Üzletmenet-folytonosság biztosítása BCP Üzletmenet-folytonosság biztosítása

Témakörök Az üzleti tevékenység fenyegetettsége Üzletmenet-folytonosság biztosítása Tervezési módszertanok BCP projekttervek kivitelezése Informatikai rendszerek biztonsága

Az üzleti tevékenység fenyegetettsége Az üzleti folyamatokra hatással van: a vállalati működést biztosító valamennyi, általában ismert, azonosítható elem, komponens: az alkalmazott technológia, az alkalmazott automatizált rendszerek, véletlenszerű, nem tervezett események: hatásuk csak a bekövetkezés után mérhető.

Fenyegetettség Minden olyan hatás, esemény, amely megzavarja, lehetetlenné teszi a normális munkamenetet, megakadályozza a kapcsolattartást és kommunikációt a környezettel és a partnerekkel.

Az üzleti tevékenység fenyegetettsége Az üzleti tevékenység folytonosságának fenntartása nagymértékben függ: a menedzsment a potenciális veszélyekre való felkészülésének kézségétől, az ellenintézkedések szükségességének felismerésétől, a kritikus folyamatok összeomlásának veszélyét minimalizáló lépésektől, és attól a képességtől, amely a folyamatok sikeres helyreállításának feltételeit és végrehajtását biztosítja.

Váratlan események és következményeik Az üzleti folyamatok rendeltetésszerű működését befolyásolják: külső és belső hatások, a hatások pozitív reakciókat válthatnak ki vagy károkat okozhatnak. A szervezetek szervezeti értékeik védelmére stratégiát dolgoznak ki.

Támadási és a védelmi stratégia lényege Védők: az értékek megőrzésére erőforrásokat mozgósítanak, eleve csak veszteségei lehetnek. Támadók: haszonszerzés. A védőnek úgy kell cselekedni, hogy rá nézve a veszteség minimalizálható legyen.

Támadási és a védelmi stratégia kimenetele támadási stratégia a védett/támadott rendszer védelmi stratégia támadó nyeresége a játék kimenetele igen érték>0 nem védő vesztesége támadó vesztesége

Okozott károk Az üzletmenetben okozott károk: mennyiségi vonatkozásai: bevétel csökkenése, termelési/szolgáltatási képesség gyengülése, minőségi vonatkozásai: partnerek megelégedettségének szintje, befektetők bizalmának csökkenése.

Katasztrófa Minden olyan, előre nem tervezett esemény vagy hatás, amely az üzleti folyamatok rendeltetésszerű működését hosszabb-rövidebb időre megszakítja, illetve megakadályozza a kritikus folyamatok végrehajtását.

Katasztrófa Bekövetkezésekor fel kell készülni: az alkalmazottak és az üzleti tőke védelmére, a fogyasztók megtartására, a bevétel kiesések kockázatának minimalizálására, a befektetők bizalmának megtartására.

Kár-csoportok Emberfüggő kiváltó tényezők. Technikai, technológiai hibákból eredő hatások. Természeti katasztrófa.

Emberfüggő kiváltó tényezők Az ember természetéből, viselkedéséből fakadnak: Vandalizmus, terrorizmus, robbantások, háborús események, sztrájkok. Emberi figyelmetlenségből fakadó hibák: közlekedési balesetek, ezredforduló váltással járó hatások.

Technikai, technológiai hibákból eredő hatások Tipikus példák: klímaberendezés meghibásodása szg-es környezetben, atomerőművekben, vállalati adatok elvesztése, adathordozók megsemmisülése.

Természeti katasztrófa Árvíz. Hurrikán. Orkán. Tűzvész, erdőtűz stb.

Nyitottságból eredő problémák A vállalatok környezet: belső környezet, külső környezet: a vállalati tevékenység nem zárt terület. Külső környezet: partnerekkel való kapcsolat: az ott bekövetkezett károk. globalizációból eredő problémák.

Biztonsági politika és stratégia

Védelmi stratégia Meghatározása a szervezeti stratégiával összhangban, annak alárendelten.

Vállalkozások Bonyolult működés, funkcionalitás. Sok alkotóelem, komponens. Függőségi kapcsolatrendszer.

