Управление непрерывностью бизнеса как конкурентное преимущество GameDev индустрии в условиях пандемии

Лебедев М. В.

Выпускник группы MBA CIO-59

Школа IT-менеджмента

РАНХиГС при Президенте РФ

В условиях все более нестабильного мира, примером чего является пандемия COVID-19 2020 года, организации смотрят на непрерывность бизнеса новыми глазами. Хотя большинство организаций считают, что они готовы к разрушительным инцидентам, но события 2020 года и статистические данные доказали обратное. Необходимость обеспечения непрерывности бизнеса никогда не была столь очевидной. Ведь в современных компаниях, все больше полагающихся на сетевые системы, сложные распределенные многокомпонентные архитектуры и Интернет как основной инструмент ведения бизнеса, периоды простоя могут стать серьезной проблемой с точки зрения конкуренции, репутации и потерь доходов.

Дисциплина и профессии в области управления непрерывностью бизнеса (BCM) активно развивались в течение последнего десятилетия в ответ на нестабильность деловой среды, усиление глобальной конкуренции и влияние выбора клиентов. Эти силы заставляют организации в каждом секторе «изобретать себя заново» и конкурировать на основе гибкости, скорости и отзывчивости клиентов. Всепроникающее влияние технологий и концепции бережливого управления еще больше изменили то, как организации ведут свой бизнес.

Внушительное количество национальных стандартов и рекомендаций в области управления непрерывностью бизнеса по всему миру расширяет подходы к обеспечению непрерывности бизнеса. Наиболее распространенные и имеющие наибольший охват это:

• ISO 22301:2019 «Безопасность и жизнестойкость – Система менеджмента непрерывности деловой деятельности – Требования»
• ISO 22313:2020 «Безопасность и жизнестойкость. Системы менеджмента непрерывности деловой деятельности. Руководство по применению ISO 22301»
• ISO/IEC 27031:2011 «Информационные технологии - Методы и средства обеспечения безопасности – Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности деловой деятельности»
• NIST SP 800-34 Rev. 1 «Руководство по планированию чрезвычайных ситуаций для федеральных информационных систем»

Однако, для снижения влияния или возможного ущерба от разрушительных инцидентов (далее – «угроз») на деятельность компании, просто разработать и внедрить систему управления непрерывностью бизнеса явно недостаточно и скорее всего не станет успешным. Надо понимать, что ключевым моментом тут является подлинная приверженность руководства компании BCM через полностью понятную политику, мандат на исполнительные действия и предоставление ресурсов, необходимых для завершения программы внедрения.

Всегда существует желание получить «рабочий» план здесь и сейчас, но существует определенная корреляция между временем, необходимым для достижения зрелости, и размером, и сложностью организации. И более продуктивно "пилотировать" BCM в одном отделе или месте или только в одном департаменте.

В данной работе было определено, что планирование обеспечения непрерывности бизнеса начинается с тщательной оценки рисков, которая является частью более масштабного процесса управления рисками, характерного для большинства предприятий. Четырьмя основными компонентами оценки рисков являются: – оценка угроз, – оценка уязвимости, – оценка воздействия и разработка стратегии смягчения рисков.

С ИТ-ориентированной точки зрения ключевыми компонентами, которые необходимо учитывать при оценке рисков являются аппаратные средства, программное обеспечение (ОС и приложения), системные интерфейсы (внутренние, внешние точки подключения), людей, поддерживающих ИТ-системы, пользователей, использующих ИТ-системы, данные, информацию и записи, процессы, выполняемые ИТ-системами, ценность или важность системы для организации (критичность системы), а также чувствительность системы и данных (конфиденциальные, коммерческая тайна, медицинские данные и т. д.). Операционная среда, в которой функционируют ИТ-системы, включает в себя широкий спектр элементов:

• функциональные и технические требования к системам;
• политики, процедуры и средства управления безопасностью;
• топология сети и схемы информационных потоков;
• политики, процедуры и средства управления защитой хранения данных;
• шифрование, физические и средства управления.

Цель действий по оценке рисков — это создание списка угроз и их источников, которые можно оценить, отсортировать и решить, какие риски необходимо устранить, какие можно принять, а какие следует перенести. После завершения BIA, одного из важных шагов в процессе оценки рисков, всегда будут данные для принятия верных решений по смягчению угроз.

В данной работе был рассмотрен процесс, который можно использовать для разработки стратегий снижения рисков для деятельности компании и ИТ-функций. Входными данными для этого процесса являются данные оценки рисков и анализ влияния на бизнес. Ключевыми шагами в этом процессе являются разработка требований к восстановлению, понимание времени восстановления рассматриваемых вариантов, сравнение этого времени с требованиями MTD, анализ стоимости и возможностей каждого варианта, SLA, связанные с каждым вариантом, и, наконец, выбор варианта, который будет реализован. Этот процесс выполняется для всех выявленных критических бизнес-процессов. Как это часто бывает, одно решение может удовлетворить несколько ключевых требований.

