...πριν πεινάσουν μαγειρεύουν, λέει σοφά ο ελληνικός λαός, ενώ το πλέον διάσημο προσκοπικό σύνθημα είναι το «Εσω έτοιμος». Ετοιμες πρέπει να είναι σήμερα και οι εταιρείες να αντιμετωπίσουν άμεσα και με όσο το δυνατόν μικρότερες επιπτώσεις, οποιαδήποτε διακοπή προκύψει στη λειτουργία τους.

Το 2010 αποτέλεσε μία από τις χειρότερες χρονιές των τελευταίων δύο δεκαετιών σε επίπεδο φυσικών καταστροφών. Σύμφωνα με έρευνα των Ηνωμένων Εθνών, σχεδόν 297.000 άνθρωποι έχασαν πέρυσι τη ζωή τους εξαιτίας 373 μεγάλων γεγονότων, που επίσης προκάλεσαν οικονομικές απώλειες της τάξης των 109 δισ. δολαρίων. Αυτό το νούμερο δεν περιλαμβάνει τις προβλέψεις για τις απώλειες από τις πλημμύρες στην Αυστραλία, όπου μόνο για το καθάρισμα και την ανοικοδόμηση των περιοχών που επηρεάστηκαν, απαιτούνται 19,8 δισ. δολ.

Οι καταστροφές που συνέβησαν τους προηγούμενους 12 μήνες περιλαμβάνουν τον σεισμό στην Αιτή, το κύμα καύσωνα στη Ρωσία και τις μεγάλες πλημμύρες σε Κίνα και Πακιστάν. Σύμφωνα πάντα με την αναφορά των Ηνωμένων Εθνών το 89% των 207 εκατομμυρίων πληγέντων ήταν ασιάτες.

Τον Ιανουάριο, η Margareta Walstrom, ειδική εκπρόσωπος των Ηνωμένων Εθνών για τη μείωση του κινδύνου καταστροφών, κάλεσε τις χώρες να επαν-αποτιμήσουν την προσέγγισή τους για τα καταστροφικά γεγονότα και ιδιαίτερα τις στρατηγικές τους όσον αφορά το risk assessment, λέγοντας χαρακτηριστικά ότι «Με τον σωστό σχεδιασμό είναι εφικτό να μειώσουμε το ‘χτύπημα’ των καταιγίδων, των σεισμών ή άλλων κινδύνων. Αν συνεχίσουμε να αντιμετωπίζουμε τις καταστροφές σαν γεγονότα αποσυνδεδεμένα από τις ενέργειές μας, τίποτα δεν θα αλλάξει. Και θα συνεχίσουμε να είμαστε ευάλωτοι σε ακόμα πιο κοστοβόρες ζημιές».

Και φυσικά, καταστάσεις όπως οι παραπάνω φυσικές καταστροφές που περιγράφονται, δεν είναι οι μόνες που μπορούν να προκαλέσουν διακοπή ή αναταράξεις στην ομαλή λειτουργία μιας επιχείρησης. Οι κίνδυνοι είναι πολλοί – από φυσικές καταστροφές μεγάλης έκτασης, επιδημίες, τρομοκρατικά χτυπήματα μέχρι συνεχιζόμενες και διαρκείς διακοπές ρεύματος. Σε κάθε περίπτωση, μικρή η μεγάλη, οι εταιρείες πρέπει να έχουν φροντίσει από πριν, μέσα από έργα και προγράμματα Business Continuity, για τη διασφάλιση της συνέχισης της επιχειρηματικής τους λειτουργίας και δραστηριότητας.

BCM: επένδυση ή απαραίτητο κόστος του επιχειρείν;
Η απάντηση σε αυτή την ερώτηση είναι απλή και σαφής: ‘Ναι’, και στις δυο περιπτώσεις.

Η πιο περίπλοκη απάντηση είναι ότι εξαρτάται από το τι προτάσσει η διοίκηση της εταιρείας σε επίπεδο στόχων και απαιτήσεων από το Business Continuity Management σύστημα του οργανισμού. Και αυτό επηρεάζει αποφασιστικά τους πόρους και τις δαπάνες που θα τοποθετηθούν στο business continuity.

