες και τους οργάνωσαν να λειτουργούν εκ περιτροπής σύμφωνα με την περίοδο επώασης της ασθένειας. Επίσης, απαγόρευσαν την προσωπική επαφή κατά τη διάρκεια τόσο των εργάσιμων όσο και των μη εργάσιμων ωρών. Με τον τρόπο αυτό αυξήθηκε η Ανθεκτικότητα ενάντια στην απειλή.

Σενάρια επιπτώσεων

Σενάρια επιπτώσεων είναι προσδιορισμένες και τεκμηριωμένες καταστάσεις, ως:

• ανάγκη ιατρικών προμηθειών^[30]
• ανάγκη επιλογών μεταφοράς^[31]
• επιπτώσεις πυρηνικών καταστροφών στους πολίτες^[32]
• ανάγκη για εταιρικές προμήθειες και προμήθειες επεξεργασίας δεδομένων need^[33]

Αυτά θα πρέπει να αντανακλούν την ευρύτερη δυνατή ζημιά.

Βαθμίδες Ετοιμότητας

Τα επτά Επίπεδα Ετοιμότητας ανάκτησης από καταστροφή^[34] που εξέδωσε το SHARE το 1992, ενημερώθηκαν το 2012 από την IBM ως μοντέλο των οκτώ Επιπέδων Ετοιμότητας:^[35]

• Βαθμίδα 0 - Τίποτα εκτός εταιρικού χώρου. Οι εταιρείες με βαθμίδα ετοιμότητας 0 δεν έχουν Σχέδιο Επιχειρησιακής Συνέχειας. Δεν υπάρχει αποθήκευση της πληροφορίας, δεν υπάρχει τεκμηρίωση, δεν υπάρχει υλικό αποθήκευσης αντιγράφων ασφαλείας, και δεν υπάρχει Σχέδιο έκτακτης ανάγκης. Τυπικός χρόνος αποκατάστασης: Σε αυτή την περίπτωση ο απαιτούμενος χρόνος αποκατάστασης είναι απρόβλεπτος. Στην πραγματικότητα, μπορεί να είναι ανέφικτη η αποκατάσταση.

• Βαθμίδα 1 - Αντίγραφα ασφαλείας χωρίς Hot Site Οι εταιρείες με Βαθμίδα Ετοιμότητας 1 δημιουργούν Αντίγραφα Ασφαλείας των συστημάτων τους σε θέσεις εκτός των εταιρικών εγκαταστάσεων (off site). Αναλόγως της συχνότητας δημιουργίας αντιγράφων ασφαλείας, οι εταιρείες είναι προετοιμασμένες να χάσουν δεδομένα αρκετών ημερών ή/και εβδομάδων, αλλά τουλάχιστον τα Αντίγραφα Ασφαλείας τους είναι εξασφαλισμένα εκτός των εγκαταστάσεών τους. Πάντως, αυτή η Βαθμίδα δεν συμπεριλαμβάνει τα (φυσικά) Συστήματα στα οποία θα γίνει η ανάκτηση. Η μέθοδος αναφέρεται από την IBM ως Μέθοδος Πρόσβασης Φορτηγών (Pickup Truck Access Method - PTAM).
• Βαθμίδα 2 - Αντίγραφα Ασφαλείας και Hot site Οι εταιρείες με Βαθμίδα Ετοιμότητας 2 δημιουργούν αντίγραφα ασφαλείας τακτικά και τα αποθηκεύουν σε κασέτες (tapes). Η μέθοδος αυτή συνδυάζεται με την ύπαρξη διαφορετικής θέσης εταιρικών εγκαταστάσεων (off-site) και σχετικών υποδομών σε εκείνη την θέση. Το σύνολο των off-site εγκαταστάσεων με τις σχετικές υποδομές λέγεται Hot site. Στο Hot site θα ανακτηθούν από τις κασέτες τα συστήματα σε περίπτωση μιας καταστροφής. Η λύση αυτή εξακολουθεί να απαιτεί ώρες ή και ημέρες για την ανάκτηση των δεδομένων, αλλά είναι λιγότερο απρόβλεπτη ως προς τον συνολικό χρόνο ανάκτησης. Ως παραδείγματα: PTAM με διαθέσιμο Hot Site, IBM Tivoli Storage Manager.
• Βαθμίδα 3 - Ηλεκτρονικός Αποθησαυρισμός (electronic vaulting)^[36] Με την μέθοδο του ηλεκτρονικού αποθησαυρισμού δημιουργούνται αντίγραφα ασφαλείας των ψηφιακών δεδομένων και αυτά μεταδίδονται ηλεκτρονικά σε μια ασφαλή θέση εκτός των εταιρικών χώρων (off-site). Οι λύσεις της Βαθμίδας 3 χρησιμοποιούν στοιχεία της Βαθμίδας 2. Επιπρόσθετα, ορισμένα κρίσιμα για την διαδικασία δεδομένα μεταδίδονται κι αποθησαυρίζονται στην off-site θέση. Τα δεδομένα που αποστέλλονται με αυτή την διαδικασία είναι συνήθως πιο πρόσφατα από εκείνα που αποστέλλονται μέσω PTAM. Το αποτέλεσμα είναι μικρότεροι χρόνοι ανάκτησης δεδομένων και μικρότερη απώλεια δεδομένων μετά από ένα καταστροφικό γεγονός.

