Úspěch organizace spočívá v jejích lidech, jejich znalostech a dovednostech. Ztráta těchto lidí může mít významný dopad na kontinuitu činností organizace. Tento článek je úvodním počinem do série zabývající se oblastí Dostupnosti v rámci bezpečnosti informací.
kontinuita know-how personál BCM plány obnovy řízení rizik řízení kontinuity analýza dopadů procesy zaměstnanci informace
Dostupnost je vlastnost, kterou vyžadujeme zejména u klíčových procesů organizace a následně také u všech zdrojů, které jsou zapojeny do tvorby očekávaných výstupů těchto klíčových procesů. Dnes se budeme konkrétně zamýšlet nad lidmi jakožto nositeli znalostí, tedy know-how.
Zkušeností, kterou si mnoho organizací nehledě na velikost nebo oblast působení odnáší z covidového období, je závislost na zachování dostupnosti klíčového personálu pro chod organizace. Úmyslně jsem nezmínil klíčové zaměstnance, protože trendy posledních pár let směřují z hlediska řízení lidských zdrojů k širšímu a stále rozšířenějšímu trendu využívání externích subjektů (dodavatelů) k zajištění procesů, těch nejdůležitějších nevyjímaje.
Nejdříve se ale vraťme k jádru věci a připomeňme si pár stěžejních informací o procesu Řízení kontinuity (BCM z angl. Business Continuity Management). Pokud budeme chtít tento proces zařadit do kontextu obecně uznávaných a využívaných norem, pak je to zejména velmi využívaná norma ISO 22301 [1], která tento proces popisuje do míry čtenáři umožňující jej poznat, identifikovat jeho přínosy a připravit organizaci na jeho zavedení. Rozšířené grafické vyjádření spojované právě s procesem Řízení kontinuity činností ve formě přehledného cyklu identifikuje základní principy BCM.
Obr. 1: Demingův cyklus v ochraně informací
Znázorněné části procesu BCM přirozeně kopírují Demingův cyklus (PDCA). [1] Jedná se o opakovatelný proces, který musí poskytovat porovnatelné výsledky. Mezi nejčastěji používané scénáře, které se definují v rámci Strategie BCM a které jsou adekvátní ke kontextu organizace, patří příprava reakce na nedostupnost lokality/budovy, nedostupnost ICT nástrojů, nedostupnost klíčových dodavatelů a nedostupnost klíčového personálu. Jak ukazují zkušenosti, klíčový personál je mnohdy opomíjeným tématem, přičemž se bezesporu jedná o aktiva navázaná na klíčové procesy nebo služby organizace. Jejich nedostupnost většinou ohrožuje kontinuitu důležitých činností organizace, čemuž se proto budeme v tomto článku věnovat. Identifikace klíčových pracovníků většinou probíhá v rámci analýzy dopadů. To je téma na samostatný článek, dnes se jí budeme věnovat pouze okrajově ve vztahu ke klíčovým pracovníkům.
Jak již bylo uvedeno, mezi zvažované scénáře nedostupnosti se řadí také nedostupnost klíčového personálu. Je to ten personál, který podporuje dodávání očekávaných výstupů identifikovaných klíčových procesů nebo služeb.
Tento personál nejenže by v rámci analýzy dopadů měl být identifikován, ale je potřeba se zvýšenou pozorností sledovat jeho rozvoj, řídit jeho vzdělávání a celkově se starat o jeho spokojenost v rámci organizace, kde by měla existovat množina benefitů, které by podporovaly spokojenost klíčového personálu. Dokážeme si totiž velmi snadno představit, co by nastalo, pokud by řady tohoto personálu začaly povážlivě řídnout.
Klíčový personál je pro organizaci jako krev pro tělo. Jednoduše řečeno to bez něj prostě nepůjde. Dostatečně seniorní personál není jen nositelem know-how organizace, ale zejména se může zásadním způsobem podílet na rozvoji procesů, které vykonává, a je obtížně nahraditelným zdrojem zkušeností právě při provádění analýzy dopadů, kdy dokáže velmi přesně a objektivně posoudit možné dopady scénářů nedostupnosti aktiv potřebných pro zajištění odpovídajících výstupů procesů nebo služeb, na jejichž produkování se podílí. Klíčový personál dokáže také sehrát významnou roli při samotné neočekávané události a řídit méně zkušené kolegyně a kolegy, někdy dokonce své přímé nadřízené, kteří ještě nemusí mít tolik zkušeností.