Οι εταιρείες που τείνουν να έχουν μία μακροπρόθεσμη θεώρηση του Business Continuity Management θα αφιερώσουν χρόνο για την καθιέρωση μιας σωστής προσέγγισης του κύκλου ζωής των απαιτούμενων ενεργειών (Plan-Do-Check-Act) και προσεκτικά αναπτύσσουν την επάρκεια και τις ικανότητες που απαιτούνται για να αποκομίσει η εταιρεία τα βέλτιστα οφέλη από ένα πρόγραμμα business continuity.

Για τις εταιρείες που αντιμετωπίζουν το Business Continuity Management απλώς σαν ένα υποχρεωτικό κόστος, τείνουν να προσαρμόσουν τη δαπάνη ανάλογα με τις απαιτήσεις (κανονιστικές ή άλλες) με τις οποίες πρέπει να συμμορφωθούν. Σύμφωνα με τους αναλυτές, αυτή η «μινιμαλιστική» προσέγγιση έχει ελάχιστες, έως καθόλου, πιθανότητες να επιτρέψει στην εταιρεία να αποκομίσει τα πλήρη οφέλη ενός ολοκληρωμένου προγράμματος business continuity.

Οι κλάδοι της αγοράς που υπόκεινται σε κανονιστικά πλαίσια που σχετίζονται με το Business Continuity Management (για παράδειγμα χρηματοοικονομικοί οργανισμοί), προφανώς και δεν έχουν καμία επιλογή από τη δέσμευσή τους στο Business Continuity Management. Σχετικά με το αν θα ακολουθήσουν τη μινιμαλιστική προσέγγιση ή αυτή της πλήρους ανάπτυξης, είναι θέμα στρατηγικής απόφασης της διοίκησης, εφόσον φυσικά δεν υπάρχει κανονιστικό ή ρυθμιστικό πλαίσιο που να επιβάλει συγκεκριμένα πρότυπα Business Continuity Management.


Αμεσα και έμμεσα οφέλη
Ας διευκρινίσουμε σε αυτό το σημείο, συνοπτικά, που βρίσκονται τα άμεσα και τα έμμεσα οφέλη του Βusiness Continuity Management. Τα άμεσα οφέλη -για παράδειγμα αυτά που μπορεί να ‘απολαύσει’ μια εταιρεία σε περίπτωση μιας καταστροφής ή κρίσης- έχουν να κάνουν με τη μείωση του operational αντίκτυπου της κρίσης. Αυτό μπορεί να επιτευχτεί μέσω μιας πιο κατάλληλης ικανότητας incident/crisis management, που κυρίως εστιάζει στην προστασία των μη απτών πόρων και στην ταχύτερη ανάκαμψη, εκεί όπου οι επιχειρηματικές και υποστηρικτικές λειτουργίες εστιάζουν στην ανάκτηση των assets και των προϊόντων / υπηρεσιών.

Τα έμμεσα οφέλη από την άλλη -αυτά τα οποία μπορεί να αποκομίσει η εταιρεία ακόμα και στη απουσία καταστροφής ή κρίσης- σχετίζονται με τη βελτιωμένη ανθεκτικότητα και με τη σε βάθος κατανόηση του οργανισμού και των βασικών προϊόντων και υπηρεσιών του.

Αυτό σημαίνει ότι η εταιρεία θα έχει καθορίσει τους κινδύνους και τον αντίκτυπο αυτών, και κατ’ επέκταση θα είναι σε θέση να αφιερώσει τους διαθέσιμους πόρους της σε στρατηγικές επιχειρηματικές περιοχές, καθώς και σε έργα που θα διασφαλίζουν την ετοιμότητά της να ανταποκριθεί στο μη αναμενόμενο.

Αυτή η γνώση των κινδύνων σημαίνει ότι το οικονομικό «ανάχωμα» για τις απρόβλεπτες αναταράξεις και διακοπές της επιχειρηματικής λειτουργίας μπορεί να μειωθεί περαιτέρω και να αξιοποιηθεί για επιχειρηματικά έργα.

Οι εταιρείες αυτές που επενδύουν για την πλήρη γκάμα των πλεονεκτημάτων, ίσως θα πρέπει να σκεφτούν και την πιθανότητα μιας πιστοποίησης σε Business Continuity Management, καθώς μέσα από την πιστοποίηση μπορούν να κερδίσουν συγκριτικό πλεονέκτημα έναντι των ανταγωνιστών τους. Βέβαια, αυτή τη στιγμή υπάρχουν μόνο εθνικά Business Continuity Management standards. Αλλά υπάρχουν καλά νέα στον ορίζοντα, αφού σε λίγους μήνες αναμένεται το ISO BMC standard (ISO 22301).