• Βαθμίδα 4 - Στιγμιότυπα συγκεκριμένης χρονικής στιγμής (point-in-time, PIT) Οι λύσεις της Βαθμίδας 4 χρησιμοποιούνται από εταιρείες που απαιτούν ταυτόχρονα πιο πρόσφατα δεδομένα και μικρότερους χρόνους ανάκτησης από ό,τι απαιτείται στις χαμηλότερες Βαθμίδες. Αντί να βασίζονται πολύ στην αποστολή κασετών, όπως συνηθίζεται στις χαμηλότερες βαθμίδες, οι λύσεις της Βαθμίδας 4 αρχίζουν να ενσωματώνουν περισσότερο την χρήση σκληρών δίσκων. Η απώλεια πολλών ωρών δεδομένων είναι ακόμη πιθανή, αλλά είναι ευκολότερο να δημιουργούνται αντίγραφα δεδομένων συγκεκριμένης χρονικής στιγμής (point-in-time snapshots) με μεγαλύτερη συχνότητα απ'ό,τι μπορεί να γίνει με την χρήση κασετών.

• Βαθμίδα 5 - "Ακεραιότητα συναλλαγών" Οι λύσεις της Βαθμίδας 5 χρησιμοποιούνται από επιχειρήσεις, οι οποίες απαιτούν συνέπεια μεταξύ των δεδομένων που παράγονται με τα δεδομένα που βρίσκονται στα κέντρα ανάκτησης δεδομένων. Σε τέτοιες λύσεις υπάρχει ελάχιστη απώλεια δεδομένων. Ωστόσο, η παρουσία αυτής της λειτουργικότητας εξαρτάται εξ ολοκλήρου από την εφαρμογή που χρησιμοποιείται για την υλοποίηση.

• Βαθμίδα 6 - Μηδενική ή σχεδόν-Μηδενική απώλεια δεδομένων Οι λύσεις της Βαθμίδας 6 διατηρούν τα υψηλότερα επίπεδα συνέπειας δεδομένων μεταξύ των δεδομένων που παράγονται με τα δεδομένα που βρίσκονται στα κέντρα ανάκτησης δεδομένων. Χρησιμοποιούνται από εταιρείες με ελάχιστη ή μηδενική ανοχή στην απώλεια δεδομένων, οι οποίες χρειάζονται να τα ανακτήσουν ραγδαία και να τα χρησιμοποιήσουν στις εφαρμογές τους. Οι λύσεις αυτές δεν εξαρτώνται από τις εφαρμογές υλοποίησης.