Понимание этапов плана непрерывности бизнеса поможет разработать стратегии управления деятельностью. Типичными фазами плана являются активация, аварийное восстановление, непрерывность бизнеса и возобновление нормальной деятельности. План также должен быть проверен и поддержан, независимо от того, был ли он когда-либо реализован.

Деятельность по обеспечению непрерывности бизнеса начинается после завершения восстановительных работ, хотя обычно имеет место некоторое дублирование. Мероприятия по обеспечению непрерывности бизнеса включают ограниченное возобновление бизнес-операций, как правило, в ручном или обходном режиме. Эти действия представляют собой уникальный набор проблем с точки зрения ИТ и операций, поскольку управление данными должно осуществляться по-разному до тех пор, пока ИТ-системы не будут полностью подключены к сети и нормальная работа не сможет возобновиться. Контрольный список непрерывности бизнеса должен включать шаги, необходимые для возобновления ограниченных операций, он должен определять требования и зависимости, а также включать временные рамки, контрольные точки. Возобновление нормальной деловой активности обычно происходит, когда компания либо вновь занимает свое первоначальное предприятие и все оборудование восстановлено и работает, либо когда компания принимает решение о постоянном месте ведения бизнеса (которое может быть альтернативным сайтом или недавно приобретенным сайтом). Следует разработать критерии для определения перехода к «нормальным операциям». Четкое определение этого, а также ролей и обязанностей команд поможет избежать путаницы в чрезвычайной ситуации.

Так же в работе было выявлено, что регулярная проверка/тестирование плана позволяет отточить действия сотрудников компании и определить, каким образом и когда активируется BCP, и когда начинаются задачи аварийного восстановления. Эти задачи восстановления должны быть четко определены в плане. Переход от аварийного восстановления к непрерывности бизнеса также должен быть четко определен, чтобы можно было начать возобновлять деловую активность, хотя на этом этапе все не будет возвращаться к обычному бизнесу.

Для того, чтобы обучение было эффективным, должны быть разработаны четкие, конкретные и измеримые результаты обучения. Это должно включать требования к обучению и ожидаемые результаты обучения. Возможно, потребуется провести оценку потребностей в обучении, прежде чем разрабатывать требования к обучению. При тестировании плана также необходимо определить области, которые могут потребовать дополнительного обучения персонала, и они могут быть добавлены к требованиям по обучению. Разработка плана обучения может быть выполнена в сочетании с разработкой плана тестирования для плана BC/DR, чтобы достичь эффективности. Найти время для планирования и проведения тренингов — это сложная задача в большинстве организаций, поэтому если найдется способ связать эти усилия или результаты с более крупными бизнес-целями, то можно добиться большего успеха.

Так же в работе был рассмотрен план действий в чрезвычайных ситуациях и мерах реагирования на чрезвычайные ситуации, которые должны быть включены в план непрерывности бизнеса. Первая реакция должна состоять в том, чтобы уберечь людей от опасности и определить, есть ли смертельные случаи или травмы. Во-вторых, усилия должны быть направлены на то, чтобы остановить источник проблемы, будь то вызов гражданских аварийных служб (пожарных, саперов, полиции) или попытка решить проблему с помощью Команды экстренного реагирования (ERT). Команда ERT должна быть обучена соответствующим навыкам, таким как безопасные методы эвакуации зданий, реанимация и первая помощь, пожаротушение, локализация опасных материалов и т.д.. Планы обучения и тренировки должны быть хорошо продуманы и хорошо отрепетированы, потому что люди будут использовать эти навыки в чрезвычайной ситуации.

В ходе работы проводился опрос сотрудников различных департаментов и отделов. Изучалась советующая литература и истории успешного и неуспешного внедрения системы непрерывности бизнеса.

Стоит заметить, что современный потребитель очень требователен к качеству и стабильности ИТ-продукта, который он приобрел или использует. Учитывая всеобъемливающий Интеренет и скорость, с которой новые продукты становятся доступны пользователям, нагрузка на онлайн–сервисы растет по экспоненте. Любой простой компании–разработчика компьютерных игр или недоступность предоставляемого ею онлайн–сервиса с умопомрачительной скоростью снизит количество клиентов, доход и поставит компанию в условия, когда она не сможет соперничать с более стабильными конкурентами. Поэтому тема управления непрерывностью бизнеса, не только набирает свою актуальность, но и еще долго будет удерживать свою позицию как основного преимущества для ИТ компаний в России и мире.