SIS Kontinuitet Poslovanja

Sigurnost
informacijskih
mr.sc. Dražen Pranić
Agenda
• Ispit
• Istraživanje
• Što je BCM?
• BIA (RTO, RPO)
• Upravljanje krizom
4. listopada 2021. oko 18:00
Pad Meta servisa
• https://mreza.bug.hr/pad-facebooka-dan-kada-je-produktivnost-
u-svijetu-porasla/
• Uzrok pogreška u konfiguraciji BGP protokola  automatizam
• DNS servis postao nedostupan
Primjer
Primjer BA ispad 27.5.2017
• BA cancelled all departing flights at London’s Heathrow and

Gatwick airports on Saturday when check-in and operating
systems crashed
• BA said its systems had now been restored and it was back to
running a full flight schedule on Tuesday
• The problem, put down to a "power surge" by BA chief
executive Alex Cruz, is expected to cost the airline £100m in
compensation costs
Primjer
• On Saturday morning at around 9.30 there was indeed a power

surge that had a catastrophic effect over some communications
hardware which eventually affected all the messaging across
our systems
• A contractor doing maintenance work at a British Airways
data centre inadvertently switched off the power supply
Kontinuitet poslovanja
Kontinuitet poslovanja se zapravo odnosi na dvije stvari koje su

ključne da poslovanje dostigne svoje ciljeve:
1. isporuka otpornog (elastičnog) poslovanja
2. zaštita reputacije (ugleda, brenda).
Prijetnje očuvanju kontinuiteta
poslovanja (Horizon Scan 2022 izvještaj)
• BCI Institut autor izvještaja
• https://www.bsigroup.com/globalassets/localfiles/en-gb/iso-223
01/bci-horizan-scan-report/bci-horizon-scan-report-2022.pdf
• Izvještaj napravljen na referentnom uzorku:
• 365 organizacija iz 59 zemlje
The 2020 and 2021 editions of Horizon Scan showed that many
organizations were not prepared for the disruption caused by
COVID-19. Plans had to be rewritten from scratch, technology
hardware had to be sourced through disrupted supply chains and
workplace environments had to be altered to ensure staff could
work remotely and, for those that could not, strict social
distancing policies had to be adhered to.
Pitanja
• Tko će imati veću štetu: Konzum ako mu ne rade blagajne u

dućanima ili ZABA ako ne radi Internet bankarstvo?
• Kako bi rangirali po važnosti za oporavak slijedeće servise:
• Web shop
• ERP aplikacija
• Email servis
• Proizvodna linija
• HR aplikacija
• Aplikacija za izvještavanje
• Skladišna aplikacija
• Ovjeravanje računa/ugovora
ISO 22301
u praksi
ISO 22301
• Puni naziv: Societal security — Business continuity

management systems — Requirements
• definira zahtjeve za Sustav upravljanja kontinuitetom
poslovanja (engl. Business Continuity Management System –
BCMS) – dio ukupnog sustava upravljanja uz pomoću kojeg se
planira, implementira, održava i poboljšava kontinuitet
poslovanja
ISO 22301 definicija kontinuiteta
poslovanja
Holistički proces upravljanja koji identificira potencijalne
prijetnje organizaciji i utjecaj tih prijetnji na poslovanje
(ukoliko se ostvare) a koji pruža okvir za izgradnju
organizacijske otpornosti sa sposobnošću učinkovitog
odgovora koji štiti interese svojih ključnih udjelničara, ugleda,
brenda, i aktivnosti koje stvaraju dodanu vrijednost.
Najvažnije aktivnosti
• Plan kontinuiteta poslovanja

• Disaster Recovery
• Analiza utjecaja na poslovanje i Procjena rizika  određuju
strategiju kontinuiteta poslovanja
• Upravljanje incidentnim/kriznim situacijama
Plan kontinuiteta poslovanja
• dokumentirane informacije koje omogućuju organizaciji da

odgovori na prekid i nastavi, obnovi i oporavi isporuku
proizvoda i usluga u skladu s njezinim ciljevima kontinuiteta
poslovanja
BIA definicija
• „Proces analize poslovnih aktivnosti koje podržavaju
produkte i usluge organizacije te učinka koji poslovni
prekid može imati na njih”
Zašto je BIA važna?
• Bitno saznati koliko brzo organizacija treba reagirati nakon

prekida
• Temeljem toga se definira D/R strategija i rješenja
(definira se RTO i RPO)
• Bez BIA analize imamo dva scenarija:
• Podcijenjenost učinka incidenta  prevelika šteta, učinak incidenta na
organizaciju
• Precijenjenost učinka incidenta  previše plaćamo za DR rješenje
Recovery point objective = ciljana
točka oporavka (engl. RPO)
• Ciljana točka oporavka - Maksimalno dozvoljena veličina
gubitka podataka u vremenskim jedinicama
• Definira maksimalni gubitak podataka
• Određuje se tijekom BIA analize
• Definira backup politiku
Određivanje MTPD-a
• MTPD (maximum tolerable period of disruption)