A védelmi funkció Három oldalról kell megközelíteni: a személyi és szervezeti biztonság, a felhalmozott vagyon, az anyagi értékek, a működést biztosító, támogató informatikai rendszer.

Biztonságpolitika Előírások, rendeletek és törvények, amelyek betartása lehetővé teszi a vállalat számára a célok elérésének megvalósításához szükséges tevékenységek elvégzését azáltal, hogy védelmi rendszerével biztosítja a folyamatos munkavégzés feltételeit.

Biztonságpolitika kialakítása Lépések: A feladattal megbízott csoport meghatározza a védelmi célokat. A vezetés meghatározza a biztonsággal kapcsolatos álláspontját. Meghatározásra kerülnek: a szervezetet veszélyeztető üzleti kockázati tényezők, a követendő módszerek és törvényi előírások.

Biztonságpolitika kialakítása Elemezni kell a biztonsági programnak az erőforrásokra gyakorolt hatását. Biztonsági alternatívákat kell kidolgozni. Meg kell határozni a prevenció és a helyreállítás módját.

A BCP projekt ára Üzleti folyamatok hatáselemzési vizsgálat: meghatározásra kerülnek a potenciális kockázati tényezők, és azok várható mértéke, megbecslésre kerül a váratlan eseményeknek a szervezetre gyakorolt hatása, meghatározásra kerülnek a helyreállítási stratégia megvalósításához szükséges erőforrások, tevékenységek.

Üzletmenet-folytonosság biztosítása

Üzletmenet-folytonosság biztosítása BCP Business Continuity Planning

BCP célja Taktikai tervek, forgatókönyvek kidolgozása, amelyek az időkritikus folyamatok váratlan megszakadása esetén biztosítják azok szükséges időn belül történő helyreállítását, jelentősen csökkentve ezzel a katasztrófa okozta káros következményeket.

Korszerű BCP megoldások nemcsak a technológiai megoldásokra, hanem az időkritikus fő üzleti folyamatokra koncentrálnak.

Katasztrófa megelőzés és helyreállítás Katasztrófa megelőzési és helyreállítási terv célja: a szervezet megvédeni a véletlen és váratlan eseményektől. Kulcs: a felkészülés!!!

BCP projekt indítása Meg kell határozni mire terjedjen ki a katasztrófa elhárítás, a legrosszabb esetet vegyék-e figyelembe.

Katasztrófaterv Forgatókönyv, amely a katasztrófa bekövetkezése előtt, alatt és után végrehajtandó tevékenységeket specifikálja.

Katasztrófaterv Magában foglalja: a tervkészítési igény felmerülésének, a terv elkészítésének, implementálásnak, tesztelésének feladatait, a karbantartó munkát, amelyet az elkészített terv megváltozott, aktuális körülményekhez igazítása jelent.

A katasztrófaterv készítésének szintjei Gyors katasztrófaterv. Az informatikai rendszer, illetve más funkcionális terület katasztrófaterve. Az üzleti vállalkozás komplex, teljes katasztrófaterve.

Forgatókönyvek Megelőzési forgatókönyv: Helyreállítás: a váratlan eseményekre való felkészülési feladatokat és intézkedéseket tartalmazza. Helyreállítás: a katasztrófa bekövetkezése után az értékek mentésével és az ehhez kapcsolódó feladatokkal foglalkozik.

A katasztrófaterv készítés módszertana

A BCP projekt módszertani komponensei Paradigmák: - projektjelleg - top-down megközelítés - CEO támogatása - költséghatékonyság CÉLOK Emberi szerepek, felelősségek Technológia: - mérföldkövek - kérdőív, int. - folyamatmodell - szoftvertámogatás Erőforrások: - szakemberek - pénz - eszközök

Az üzleti folyamatok megközelítésének aspektusai MIT? – funkcionális aspektus HOGYAN? – technikai aspektus KIVEL? végrehajtási aspektus

Tervezési paradigmák projektszemlélet fázis, mint a projektmunka alapegysége kétszintű tervezés elve a lépések fokozatos, iteratív végrehajtása elkötelezettség modellszemlélet a rendszer elemzésének és fejlesztésének megközelítési iránya öndokumentálási igény

Tervezési paradigmák minőségbiztosítás a felső vezetés támogatása költséghatékony megoldások.