• Βαθμίδα 7 - Εξαιρετικά αυτοματοποιημένη ανάκτηση, ολοκληρωμένη εταιρική λύση Οι λύσεις της Βαθμίδας 7 περιλαμβάνουν όλα τα σημαντικά χαρακτηριστικά που χρησιμοποιούνται στις λύσεις της Βαθμίδας 6, ενώ επιπρόσθετα ενσωματώνονται αυτοματοποιήσεις. Αυτό επιτρέπει στις λύσεις της Βαθμίδας 7 να εξασφαλίζουν μεγαλύτερη συνέπεια δεδομένων από όσο εξασφαλίζει η Βαθμίδα 6. Επιπλέον, η ανάκτηση των εφαρμογών είναι αυτοματοποιημένη, επιτρέποντας την ταχύτερη αποκατάσταση των συστημάτων και των εφαρμογών, από ό,τι θα ήταν δυνατή με τις χειρωνακτικές διαδικασίες ανάκτησης.

Σχεδιασμός Λύσης

Δύο βασικές απαιτήσεις που προκύπτουν από το στάδιο της ανάλυσης των επιπτώσεων είναι:

• Για το IT (Τεχνολογίες Πληροφορικής): οι ελάχιστες απαιτήσεις των εφαρμογών και των δεδομένων και ο χρόνος κατά τον οποίο θα πρέπει να είναι διαθέσιμα.
• Εκτός IT: η διαφύλαξη των εκτυπωμένων, χειρόγραφων εντύπων (π.χ. τα συμβόλαια). Ο σχεδιασμός των διαδικασιών θα πρέπει να προβλέπει το απαραίτητο εξειδικευμένο προσωπικό και την ενσωματωμένη τεχνολογία.

Η φάση αυτή και η φάση ανάκαμψης από καταστροφή αλληλοκαλύπτονται σε κάποια σημεία.

Η φάση του σχεδιασμού προσδιορίζει:

• τη δομή διοίκησης διαχείρισης κρίσεων.
• την αρχιτεκτονική των τηλεπικοινωνιών μεταξύ της κύριας και της δευτερεύουσας εγκατάστασης.
• την μεθοδολογία αντιγραφής δεδομένων μεταξύ της κύριας και της δευτερεύουσας εγκατάστασης.
• Στις εγκαταστάσεις ανάκτησης - τις εφαρμογές, τα δεδομένα και τον χώρος εργασίας που απαιτείται.

Βρετανικά πρότυπα

Το Βρετανικό Ίδρυμα Τυποποίησης (BSI) εξέδωσε μια σειρά προτύπων:

• BS 7799, εξέτασε περιφερειακά τις διαδικασίες ασφάλειας των πληροφοριών.
• 2006: BCP—BS 25999-1,
• 2007: BS 25999-2 "Specification for Business Continuity Management", το οποίο καθορίζει τις απαιτήσεις για την εφαρμογή, τη λειτουργία και τη βελτίωση ενός τεκμηριωμένου συστήματος διαχείρισης Επιχειρησιακής Συνέχειας (business continuity management system - BCMS).
• 2008: BS25777, ειδικά για την ευθυγράμμιση της συνέχειας των συστημάτων πληροφορικής με την επιχειρησιακή συνέχεια. (αποσύρθηκε τον Μάρτιο του 2011)
• 2011: ISO/IEC 27031 - Τεχνικές Ασφαλείας — Κατευθυντήριες γραμμές για την ετοιμότητα των συστημάτων Πληροφορικής και Επικοινωνιών για την Επιχειρησιακή Συνέχεια.
• Ιούλιος 2014: BS EN ISO 22301:2014, το τρέχον πρότυπο για τον Σχεδιασμό της Επιχειρησιακή Συνέχειας.^[37]

Το ITIL έχει ορίσει μερικούς από αυτούς τους όρους.^[38]

Εντός του Ηνωμένου Βασιλείου χρησιμοποιούνται τα BS 25999-2: 2007 και BS 25999-1: 2006 για τη διαχείριση της Επιχειρησιακής Συνέχειας σε όλους τους οργανισμούς, τους κλάδους και τους τομείς. Τα έγγραφα αυτά δίνουν ένα πρακτικό σχέδιο για την αντιμετώπιση των περισσοτέρων περιστάσεων - από τις ακραίες καιρικές συνθήκες έως την τρομοκρατία, την αποτυχία ενός συστήματος πληροφορικής και την ασθένεια του προσωπικού.^[39]

