Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Co biznes musi wiedzieć o procesach krytycznych? I czym grożą błędy w ich identyfikacji?

04 październik 2022

Co biznes musi wiedzieć o procesach krytycznych? I czym grożą błędy w ich identyfikacji?
Renata Davidson

Renata Davidson

„Cóż to za dziwne pytanie o procesy krytyczne? Przecież wiadomo, że wszystko jest krytyczne, a najbardziej sprzedaż. Poza tym, kiedyś opracowaliśmy listę procesów i nic nam to nie dało” – takie lub podobne stwierdzenie można usłyszeć stosunkowo często w odpowiedzi na pytanie o procesy krytyczne. Jeszcze trudniejsze okazuje się pytanie o krytyczne systemy IT, ale to już temat na osobny artykuł.

Procesy krytyczne

Intuicja podpowiada przedsiębiorcom, że procesy krytyczne to zwykle te, od których zależą przychody firmy i intuicja zwykle przedsiębiorców nie myli, ale też i nie umożliwia uzyskania pełnego obrazu. W celu prawidłowej identyfikacji procesów krytycznych dobrze jest sięgnąć do sprawdzonych narzędzi z obszaru zarządzania ciągłością działania (z ang. Business Conitnuity Management, BCM).

Możemy z powodzeniem założyć, że żadna orga-nizacja, zwłaszcza przedsiębiorstwo, nie realizuje procesów „zbędnych”, a każda z aktywności może okazać się krytyczna w zależności od aktualnej sytuacji w otoczeniu wewnętrznym lub zewnętrznym. Dlatego też obecnie odchodzi się od tego pojęcia lub stosuje się je jako określenie potoczne, a w zamian coraz częściej mówi się o „procesach upriorytetyzowanych” lub — zgodnie z zasadami języka polskiego — o „procesach, którym nadano priorytety”.

Z równie dużą dozą pewności możemy też przyjąć, że każdy z procesów może otrzymać zupełnie różne priorytety w zależności od tego, kogo o nie za-pytamy – dlatego przed przystąpieniem do ich identyfikacji należy określić uniwersalne i jak najbardziej obiektywne, mierzalne kryteria.

Nie chodzi o podważanie wiedzy i doświadczenia właścicieli procesów – wszak to oni są ekspertami w swoich dziedzinach, chcę natomiast zwrócić Państwa uwagę na to, że aby wyznaczyć priorytety dla wielu zupełnie różnych procesów, należy je w jakiś sposób porównać i wtedy dobrze jest stosować do wszystkich jednakową miarę.

Co może zatem stanowić taką obiektywną miarę, skoro nie wszystkie procesy przynoszą nam przy-chody, a niektóre realizujemy z konieczności i są one dla nas źródłem kosztów, a czasem nawet organizacyjnym utrapieniem? Takim wspólnym mianownikiem bez wątpienia jest poziom negatywnego wpływu, na jaki byłaby narażona organizacja, gdyby doszło do niespodziewanej przerwy w realizacji danego procesu i to w najgorszym możliwym momencie.

Jednym zdaniem: nie każdy proces generuje przychody, ale każdy proces może przynieść straty (finansowe, wizerunkowe, negatywne skutki prawne), jeśli przerwiemy go na wystarczająco długi czas. I to właśnie ten czas trwania przerwy stanowi główny wskaźnik dla wyznaczania priorytetu procesu. Prawidłowo przeprowadzona analiza wpływu zdarzenia na organizację (z ang. Business Impact Analysis, analiza BIA) dostarcza wszystkich informacji niezbędnych do określenia maksymalnego dopuszczalnego czasu trwania przerwy, a tym samym do wyznaczenia priorytetów dla poszczególnych procesów.

