Pourquoi les programmes de continuité des activités et de reprise après sinistre sont essentiels

Vos systèmes sont opérationnels. Votre organisation fonctionne comme d'habitude et tout est comme il se doit. Puis, tout à coup, ce n’est pas. Une inondation, un tremblement de terre, une pandémie ou un incendie menace votre capacité à faire fonctionner votre organisation. Les systèmes sont hors ligne, les processus métier critiques sont au point mort. Vous essayez désespérément de déterminer quels dommages ont été causés, quels employés ont été affectés et combien de temps avant de pouvoir récupérer. Sans une planification et des tests appropriés, il est difficile de connaître les réponses à ces questions.

Les implications d'un événement imprévu et non préparé peuvent être dévastatrices pour une entreprise, ainsi que pour les clients qu'elle sert.

Qu'est-ce que la continuité des activités?

Il existe de nombreuses façons de définir la continuité des activités (BC), et il existe une grande variance dans la façon dont les organisations la définissent. . Cependant, ce qui est important à savoir, c'est que la Colombie-Britannique fait référence à la reprise des fonctions commerciales critiques .

Selon The Definitive Handbook of Business Continuity Management, BC est définie comme «Un processus proactif qui identifie les fonctions clés d'une organisation et les menaces probables pour ces fonctions; à partir de ces informations, des plans et des procédures qui garantissent que les fonctions clés peuvent se poursuivre quelles que soient les circonstances, peuvent être développés. "

Qu'est-ce que la reprise après sinistre?

Comme en Colombie-Britannique, la reprise après sinistre (DR) peut être définie de multiples façons. Le fil conducteur de toutes les définitions est que DR se concentre sur la récupération des systèmes informatiques critiques .

DisasterRecovery.org, un site Web qui fournit des conseils et des informations sur DR et BC, définit DR comme «le processus une organisation utilise pour récupérer l'accès à leurs logiciels, données et / ou matériel qui sont nécessaires pour reprendre la performance des fonctions commerciales normales et critiques après le cas d'une catastrophe naturelle ou d'une catastrophe causée par l'homme. »

Bien qu'il existe de nombreuses différences entre la Colombie-Britannique et la RD, ces points les résument bien:

• La Colombie-Britannique concerne la survie des fonctions commerciales critiques, tandis que la DR concerne la survie des systèmes informatiques critiques [19659013] Étant donné que de nombreuses fonctions commerciales critiques reposent sur des systèmes informatiques, DR est souvent considéré comme un sous-ensemble de BC
• BC est de niveau supérieur et moins technique, tandis que DR est de niveau inférieur et plus technique

Quels sont les exemples de chacun?

XYZ, Inc. est un fabricant d'éoliennes situées dans la région de la baie de San Francisco. Étant donné qu'ils dépendent des fournisseurs pour fabriquer certaines des pièces nécessaires à la construction des turbines, XYZ a identifié la gestion de la chaîne d'approvisionnement comme un processus commercial critique.

Supposons qu'un des fournisseurs critiques de XYZ sur la côte est ait été touché par un ouragan. qui a provoqué un arrêt de la fabrication. XYZ ne dispose que d'une semaine de pièces et la fermeture devrait durer plusieurs semaines. Que doit faire XYZ? Ceci est un exemple de scénario uniquement en Colombie-Britannique. Les systèmes critiques sont opérationnels, mais le processus sera bientôt non opérationnel.

Maintenant, disons qu'un tremblement de terre frappe San Francisco, et Internet n'est pas disponible en raison de pannes de courant massives. Dans ce cas, étant donné que les commandes aux fournisseurs ne pouvaient pas être expédiées, BC et DR entrent en jeu.

Tous les événements ne nécessitent pas à la fois BC et DR. Dans certains cas, ce pourrait être l'un ou l'autre.

Les organisations ont-elles vraiment besoin des programmes de la Colombie-Britannique et de la RD? Ne peuvent-ils pas simplement s'adapter à la volée?

