Veiklos tęstinumo plano brandos vertinimas – viena pirmųjų veiklos tęstinumo plano rengimo veiklų

Apibrėžus veiklos tęstinumo plano apimtį, tikslus ir suinteresuotąsias šalis, prioritetizuojamos plano rengimo pastangos, su pagrindinėmis suinteresuotosiomis šalimis suderinama jo apimtis. Į planavimą įtraukiami organizacijos vadovai, tarp jų IT saugos vadovas, rizikų vadovas, atitikties pareigūnas, duomenų apsaugos pareigūnas. Tada verta nustatyti ir užfiksuoti lygį, kuriame organizacija yra šiuo metu pagal įvairius veiklos tęstinumo plano kriterijus, kokia įgyvendinta pažanga bei esančios spragos. Šie kriterijai gali būti pasirenkami pagal organizacijų kompetencijas (pvz. lyderystė, darbuotojų sąmoningumas, programos struktūra ir kt.). Taip pat vertinimas gali būti atliekamas pagal veiklos tęstinumo sistemos įgyvendinimo lygį (pvz. planavimas, palaikymas, įgyvendinimas, patikrinimas) arba įvairias programų disciplinas, kuriomis didinami organizacijos pajėgumai, vientisumas ir atsparumas (pvz. krizių valdymas, veiklos tęstinumas, IT atstatymas ir kt.). Veiklos tęstinumo plano brandos vertinimas įforminamas atitinkama ataskaita (išvada), kuri padeda tolesniuose veiklos tęstinumo plano rengimo etapuose (žr. žemiau tokios ataskaitos santraukos pavyzdį).

Veiklos tęstinumo plano brandos vertinimo iššūkiai

„Patikimos veiklos tęstinumo praktikos įrodymų reikalaus vis daugiau tarptautinio lygio teisės aktų. Veiklos tęstinumas tampa vis svarbesnis organizacijos atitikčiai užtikrinti.”

Allaw

Pasirengti veiklos tęstinumo planą įmonių vadovus spaudžia ne tik periodiškai pasikartojančios krizės.  Žinome, kad dar prieš penkerius metus įsigaliojęs BDAR pradėjo reikalauti iš organizacijų veiklos tęstinumo ir atsparumo: patikrinti prieinamumo priemones, užtikrinti savalaikį atkūrimą, testuoti atsparumą. Duomenų apsaugos pareigūno ALLAW atliekami patikrinimai ir auditai atskleidžia, kad dar daugeliui net gana brandžių organizacijų tai įgyvendinti tebėra rimtas iššūkis. Veiklos tęstinumo rizika organizacijose šiandien dar valdoma nepakankamai. Geriausiu atveju organizacijų veiklos tęstinumo plano branda yra pažengusi nebent krizių valdymo srityje, ypač jei tai ūkio subjektas ar kita įstaiga, kurių vadovai dėl nacionalinių teisės aktų reikalavimų turi organizuoti ekstremaliųjų situacijų valdymo planų rengimą, derinimą ir tvirtinimą. Tačiau žinotina ir tai, kad patikimos veiklos tęstinumo praktikos įrodymų reikalaus vis daugiau tarptautinio lygio teisės aktų. Veiklos tęstinumas tampa vis svarbesnis organizacijos atitikčiai užtikrinti. Europos NIS2 direktyva, nustatanti naujus kibernetinio saugumo reikalavimus, tarp minimalių tinklus ir informacines sistemas bei fizinę tų sistemų aplinką nuo incidentų turinčių apsaugoti priemonių numato veiklos tęstinumą, pvz., atsarginių kopijų valdymą ir atkūrimą nelaimės atveju bei krizių valdymą. Kalbant apie finansų sektorių, svarbu paminėti, kad Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 2022 m. gruodžio 14 d. dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 ir (ES) 2016/1011 aiškiai nurodo, kad „siekiant, kad finansų sektoriaus subjektai galėtų operatyviai ir greitai reaguoti į su IRT susijusius incidentus, ypač kibernetinius išpuolius, ribodami žalą ir teikdami pirmenybę veiklos atnaujinimui ir veiklos atkūrimo veiksmams laikydamiesi savo atsarginių kopijų politikos, būtina veiksminga veiklos tęstinumo politika ir veiklos atkūrimo planai.“ Kitoms organizacijoms veiklos tęstinumo plano brandos vertinimas gali būti svarbus, nes vis daugiau tarptautinių klientų reikalauja, kad pardavėjai, prieš pasirašydami sutartį, pateiktų veiksmingo veiklos tęstinumo plano įrodymus.

Išorinė veiklos tęstinumo užtikrinimo paslauga: kai trūksta patirties

Organizacijos vis labiau supranta veiklos tęstinumo programos svarbą, dauguma sukūrė ir valdo šias programas savo viduje. Kai kurios netgi samdo profesionalus ir ekspertus – išorinius paslaugų teikėjus, kurie padėtų joms sukurti geriausiai parengtą veiklos tęstinumo programą bei padėtų ją įgyvendinti. Ypač tai naudinga, jei organizacijos veiklos tęstinumo plano brandos lygis yra žemas, organizacijos darbuotojams trūksta patirties ir atitinkamų kompetencijų šioje programoje. Tai gali būti naudinga ir tada, kai reikia pagalbos įgyvendinant veiklos tęstinumo programą, kurią organizacija sukūrė greitai ir efektyviai – ji turi galimybę bendradarbiauti su valdomų paslaugų teikėju, kuris veiklos tęstinumą siūlo kaip išorinę paslaugą. Taip organizacija valdo savo veiklos tęstinumo riziką, užtikrina atitiktį, didina atsparumą ir pasirengimą palaikyti svarbias funkcijas po įvairių įvykių.