Majoritatea organizatiilor mari din Romania au un plan de continuitate a afacerii (business continuity plan), care de obicei este concretizat sub forma unui document care cuprinde actiunile necesare reluarii activitatii in cazul aparitiei unor situatii atipice si cu impact semnificativ asupra businessului. In mod traditional, aceste planuri de continuitate iau in considerare scenarii de atacuri cibernetice, dezastre naturale, cum ar fi cutremurele, sau informatii si scenarii adverse intens mediatizate care pot afecta capacitatea organizatiei de a-si continua activitatea in parametri obisnuiti.
Principalul obiectiv al acestor planuri este de a restabili functiunile critice ale organizatiei, pentru a putea relua activitatea in mod ordonat si gradual. Prioritatile sunt diferite in functie de domeniul in care activeaza organizatia. Bancile, spre exemplu, urmaresc cu prioritate restabilirea functionarii sistemelor de plati cu cardul si online; pentru operatorii de telecomunicatii, primeaza asigurarea serviciilor de telefonie si a traficului de date catre clienti; furnizorii de utilitati urmaresc cu prioritate restabilirea furnizarii de servicii si reducerea zonei afectate.
Tic-tac, tic-tac
Timpul este un element esential in executia planului de continuitate a afacerii, avand in vedere ca perioadele repetate sau lungi de nefunctionare pot produce pagube economice si de reputatie pentru organizatii. Drept dovada, in aproximativ toate industriile puternic reglementate (servicii financiare, telecomunicatii, energie etc.) exista norme specifice care prevad praguri maxime de indisponibilitate pentru anumite tipuri de servicii. Incalcarea acestora duce la aplicarea unor sanctiuni care de multe ori sunt consistente.
In general, timpii de recuperare pentru functiunile critice sunt de ordinul orelor, pe cand pentru functiunile interne, care nu sunt critice, timpii de recuperare pot fi de cateva zile si, foarte rar, mai mari de o luna. Infrastructurile IT sunt construite in jurul acestui principiu. Pentru unele sisteme este preferabil un mecanism de comutare automata (failover) intr-un centru de date din alt oras sau in cloud, iar pentru altele este suficient sa existe copii de siguranta ale datelor, urmand ca refacerea acestora sa dureze mai mult. Distinctia intre metodele alese de recuperare este facuta de cat de importanta este recuperarea serviciilor si datelor intr-un timp scurt versus cat de costisitoare sunt masurile de pregatire in acest sens.
Continuitatea afacerii in caz de pandemie
Un plan de continuitate a afacerii ia in calcul si amenintarea aparitiei unei pandemii. Acest lucru schimba insa semnificativ regulile jocului. Chiar daca putem presupune ca impactul direct este minim – un procent mic de angajati bolnavi la un moment dat –, masurile preventive precum izolarea, punerea in carantina a personalului, restrictiile de circulatie si de transport si evitarea voluntara a contactului direct testeaza limitele organizatiilor de a-si desfasura activitatea fara prezenta fizica a personalului in spatiile de lucru. De la aspecte de ordin juridic si pana la aspecte de ordin practic, este foarte dificil de estimat cate organizatii sunt cu adevarat pregatite sa functioneze in aceste situatii pentru mai multe saptamani sau chiar luni.
De asemenea, persoanele care lucreaza cu ajutorul calculatorului ar fi si ele semnificativ afectate. Sistemele IT pot fi pregatite pentru angajatii care lucreaza la distanta, dar nu sunt, in general, configurate sa permita accesul in retea de la distanta, simultan, pentru un numar mare de angajati. Mai mult, daca in mod normal acest acces este efectuat prin intermediul laptopului de serviciu, exista probabilitatea aparitiei unei noi nevoi, aceea de a asigura functionarea simultana a zeci sau chiar sute de calculatoare personale intr-un interval de timp foarte mic, de cateva zile, lucru care implica mobilizarea unor resurse importante care sa faciliteze inrolarea echipamentelor personale (BYOD - Bring Your Own Device).
„Inima” unei reactii coordonate in timpul unei situatii de criza este reprezentata de constituirea unei celule de criza la nivelul organizatiei, care sa includa persoane cu putere de decizie, personal pregatit si capabil sa comunice clar si prompt, atat intern, cat si extern, dar si personal care sa coordoneze restabilirea sistemelor IT. Insasi functionarea celulei de criza poate fi afectata, in cazul impunerii unor restrictii de deplasare si transport.
Insa scenariul unei pandemii nu trebuie analizat doar prin prisma impactului direct. O astfel de unda de soc este insotita de obicei de reasezari economice si sociale si de schimbarea comportamentului de consum. In acest context, este posibil ca riscurile de continuitate a afacerii sa fie amplificate si sa necesite, in primul rand, adaptarea si comunicarea imediata a modalitatilor de actiune, situatie in care actualizarea documentatiei formale trece in plan secundar.
In construirea planurilor de continuitate, organizatiile nu trebuie sa omita importanta protejarii vietii umane, care reprezinta prioritatea numarul unu a oricarui astfel de exercitiu. Pe langa aspectul umanitar, nenumarate exemple pragmatice ne arata ca nimeni nu este dispus sa participe la reluarea activitatii unei afaceri atunci cand viata sa sau a celor apropiati este amenintata.
Pregatirile trebuie insotite de testari ale componentelor importante pentru reluarea activitatii si ale planurilor efective, incepand cu managementul crizei, incluzand sistemele informatice si terminand cu relocarea personalului.