Νόμος για τις Αστικές Υποθέσεις

Το 2004, έπειτα από κρίσεις των προηγουμένων ετών, η κυβέρνηση του Ηνωμένου Βασιλείου ψήφισε το 2004 τον Civil Contingencies Act of 2004:

Οι επιχειρήσεις πρέπει να έχουν μέτρα σχεδιασμού επιχειρησιακής συνέχειας για να επιβιώσουν και να συνεχίσουν να ευδοκιμούν ενώ ταυτόχρονα εργάζονται για να κρατήσουν τον αντίκτυπο του περιστατικού στον ελάχιστο. ^[40]

Ο νόμος χωρίστηκε σε δύο μέρη:

• Μέρος 1: πολιτική προστασία, που καλύπτει τους ρόλους και τις ευθύνες των τοπικών ανταποκριτών (των περιστατικών)
• Μέρος 2: εξουσίες έκτακτης ανάγκης

Αυστραλία και Νέα Ζηλανδία

Το Ηνωμένο Βασίλειο και η Αυστραλία ^[41] έχουν ενσωματώσει την ανθεκτικότητα στον προγραμματισμό της επιχειρηματικής συνέχειας. ^[42][43] Στο Ηνωμένο Βασίλειο, η ανθεκτικότητα υλοποιείται τοπικά από το Local Resilience Forum.

Στη Νέα Ζηλανδία, το πρόγραμμα Ανθεκτικών Οργανισμών του Canberbury University ανέπτυξε ένα εργαλείο αξιολόγησης για τη συγκριτική αξιολόγηση της ανθεκτικότητας των οργανισμών.^[44] Καλύπτει 11 κατηγορίες, με 5 έως 7 ερωτήσεις. Ένας Δείκτης Ανθεκτικότητας συνοψίζει αυτή την αξιολόγηση.^[45]

Υλοποίηση και έλεγχος

Η φάση της υλοποίησης περιλαμβάνει αλλαγές πολιτικών, απόκητησh υλικών, στελέχωση και δοκιμές.

Έλεγχος και αποδοχή της οργανωτικής δομής

Το βιβλίο του 2008 Exercising for Excellence («Άσκηση για Αριστεία»), που δημοσιεύτηκε από το The British Standards Institution, αναγνώρισε τρεις τύπους ασκήσεων που μπορούν να χρησιμοποιηθούν κατά τη δοκιμή των σχεδίων επιχειρηματικής συνέχειας.

• "Επιτραπέζιες Ασκήσεις" (Tabletop exercises) - ένα μικρό πλήθος ατόμων επικεντρώνεται σε μια συγκεκριμένη πτυχή ενός Σχεδίου Επιχειρησιακής Συνέχειας (BCP). Μια άλλη μορφή της συγκεκριμένης λογικής περιλαμβάνει έναν μόνο εκπρόσωπο από κάθε μία από τις διάφορες ομάδες.

• Μεσαίες ασκήσεις - Αρκετά τμήματα, ομάδες ή κλάδοι επικεντρώνονται σε πολλαπλές πτυχές του Σχεδίου Επιχειρησιακής Συνέχειας (BCP). Το πεδίο δράσης μπορεί να εκτείνεται από μερικές ομάδες από ένα μόνο κτήριο έως πολλές ομάδες που λειτουργούν σε διασκορπισμένες τοποθεσίες. Προστίθενται προκαθορισμένες "εκπλήξεις".

• Σύνθετες ασκήσεις - Παραμένουν όλες οι πτυχές μιας μεσαίας άσκησης, αλλά για μέγιστο ρεαλισμό δεν ενεργοποιείται καμία ειδοποίηση, και προστίθενται πραγματική εκκένωση των χώρων και πραγματική επίκληση ενός χώρου αποκατάστασης καταστροφών.

Ενώ οι χρόνοι εκκίνησης και τερματισμού έχουν συμφωνηθεί εκ των προτέρων, η πραγματική διάρκεια ενδέχεται να είναι άγνωστη εάν στα περιστατικά επιτρέπεται να εξελιχθούν.