Το οικονομικό πλαίσιο
Αν και η τρέχουσα οικονομική κατάσταση μπορεί να βελτιωθεί, το μέλλον είναι ακόμα πολύ αβέβαιο και οι εταιρείες εξακολουθούν να είναι πολύ «φρόνιμες» και συνετές όσον αφορά στις δαπάνες τους. Από την άλλη πλευρά, μεγάλες καταστροφές εμφανίζονται όλο και πιο συχνά, και με εντονότερες συνέπειες από ποτέ – αρκεί να αναλογιστούμε τις φυσικές καταστροφές του περασμένου χρόνου: πλημμύρες, σεισμοί, πανδημίες κ.ά.

Οποιαδήποτε και αν είναι η προσέγγιση που θα επιλέξει να ακολουθήσει, είτε πρόκειται για ένα περιορισμένο έργο είτε για ένα ολιστικό πρόγραμμα, θα πρέπει να αιτιολογήσει το κόστος, ανταγωνιζόμενο άλλα επιχειρηματικά έργα, από τη στιγμή που οι προϋπολογισμοί είναι σφιχτοί και θα συνεχίσουν να είναι σφιχτοί τουλάχιστον για ένα διάστημα ακόμα.

Σχεδιάζοντας τη στρατηγική
Πάντα ανεξάρτητα από το μέγεθος του προγράμματος και της επένδυσης στην οποία θα προβεί η εταιρεία, θα πρέπει στη συνέχεια να καθοριστούν και να επιλεγούν οι στρατηγικές του Business Continuity Management που θα πρέπει να χρησιμοποιηθούν προκειμένου να διατηρηθούν οι επιχειρησιακές δραστηριότητες της εταιρείας παρά τη διατάραξη της λειτουργίας της.

Οι στρατηγικές αυτές αφορούν:
• Την επιλογή εναλλακτικών μεθόδων λειτουργίας προς χρήση μετά από μία διακοπή και προκειμένου να διατηρηθεί ή να συνεχιστεί η δραστηριότητα της επιχείρησης
• Η προστασία των ευάλωτων σημείων και των μεμονωμένων σημείων αστοχίας (single points of failure) σε κρίσιμες επιχειρησιακές διαδικασίες.

Ανάμεσα στις αποφάσεις που θα πρέπει να ληφθούν σε εταιρικό επίπεδο, οι σημαντικότερες αφορούν το χρόνο μέχρι την επάνοδο κάθε δραστηριότητας και την απόσταση που χωρίζει τις εναλλακτικές εγκαταστάσεις αποθήκευσης δεδομένων. Σε επίπεδο δραστηριοτήτων, θα πρέπει να αναλύεται η πολυπλοκότητα των σχέσεων αλληλεξάρτησης μεταξύ υπηρεσιών, διαδικασιών, δεδομένων και τεχνολογιών.

Στη συνέχεια, θα πρέπει να επιλέγονται οι κατάλληλες τακτικές, ώστε να καλύπτονται σωστά οι ανάγκες στους ακόλουθους τομείς:
• Ανθρώπινο δυναμικό, δεξιότητες και γνώση
• Εγκαταστάσεις
• Υποστηρικτικές τεχνολογίες
• Πληροφορία
• Εξοπλισμός και προμηθευτές
• Συνεργάτες, stakeholders και εργολάβοι.

Θα πρέπει, τέλος, να γίνεται μια συγκεντρωτική πρόβλεψη των -σχετικών με τους διαθέσιμους πόρους- απαιτήσεων που έχουν όλες οι επιχειρησιακές δραστηριότητες των διαφορετικών τμημάτων μιας εταιρείας και να διασφαλίζεται η δυνατότητα ανταπόκρισης σε αυτές, τόσο όσον αφορά την κλίμακα, όσο και το χρόνο.


Ενσωμάτωση του BCM στην εταιρική κουλτούρα
Η ανάπτυξη μιας κουλτούρας γύρω από το Business Continuity αποτελεί κρίσιμο παράγοντα προκειμένου να διατηρηθεί η ετοιμότητα και η αποτελεσματικότητα της απόκρισης σε όλα τα επίπεδα. Πριν από την προετοιμασία και τον σχεδιασμό μιας καμπάνιας ευαισθητοποίησης είναι σημαντικό να εκτιμηθεί το υπάρχον επίπεδο ευαισθητοποίησης όσον αφορά το Business Continuity.

