• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 i ISO 22301 Blog

    Kontinuitet poslovanja u malim tvrtkama – je li uistinu nužan?

    Ima li smisla u manjim tvrtkama provoditi kontinuitet poslovanja? Što će im tako skupo ulaganje kad vlasnik sve potrebne informacije ima u glavi?

    Započet ću s pričom koju sam nedavno čuo. Opljačkana je mala tvrtka koja se bavi prodajom raznovrsne opreme velikom broju kupaca. Lopov je provalio u ured tijekom noći i ukrao sva računala i druge vrijedne stvari. Problem je u tome što je vlasnik tvrtke izrađivao sigurnosne kopije podataka, ali ih je pohranjivao na drugom računalu u istom uredu. Tvrtka je uskoro bankrotirala jer nije uspjela oporaviti ključne informacije o poslovanju.

    Ovo je klasičan primjer sindroma “To se meni neće dogoditi” koji pogađa većinu malih tvrtki.

    Okvir za kontinuitet poslovanja

    Znači li to da bi male tvrtke trebale investirati u skupe disaster recovery lokacije s opremom visoke raspoloživosti? Naravno da ne.

    U nekim slučajevima stvarno nije potrebno provoditi kontinuitet poslovanja jer vlasnik tvrtke doista sve informacije ima u glavi, ali takvi slučajevi vrlo su rijetki – koji vlasnik nema prijenosnik na kojem su različite vrste važnih informacija? Samo razmišljanje o tome kako te informacije učiniti dostupnima u slučaju havarije dio je uvođenja kontinuiteta poslovanja.

    Vlasnici malih tvrtki moraju dobro razmisliti o tome koje su informacije (i ostali resursi) važni za poslovanje, kako se pobrinuti da takve informacije i resursi budu dostupni u slučaju havarije i koje je korake potrebno provesti za oporavak poslovnih aktivnosti u slučaju havarije. Ti koraci zapravo nisu ništa drugo nego provođenje analize utjecaja na poslovanje, strategije kontinuiteta poslovanja, i planova kontinuiteta poslovanja, što bi radila i svaka veća tvrtka koja provodi kontinuitet poslovanja. Svi ovi koraci opisani su u vodećoj normi za kontinuitet poslovanja – BS 25999-2.

    Kako se pripremiti

    Razlika između malih i velikih tvrtki je u složenosti i cijeni pripreme za kontinuitet poslovanja:

    • Sigurnosne kopije elektroničkih podataka – male tvrtke mogu upotrebljavati alate koji sigurnosne kopije podatka s njihovih računala gotovo trenutno pohranjuju u cloud. Naravno, potrebno je voditi brigu o tome da budu obuhvaćeni svi potrebni podaci.
    • Sigurnosne kopije papirnatih dokumenata – male tvrtke sada iz svakodnevnog poslovanja mogu gotovo u potpunosti izbaciti papirnate dokumente i prebaciti se na elektroničko poslovanje; u rijetkim slučajevima u kojima moraju postojati, papirnati dokumenti mogu se za potrebe kontinuiteta poslovanja skenirati.
    • Alternativne uredske lokacije – u većini slučajeva bit će dovoljno da zaposlenici nastave raditi od kuće. Preduvjet je da imaju internetsku vezu, prijenosno/stolno računalo i lozinke. Ako rad od kuće ne dolazi u obzir, hotelska se soba može unajmiti za manje od sat vremena.
    • Hardver – osim ako posao ne zahtijeva rad na posebnom tipu računala, vrlo je lako naći alternativu – obično kod kuće postoji privatno računalo ili se može posuditi od poznanika ili se pak može kupiti u najbližem dućanu računalne tehnike.
    • Zaposlenici – za ovo se je možda i najteže pripremiti. Pretpostavimo da jedan zaposlenik nije dostupan, a jedino on/ona zna određene informacije (npr. administratorsku lozinku, korake koje je potrebno poduzeti u sklopu važnog projekta, itd.) – u takvim slučajevima priprema bi obuhvaćala dokumentiranje svih tih informacija kako bi bile dostupne i kad nema tog zaposlenika. Može se i dogoditi da je određeni zaposlenik odsutan, a nitko drugi nema vremena ni znanja da preuzme njegov posao – za takve bi se slučajeve unaprijed trebalo odrediti koga se u kratkom roku može angažirati kao zamjenu. Ovdje je naravno bitno odrediti nekoga tko ima potrebne vještine/kvalifikacije.

    Da zaključim: kad se radi o okviru za kontinuitet poslovanja ne postoji razlika između velikih i malih organizacija – i male i velike tvrtke moraju dobro razmisliti koje pripreme moraju provesti kako bi opstale i nakon havarije. Razlika postoji samo u razini pripreme – manje tvrtke mogu proći s vrlo malim ulaganjima.

    Ovaj besplatni webinar će Vam također pomoći: Writing a business continuity plan according to ISO 22301.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Povežite se s Dejan: