CAPITOLUL 11 (pentru proprietarii de companii)

Silvian NEAGU lead auditor BSI si SRAC pentru BS 7799 si respectiv ISO 9001 - trainer pentru Sisteme de management ale securitatii informatiilor la Romsym Consulting Capitolul 11 al standardului BS ISO/IEC 17799 :2000 Information technology Code of practice for information security management este declarat ca unul dintre cele mai generale si mai utilizate best practices din lume in domeniul securitatii informatiilor. Este vorba de capitolul Business Continuity Management. Este capitolul cu cele mai putine cerinte din tot standardul dar, poate de aceea, foarte dificil de implementat pentru cei care incearca obtinerea conformitatii cu standardul britanic BS 7799. Salutam, cu aceasta ocazie, eforturile institutiilor nationale de a traduce acest standard in limba romana, anuntate recent in mass-media, si ne asteptam ca el sa fie receptionat asa cum se cuvine. De altfel, apropierea de Comunitatea Europeana presupune o crestere a ratei de asimilare a standardelor de management, fie ele in domeniul calitatii, mediului, securitatii muncii sau securitatii informatiilor. Pentru proprietarii de companii este bine sa le (ne) reamintim ca selectia naturala a firmelor va fi foarte drastica pe masura ce se apropie termenul final al aderarii (despre care inca nu stim cu certitudine). Este adevarat ca unii dintre proprietari au pus ceva deoparte si nu se tem ca afacerea se va inchide. Banii insa se cheltuiesc foarte repede iar daca afacerea dispare, in timp, totul se naruieste. Ce se doreste in fapt ? Sa utilizam aceleasi sisteme de management adoptate in tarile dezvoltate care au demonstrat in timp ca sunt viabile si care asigura respectarea cerintelor tuturor partilor interesate in afacere. Dar continuitatea afacerii, business continuity este necesara nu doar pentru supravietuirea proprietarilor companiei ci si pentru celelalte parti interesate : clienti, furnizori, angajati, societate sau mediul inconjurator. Managementul continuitatii afacerii este o strategie de planificare si documentare de proceduri care sa asigure continuarea derularii proceselor interne, cum ar fi aprovizionarea, productia, desfacerea, operatiunile financiare si administrative, indiferent care ar fi cauzele intreruperilor ce pot surveni. In completarea acestui concept se defineste Disaster recovery Recuperarea din dezastru ca fiind o colectie de instrumente tehnice si manageriale aplicate pentru minimizarea timpului de nefunctionare a infrastructurii companiei in caz de dezastru. Oricare ar fi definitiile date, deoarece ele pot varia ca consistenta, rezulta ca cele doua concepte sunt foarte dependente una de cealalta. Cauzele dezastrelor pot fi impartite in trei mari clase : 40% umane, 40% tehnice, 20% naturale. Mai departe cauzele se pot detalia pe tipuri de erori, pe categorii de incidente si fenomene naturale. Important este sa determinam care este expunerea fiecarei din activitatile companiei la fiecare eveniment considerat dramatic. Este mult de lucru sau putin ? Depinde de

marimea afacerii pe care o conducem si de produsele sau serviciile pe care le oferim clientilor. Exista un clasament al pierderilor financiare raportat pe ora de intrerupere a livrarii produselor sau prestarii serviciilor. Cele mai afectate sunt companiile din sectorul energetic urmate de cele din domeniul telecomunicatiilor. Pe locuri fruntase la pierderi sunt de asemenea companiile care activeaza in domeniul productiei industriale, financiar, al tehnologiei informatiei si asigurari. Ne asteptam deci ca aceste companii sa fi implementat de mult Planuri de continuitate a activitatilor si sa ceara acest lucru si furnizorilor lor. Este suficient sa facem o cautare pe Internet si sa vedem care sunt cerintele organizatiilor de dincolo de fosta cortina de fier . Poate asa putem estima si sansele de supravietuire a companiilor romanesti !