Συντήρηση

Ο διετής ή ετήσιος κύκλος συντήρησης ενός εγχειριδίου Σχεδίασης Επιχειρηματικής Συνέχειας (BCP)^[41] αναλύεται σε τρεις περιοδικές δραστηριότητες.

• Επιβεβαίωση πληροφοριών του εγχειριδίου, προώθηση στο προσωπικό για ευαισθητοποίηση και ειδική εκπαίδευση για τα κρίσιμα άτομα.
• Έλεγχος και επαλήθευση τεχνικών λύσεων που έχουν οριστεί για τις εργασίες ανάκτησης.
• Δοκιμές και επαλήθευση των διαδικασιών ανάκαμψης του οργανισμού.

Τα ζητήματα που εντοπίζονται κατά τη φάση των δοκιμών συχνά πρέπει να επανεισαχθούν στη φάση ανάλυσης.

Πληροφορίες/στόχοι

Το εγχειρίδιο του Σχεδίου Επιχειρησιακής Συνέχειας πρέπει να ακολουθεί την εξέλιξη του οργανισμού και να διατηρεί την πληροφορία σχετικά με το ποιος πρέπει να γνωρίζει τι.

• μια σειρά λιστών ελέγχου
  • περιγραφές θέσεων εργασίας, απαιτούμενα προσόντα, απαιτήσεις κατάρτισης
  • την τεκμηρίωση και τη διαχείριση εγγράφων
• ορισμοί της ορολογίας για τη διευκόλυνση της έγκαιρης επικοινωνίας κατά τη διάρκεια της διαδικασίας ανάκαμψης,^[46]
• καταλόγους διανομής (προσωπικό, σημαντικοί πελάτες, προμηθευτές)
• πληροφορίες σχετικά με την υποδομή επικοινωνιών και μεταφορών (δρόμοι, γέφυρες)^[47]

Τεχνικοί πόροι

Πρέπει να διατηρηθούν εξειδικευμένοι τεχνικοί πόροι. Οι έλεγχοι περιλαμβάνουν:

• Διανομή των ορισμών των ιών υπολογιστών (computer virus)
• Ασφάλεια εφαρμογών και διανομή υπηρεσιών patch
• Λειτουργικότητα υλικού (hardware)
• Λειτουργικότητα εφαρμογών
• Επαλήθευση δεδομένων
• Εφαρμογή δεδομένων
  

Έλεγχος και επαλήθευση των διαδικασιών ανάκτησης

Οι αλλαγές του λογισμικού και των διαδικασιών εργασίας πρέπει να (τεκμηριώνονται) και να επικυρώνονται, συμπεριλαμβανομένης της επαλήθευσης ότι οι τεκμηριωμένες εργασίες ανάκτησης των διαδικασιών εργασίας, και οι υποστηρικτικές υποδομές αποκατάστασης από καταστροφές επιτρέπουν στο προσωπικό να πραγματοποιήσει την ανάκαμψη εντός του προκαθορισμένου στόχου χρόνου αποκατάστασης.^[48]

Δείτε Επίσης

* Μοντελοποίηση καταστροφών

• Διαχείριση Κρίσης
• Ανθεκτικότητα σε Κυβερνοεπιθέσεις (Cyber resilience)
• Ψηφιακή Συνέχεια
• Καταστροφή
• Ανάκαμψη από Καταστροφή
• Έλεγχος αποκατάστασης μετά από καταστροφή και έλεγχος συνέχισης εργασιών
• Μείωση του κινδύνου καταστροφών
• Διαχείριση έκτακτης ανάγκης
• Ανθρωπογενείς κίνδυνοι
• Φυσικοί κίνδυνοι
• Διαχείριση Κινδύνων
• Σχεδιασμός σεναρίων
• Μηχανική Συστημάτων
• Κύκλος Ζωής Συστημάτων

