resiliency (liet. tamprumas), kuri sako, jog svarbu būti pasirengus valdyti problemas, kada standartinių priemonių nepakanka. Tokiam rizikų valdymui yra svarbus trijų žingsnių modelis: • Rizikų valdymas (prevencinė veikla, pvz. priešgaisrinė sistema) • Tęstinumo valdymas (užtikrinamas veiklos tęstinumas, kuomet įvyksta incidentas) • Krizių valdymas (standartinės ir nestandartinės priemonės krizei suvaldyti, kur svarbu, jog organizacija ne tik greitai atsistatytų po įvykusios krizės, o gal netgi iš to gautų naudos). Čia skiriami du įmonių tipai – atsistatančios (angl. recoverers) ir neatsistatančios ( angl. nonrecoverers). Atsistatančios įmonės tos, kurios pasitiki ne tik draudimo kompanijomis, bet daug skiria dėmesio savo vadovybės, personalo apmokymams, parengimui valdyti krizes.

1. * „Tamprumas“ - organizacijos gebėjimas išvengti ar atsistatyti po krizės
Praktiniai veiklos tęstinumo
valdymo aspektai
RESILIENCY*
Aleksandr Samuchov
UAB “Baltic Data Center” (BDC)

2. Kas yra „tamprumas“ ir kodėl tai yra svarbu?
Spręsti problemas, kurios
privalo būti valdomos, bet
kurioms neužtenka įprastų
sprendimo būdų.
Graham Spencer, Google App Engine pristatymas 2009.
Per kelias minutes kompiuteris pakeistas kolegos „Mac‘u“

3. „Tamprumo“ efektas įmonės verteiDidėjantinepaprastojigrąža(%)
Prekiavimo dienos po incidento
Grafikas paimtas iš „Study examining the impact of catastrophes on shareholder value by Deborah Pretty and Rory Knight“

4. „Tamprumo“ modelis
Įprastas valdymas Neeilinis valdymas
Rizikų
Valdymas
Žinojimas
Rizikų nustatymas
Rizikų valdymas
• Išvengimas
• Sumažinimas
• Perdavimas
• Priėmimas
Rizikų raportavimas
Tęstinumo
Valdymas
Pasiruošimas
Svarbių sričių nustatymas
Tęstinumo valdymas
• Strategijos
• Organizacija
• Sprendimai
• Planai
Išlaikymas
Krizių
Valdymas
Kontrolė
Scenarijų nustatymas
Krizių valdymas
• Diagnozė
• Strategija
• Priemonės
• Komunikacija
Išlaikymas

5. „Tamprumas“
Įprastinė situacija – Įprastas valdymas
Ypatinga situacija – Krizių valdymas
Valdyti verslo tęstinumą – pasirūpinimas svarbiais resursais
Valdyti krizes – pasiruošti įvairiems scenarijams ir siurprizams
Sukurti patikimumą – apsisaugoti nuo problemų
Valdyti rizikas – susidoroti prieš išsiplėtimą

6. Organizacinių ir IT saugumo rizikų kategorijos
Produktas Tinklas Sistemos ir
platformos
IT
operacijos
Valdymo Infrastruktūr
a
Sukčiavimas Tinklo
valdymas
Našumas Rezervinis
kopijavimas
ir atstatymas
Projektų
valdymas
Duomenų
centrai
Privatumas
ir
informacijos
saugumas
Sisteminių
įrašų
valdymas
Sisteminių
įrašų
valdymas
Atnaujinimas Pakeitimų
valdymas
Biurai
Tapatumo
nustatymas
Tapatumo
nustatymas
Licencijų
valdymas
Išteklių
valdymas
Techninės
patalpos
Incidentai Incidentai Incidentai Incidentai Prieigų
valdymas
Incidentai

7. Praktinis veiklos tęstinumo planavimas
Klientas Pagalba
klientui
• Help Desk
• Palaikymas
Produktų
valdymas
Operacijos
• IT sistemos
• Patalpos
• Tinklas
Palaikymo
sistemosSLA / Susitarimai
Verslo
Tęstinumo
Planas
Contingency
Plans
Contingency
Plans
Planai
Nenumatytoms
aplinkybėms
Contingency
Plans
Contingency
Plans
Planai
Nenumatytoms
aplinkybėms
Contingency
Plans
Contingency
Plans
Planai
Nenumatytoms
aplinkybėms

8. Krizių valdymas
Organizacinis
krizių
valdymas
Eskalacijos
procedūra
Atsakomybės
ir įgaliojimai
Komunikacijos
planas
Kontaktinė
informacija
Scenarijų
planai

9. Scenarijų pavyzdžiai
Stichinė nelaimė / sunaikintas duomenų
centras
• Sugriauti pastatai. Nutrūkęs ryšys. Masinė
evakuacija.
Technologiniai gedimai
• Sugedusios tarnybinės stotys. Sugadintos
rezervinės kopijos.
Kenkėjiškos programos/ įsilaužėliai
/Kibernetinės grėsmės
• Kritiniai pažeidžiamumai svarbiausiuose
maršrutizatoriuose. Išnaudojus pažeidžiamumus
maršrutizatoriai tampa nevaldomi. Kritiniai
pažeidžiamumai SCADA sistemose.
Elektros energijos tiekimo nutrūkimas
• Atsarginiai elektros generatoriai nebuvo
testuoti, įvykus avarijai jie neįsijungia.
Tiekėjai

10. Informacijos saugumo įtraukimas į verslo
veiklos tęstinumo procesą
Atsižvelgiant į informacijos
saugumo reikalavimus
organizacijos verslo veiklos
tęstinumui, turėtų būti
numatytos visos organizacijos
atžvilgiu taikomos verslo
veiklos tęstinumo procedūros
ir jų laikomasi.

11. Verslo veiklos tęstinumo planų
tikrinimas, priežiūra ir koregavimas
Veiklos tęstinumo planai
privalo būti periodiškai
tikrinami ir atnaujinami.

12. Kaip apsisaugoti?
Patirtis sudaro prielaidas sėkmei.
BDC – pirmoji ISO 27001 sertifikuota IT paslaugų įmonė Lietuvoje.
BDC saugumo ir veiklos tęstinumo patirtis yra didžiausia Lietuvoje.
Konsultavimas
Procesų
diegimas
Planų
rengimas
Rizikų
vertinimas /
testavimas
Patikimos IT
paslaugos
pasiruošti?

13. Dėkoju už dėmesį. Klausimai?
13