Το BCM θα πρέπει να αναπτυχθεί μέσα στο πνεύμα της εταιρικής κουλτούρας κάτι που θα πρέπει να «σέβεται» ο σχεδιασμός και η εκτέλεση της εκπαίδευσης και της ευαισθητοποίησης. Θα πρέπει, τέλος, να παρακολουθούνται οι όποιες αλλαγές στην εταιρική κουλτούρα.

Στα πλαίσια αυτά, η καμπάνια ευαισθητοποίησης θα πρέπει να αντιμετωπίζεται ως μία διαρκής διαδικασία που εντοπίζει οποιαδήποτε προσπάθεια απαιτείται για τη διατήρηση του BCM στα επιθυμητά επίπεδα. Πέρα από το να προβλέψει για τις δράσεις που θα πρέπει να ακολουθηθούν σε περίπτωση διαταραχής της λειτουργίας, η Διεύθυνση Πληροφορικής θα πρέπει να φροντίσει και για την ευαισθητοποίηση του υπόλοιπου προσωπικού -συμπεριλαμβανομένης της διοίκησης- απέναντι σε αυτά.

Τα παραδείγματα στα οποία μπορεί να αναφερθεί είναι πλέον πολυάριθμα και ποικίλα: από τις τρομοκρατικές επιθέσεις σε Αμερική και Ευρώπη, μέχρι το ενεργειακό μπλακ άουτ τις ημέρες του καύσωνα. Τα περιστατικά αυτά αποτελούν παράδειγμα του πώς ένας κίνδυνος μπορεί να διαταράξει την επιχειρησιακή λειτουργία. Η ευαισθητοποίηση του συνόλου του προσωπικού απέναντι σε πιθανές καταστροφές βοηθά να γίνει αντιληπτό το ότι το Βusiness Continuity Management θα πρέπει να αποτελεί μια διαρκή και συνεχιζόμενη διαδικασία και όχι ένα μεμονωμένο project που πραγματοποιείται μία μόνο φορά.

Εχει παρατηρηθεί ότι πολλές εταιρείες συγκεντρώνουν σχέδια γύρω από το Business Continuity τα οποία, ωστόσο, δεν συμβουλεύονται (ούτε και αναθεωρούν) ποτέ. Η εταιρεία επαφίεται και επαναπαύεται στο γεγονός ότι υπάρχουν σχετικά σχέδια, ακόμα και αν κανένας δεν γνωρίζει κατά πόσο αυτά ανταποκρίνονται στην πραγματικότητα και στις τρέχουσες επιχειρησιακές απαιτήσεις. Η αλλαγή των απαιτήσεων αυτών είναι, άλλωστε, διαρκής και αφορά τόσο τη δυναμική της ίδιας της επιχείρησης όσο και την εξέλιξη των λύσεων τεχνολογίας.

Η ενημέρωση του σχεδίου Business Continuity είναι απαραίτητο να γίνεται και στις δύο αυτές κατευθύνσεις, ενώ θα πρέπει ακόμα να γίνεται μια διαρκής αυτοαξιολόγηση ως προς την ετοιμότητα της επιχείρησης. Οσον αφορά τη διοίκηση, θα πρέπει να της παρέχεται πληροφόρηση σχετικά με όλα τα περιστατικά που προκύπτουν και για τον τρόπο με τον οποίον αυτά επιλύονται. Στις εισηγμένες εταιρείες, ο CFO ή ο Υπεύθυνος Εσωτερικού Ελέγχου μπορούν να βοηθήσουν στην ευαισθητοποίηση γύρω από τα θέματα αυτά.

Τρεις μύθοι γύρω από το Business Continuity Management
1. Το ίδιο σχέδιο μπορεί να καλύψει τις ανάγκες όλων των επιχειρήσεων
2. Αρκεί ο σχεδιασμός και η δοκιμή του πλάνου BCM με το προσωπικό του ΙΤ και μόνο
3. Η μεγαλύτερη απόσταση συνεπάγεται και καλύτερη προστασία απέναντι σε καταστροφές.