A tervezési folyamat technológiája Módszer. Módszertan.

Új szerepek, felelősségek Katasztrófa elhárítás tervező: menedzsment és az alkalmazottak támogatásával. Helyreállítási munkákat koordináló szerepkör. Biztonsági felelős.

A BCP projekt fázisai Problémafelvetés, célkitűzés, igényspecifikáció. A projekt megszervezése, projektterv készítése, erőforrások biztosítása, képzés, prezentációk a BCP-projektben résztvevők számára. Kockázatelemzés, üzleti folyamatok feltárása, elemzése, hatásanalízis, a folyamatok és a műveletek prioritási sorrendjének meghatározása.

A BCP projekt fázisai Felkészülés a katasztrófahelyzetre, megelőzési feladatok tervezése. Helyreállítási és tesztelési stratégia kialakítása, kritériumok és tesztelési folyamtok specifikálása, döntés az alternatívákról. A helyreállítási terv kidolgozása, dokumentáció elkészítése. Implementáció, tesztelés végrehajtása, kiértékelés. Ellenőrzés, felülvizsgálat, változáskövetés.

Katasztrófatervezési folyamat A többi fejlesztési életciklussal való hasonlóság: iteratív lépések, kiindulás rendszerszemléletből, fázisok közötti döntési pontok. A katasztrófatervnek igazodni kell a megváltozott körülményekhez, az új igényekhez.

Kockázatspecifikáció Risk specification. Jegyzék elkészítése, amelyben rögzítésre kerülnek a veszélyforrások és azok bekövetkezési valószínűségei. A kockázat-hatás elemzés alapja. Ezt a jegyzéket már a felmérésnél, interjúk készítésénél alkalmazzák.

Kockázatspecifikáció feladatai A potenciális fenyegetettségek számbavétele. A bekövetkezés: valószínűsége, jellegének (hirtelen, fokozatos) és lefolyása időtartamának meghatározása.

A potenciális fenyegetettségek specifikációs tábla Fenyegetettség-típusok A bekövetkezés esélye jellege lefolyás időtartama Áramkimaradás közepes hirtelen rövid Szgrendszer leállása alacsony változó Elektronikus adatok elvesztése Hirtelen/fokozatos Betörés magas Mértékétől függő Csőtörés Szándékos rongálás

Az üzleti folyamatok feltárása

Az üzleti folyamat az üzleti folyamatok olyan lépések sorozataként értelmezhetők, amelyek bemeneti hatásokra kimenetként mások számára szükséges termékek, szolgáltatások egy sorozatát produkálják

Az üzleti folyamat előre definiált, értéket teremtő kibocsátást eredményeznek, értékteremtő átalakító tevékenységgel, transzformációval: inputként fogyasztási javakat használnak fel, és elvárt fogyasztói igényeket elégítenek ki, jól definiált kezdetük és befejezésük van ismételten végrehajtódnak

Az üzleti folyamat a végrehajtáshoz szereplőkre van szükség (emberi tényezők, gépek, berendezések) működésük során erőforrásokat használnak fel üzleti célokat elégítenek ki rövid távú: végrehajtott folyamat hosszú távú: általános üzleti célok

Az üzleti folyamatok rangsorolása Szempontok: a projektcél szempontjából legfontosabb sajátosságok (funkció jellege, végrehajtásának gyakorisága, időtartama stb.) a teljes üzletmenetben játszott szerepe, fontossága, az alkalmazott technológia korszerűsége, sebezhetősége, fontossága, a kiesés, leállás elviselésének mértéke, az időkritikusság.

Kritikus folyamatok A funkcionális területek kritikus feladatainak rangsorolása: fontos, magas prioritású tevékenységek: egy napon túli fennakadás, szükséges, ajánlottan figyelembe veendő tevékenységek: egy hét kimaradás, nem kritikus tevékenységek: elmaradásuk nincs hatással a szervezeti munkára.

