6 powodów, dla których warto testować Plany Ciągłości Działania

clock 6m 48s

Opracowanie Planu Ciągłości Działania to dopiero połowa sukcesu. Strategia, odporna na prawdziwy kryzys, wymaga czegoś więcej niż tylko dobrze przemyślanej teorii. Równie ważne są regularne testy posiadanych rozwiązań. Dlaczego warto je przeprowadzać? Czy rzeczywiście weryfikują skuteczność BCP?

Pożar, powódź, awaria systemu, atak hakerski, strajk pracowników – większość Planów Ciągłości Działania[1] uwzględnia te zdarzenia. W ostatnim czasie znaczna część firm uzupełniła swoje plany o procedury na wypadek wystąpienia pandemii, wynosząc lekcje z kryzysu wywołanego COVID-19, a także przygotowując się na drugą falę zachorowań.

Niestety samo spisanie założeń i zaznajomienie z nimi pracowników nie jest wystarczającą metodą obrony przed rzeczywistą katastrofą. Po opracowaniu planu istotne jest sprawdzenie, jak procedury zadziałają w praktyce, czyli przeprowadzenie testów symulujących prawdziwe zdarzenie. Ćwiczenia są równie istotne jak audyty oceniające gotowość organizacji do radzenia sobie z nieoczekiwanymi sytuacjami kryzysowymi.

Jak często i w jaki sposób przeprowadzać testy BCP / PCD?

Testy Planów Ciągłości Działania powinny odbywać się co najmniej raz na kwartał. Ich organizacja może stanowić pewnego rodzaju wyzwanie dla firm. Wymaga zainwestowania czasu, zasobów i dostępności zaangażowanych w proces pracowników. Czasem wiąże się też z koniecznością wygospodarowania budżetu i zaproszenia zewnętrznych obserwatorów.

Najpopularniejszymi technikami testowania BCP wg wytycznych BSI, dokumentu PD 25666 oraz międzynarodowego standardu ISO 22398:2013 Societal Security – Guidelines for exercises są: ćwiczenia, seminaria, symulacje, testy „table-top/paper-test” i testy operacyjne. Każdy ze sposobów pozwala przećwiczyć koordynację zespołu wedle ustalonego scenariusza, przewidzianego dla konkretnego zdarzenia.

Dokładne opisy sposobów testowania BCP oraz to, w jaki sposób je przeprowadzać opisaliśmy w artykule: Zasady testowania Planów Ciągłości Działania. Jak testować BCP?

Po zakończeniu testu powinien powstać raport z informacjami o elementach, które przeszły pomyślną weryfikację i o tych, które wymagają poprawy.

plany ciągłości działania

Organizacja testów wymaga zainwestowania czasu, zasobów i dostępności zaangażowanych w proces pracowników. Czasem wiąże się z koniecznością wygospodarowania budżetu i skorzystania z usług firm specjalizujących się w przeprowadzaniu testów BCP.

Oto 6 powodów, dla których warto testować Plany Ciągłości Działania[2]:

  1. Testy potwierdzają, czy cele organizacji zostaną osiągnięte, pomimo wystąpienia zagrożenia.
  2. Zwiększa się zdolność odtworzeniowa firmy po wystąpieniu incydentu.
  3. Ćwiczenia pomagają identyfikować luki i słabości BCP. Pokazują, czy plan obejmuje wszystkie krytyczne procesy, ich współzależności i priorytety. Testy są w stanie wykazać, czy to, co określone zostało jako niewiele znaczący incydent, nie stanowiłoby tak naprawdę poważnego kryzysu.
  4. Testy sprawdzają przygotowanie pracowników i umacniają ich świadomość w zakresie BCP. Poprawnie przeprowadzone testy chronią pracowników przed poczuciem dezorientacji w sytuacji realnego zagrożenia oraz są demonstracją kompetencji zespołów awaryjnych.
  5. Organizacja, która poddaje się regularnym testom i proaktywnie uwzględnia ich wyniki w doskonaleniu procesów, uwiarygadnia się i potwierdza zdolność do utrzymania Ciągłości Działania łańcucha dostaw i zapewnienia dostępności usług dla swoich Klientów.
  6. Wyniki testów pomagają aktualizować i doskonalić posiadane rozwiązania oraz zweryfikować założenia budzące wątpliwości.

Pobierz infografikę: Dlaczego warto testować Plany Ciągłości Działania

Co, jeśli nie testy Planów Ciągłości Działania?

Głównym celem testowania BCP jest weryfikacja skuteczności posiadanych rozwiązań oraz przygotowania pracowników. Jednak, gdy organizacja nie jest pewna czy w odpowiedni sposób zadbała o wszystkie kluczowe procesy, warto przeprowadzić audyt.

Audyt powinien polegać na całościowej ocenie zarządzania procesem Ciągłości Działania. Jego założeniem jest ustalenie nie tylko, czy plan jest skuteczny, ale również, czy jest zgodny z celami organizacji.