• maksimalno dozvoljeno vrijeme prekida poslovanja, prije
značajnih (neprihvatljivih) gubitaka za organizaciju
• Zapravo vrijeme nakon kojega nema povratka
• Što mislite koliko dugo bi to vrijeme bilo za telekom operatere?
Recovery time objective = ciljano
vrijeme oporavka sustava(RTO)
• Ciljano vrijeme oporavka sustava
• period of time following an incident within which
o product or service must be resumed, or
o activity must be resumed, or
o resources must be recovered
• RTO mora biti manji od MTPD-a
MTPD, RTO
• U praksi se organizacije fokusiraju na RTO
RTO, MTPD od poslovnih aktivnosti
• Identificirati koje aktivnosti podržavaju kritične proizvode /

usluge
• Koliko dugo može korisnik čekati da isporučimo
proizvod/uslugu?
• Kontinuirane aktivnosti (kratko trajanje)  Internet bankarstvo
(uplate/isplate) , telekomunikacijske usluge
• Periodičke aktivnosti (dugo trajanje)  proizvodnja, projekti
• Periodičke aktivnosti zahtjevnije za procjenu
Definiranje RPO i RTO
Recovery point objective (RPO):
How recent is the point in time for your recovery?
Recovery time objective (RTO):
How fast can you restart a failed application?
(RPO+RTO = Acceptable Business Risk)
RPO RTO
TIME
DAYS HRS MIN EVENT SEC
SEC MIN HRS DAYS
Balans između zahtjeva i troškova
Cost
Cost of Cost of
Data System
Availability Availability
Cost of Data Cost of

Loss System
Downtime
Ideal Solution Set
TIME
HOURS
RPO 0
RTO HOURS
Hours of Lost Transactions Hours Required to Resume Business
Upravljanje rizikom
• Ista metodologija
• Fokus na rizike koji utječu na kontinuitet poslovanja
Upravljanje krizom
• Upravljanje krizom - proces kojim organizacija upravlja

neželjenim događajem koji prijeti uništenju organizacije, njenih
interesnih skupina, odnosno njenog ugleda.
• Tri elementa su zajednička za krizu:
1. prijetnja organizaciji,
2. element iznenađenja
3. kratko vrijeme za donošenje odluke.
Krizna komunikacija
• Budite proaktivni i spremni: nemojte čekati da se kriza dogodi

prije nego što izradite plan komunikacije u kriznim situacijama.
Identificirajte potencijalne rizike i unaprijed razvijte
sveobuhvatnu strategiju kriznog komuniciranja.
• Dajte prioritet transparentnosti i autentičnosti: tijekom krize
transparentnost je ključna. Pružite točne informacije, čak i ako
su detalji u početku ograničeni.
• Komunicirajte dosljedno i pravovremeno: dosljednost i
pravovremenost ključni su u kriznom komuniciranju. Osigurajte
da su sve poruke usklađene preko svih komunikacijskih kanala
i glasnogovornika.
Krizna komunikacija i društvene
mreže
• društvene mreže su ubrzale brzinu širenja informacija,
• testiranja i vježbe temeljeni na dobrom planu krizne
komunikacije kao i „dobri alati” za praćenje (nadzor) društvenih
mreža mogu na vrijeme uočiti pokušaje razbijanja „upravljanja
krizom”,
• Prednost i nedostatak
FedEx slučaj
• https://www.youtube.com/watch?v=PKUDTPbDhnA&t=5s
• „Along with many of you, we’ve seen the video showing one of our
couriers carelessly and improperly delivering a package the other
day. As the leader of our pickup and delivery operations across
America, I want you to know that I was upset, embarrassed, and
very sorry for our customer’s poor experience. This goes directly
against everything we have always taught our people and expect of
them. It was just very disappointing.”
• However, from the customer’s perspective, I am pleased to let you
know that the matter has been resolved in a very positive way. We
have met with the customer face to face and they already have a
replacement monitor at no cost to them.
FedEx slučaj
• I know you recognize that this absolutely does NOT represent the
professionalism and dedication of the 290,000 FedEx team members
worldwide.
• We do take this matter extremely seriously, and have initiated
action in accord with our disciplinary policy, while respecting
privacy concerns. Without going into detail, I can assure you that
this courier is not delivering customer packages
• This matter is an unfortunate exception to the outstanding service
FedEx team members deliver every single day.
• While this delivery fell way short of those high standards, we are
already using it as a learning opportunity
Zaključak
• Svaka organizacija želi nastaviti s poslovanjem i nakon neke

havarije
• U tu svrhu potrebno je dobro planirati
• Identificirati kritične aktivnosti i resurse potrebne za njihovo
izvođenje
• Imati u vidu financijske aspekte
• Krizna komunikacija vrlo važna

SIS Kontinuitet Poslovanja

Uploaded by

Copyright:

Available Formats

SIS Kontinuitet Poslovanja

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SIS Kontinuitet Poslovanja

Uploaded by

Copyright:

Available Formats

Sigurnost

• BA cancelled all departing flights at London’s Heathrow and

• On Saturday morning at around 9.30 there was indeed a power

Kontinuitet poslovanja se zapravo odnosi na dvije stvari koje su

• Tko će imati veću štetu: Konzum ako mu ne rade blagajne u

• Puni naziv: Societal security — Business continuity

• Plan kontinuiteta poslovanja

• dokumentirane informacije koje omogućuju organizaciji da

• Bitno saznati koliko brzo organizacija treba reagirati nakon

• MTPD (maximum tolerable period of disruption)

• Identificirati koje aktivnosti podržavaju kritične proizvode /

Cost of Data Cost of

Ideal Solution Set

• Upravljanje krizom - proces kojim organizacija upravlja

• Budite proaktivni i spremni: nemojte čekati da se kriza dogodi

• Svaka organizacija želi nastaviti s poslovanjem i nakon neke

You might also like