Hatáselemzés BIA: Business Impact Analysis Üzleti-hatás elemzés Célja: az egyes folyamatok, komponensek kieséséből adódó problémák körének és az okozott kár mértékének a feltárása, és azoknak a kapcsolati elemeknek meghatározása, amelyekre az események hatással vannak.

Hatáselemzés Két lépcsős végrehajtás javasolt: BIA draft (nagyvonalú), BIA részletes. A folyamatmodellre épít. Feladata: az egyes folyamatok minősítése, rangsor felállítása.

Négyszintű besorolás 3: kritikus folyamatok osztálya (4 órán belül helyre kell állítani). 2: nagyon szükséges folyamatok (1 nap alatt). 1: kevésbé fontos feladatok(1 hónapon alatt). 0: az üzletmenetre nincs befolyásoló hatásuk.

Kockázat-hatás elemzés Risk-Impact Analysis Feladat: A potenciális fenyegetettségek számbavétele, és ezek Hatásának meghatározása a különböző üzleti elemekre, folyamatokra, szervezeti egységekre.

Kockázat-hatás elemzés A hatás mérése: Gyakori kockázatelemezési technika az elviselhető kockázat mértékének vizsgálatához: portfoliómátrix. Cross-Impact elemzés Ishikawa analízis

Portfoliómátrix A hatás mérése: Gyakori kockázatelemezési technika az elviselhető kockázat mértékének vizsgálatához: portfoliómátrix. Különböző fenyegetettségi tényezők bekövetkezési valószínűsége eltérő, és különböző mértékű hatást gyakorolnak az üzleti folyamatokra.

A leggyakoribb fenyegetettségi tényezők és hatásuk A fenyegetettség mértéke A hatás mértéke magas közepes alacsony Áramszolgáltatás kimaradás tűzkárok Betörés az épületbe - Szgr. Kiesése - víz okozta károk - az aktuális adatrekordok másolatainak elvesztése - belső rosszindulatú akciók IT infrastruktúra hiba (HW, hálózat) - csőtörés - Háborús konfliktus a térségben - Elektronikus adatok elvesztése - Terrorizmus - földrengés - Géptermi kondicionáló hibája - Az általános légkondicionáló hibája - Politikai akciók

Cross-impact elemzés Az egymással kölcsönhatásban álló eseményekkel foglalkozik. Cél: az egyes események egymás utáni bekövetkezési valószínűségének a meghatározása.

Cross-impact módszer lényege Mátrix készítése a kockázati tényezők ismeretében, ahol a sorok és az oszlopok ugyanazokat az eseményeket tartalmazzák. A kölcsönös viszonyt a mátrixelemek fejezik ki. Az mij elem értéke: az i. eseménynek milyen hatás van a j. eseményre, vagyis mennyiben változtatja meg az i. esemény bekövetkezése a j. esemény bekövetkezési esélyét.

Cross-impact módszer lényege A mátrix elemei által felvehető értékek: ?: nem becsülhető valószínűség V vagy 0: a valószínűségi érték változatlan marad K vagy -: a bekövetkező valószínűség kisebb lesz N vagy +: a valószínűségi érték nagyobb lesz

Kockázat-hatás elemzés - feladatok A katasztrófa bekövetkezés hatásának következmény-specifikációja (személyi kisesés, működési feltételek megrongálódása stb.). A rendszerben levő redundáns komponensek (hardver, információ, személyek), párhuzamosságok meghatározása. A veszteségek pénzügyi és működési hatásának felmérése minden funkcióra megbecsülve a kiesésből és a helyreállításból adódó károkat. A potenciális veszteségek (bevételkiesés, versenypozíciók romlása) értékének megbecslése Ft-ban. A katasztrófaterv készítési projekt költségbecslése.

Szükséges erőforrások - igényspecifikáció A folyamatok, funkciók végrehajtásához szükséges erőforrások. Eszközök, infrastuktúra jegyzék készítése: munkaerőigény, berendezések (asztalok, székek stb.), kommunikációs eszközök: telefon, fax, számítógépek (típus, képesség), különleges eszközök, műszerek, használt adatok, dokumentációk stb.