W ramach audytu sprawdza się, czy plan spełnienia wymagania standardu ISO/IEC 22301 opisującego wymagania w zakresie wdrożenia i utrzymania Systemu Zarządzania Ciągłością Działania. Działania audytowe mogą także weryfikować, czy wdrożenie zostało przeprowadzone zgodnie z najlepszymi praktykami opisanymi w standardach, takich jak: ISO 22313 (wytyczne wdrożenia normy ISO 22301), ISO 22317 (wytyczne dot. przeprowadzenia analizy BIA, z ang. Business Impact Analysis), ISO 22318 (wytyczne dot. Planowania Ciągłości Działania w łańcuchu dostaw), ISO 22398 (wytyczne dot. testowania PCD), ISO/IEC 27031 (wytyczne dot. zapewnienia gotowości do utrzymania Ciągłości Działania infrastruktury teleinformatycznej – z ang. ICT), PD 25666 (dobre praktyki w zakresie testowania PCD) oraz PD 25111 (wytyczne dot. zarządzania ludźmi w kryzysie).

Przeprowadzenie audytu warto zlecić firmie zewnętrznej, ponieważ jej obiektywizm, a także doświadczenie we wdrożeniach i audytach ma kluczowe znaczenie dla rzetelnej oceny uwzględnionych procedur postępowania. Oczywiście, jeśli organizacja posiada odpowiedni zespół, może samodzielnie zająć się audytem. Doświadczenie pokazuje jednak – i takie rozwiązanie rekomendujemy – że audyty przeprowadzane przez firmy zewnętrzne w większym stopniu zapewniają bezpieczeństwo organizacjom.

Sprawdź naszą ofertę dotyczącą testów, audytów i wdrożeń BCP: www.resilia.pl/service/ciaglosc-dzialania/

plany ciągłości działania

Testy BCP są równie istotne jak audyty oceniające gotowość organizacji do radzenia sobie z nieoczekiwanymi sytuacjami kryzysowymi.

Co, jeśli firma nie posiada Planu Ciągłości Działania?

Po kryzysie wywołanym pandemią COVID-19 ciężko sobie wyobrazić, że istnieją jeszcze przedsiębiorstwa, które nie posiadają BCP. Jak czytamy w raporcie firmy konsultingowej Mercer, 27,2% organizacji nie dysponuje Planami Ciągłości Działania, natomiast – co jest dobrym znakiem – 24% jest w trakcie ich opracowywania.

Zobacz także: 7 kroków skutecznego Planu Ciągłości Działania na wypadek drugiej fali COVID-19 i innych zagrożeń

Udzielając odpowiedzi na wyżej postawione pytanie: jeśli firma nie posiada BCP, powinna niezwłocznie taki plan opracować. Nie ma gotowego wzoru Planu Ciągłości Działania, który można by bezpośrednio wdrożyć w swoim przedsiębiorstwie. Wymaga on indywidualnego i przemyślanego przygotowania. W przypadku braku kompetentnych osób, warto również w tej sytuacji skorzystać z firmy specjalizującej się we wdrażaniu BCP.

Zarządzanie Ciągłością Działania wymaga zaangażowania

Solidna strategia BCP to nie tylko dobrze przemyślana strategia. Spisanie planu w formie dokumentu nie świadczy o jego skuteczności. Testy Planów Ciągłości Działania są najlepszym sposobem, aby dowiedzieć się, jak w praktyce sprawdzą się nasze założenia.

Testy – podobnie jak audyty – najlepiej powierzyć specjalistom, którzy z racji swojego doświadczenia i obiektywnego spojrzenia na organizację, potrafią niezawodnie ocenić efektywność posiadanych rozwiązań. Decydując się na współpracę z firmą zewnętrzną, zyskuje się pewność co do prawidłowości i kompleksowości przeprowadzanych testów.

Jeśli firma jest na etapie, w którym sama strategia wymaga oceny i dopracowania, najlepiej zacząć od zlecenia profesjonalnego audytu, sprawdzającego stan odporności i bezpieczeństwa organizacji. Z kolei, jeśli przedsiębiorstwo w ogóle nie posiada Planu Ciągłości Działania, to najwyższy czas zająć się jego opracowaniem... Zanim będzie za późno i firma przetestuje swoją wytrzymałość w realnej sytuacji.

Jeśli chcesz dowiedzieć się więcej na temat tego, jak przygotować firmę na potencjalne zagrożenia, jak poprawnie opracować Plan Ciągłości Działania lub przeprowadzać testy, skontaktuj się z nami: kontakt@resilia.pl. Nasi eksperci zaproponują rozwiązania dopasowane do potrzeb Twojej organizacji i zidentyfikują, o jakie kluczowe obszary powinieneś zadbać, aby w razie wystąpienia ryzyka, odpowiednio się na nie przygotować.

Przypisy

[1] Plan Ciągłości Działania (skrót PCD), z ang. Business Continuity Plan (skrót BCP).
[2] Jeśli trafiliście na artykuł z zewnętrznych źródeł, to mogliście przeczytać w tytule artykułu o pięciu, a nie sześciu powodach, dla których warto testować BCP. Artykuł został edytowany i dodaliśmy jeden ważny argument.

Skontaktuj się z nami
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)
Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.

Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej  Polityce przetwarzania danych osobowych.