Αναφορές

1. «How to Build an Effective and Organized Business Continuity Plan». Forbes. June 26, 2015. https://www.forbes.com/sites/johnrampton/2015/06/26/how-to-build-an-effective-and-organized-business-continuity-plan. 
2. «Surviving a Disaster» (PDF). American Bar.org (American Bar Association). 2011. 
3. Elliot, D.; Swartz, E.; Herbane, B. (1999) Just waiting for the next big bang: business continuity planning in the UK finance sector. Journal of Applied Management Studies, Vol. 8, No, pp. 43–60. Here: p. 48.
4. Alan Berman (March 9, 2015). «Constructing a Successful Business Continuity Plan». Business Insurance Magazine. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan. 
5. Ian McCarthy; Mark Collard; Michael Johnson. «Adaptive organizational resilience: an evolutionary perspective». Current Opinion in Environmental Sustainability 28: 33–40. doi:10.1016/j.cosust.2017.07.005. https://doi.org/10.1016/j.cosust.2017.07.005. 
6. Intrieri, Charles (10 Σεπτεμβρίου 2013). «Business Continuity Planning». Flevy. Ανακτήθηκε στις 29 Σεπτεμβρίου 2013. 
7. «Guidance & Directives - FEMA.gov». 
8. «A Guide to the preparation of a Business Continuity Plan» (PDF). Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 9 Φεβρουαρίου 2019. Ανακτήθηκε στις 12 Νοεμβρίου 2019. 
9. «Business Continuity Planning (BCP) for Businesses of all Sizes». 19 Απριλίου 2017. Αρχειοθετήθηκε από το πρωτότυπο στις 24 Απριλίου 2017. Ανακτήθηκε στις 12 Νοεμβρίου 2019. 
10. Yossi Sheffi (Οκτωβρίου 2005). The Resilient Enterprise: Overcoming Vulnerability for Competitive Enterprise. MIT Press. 
11. «Transform. The Resilient Economy». Αρχειοθετήθηκε από το πρωτότυπο στις 22 Οκτωβρίου 2013. Ανακτήθηκε στις 12 Νοεμβρίου 2019. 
12. «Αρχειοθετημένο αντίγραφο». Αρχειοθετήθηκε από το πρωτότυπο στις 11 Αυγούστου 2020. Ανακτήθηκε στις 12 Νοεμβρίου 2019. 
13. Tiffany Braun· Benjamin Martz (2007). «Business Continuity Preparedness and the Mindfulness State of Mind». SemanticScholar.com. Αρχειοθετήθηκε από το πρωτότυπο στις 19 Ιουνίου 2019. Ανακτήθηκε στις 12 Νοεμβρίου 2019. “An estimated 80 percent of companies without a well-conceived and tested business continuity plan, go out of business within two years of a major disaster” (Santangelo 2004) 
14. «Building A Resilient Nation: Enhancing Security, Ensuring a Strong Economy report» (PDF). Reform Institute. Οκτωβρίου 2008. ^{[νεκρός σύνδεσμος]}
15. https://www.researchgate.net/publication/322693327_Communication_and_resilience_concluding_thoughts_and_key_issues_for_future_research.  Missing or empty |title= (βοήθεια)
16. Buzzanell, Patrice M. (2010). «Resilience: Talking, Resisting, and Imagining New Normalcies Into Being». Journal of Communication 60 (1): 1–14. doi:10.1111/j.1460-2466.2009.01469.x. ISSN 1460-2466. https://onlinelibrary.wiley.com/doi/abs/10.1111/j.1460-2466.2009.01469.x. 
17. Buzzanell, Patrice M. (March 2010). «Resilience: Talking, Resisting, and Imagining New Normalcies Into Being». Journal of Communication 60 (1): 1–14. doi:10.1111/j.1460-2466.2009.01469.x. ISSN 0021-9916. http://dx.doi.org/10.1111/j.1460-2466.2009.01469.x. 