Szükséges erőforrások - igényspecifikáció A felméréskor ki kell térni: működéshez szükséges: meglevő és minimális erőforrások mennyisége, elhelyezése, helyettesíthetősége, milyen szállítói támogatás van hozzá, honnan szereztek be, most honnan lehet beszerezni, adatbázis: vannak-e mentések.

Felkészülés a katasztrófára, megelőzési terv A felkészülés igénye: felső vezetés támogatása, át kell hatnia az egész szervezetet. A legalkalmasabb biztonsági és megelőző technikák megválasztása: procedurális megelőzés, fizikai felkészülés.

Procedurális megelőzés A napi, havi, éves feladatok, amelyeket a biztonság érdekében, a helyreállíthatóság érdekében el kell végezni. Katasztrófaelhárítási Bizottság választása.

Fizikai felkészülés A megelőzéshez szükséges eszközök (tűzjelzők, biztonsági bejáratok) biztosítását, pótlólagos lehetőségek (tartalék telephelyek, kommunikációs vonalak, adatmentések, szünetmenetes tápegység) kiépítését jelenti.

Helyreállítási stratégia A menedzsment döntése arról, hogy a katasztrófatervet: milyen szinten és milyen megoldással készítteti el, hogy a normális rend helyreálljon.

Helyreállítási stratégia Feladatok: a megelőzési teendők és ráfordítások specifikálása, a helyreállítás módjának, ütemezésének és szintjeinek meghatározása, a helyreállítási helyszín megjelölése (alternatív telephelyek, másodlagos eszközök), a javaslat változatok leírása (előnyök, hátrányok), az egyes változatok költségeinek becslése.

Helyreállítási terv kidolgozása A katasztrófatervet három különböző szintre érdemes elkészíteni: az azonnal végrehajtandó teendők megtervezése (emberi élet, legfontosabb értékek mentése), feladatterv készítése az olyan munkákhoz, amelyeket a tartalék helyszínen kell végrehajtani (kritikus folyamatok), az eredeti állapot helyreállítás feladatainak meghatározása.

Implementáció, tesztelés, auditálás papír, asztali tesztek, szimulációs gyakorlatok, valós szituációk lejátszása, a fentiek valamilyen kombinációja.

Változásmenedzsment A BCP tervdokumentuma mindig aktuális kell, hogy legyen! A változások átvezetése.

Tervezési módszertanok CBR – Comprehensive Business Recovery. Fusion alapú módszertan. DRPP módszertan.

CBR módszertan CBR – Comprehensive Business Recovery. SunGard. Az üzleti folyamatok helyreállíthatóságára koncentrál.

CBR módszertan fázisai Projekttervezés. A helyreállítási igények meghatározása. Helyreállítási stratégia kialakítása. Implementálási feladatok tervezése. A helyreállítási terv menedzselése, karbantartása.

CBR módszertan A kulcsfontosságú folyamatok helyreállítása a veszteségek előtt: a MARC – Minimum Acceptable Recovery Configuration: minimálisan elfogadható helyreállítási konfiguráció elv alapján. A katasztrófa bekövetkezés után csaknem azonnal rendelkezésre állnak a tartalék források, amelyekkel az alapfunkciók helyreállíthatók.

PreCovery A CBR-projekteket támogató szoftvertermék. SunGard.

Fusion alapú módszertan HP. Alapvetően rendszerfejlesztési folyamatok támogatására. Négy fázis: követelményspecifikáció, elemezés, tervezés, implementáció.

Fusion alapú módszertan Ernst&Young Kft. Világos lépéseket definiál. Egyszerű ábrázolási technika.

DRPP módszertan Disaster Recovery Planning Process Disaster Recovery Journal - 1997. Egyik legrészletesebb módszertan.

DRPP módszertan - Fázisok A CEO beleegyezésének és támogatásának megszerzése. A Katasztrófa Bizottság létrehozása. Kockázatelemzés. A funkciók és folyamatok elemzése. Helyreállítási stratégiák tervezése.

DRPP módszertan - Fázisok Információ és adatgyűjtés az üzleti folyamatokról. Katasztrófaterv elkészítése és dokumentálása. Tesztelési kritériumok, tesztelés végrehajtása. A Katasztrófaterv karbantartása.

Az IT biztonság kihívásai