Pojďme si ale konečně říci, jak klíčový personál a jeho dostupnost či nedostupnost mohou ovlivnit plynulý chod v organizaci. Kromě zmíněných zkušeností je především nositelem know-how, které je mnohdy pokládáno za „rodinné stříbro“ organizace. Jak by například mohl pekař dodávat své jedinečné pečivo připravované po generace stejným, osvědčeným způsobem, kdyby nebyl nikdo, kdo by buď znal recept a přesný postup, nebo by tento recept a přesný postup nebyl nikde sepsán a patřičně chráněn. Takže jsme si hned identifikovali dva způsoby, jak know- -how zachovat dostupné, kdykoli bude potřeba.
Prvním způsobem je přenos z generace na generaci „pekařů“ prostým předáváním informací, odkoukáváním postupů, učením se pod dohledem zkušeného mistra pekaře. Tento způsob je optimální pro nesmrtelné lidi, kterým se nikdy nic nemůže stát. Takový však personál nemáme a vývoj poslední doby nám ukázal, jak se situace v oblasti zdravotnictví dokáže zkomplikovat, pokud se setkáme se zákeřnou chorobou, jejíž následky a vývoj jsou absolutně nevyzpytatelné. Každý vedoucí pracovník v jakékoli organizaci si jen stěží dokáže představit situaci, kdy nebude mít k dispozici své „pekaře“ a bude schopen zajistit očekávané výstupy v odpovídajícím čase a v odpovídající kvalitě.
Druhým způsobem je pak logicky uchovat informaci, která je pro naši organizaci klíčová, přístupnou v odpovídající a požadované době. Takto dokumentovanou informaci je potřeba nejen chránit z hlediska dostupnosti, ale v mnohých případech také z hlediska důvěrnosti, tedy ponechat ji přístupnou pouze oprávněným osobám. Je potřeba si uvědomit, že informace je nutné chránit nehledě na to, v jaké podobě jsou, tedy tištěné, uložené v centrální databázi nebo přenášené po síti či v mobilním zařízení. Na rozdíl od informace, která se předává zkušenostmi, a je přirozeně aktualizovaná novými poznatky, dokumentovanou informaci (tedy tu, kterou jsme někam zaznamenali) je potřeba bezodkladně aktualizovat pokaždé, kdy je to potřeba. Podněty pro aktualizaci dokumentované informace mohou být různé, například nový technologický postup, nové nástroje nebo nová legislativa, která má dopad na vykonávaný proces.
Obr. 2: Prolínání ISMS a BCMS při zajištění dostupnosti kritických procesů
Z hlediska BCM je potřeba zajistit jak dostupnost klíčového personálu s odpovídajícími zkušenostmi, tak méně zkušeného personálu, který dle aktuální dokumentované informace ve formě popisu procesu nebo služby bude schopen zajistit výstup v odpovídající kvalitě. Zde je tedy možno použít, a mnohdy se toto řešení samo nabízí, kolegy z oddělení, které vykonává podobnou činnost, a pomocí uvedeného popisu procesu nebo služby jednoduše zastoupit nebo doplnit řady kolegyň a kolegů na klíčových pozicích organizace. Nebuďme však naivní v podobě očekávání, že stačí pouze popsat činnost nebo službu, udržovat popis aktuální a náhradní pracovní síla bude moci zastoupit léta praxe seniorních pracovníků, kteří vykonávají proces nebo službu na denní bázi. Pro zajištění plynulého přechodu v době neočekávané události je potřeba vzájemnou zastupitelnost trénovat a cvičit, jak nám napovídá známá věta slavného ruského stratéga A. V. Suvorova: „Těžko na cvičišti, lehko na bojišti.“
Dalším řešením se může jevit zasmluvnění náhradních pracovníků externím dodavatelem. Tento postup lze však uplatnit v případě, kdy to povaha procesu nebo služby umožňuje. Například u pásové výroby či sklizně brambor je tento přístup, tedy zasmluvnění pomoci u externích dodavatelů, lépe představitelný než u specializovaných profesí s potřebným vzděláním a zkušenostmi, jako jsou například lékaři či jiný vysoce specializovaný personál. Lze však i tady říci, že kardiochirurg zcela jistě zvládne vyšetřit zlomenou končetinu, ale ne každý chirurg zvládne chirurgický zákrok srdce. Nesmíme taky zapomenout, že všechny požadavky na dostupnost u externích subjektů je potřeba zasmluvnit, a zajistit si tak s předstihem, že požadované zdroje budou k dispozici v době, kdy je bude organizace potřebovat. Zde je potřeba také očekávat jistou finanční stránku požadavku na dodavatele, takže je potřeba opravdu velmi pečlivě zvážit, kolik a jaké zdroje budeme chtít po externím subjektu zasmluvnit. V případě zasmluvnění pracovníků externím subjektem je potřeba mít na paměti i kvalifikační požadavky na poskytovaný personál. Je potřeba zajistit, aby náhradní pracovníci byli řádně proškoleni z hlediska BOZP na svých nových pracovištích, ale zejména aby měli odpovídající zkoušky a vzdělání již v době, kdy je jim uloženo tuto činnost vyžadující certifikaci či vzdělání vykonávat. Lze si jen obtížně představit například svěřit svářecí techniku někomu bez odpovídajících zkoušek nebo práci v kuchyni bez lékařského osvědčení. Tyto všechny kvalifikační a další specifické požadavky musí být uvedeny již ve smlouvě o zajištění odpovídajícího personálu a lze přirozeně předpokládat, že budou také reflektovány v ceně za tuto službu.