18. Buzzanell, Patrice M. (2018-01-02). «Organizing resilience as adaptive-transformational tensions». Journal of Applied Communication Research 46 (1): 14–18. doi:10.1080/00909882.2018.1426711. ISSN 0090-9882. http://dx.doi.org/10.1080/00909882.2018.1426711. 
19. «Business Continuity Plan». United States Department of Homeland Security. Αρχειοθετήθηκε από το πρωτότυπο στις 7 Δεκεμβρίου 2018. Ανακτήθηκε στις 4 Οκτωβρίου 2018. 
20. «Emergency Planning» (PDF). 
21. Helen Clark (15 Αυγούστου 2012). «Can your Organization survive a natural disaster?» (PDF). RI.gov. Αρχειοθετήθηκε από το πρωτότυπο (PDF) στις 24 Νοεμβρίου 2020. Ανακτήθηκε στις 12 Νοεμβρίου 2019. 
22. May, Richard. «Finding RPO and RTO». Αρχειοθετήθηκε από το πρωτότυπο στις 3 Μαρτίου 2016. 
23. «Maximum Acceptable Outage (Definition)». riskythinking.com. Albion Research Ltd. Ανακτήθηκε στις 4 Οκτωβρίου 2018. 
24. «BIA Instructions, BUSINESS CONTINUITY MANAGEMENT - WORKSHOP» (PDF). driecentral.org. Disaster Recovery Information Exchange (DRIE) Central. Ανακτήθηκε στις 4 Οκτωβρίου 2018. 
25. «Plain English ISO 22301 2012 Business Continuity Definitions». praxiom.com. Praxiom Research Group LTD. Αρχειοθετήθηκε από το πρωτότυπο στις 13 Μαΐου 2020. Ανακτήθηκε στις 4 Οκτωβρίου 2018. 
26. «The Rise and Rise of the Recovery Consistency Objective». Αρχειοθετήθηκε από το πρωτότυπο στις 26 Σεπτεμβρίου 2020. Ανακτήθηκε στις 9 Σεπτεμβρίου 2019. 
27. "How to evaluate a recovery management solution." West World Productions, 2006 [1]
28. "How to evaluate a recovery management solution." West World Productions, 2006 [2]
29. Josh Krischer· Donna Scott· Roberta J. Witty. «Six Myths About Business Continuity Management and Disaster Recovery» (PDF). Gartner Research. 
30. Medical supply location and distribution in disasters. doi:10.1016/j.ijpe.2009.10.004. 
31. «transportation planning in disaster recovery». SCHOLAR.google.com. 
32. «PLANNING SCENARIOS Executive Summaries» (PDF). 
33. Chloe Demrovsky (December 22, 2017). Holding It All Together. Manufacturing Business Technology Magazine. 
34. developed by SHARE's Technical Steering Committee, working with IBM
35. Ellis Holman (13 Μαρτίου 2012). «A Business Continuity Solution Selection Methodology» (PDF). IBM Corp. 
36. «Αρχειοθετημένο αντίγραφο». Αρχειοθετήθηκε από το πρωτότυπο στις 21 Νοεμβρίου 2019. Ανακτήθηκε στις 12 Νοεμβρίου 2019. 
37. British Standards Institution (2014). Societal security – Business continuity management Systems – Requirements: London
38. «ITIL® glossary and abbreviations». 
39. British Standards Institution (2006). Business continuity management-Part 1: Code of practice :London
40. Cabinet Office. (2004). overview of the Act. In: Civil Contingencies Secretariat Civil Contingencies Act 2004: a short. London: Civil Contingencies Secretariat
41. «Business Continuity Plan Template». 
42. Resilient Nation Αρχειοθετήθηκε 2015-09-23 στο Wayback Machine.. Demos. April 2009.
43. Improving Disaster Resilience Αρχειοθετήθηκε 2019-02-07 στο Wayback Machine.. Australian Government. May 12, 2009.
44. «Resilient Organisations». 22 Μαρτίου 2011. 
45. «Resilience Diagnostic». 28 Νοεμβρίου 2017. 
46. «Glossary of Business Continuity Terms». 
47. «Disaster Recovery Plan Checklist» (PDF). CMS.gov. 
48. Othman. «Validation of a Disaster Management Metamodel (DMM)». SCHOLAR.google.com. 