Rzecz jasna, priorytet wyznaczony w ten sposób oznacza przede wszystkim priorytet dla odtworzenia procesów, ale niewątpliwie jest to wskaźnik uniwersalny, umożliwiający porównywanie procesów między sobą i, co równie ważne, porównywanie priorytetów procesów między kolejnymi iteracjami analizy BIA w kolejnych latach i obserwowanie trendów.

Za zastosowaniem analizy BIA do wyznaczania priorytetów dla procesów przemawiają również względy prawne, w przypadkach, w których zgodnie z wymaganiami ustawowymi** przedsiębiorstwo jako operator usługi kluczowej i tak jest zobowiązane do zapewnienia ciągłości działania dla wszystkich lub wybranych produktów i usług, lub gdy nasza firma jest dostawcą dla takiego operatora usługi kluczowej.

Jakie informacje są istotne?

Podstawowy zasób informacji, który warto zebrać dla każdego procesu to:

  1. lista osób i organizacji (interesariuszy zewnętrznych i wewnętrznych), które stawiają wymagania jakościowe, ilościowe, terminowe wobec danego procesu lub produktów i usług, które ten proces dostarcza,

  2. lista wymagań, a także nieformalnych oczekiwań interesariuszy,

  3. lista wymagań prawnych wobec każdego procesu,

  4. potencjalne skutki (finansowe i niefinansowe), jakie może przynieść niedotrzymanie wymagań, o których mowa w pkt. b) i c) (przyjmując pesymistyczne założenia, aby oszacować maksymalny potencjalny wpływ),

  5. maksymalny dopuszczalny czas trwania przerwy w spełnianiu wymagań (czas, jaki może upłynąć zanim skutki staną się nieakceptowalne),

  6. minimalny poziom realizacji procesu w sytuacji kryzysowej, w tym wymagania dotyczące dostępności danych,

  7. maksymalny czas, po upływie którego proces musi wrócić do normalnego poziomu,

  8. zasoby niezbędne do realizacji danego procesu na normalnym poziomie,

  9. zasoby niezbędne do realizacji procesu na minimalnym poziomie, o którym mowa w pkt. f),

  10. zagrożenia, które mogą spowodować niedotrzymanie wymagań, o których mowa w pkt. b) i c),

  11. środki kontroli, zabezpieczenia, które mogą ograniczyć szansę wystąpienia, zakres lub poziom negatywnego wpływu wystąpienia zagrożeń, o których mowa w pkt. j).

Po co organizacji taki zestaw informacji?

Otóż, tylko na ich podstawie można w obiektywny sposób wyznaczyć priorytety dla procesów (szczególnie na podstawie pkt. d)), oszacować ekspozycję na ryzyko wystąpienia negatywnych skutków i przygotować adekwatne plany postępowania z tym ryzykiem.

Potencjalna maksymalna strata oszacowana podczas analizy BIA stanowi obiektywny punkt odniesienia podczas podejmowania decyzji o dodatkowych zabezpieczeniach, w tym o kosztownych inwestycjach w infrastrukturę techniczną. I tu dochodzimy do odpowiedzi na pytanie, co o procesach krytycznych musi wiedzieć IT, a także wszystkie inne obszary techniczne, wspierające realizację procesów biznesowych?

Zakres informacji, który powinno otrzymać IT i inne obszary techniczne w zasadzie zawiera się w punktach od e) do i) powyżej, natomiast w przypadku atrybutu dostępności należy pamiętać o dodatkowym wskaźniku, jakim jest punkt odtworzenia danych (z ang. Recovery Point Objective, RPO), innymi słowy: czy zgadzamy się na utratę danych (RPO > 0) i z jakiego okresu, licząc wstecz od chwili wystąpienia incydentu. Na przykład RPO = 2h oznacza, że zgadzamy się na utratę danych z ostatnich dwóch godzin sprzed zdarzenia, a RPO = 24h oznacza w uproszczeniu, że wystarczający będzie dostęp do danych z poprzedniego dnia.

