Több mint 100 pénzügyi céget ért komoly veszteség a New York-i merényletben. Mindössze 10-15 százalékuk rendelkezett átfogó üzletfolytonossági tervvel, BCP-vel, ők egy-két napon belül folytatni tudták tevékenységüket, a háttérintézményekkel (tartalékrendszerek, adatvédelem) nem rendelkezők közül viszont sokan tönkrementek - mondta előadásában Raffai Mária, a Széchenyi István Egyetem informatikai tanszékének professzora. Mindez világossá tette, hogy a vállalatoknak érdemes áldozniuk a biztonságos működésre, a katasztrófák túlélésére. A ma még IT-központú tervezésben nagyobb hangsúlyt kell helyezni a folyamatok átfogó kezelésére, az újfajta kockázatokra és azok hatásának kivédésére, a megelőzésre, az üzletmenet helyreállítására, a krízishelyzetek kezelésére és a változásmenedzsmentre.

A BCP célja, hogy baj esetén a szolgáltatásokat a lehető legrövidebb idő alatt és a legkisebb költséggel visszaállíthassuk - hangsúlyozta Gaidosch Tamás, a KPMG információkockázat-menedzsment (Information Risk Management Services - IRM) üzletágának vezetője.

Nem véletlen, hogy a meglehetősen költséges tervezésben a pénzügyi intézmények járnak az élen: csaknem minden szolgáltatásuk idő- és IT-érzékeny, azaz a legtöbb funkció informatikai támogatással működik, amelynek a legrövidebb idejű leállása is komoly károkat okozhat. Az IT-kiesések oka azonban elsősorban nem technikai jellegű: az esetek mindössze ötödét okozza az informatika valamilyen hibája, leggyakrabban az emberi tényezők és a folyamatok felelősek a leállásért. Ez is igazolja, hogy valódi védelmet a működés egészét átfogó tervek jelenthetnek. Ma a hangsúly a megelőzésre terelődik - ez az olcsóbb megoldás, egy katasztrófa kezelése akár csődbe is juttathatja a céget, ami egy megfelelő tervvel elkerülhető.

Janni Ferenc, a KPMG menedzsere elmondta, hogy a BCP-terv négy fázisra terjed ki: a katasztrófa előtti felkészülésre, közvetlenül a katasztrófa utáni tennivalókra („tűzoltás”), az átmeneti működés biztosítására (alternatív folyamatok, csökkent kapacitással), illetve a teljes, normál üzletmenet visszaállítására.

A BCP kidolgozása előtt alaposan elemezni kell az üzleti hatásokat. (A MKB esetében összesen 264 folyamatot vizsgáltak a tanácsadók, közülük 50 bizonyult az üzletmenet szempontjából kritikusnak.) Ezután kezdődhet magának a tervnek a kidolgozása, majd bevezetése, később pedig folyamatos tesztelése, karbantartása, és a munkatársak oktatása.

A Magyar Külkereskedelmi Banknál hét hónapba került a komplex BCP kidolgozása és bevezetése - mondta a projektet irányító Jakab Péter, az MKB Bankbiztonsági szakterületének vezetője. Jakab Péter kiemelte, gyakori tévedés, hogy a tervezés az IT-részleg feladata, hiszen a jó terv valóban az összes folyamatra kiterjed. Hiba lehet a kockázatok mechanikus értékelése is. A BCP sikeréhez ezen kívül szükség van jelentős belső közreműködésre (a tanácsadók, illetve egy-egy felelős önmagában nem juthatnak előre), és elengedhetetlen a cég legfelsőbb szintű vezetésének teljes támogatása is.

A rendezvényen a ConSec International munkatársai a BCP-folyamatok informatikai támogatottságára szolgáló szoftvereket mutattak be. A ConSec együttműködött a KPMG-vel a MKB üzletfolytonossági tervének kidolgozásában is.

• Az üzletfolytonossági tervezés nem új keletű fogalom; gyökerei már a 70-es években megjelentek, válaszul arra az igényre, hogy fel kell készülni az informatikai rendszerek sérülésére. Az első, katasztrófaelhárítási tervek (Disaster Recovery Plan - DRP) csak az IT-rendszerek helyreállítására terjedtek ki. Az átfogóbb, az üzletmenet egészére kiterjedő tervezés (Business Continuity Planning - BCP) a 80-90-es években terjedt el. Mindkét megközelítés elsősorban a helyreállításra koncentrál. Újabban a proaktív hozzáállás került előtérbe - ezáltal a valóban komplex megközelítés a megelőzést és a helyreállítást ötvöző üzletfolytonossági menedzsment (Business Continuity Management - BCM) lett, amely a folyamatos, nagy megbízhatóságú működést kívánja biztosítani. A szakirodalom használja a kríziskezelés (Crisis Management - CM) terminust is -, ez a súlyos katasztrófák kezelését jelenti.