Επιπλέον Διάβασμα

ΗΠΑ

Βιβλιογραφία

• Business Continuity Planning, FEMA Αρχειοθετήθηκε 2017-12-01 στο Wayback Machine., Retrieved: June 16, 2012
• Continuity of Operations Planning (no date). U.S. Department of Homeland Security. Retrieved July 26, 2006.
• Purpose of Standard Checklist Criteria For Business Recovery (no date). Federal Emergency Management Agency. Retrieved July 26, 2006.
• NFPA 1600 Standard on Disaster/Emergency Management and Business Continuity Programs (2010). National Fire Protection Association.
• United States General Accounting Office Y2k BCP Guide (August 1998). United States Government Accountability Office.
• SPC.1-2009, "Organizational Resilience: Security, Preparedness, and Continuity Management Systems—Requirements with Guidance for Use", approved by American National Standards Institute

Διεθνής Οργανισμός Τυποποιήσεων - International Organization for Standardization

• ISO/IEC 27001:2005 (formerly BS 7799-2:2002) Information Security Management System
• ISO/IEC 27002:2005 (renumerated ISO17999:2005) Information Security Management – Code of Practice
• ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity
• ISO/PAS 22399:2007 Guideline for incident preparedness and operational continuity management
• ISO/IEC 24762:2008 Guidelines for information and communications technology disaster recovery services
• IWA 5:2006 Emergency Preparedness
• ISO 22301:2012 Societal security – Business continuity management systems – Requirements
• ISO 22313:2012 Societal security – Business continuity management systems – Guidance
• ISO/TS 22315:2015 Societal security – Business continuity management systems – Guidelines for business impact analysis (BIA)
• ISO/IEC 27031:2011, "Information security – Security techniques – Guidelines for information and communication technology [ICT] readiness for business continuity"

Βρετανικός Οργανισμός Προτύπων - British Standards Institution

• BS 25999-1:2006 Business Continuity Management Part 1: Code of practice
• BS 25999-2:2007 Business Continuity Management Part 2: Specification

Πρότυπα Αυστραλίας

• HB 292-2006, "A practitioners guide to business continuity management"
• HB 293-2006, "Executive guide to business continuity management"

Άλλοι

• James C. Barnes. A Guide to Business Continuity Planning. ISBN 978-0471530152. 
• Kenneth L Fulmer. Business Continuity Planning, A Step-by-Step Guide. ISBN 978-1931332217. 
• Richard Kepenach. Business Continuity Plan Design, 8 Steps for Getting Started Designing a Plan. 
• Judy Bell. Disaster Survival Planning: A Practical Guide for Businesses. ISBN 978-0963058003. 
• Dimattia, S. (November 15, 2001). «Planning for Continuity». Library Journal: 32–34. http://eric.ed.gov/?id=EJ645580. 
• Andrew Zolli· Ann Marie Healy (2013). Resilience: Why Things Bounce Back. Simon & Schuster. ISBN 978-1451683813. 
• International Glossary for Resilience, DRI International.

Εξωτερικοί σύνδεσμοι

• The tiers of Disaster Recovery and TSM. Charlotte Brooks, Matthew Bedernjak, Igor Juran, and John Merryman. In, Disaster Recovery Strategies with Tivoli Storage Management. Chapter 2. Pages 21–36. Red Books Series. IBM. Tivoli Software. 2002.
• SteelStore Cloud Storage Gateway: Disaster Recovery Best Practices Guide. Riverbed Technology, Inc. October 2011.
• Disaster Recovery Levels. Robert Kern and Victor Peltz. IBM Systems Magazine. November 2003.
• Business Continuity: The 7-tiers of Disaster Recovery. Αρχειοθετήθηκε 2018-09-26 στο Wayback Machine. Recovery Specialties. 2007.
• Continuous Operations: The Seven Tiers of Disaster Recovery. Mary Hall. The Storage Community (IBM). 18 July 2011. Retrieved 26 March 2013.</ref>
• Maximum Tolerable Period of Disruption (MTPOD)
• Maximum Tolerable Period of Disruption (MTPOD): BSI committee response
• https://web.archive.org/web/20160303215200/http://www.bccmanagement.com/mtpod.html
• https://web.archive.org/web/20090717220729/http://e-janco.com/MaximumTolerablePeriodofDisruption%20.html

• Department of Homeland Security Emergency Plan Guidelines
• CIDRAP/SHRM Pandemic HR Guide Toolkit Αρχειοθετήθηκε 2013-05-18 στο Wayback Machine.
• Adapt and respond to risks with a business continuity plan (BCP)