Po otrzymaniu od właścicieli procesów informacji o minimalnym zakresie niezbędnych zasobów technicznych (punkt i)), komórki organizacyjne odpowiedzialne za ich utrzymanie powinny wykonać analizę zasobów, które są im potrzebne do spełnienia wymagań biznesowych w punktach e) — g) i przeanalizować zagrożenia, które mogłyby spowodować ich niedostępność lub nieprawidłowe funkcjonowanie (w zależności od obszaru, w którym dokonujemy analizy wpływu).

Dopiero na tej podstawie obszar IT może ocenić poziom gotowości do spełnienia wymagań biznesowych, rekomendacje dodatkowych zabezpieczeń lub rozwiązań zapasowych, strona biznesowa i usługodawcy wewnętrzni i zewnętrzni mogą uzgodnić SLA w oparciu o obiektywne kryteria wynikające z analizy BIA, a właściciele procesów biznesowych mogą podjąć świadomą decyzję (well-informed decision) dotyczącą ewentualnych zmian w sposobie realizacji procesów (działania mitygujące), inwestycji w dodatkowe zabezpieczenia lub akceptacji ryzyka.

Analiza wpływu

Analiza wpływu znajduje zastosowanie nie tylko w przypadku zarządzania ciągłością działania. Jest to pierwszy krok w procesie oceny i szacowania ryzyka każdego rodzaju. Na przykład, w zarządzaniu bezpieczeństwem informacji szacujemy potencjalny wpływ naruszenia poszczególnych atrybutów, a następnie oceniamy szanse wystąpienia tych naruszeń. W tym samym obszarze analizujemy potencjalny wpływ naruszenia ochrony szczególnego typu informacji, jakim są dane osobowe, na osoby, których dane dotyczą (analiza PIA).

Tam, gdzie możemy zastosować analizę wpływu (a po drobnych korektach możemy zastosować ją w zasadzie wszędzie), możemy wykorzystać jej wyniki do zwiększenia poziomu bezpieczeństwa organizacji (fizycznego, cyberbezpieczeństwa, prawnego, finansowego), ograniczyć ryzyko wystąpienia nieakceptowalnych strat, a ponadto zwiększyć transparentność procesu decyzyjnego dotyczącego inwestycji w zabezpieczenia i w nowe rozwiązania.

Dzięki wynikom analizy BIA, na etapie projektowania nowych rozwiązań informatycznych, technicznych i organizacyjnych można uwzględnić priorytety wynikające z procesów, które będą z nich korzystać i umieścić w projekcie środki kontroli – zgodnie z podejściem opartym na ryzyku (risk based approach), podejściem „secure by design” czy „privacy by design”.

Wiarygodna informacja dotycząca priorytetów procesów biznesowych może być wykorzystywana do podejmowania strategicznych decyzji w organizacji. To z tego powodu przeczucie lub opinia ekspercka nie powinny stanowić jedynego kryterium oceny krytyczności procesu.

Wiele organizacji boleśnie przekonało się o prawdziwości powiedzenia: „Nie możesz zmienić czegoś, czego nie widzisz”. Do analizy wpływu niezbędne jest posiadanie choćby najprostszej, ale prawidłowo zdefiniowanej i wdrożonej architektury procesów. Dzięki niej możemy widzieć organizację na przestrzał – wszystkie powiązania, zależności, wykorzystywane zasoby, szanse i zagrożenia. Taka architektura, stanowi kanwę, na której można planować, modelować i skutecznie wdrażać wszelkie zmiany oraz świadomie zarządzać ryzykiem, zręcznie unikając nieakceptowalnych skutków i umiejętnie wykorzystując nadarzające się szanse.

Mam nadzieję, że artykuł stanie się źródłem inspiracji do doskonalenia systemów zarządzania w organizacjach i że skusicie się Państwo o wdrożenie analizy wpływu jako podstawowego narzędzia do wyznaczania priorytetów, oceny ryzyka i podejmowania decyzji.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności