Analýza dopadov
Analýzou dopadov sa identifikujú rôzne kategórie procesov organizácie na základe ich kritickosti, ich vzájomné závislosti, analyzujú sa potenciálne dôsledky (škôd/strát) pri rôznych dobách trvania kritických situácií, stanovujú sa maximálne akceptovateľné doby prerušenia (MTO), minimálne ciele kontinuity podnikania (MBCO), cieľové časy obnovy (RTO) a cieľové body obnovy (RPO).
Analýza dopadov je súčasťou procesu riadenia kontinuity činností, ktorý identifikuje potenciálne dopady vyplývajúce z možného prerušenia činností a ktorého cieľom je pripraviť také postupy a vytvoriť také podmienky, ktoré zabezpečia v prípade krízovej situácie kontinuitu činností vo vopred stanovenom rozsahu a návrat k fungovaniu organizácie v normálnom režime
Analýza dopadov je v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov súčasťou bezpečnostnej dokumentácie. Výsledky analýzy dopadov slúžia ako vstup pre vypracovanie plánu kontinuity.
Pri analýze dopadov je potrebné identifikovať:
- kritické obdobie,
- množstvo práce vykonanej v kritickom období,
- minimálne prijateľné množstvo práce vykonávanej bezprostredne po krízovej situácii,
- či môže definovaný typ krízovej situácie spôsobiť prerušenie procesu.
Pričom kritickou situáciou môže byť:
- nedostupnosť informačných technológií a/alebo dát,
- nedostupnosť prevádzkových priestorov,
- nedostupnosť kritickej časti ľudských zdrojov – zamestnancov,
- zlyhanie kľúčového externého dodávateľa služieb.
Kritické obdobie je obdobie v dni, týždni, mesiaci a / alebo roku, kedy je kontinuita procesu najkritickejšia, čiže proces je najcitlivejší a dopady v prípade kritickej situácie sú najvyššie. V prípade, že proces má stále rovnakú kritickosť / citlivosť na dopady, tak sa uvedie každý pracovný deň alebo každý kalendárny deň.
Množstvo práce, ktoré sa vykonáva v definovanom kritickom období znamená napríklad množstvo výrobkov alebo služieb, počet spracovaných položiek, transakcií a pod. za určitú jednotku času.
Množstvo práce, ktoré sa má vykonávať bezprostredne po krízovej situácii znamená napríklad množstvo výrobkov alebo služieb, počet spracovaných položiek, transakcií atď. za určitú jednotku času. Je to definícia minimálnej úrovne činnosti/procesu, ktorá sa má zachovať bezprostredne po kritickej situácii, inými slovami definícia minimálnych cieľov kontinuity podnikania (MBCO).
Funkčným dopadom sa kvalitatívne hodnotí výška dopadu krízovej situácie v týchto oblastiach:
- strata reputácie,
- strata klientov / žiadateľov,
- dopad na iné činnosti organizácie,
- dopad na zdravie, bezpečnosť a prostredie.
Výška funkčného dopadu sa určuje zvlášť pre rôzne dĺžky trvania krízovej situácie. Rôzne dĺžky trvania krízovej situácie, pre ktoré sa budú hodnotiť dopady budú definované na stretnutiach s vlastníkmi procesov.
Finančný dopad vyčísluje výšku priameho dopadu krízovej situácie v oblastiach:
- priame finančné škody,
- sankcie regulačných orgánov,
- zmluvné pokuty a / alebo uplatnenie náhrady škôd zo strany zmluvných partnerov,
- náklady súvisiace s návratom do normálneho stavu.
Výška finančného dopadu sa určuje zvlášť pre rôzne dĺžky trvania krízovej situácie. Rôzne dĺžky trvania krízovej situácie, pre ktoré sa budú hodnotiť dopady, budú definované na stretnutiach s vlastníkmi procesov. Samotná hodnota finančného dopadu sa určí sumou v EUR.
Strata údajov kvalitatívne hodnotí výška dopadu straty údajov vyvolanej krízovou situáciou. Samostatne sa hodnotí maximálne množstvo údajov, ktoré sa môže stratiť v týchto formách:
- aplikácie, databázy,
- elektronické údaje, ktoré nie sú uložené v databázach (čiže napríklad údaje uložené na rôznych nosičoch ako CD, USB a pod.),
- papierové dokumenty.
Rôzne dopady sa posudzujú pre rôznu stratu údajov, podľa množstva údajov, ktoré sa vytvorili v poslednom časovom úseku. Jednotlivé časové úseky, pre ktoré sa budú hodnotiť dopady budú definované na stretnutiach s vlastníkmi procesov. Pre každú databázu, aplikáciu alebo informácie identifikované v analýze je potrebné vyhodnotiť maximálne množstvo údajov, ktoré sa môžu stratiť.
"Správne navrhnutá analýza dopadov vám pomôže identifikovať, ktoré procesy vo vašej organizácii sú najkritičkejšie a ako na seba navzájom pôsobia, čo vám umožní predvídať potenciálne straty pri rôznych bezpečnostných scenároch."
Identifikácia zdrojov a prostriedkov na obnovu procesu sa bude vykonávať iba pre procesy, ktoré majú zásadný vplyv na kontinuitu činností organizácie. Tieto procesy budú identifikované v rámci analýzy, na základe ich hodnoty RTO. Je potrebné identifikovať tieto typy zdrojov:
- ľudia,
- aplikácie / databázy,
- údaje uložené v elektronickej podobe (nezahrnuté v aplikáciách a databázach),
- údaje uložené na papierovom médiu,
- IT a komunikačné zariadenia,
- komunikačné kanály,
- ostatné vybavenie,
- vybavenie a infraštruktúra,
- pracovný kapitál.
Po zozbieraní všetkých vstupných dát a ich validovaní prebehne finálna analýza dát a ich vyhodnotenie. Výstupom z analýzy dopadov bude záverečná správa, ktorá bude obsahovať:
- prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO,
- zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy),
- špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.
Spoločnosť SOMI Systems a.s. ponúka vypracovanie komplexnej analýzy dopadov.