Orientací na optimální požadavek na lidské zdroje v rámci neočekávané události a spuštěním Plánu kontinuity je identifikovaný ukazatel MLOC (Minimal Level of Continuity) nebo též MBCO (Minimum Business Continuity Objective) [1], který jasně definuje, jaké jsou minimální zdroje (včetně těch lidských) potřebné k zajištění dostatečné kvality výstupu procesu nebo služby v případě výskytu incidentu, aniž by nastaly nežádoucí ztráty. Tento ukazatel se identifikuje v rámci analýzy dopadů, kdy respondent, standardně osoba R (responsible), ve spolupráci s osobou A (accountable) v rámci hodnoceného procesu identifikují minimální požadavky na chod procesu nebo služby. MLOC vyjadřuje nejen minimální požadavek na personál, ale také ostatní vybavení nutné k zajištění požadované kvality výstupů posuzovaného procesu nebo služby. Například pokud jsou standardně proces nebo služba dodávány deseti zaměstnanci na deseti pracovních stanicích a dvou tiskárnách, tak v rámci MLOC je identifikován požadavek na minimálně tři členy personálu, tři pracovní stanice a jednu tiskárnu, aby bylo možné zajistit požadovanou kvalitu výstupu procesu nebo služby.
Skloubením ISMS (Information Security Management System) a BCMS (Business Continuity Management System) dostáváme organizaci, která je odolná a chráněná proti neočekávaným událostem. Je to přirozené doplnění oblasti ochrany bezpečnosti informací z trojúhelníku Dostupnost, Důvěrnost, Integrita o další rozměr věnující se pouze Dostupnosti, avšak v hlubším detailu. V grafické formě jednoduše popíši provázání ISMS a BCMS vzhledem k požadavkům na dostupnost, které řeší oba uvedené procesní rámce. Prolínání obou procesních rámců je synergií, kdy BCM se zaměřuje pouze na dostupnost, přirozeně kombinuje procesy a ICT prostředí organizace, zatímco ISMS pokrývá bezpečnost informací v celém životním cyklu včetně zajištění dostupnosti.
Závěr
Závěrem bych shrnul několik podstatných bodů pro každou organizaci. První z nich bude patřit klíčovému personálu, který je v rámci analýzy dopadů identifikován jako podstatný element chodu klíčového procesu nebo služby. O tento klíčový personál je potřeba řádně se starat nejen z pohledu zajištění jeho vzdělávání, ale i celkové spoko- jenosti, kde lze využít pestrou paletu motivačních nástrojů.
V rámci analýzy dopadů také identifikujme ukazatele MLOC, které nám pomohou určit, kolik a jaké prostředky jsou nezbytně nutné pro zajištění požadované kvality očekávaných výstupů procesu nebo služby. Identifikujme interní zdroje, které jsou vzájemně zastupitelné, protože vykonávají velmi podobnou činnost, nebo výstupy jednoho procesu nebo služby jsou navazující na druhý proces nebo službu. Takto identifikované zastupitelnosti se musí udržovat vzájemným vzděláváním a testovat v rámci testování BCP. Pokud přistoupíme k možnosti najmout si pro dobu neočekávané události externí pracovníky, je potřeba specifikovat ve smlouvě s dodavatelem požadavky na vzdělání a případné odborné školení, certifikace či jiná potvrzení neoddělitelná od výkonu pozice, kterou bude externí pracovník vykonávat. Požadavky na jednotlivé pozice by měl mít definované organizační útvar pokrývající řízení lidských zdrojů. Využívejme přirozených synergií již zavedených procesních rámců v organizaci, které také pracují s dostupností procesů, služeb nebo informací.
Nezbývá nám doufat, že zodpovědným přístupem se nám podaří připravit se na situace, které jsme se snažili simulovat v rámci cvičení BCM, a minimalizovat tak negativní dopad nejen do efektivního fungování naší organizace, ale zejména k našim zainteresovaným stranám. Nakonec si neodpustím další přísloví, které se váže k testování: „Cvičení dělá mistra.“