Le fait est que, quelle que soit l'agilité de votre organisation, sans un programme BC / DR robuste, vous ne pourrez pas dire si vous avez suffisamment de ressources, de personnel, et des capitaux pour s'adapter aux événements imprévus. Invariablement, certains événements se produisent auxquels vous n'êtes pas préparé. Cela peut prendre trois mois ou même 10 ans, mais cela arrivera.

Chaque organisation a des fonctions et des systèmes critiques qui doivent être protégés contre les événements imprévus, qu'il s'agisse de catastrophes naturelles, de catastrophes d'origine humaine ou même d'activités criminelles. . Indépendamment de ce qui se passe, un plan complet de la Colombie-Britannique et de la RD permettra à une organisation de traiter ces situations immédiatement et efficacement.

Sans BC / DR:

• Les systèmes et fonctions critiques qui exploitent votre entreprise peuvent passer inaperçus
• La récupération prend beaucoup plus longtemps et plus cher, peut-être plus de temps et d'argent que vous pouvez vous permettre
• Votre organisation, vos employés et vos clients courent un risque indu
• La réputation de votre organisation est en jeu

Y a-t-il d'autres facteurs à considérer?

Selon votre industrie, vous pourriez avoir une exigence réglementaire pour mettre en œuvre un programme BC / DR. Des réglementations telles que FedRAMP, HIPAA, FDA, EPA, Privacy Shield, EU Annex 11, SOX, PCI DSS et GDPR exigent toutes, explicitement ou implicitement, que les organisations conformes disposent de programmes BC / DR.

En outre, un BC / DR robuste est requis si votre organisation cherche à se conformer à des normes de qualité comme ISO 9000/9001, HITRUST et AICPA SOC2.

L'essentiel, c'est que vos clients et clients s'attendent à ce que votre organisation continue de leur fournir des produits et des services dans un moment d'urgence. Sans programme BC / DR, vous ne pouvez pas leur donner cette assurance.

Que comprend un programme BC / DR robuste?

Les programmes efficaces de continuité des activités et de reprise après sinistre comprennent les qualités suivantes:

• Un processus complet et continu de développer, tester et maintenir un plan BC (BCP) et un plan DR (DRP). Ces plans sont des documents évolutifs, continuellement mis à jour et affinés pour garantir qu'ils restent exacts au fur et à mesure que votre entreprise, ainsi que le monde qui l'entoure, mûrit et change. Les plans obsolètes peuvent être plus dangereux que pas du tout, car ils donneront des informations obsolètes à un moment de grand besoin.
• Parrainage et approbation de la haute direction / direction. Ces programmes affectent les fonctions et les systèmes de base de haute visibilité et devraient recevoir un degré élevé d'attention.
• Intégration avec les activités de conformité réglementaire et d'assurance qualité en cours.
• Les plans BC / DR doivent être périodiquement testés pour s'assurer qu'ils sont efficaces pour faire face aux menaces. Les résultats de ces tests devraient être utilisés pour mettre à jour les plans si nécessaire.
• L'organisation dans son ensemble doit rester vigilante face aux menaces émergentes susceptibles d'avoir un impact sur les opérations ou les systèmes. Les plans de la Colombie-Britannique et de la RD devraient être mis à jour pour englober les menaces émergentes.

Points clés à retenir sur la Colombie-Britannique et la RD

1. Un large éventail de menaces, connues et inconnues, existent dans le monde. Sans analyser et se préparer à ces menaces, une organisation n'est pas prête à y faire face efficacement si elles deviennent une réalité.
2. Tout le monde dans une organisation doit reconnaître la valeur de la protection de son entreprise, de ses employés et de ses clients.
3. La conformité aux mandats réglementaires et aux normes internationales nécessite un programme BC / DR solide.
4. BC / DR sont des programmes de cycle de vie complet qui aboutissent à la création d'un ensemble de plans, y compris un BCP et un DRP. Ces plans doivent être examinés, testés et maintenus pour rester exacts et opportuns.

Si vous vous trouvez dans une situation sans plans de continuité des activités et de reprise après sinistre, nous pouvons vous aider à définir, développer, instituer, et affiner un plan BC / DR qui peut vous aider à vous préparer aux catastrophes et à maintenir le bon déroulement des opérations si elles se produisent. Pour plus d'informations, veuillez me contacter .