Riadenie kontinuity činností už nie je “papierová povinnosť”, ale kľúč k prežitiu organizácie. Panel odborníkov z bankového, štátneho aj dodávateľského prostredia sa zhodol, že incidenty a pandémia výrazne urýchlili zmenu postoja. Dnes je témou číslo jeden realistické plánovanie, pripravení ľudia a férová debata medzi biznisom a IT.
Prečo kontinuita rozhoduje
Najsilnejším hýbateľom zmeny býva buď vlastný incident, alebo poučenie sa z cudzieho nešťastia. COVID aj séria kyberútokov ukázali, že kontinuita nie je náklad navyše, ale investícia do odolnosti. Zákon pomáha, no experti zdôrazňujú, že na prvom mieste má byť zdravý rozum: chrániť ľudí, služby a aktíva bez ohľadu na paragrafy.
Praktickým štartérom je BIA – analýza dopadov na biznis, ktorá premení “abstraktné riziko” na konkrétne peniaze a výpadky. Keď vedenie vidí, čo spôsobí hodina alebo deň nečinnosti, rastie ochota investovať a prideľovať zodpovednosti. Stabilná podpora manažmentu je pritom podmienkou, aby sa z plánov stala reálna schopnosť obnovy.
RTO a RPO: medzi želaním a realitou
Časy obnovy (RTO) a tolerovanej straty dát (RPO) bývajú jablkom sváru: biznis chce “do dvoch hodín”, IT vidí osem. Kľúčom je spojiť požiadavku s cenovkou a kapacitami: kratšie RTO znamená zdvojené systémy, pripravené tímy a procesy. Diskusia často ukáže, že pri dobre zvolenej alternatíve stačí 24 hodín – alebo naopak, že kritická služba si pýta vyššiu úroveň ochrany.
Ak sa cieľ stanovil správne, no technika naň nestačí, ide o riziko, ktoré má byť priznané, reportované a riešené ako projekt. Vedenie musí transparentne určiť priority: čo je naozaj kritické, čo môže počkať a kto za to nesie zodpovednosť. V praxi pomáha aj plán na “ručný režim” – dočasné alternatívne postupy, ktoré premostia dobu obnovy.
Ľudia, testovanie a tretie strany
Najzraniteľnejšie aj najcennejšie aktívum sú ľudia. Potrebujú školenia, pohotovosti, jasné roly a aj ocenenie po náročných zásahoch, inak hrozí vyhorenie a odchody. Testy (ideálne tabletop cvičenia) by mali rátať aj s výpadkom kľúčových osôb a mať plány písané tak, aby podľa nich vedel postupovať aj “zaskočený” kolega. V krízach pomáha nadhľad externého krízového manažéra, lebo stres vie paralyzovať rozhodovanie.
Dodávatelia musia byť súčasťou plánov aj testov a mať v zmluvách časy kratšie než vaša služba voči zákazníkovi. Technológie ako EDR/XDR s dohľadom 24/7 a automatickou reakciou (izolácia siete, obnova z karantény pri šifrovaní) skracujú čas detekcie aj zásahu. Nezabudnite ani na “offline realitu”: zásadné kontakty a postupy majte vytlačené, myslite na výpadok internetu a poslednej míle a majte pripravené náhradné priestory. Čím menej improvizácie v deň D, tým rýchlejší návrat k normálu.
