Timpul contează

/ 4 ianuarie 2024

1. Preambul

Trei știri:

  1. Incendiul de la Ferma Dacilor
  2. Incidentul de pe aeroporul Haneda – Compania aeriană a spus că evacuarea celor 379 de oameni a început aproape imediat după ce avionul s-a oprit și că toți pasagerii au fost duși în siguranță în mai puțin de 20 de minute. Au funcționat doar ușile din față ale avionului.
  3. Banca Centrală Europeană (BCE) va efectua în 2024 un test de rezistență cibernetică. Exercițiul va evalua modul în care băncile răspund și se recuperează după un atac cibernetic, mai degrabă decât capacitatea lor de a-l preveni. În scenariul testului de stres, atacul cibernetic reușește să perturbe operațiunile zilnice ale băncii iar acestea își vor testa apoi măsurile de răspuns și de recuperare, inclusiv activarea procedurilor de urgență și a planurilor de urgență și restabilirea operațiunilor normale.

2. Definiții

Pentru a evita ambiguitatea sau interpretarea diferită a termenilor și fiind eu profesor, fac apel la cîteva definiții oficiale:

  • Operational resilience – the ability of an institution to deliver critical operations through disruption. This builds on the prudential operational risk framework, encompassing internal governance, outsourcing, business continuity and relevant risk management-related aspects. Such ability enables an institution to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption. (https://www.eba.europa.eu/regulation-and-policy/operational-resilience)
  • „reziliență operațională digitală” – înseamnă capacitatea unei entități financiare de a construi, a asigura și a reevalua integritatea și fiabilitatea sa operațională, prin asigurarea, în mod direct sau indirect, utilizând servicii oferite de furnizori terți de servicii TIC, a întregii game de capacități legate de TIC care sunt necesare pentru a aborda securitatea rețelelor și a sistemelor informatice utilizate de o entitate financiară și care sprijină furnizarea continuă de servicii financiare și calitatea acestora, inclusiv pe întreaga durată a perturbărilor (DORA – https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32022R2554#d1e1064-1-1)
  • organizational resilience – ability of an organization to absorb and adapt in a changing environment (ISO 22316:2017 – Security and resilience — Organizational resilience — Principles and attributes)
  • incident – event that can be, or could lead to, a disruption, loss, emergency or crisis (ISO22301 – Security and resilience – Business continuity management systems Requirements)
  • business continuity – capability of an organization to continue the delivery of products and services within acceptable timeframes at a predefined capacity during disruption (ISO22301 – Security and resilience – Business continuity management systems Requirements)
  • business impact analysis – process of analysing the impact over time of a disruption on the organization. (ISO22301 – Security and resilience – Business continuity management systems Requirements)
  • Disruption – incident, whether anticipated or unanticipated, that causes an unplanned, negative deviation from the expected delivery of products and services according to an organization’s objectives (ISO22301 – Security and resilience – Business continuity management systems Requirements)
  • Crisis: abnormal or extraordinary event or situation that threatens an organization or community and requires a strategic, adaptive and timely response in order to preserve its viability and integrity (ISO 22361:2022 Security and resilience — Crisis management — Guidelines)

Rezultă din definițiile citate că în centrul conceptului de reziliență/rezistență se află capacitatea unei organizații și a oamenilor săi de a se adapta constant:

  • continuitatea afacerii descrie capacitatea unei organizații de a continua sau a recupera operațiunile economice în urma unei incident. Și în ciuda multitudinii de ”standarde”, organizațiile eșuează în continuare….
  • Reziliența/rezistența organizațională este un concept mai larg care a intrat în centrul atenție reglementatorilor din industria financiar bancară și în……discursul/cursurile academic actual. Termenul este folosit de obicei pentru a descrie o abordare integrată a furnizării continuități proceselor economice împreună cu subiecte din sfera riscului operațional. Reziliența este folosită pentru a descrie rezultatul oferit de continuitatea afacerii, împreună cu o gamă largă de alte activități de management al riscurilor care, atunci când sunt combinate, ajută organizațiile să răspundă și să se recupereze în urma unor evenimente perturbatoare.

3. Instruire, testare și audit

Care ar fi legătură dintre cele trei știri de la început și ce am scris ulterior? INCERTITUDINEA!

În primul caz, ”incidentul” care afecta siguranța/viața oamenilor a devenit ”criză”. Au lipsit ”controalele elementare” impuse de lege. Inclusiv ”auditul”

În al doile caz, ”scenariul” devenit realitate a implicat tot afectarea siguranței/vieții oamenilor. ”Echipa” a știut ce și cum să facă și a funcționat. A fost un incident? A fost o criză? Ar fi existat o fază de ”recovery”?

În al treilea caz nu va fi vorba despre ”vieți umane” ci despre ”continuitatea proceselor și rezistența organizației” cînd un scenariu devine realitate. Poate fi incident? Poate fi criză? Ar exista o fază de ”recovery”?

În toate situațiile, cunoașterea ”scenariului” și coordonarea sînt critice!

Să privim puțin la situația din organizații și să ne întrebăm: Cît timp se consumă, în mod real, de către manageri cu completarea BIA? (N.B. – activitatea trebuie să fie anuală) 1 oră? 8 ore? 1 săptămînă? Planul de continuitate chiar are la bază BIA și RTO? Și ce scenarii se analizeaƶă/testează? Am mai scris: scenariul pandemic era menționat în teorie înainte de COVID19 și cu toatre acestea……

Nu este nici posibil și nici fezabil să luăm în calcul toate cele rele. Și atunci cum ar trebui să procedăm? Plecăm de la „scenarii de bun simț” pe care le vom întîlni în majoritatea crizelor:

  • cum procedez dacă îmi pierd facilitățile de lucru/producție? (ce este important pentru o companie de apă s-ar putea să nu fie la fel de important pentru un producător de mîncare)?
  • cum procedez dacă îmi pierd angajații (viața lor)?
  • cum procedez dacă principalii furnizori sînt afectați de un incident major?
  • cum procedez dacă îmi pierd tehnolgiile (nu doar IT)?

Apoi facem ”instruire” (=teorie) și ”exerciții” (=practică). Dacă “instruirea” înseamnă transferul de cunoștințe, “exercițiile” înseamnă punerea în practică a acestor cunoștințe. Un exercițiu presupune simularea unui eveniment, incident sau criză pentru a permite angajaților și echipelor să răspundă/reacționeze folosind planurile și instrumentele care au fost dezvoltate anterior, pe baza scenariilor. Exercițiile oferă oportunitate de a valida aranjamentele de recuperare, procedurile de testare și soluțiile de recuperare și oferă echipelor șansa de a se familiariza cu rolul lor într-un scenariu.

În funcție de realismul lor, de nevoile de resurse implicate și de asigurarea oferită (de la minimă la maximă), exercițiile vor evolua de la ”structured walk-through/table top” (recomandabile doar atunci cînd se dezvoltă planul inițial sau cînd sînt schimbări majore în rîndul angajaților) la ”full scale test” (în cazul organizațiilor care operează în medii cu risc ridicat).

Am ajuns în final și la auditorul care este ”a treia linie de apărare”. Înțeleg anxietatea auditatului cu privire la ceea ce ar putea identifica și raporta un auditor. Doar că auditorul nu este un procuror, rolul său nu este să ”arate cu degetul” nici să împartă ”indulgențe” precum Papa ci să ajute managementul să identifice zonele/punctele slabe (lipsa sau nefuncționarea controalelor), să identifice nevoia pentru investiții suplimentare! Atît.

Articole similare

Mulţumesc.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.